Zum Inhalt springen

Die Verpflichtung zu Backups und Datenwiederherstellung

Im Kontext der Gewährleistung zur Aufrechterhaltung (Business Continuity) oder – bei einem Desaster – Wiederherstellung der Verfügbarkeit (Desaster Recovery) kommt dem Aspekt der Datenwiederherstellung überragende Bedeutung zu. Im Gesetz selbst liest man ihn idR eingekleidet in die Verfügbarkeitshaftung:

  • Zu den Pflichten Ihres Unternehmens oder unternehmerisch zu führenden Organisation gehört die Implementierung eines Risiko-Früherkennungsverfahrens inkl. Datenschutzkonzept, vgl. auch Art. 91 Abs. 2 AktG, § 317 Abs. 4 HGB als wesentlicher Bestandteil der „Corporate Governance“.
  • Die Rechtsprechung bestätigt die Letztverantwortung und Organisationshoheit beim verantwortlichen Unternehmen (auch als Kunde oder Auftraggeber der IT-Dienste Dritter), insbesondere auch für Fälle, in denen originäre Aufgaben „outgesourct“ werden.
  • Eine zuverlässige IT-Sicherheit in Bezug auf Unternehmensdaten gehört zu den unternehmerischen Kardinalpflichten. Insoweit existiert auch keine Delegierbarkeit der Haftung. Unternehmen haben dafür zu sorgen, dass eine zuverlässige, zeitnahe und umfassende Datenroutine die Sicherung jederzeit gewährleistet ist.
  • Die Anforderung, dass Unternehmen auch in Krisensituationen den IT- und Geschäftsbetrieb aufrechthalten können sollten, ergibt sich aus verschiedenen rechtlichen Maßgaben, u.a. der DSGVO:
  • Art. 32 Abs. 1 lit. b DSGVO fordert die schnelle Wiederherstellung von Daten nach einem Zwischenfall, der die Verfügbarkeit dieser Daten betroffen hat. Erforderlich ist hiernach ein Backupkonzept. Zu einem Backup-Konzept gehört auch ein Wiederherstellungsplan, das Recovery-Konzept, dessen fortlaufende Aktualisierung und Testung.
  • Verantwortliche müssen sicherstellen, dass die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden (Art. 32 Abs. 1 lit. c DSGVO).
  • Die Bestimmungen der Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Europäischen Union, kurz NIS-2, wird mit der bis zum 17.10.2024 erfolgten Umsetzung Zehntausende von Unternehmen und deren Lieferketten-Partner zu weitreichenden technischen, operativen und organisatorischen Maßnahmen verpflichten, darunter zu einem Notfall- und Kontinuitätsmanagement zur Aufrechterhaltung des Betriebs, Back-up-Management, und effizienten Datenwiederherstellungsmaßnahmen (vgl. dort § 30 Abs. 2).
  • Verstöße sowohl gegen die vorgenannten Bestimmungen der DSGVO als auch NIS-2 sind mit drakonischen Bußgeldern und – bei NIS-2s – einer persönlichen Haftung des Managements, der auch durch Outsourcing, Delegierung von Aufgaben und vertraglichen Haftungsfreistellungszusagen nicht zu entkommen ist, bedroht.
  • Zu Backups und eingeplanten Notfallmaßnahmen der Desaster Recovery/ Business Continuity (als wichtige Bestandteile der Cybersicherheit) ist ausnahmslos jedes Unternehmen verpflichtet.
Top