Rechtliche Hürden beim Backup in die Cloud

Das Datenschutzgesetz gibt vor, dass generell für jede Übermittlung von personenbezogenen Daten eine Vereinbarung zur Auftragsdatenverarbeitung (kurz: ADV) gemäß Datenschutzgesetz vorliegen muss. Darin ist zu regeln, was der Empfänger mit den Daten machen darf, wie diese gegen unbefugten Zugriff zu schützen sind und wann die Daten wieder zu löschen sind.

Da sich in einer vollständigen Sicherung aller Unternehmensdaten immer auch personenbezogene Daten befinden, ist diese Vereinbarung nach § 11 BDSG generell nötig, wenn Cloud Anbieter als Backupziel gewählt werden.

Gesetzlich über den personenbezogenen Daten stehen Privatgeheimnisse. Dies sind besonders vertrauliche Informationen über Personen, zum Beispiel Finanzdaten oder Krankendaten, über die bestimmte Berufsgruppen durch Ihre Arbeit Kenntnis erlangen.

§ 203 StGB verbietet daher die Weitergabe von Privatgeheimnissen für eine große Zahl von offiziellen Geheimnisträgern. Darunter fallen unter anderem Ärzte, Psychologen, Anwälte, Notare, Verteidiger, Wirtschaftsprüfer, Buchprüfer, Steuerberater oder deren Bevollmächtigte, sowie Organe und Mitglieder deren Gesellschaften, als auch Beratungsstellen, Sozialarbeiter und Versicherungen.

Alle hierunter fallenden Daten dürfen nach deutschem Gesetz nicht an Drittanbieter übermittelt werden, selbst wenn ein Vertrag zur Auftragsdatenverarbeitung gemäß Datenschutzgesetz vorliegt.

Eine einfache und praxisnahe Lösung bietet die Kryptografie. Denn verschlüsselte Daten dürfen an Dritte ausgelagert werden, sofern diese das Passwort nicht kennen und das eingesetzte Verfahren allgemein als „sicher“ eingestuft wird.

EncryptedModerne Backup-Software (z.B. CommVault Simpana, Veeam, etc) haben dieses Prinzip schon erkannt und bieten daher eine vollverschlüsselte Übertragung und Speicherung an, wodurch der Nutzer sich über die rechtlichen Hintergründe keine weiteren Gedanken mehr machen muss. Meist bieten diese Lösungen auch gleich Deduplizierung und Komprimierung mit an, so dass auch die Kosten für den Cloud Speicher gesenkt werden.

NetApp bietet mit SteelStore sogar eine zuvor von Riverbed entwickelte Technologie an, die als Cloud Storage Gateway dient. Dabei wird lokal ein Backup-Speicher zur Verfügung gestellt, der vollverschlüsselt im Hintergrund zu einem Cloud Anbieter repliziert werden kann.

In jedem Fall sollte man sich bei Einsatz entsprechender Verschlüsselungstechnologien Gedanken über die Lagerung des Passwortes der Verschlüsselung machen. Denn ohne das nötige Passwort ist kein Zugang zu den Backup-Daten mehr möglich. Somit ist ein Offsite-Backup schnell wertlos, wenn das Passwort nicht auch mindestens an einem zweiten Standort gelagert wird. Die Wahl der Passwort-Lagerung sollte also bei der Planung des Backups ebenfalls Beachtung finden.

Fazit:

  • Wann immer personenbezogene Daten übertragen werden, muss zuvor eine ADV Vereinbarung geschlossen werden.
  • Privatgeheimnisse sind höchst vertraulich und dürfen unverschlüsselt unter keinen Umständen übertragen werden.
  • Verschlüsselt man generell alle Daten vor der Übertragung an den Cloud Anbieter, ist man rechtlich immer auf der sicheren Seite.
  • Moderne Software berücksichtigt diesen Umstand bereits und bietet eine Vollverschlüsselung aller Daten vor der Übertragung an den Cloud Anbieter an.
  • Besonders wichtig ist es dann jedoch, das Passwort sicher gelagert zu haben.

Haben Sie hierzu Fragen, oder können wir Sie hinsichtlich Ihrer Datensicherung beraten? Kontaktieren Sie uns unter info@flexvault.de . Wir freuen uns über Ihre Nachricht.

M.B. war bis 2012 bei Proact Deutschland als Produktmanager für die Backup-as-a-Service Produktreihe "FlexVault" um alle Belange der Datensicherung. Zuvor war er technischer Leiter eines großen Nürnberger Datacenters und kennt daher die Sorgen und Nöte der IT-Leiter und Administratoren bestens.