Datenschutz, Datensicherheit und Archivierung: Rechtspflichten, Haftung und Praxis
Unternehmensdaten revisionssicher speichern, schützen und archivieren — das ist im digitalen Zeitalter keine Option, sondern Pflicht. Rechtliche Anforderungen aus der DSGVO, dem Handels- und Steuerrecht sowie beweisrechtliche Erfordernisse machen eine strukturierte Datensicherheits- und Archivierungsstrategie unverzichtbar. Wer hier spart, zahlt doppelt: im Schadensfall mit Bußgeldern, Haftungsansprüchen und Prozessrisiken.
Warum revisionssichere Archivierung Pflicht ist
Die Rechtsprechung betrachtet es als selbstverständlich, dass Unternehmen betriebskritische und beweiserhebliche Dokumente vorhalten und vor Verlust oder Kompromittierung schützen. Elektronische Dokumente spielen in Rechtsstreitigkeiten eine entscheidende Rolle — als Beweismittel, die Ansprüche belegen oder widerlegen.
Gleichzeitig verpflichtet die DSGVO Unternehmen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen zu schützen (Art. 32 DSGVO) — und zwar auch in Backup- und Archivsystemen. Die Kombination aus Aufbewahrungspflicht und Datenschutzpflicht erfordert ein durchdachtes Gesamtkonzept.
Rechtliche Anforderungen an die Datensicherheit
Mehrere Regelwerke greifen ineinander:
- DSGVO Art. 32: Geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten — Verfügbarkeit, Integrität, Vertraulichkeit, Belastbarkeit
- HGB / AO: Handels- und steuerrechtliche Aufbewahrungsfristen von 6–10 Jahren für geschäftliche Unterlagen
- GoBD: Grundsätze für ordnungsmäßige Buchführung und Datenzugriff — elektronische Dokumente müssen unveränderbar und jederzeit lesbar sein
- BSI-Grundschutz / NIS-2: IT-Sicherheitsstandards für kritische Systeme und Daten
Datensicherheit im Desasterfall: Backup und Business Continuity
Der Schutz personenbezogener und betriebskritischer Daten muss auch für den Desasterfall gewährleistet sein. Art. 32 DSGVO verlangt explizit die Fähigkeit zur schnellen Wiederherstellung der Verfügbarkeit und des Zugangs zu personenbezogenen Daten nach einem physischen oder technischen Zwischenfall.
- Backup-Konzept: Regelmäßige, vollständige Datensicherungen — getrennt vom Primärsystem, idealerweise an einem anderen physischen Standort oder in der Cloud
- Recovery-Tests: Backups nützen nichts, wenn die Wiederherstellung im Ernstfall nicht funktioniert — regelmäßige Tests sind Pflicht
- Ransomware-Schutz: Backups müssen gegen Ransomware-Angriffe geschützt sein — unveränderliche Backups (Immutable Backups) sind Stand der Technik
- Notfallplan: Ein dokumentierter Business-Continuity-Plan regelt, wie der Betrieb nach einem Datenverlust schnellstmöglich wiederhergestellt wird
Haftungsfolgen bei unzureichender Datensicherheit
Die wirtschaftlichen Konsequenzen unzureichender IT-Sicherheit und Archivierung sind erheblich:
- DSGVO-Bußgelder: Bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes bei Verletzung der Datensicherheitspflichten nach Art. 32 DSGVO
- Schadensersatz: Betroffene Personen können nach Art. 82 DSGVO Schadensersatz geltend machen — ohne Nachweis eines konkreten Schadens
- Managerhaftung: Geschäftsführer haften persönlich für unzureichendes IT-Risikomanagement — Gerichte haben das wiederholt bestätigt
- Prozessrisiken: Wer im Rechtsstreit keine revisionssichere Dokumentation vorweisen kann, verliert Beweismittel — mit erheblichen Konsequenzen für laufende Verfahren
- Steuerliche Nachteile: Wer steuerrelevante Unterlagen nicht korrekt aufbewahrt, riskiert Hinzuschätzungen und steuerliche Nachteile
Allgemeine Haftungsrisiken beim Datenverlust
Die Rechtsprechung hat klare Anforderungen formuliert: Unternehmen müssen sicherstellen, dass bestimmte elektronische Dokumente gesetzeskonform verfügbar sind. Fehlen beweiserhebliche Unterlagen, drohen nicht nur Bußgelder — sie können auch Ansprüche in Rechtsstreitigkeiten beeinflussen.
Das Hauptrisiko in wirtschaftlicher Hinsicht stellen die Haftungsfolgen infolge von Versäumnissen beim IT-Risikomanagement dar. Das Schadenspotenzial, das sich aus dem Verlust betriebswichtiger Daten oder der Kompromittierung vertraulicher Informationen ergibt, übersteigt die Investitionskosten in eine ordnungsgemäße Datensicherung regelmäßig um ein Vielfaches.
Was Unternehmen konkret tun müssen
- Backup-Konzept nach Stand der Technik erstellen und regelmäßig testen
- Archivierungskonzept für revisionssichere Aufbewahrung geschäftlicher Unterlagen
- Löschkonzept für Daten, deren Aufbewahrungsfrist abgelaufen ist
- Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO dokumentieren
- Business-Continuity-Plan für den Desasterfall erstellen
- Mitarbeitende im sicheren Umgang mit Daten und Systemen schulen
Unser Angebot
Wir unterstützen Unternehmen bei der rechtssicheren Gestaltung von Datensicherheit, Backup und Archivierung — mit dem Dreiklang aus Recht, IT und Praxis. Von der Bestandsaufnahme bis zur vollständigen Dokumentation.
Jetzt Erstgespräch vereinbaren — kostenfrei und ohne Verpflichtung.
FAQ: Datenschutz, Datensicherheit und Archivierung
Wie lange müssen Unternehmen Daten aufbewahren?
Das hängt von der Art der Unterlagen ab. Handels- und Geschäftsbriefe: 6 Jahre. Buchungsbelege und steuerrelevante Unterlagen: 10 Jahre. Personenbezogene Daten dürfen darüber hinaus nur so lange gespeichert werden, wie es der Verarbeitungszweck erfordert. Ein Löschkonzept, das beide Anforderungen berücksichtigt, ist unverzichtbar.
Reicht ein Cloud-Backup für die DSGVO?
Cloud-Backups sind grundsätzlich zulässig — aber es müssen technische und organisatorische Maßnahmen gewährleistet sein. Dazu gehören Verschlüsselung, ein Auftragsverarbeitungsvertrag mit dem Cloud-Anbieter und die Prüfung von Drittlandtransfers.
Haftet der Geschäftsführer persönlich bei Datenverlust?
Ja — wenn nachweisbar ist, dass keine angemessenen Schutzmaßnahmen ergriffen wurden. Gerichte haben die persönliche Haftung von Geschäftsführern bei unzureichendem IT-Risikomanagement mehrfach bestätigt.
