CCsolutions.io
Kontakt
Backup & Recovery

DSGVO-konformes Backup: Datenschutz und Wiederherstellbarkeit ohne Kompromiss

DSGVO Art. 32 verlangt Maßnahmen zur Wiederherstellung von Daten nach Zwischenfällen. Ein Backup-System das diese Anforderung nicht belegen kann, ist aus Compliance-Sicht wertlos.

Backup-Assessment anfragen DSGVO-Backup-Checkliste
AES-256
Verschlüsselt
Alle Backup-Daten at-rest und in-transit verschlüsselt
Monatlich
Restore-Tests
Automatisierte Tests mit dokumentierten RTO/RPO-Messungen
Art. 32
DSGVO-Konform
Backup-System das die DSGVO-Anforderung belegen kann
Audit-Ready
Dokumentation
Alle Backup- und Restore-Aktivitäten lückenlos protokolliert

Viele Unternehmen haben Backups, aber wenige haben Backups, die DSGVO-konform sind und tatsächlich getestet wurden. Art. 32 DSGVO verlangt die Fähigkeit, Verfügbarkeit und Zugang zu personenbezogenen Daten bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen. Das bedeutet: nicht nur Backup vorhanden, sondern Restore nachweislich funktionierend.

Die häufigsten Herausforderungen

1

Backups existieren, aber Restores wurden nie getestet

Ein Backup das nie wiederhergestellt wurde, ist eine Hoffnung, keine Garantie. Viele Unternehmen entdecken beim ersten echten Restore-Bedarf, dass die Daten korrupt, veraltet oder unvollständig sind.

2

DSGVO verlangt Löschkonzept auch für Backup-Daten

Wenn ein Kunde die Löschung seiner Daten verlangt, müssen diese Daten auch aus Backups gelöscht werden, oder der Backup-Zyklus muss so gestaltet sein, dass gelöschte Daten nach einer definierten Frist nicht mehr in Backups vorhanden sind.

3

Backup-Daten sind unverschlüsselt oder nicht zugriffsgesichert

Ein unverschlüsseltes Backup ist eine Sicherheitslücke. Wenn das Backup-Medium kompromittiert wird, sind alle darin enthaltenen personenbezogenen Daten exponiert, mit DSGVO-Meldepflicht.

Der CCsolutions-Ansatz

CCsolutions implementiert Backup-Strategien, die von Anfang an für DSGVO-Compliance ausgelegt sind: AES-256-Verschlüsselung aller Backup-Daten at-rest und in-transit, zugriffsbasierte Wiederherstellung mit RBAC, und Backup-Policies die Retention-Zyklen für Löschbegehren berücksichtigen.

Restore-Tests sind kein optionales Add-on sondern fester Bestandteil des Betriebskonzepts: automatisierte monatliche Restore-Tests, dokumentierte RTO/RPO-Messungen und Alerts wenn ein Restore-Test fehlschlägt. Das Audit-log zeigt wann zuletzt erfolgreich restored wurde.

Alle Backups und Restore-Tests werden dokumentiert: wer hat wann welche Daten gesichert, wann wurde zuletzt getestet, welche RTO/RPO wurden erreicht. Diese Dokumentation ist auf Anfrage für Auditoren zugänglich.

Technologien

Velero Restic Barman AWS Backup Azure Backup Kubernetes GPG/AES-256 S3

Häufige Fragen

Wie lange müssen Backups nach DSGVO aufbewahrt werden?

Die DSGVO schreibt keine Backup-Aufbewahrungsfristen vor, aber Aufbewahrungsfristen müssen begründbar und dokumentiert sein. Handelsrechtliche (6-10 Jahre) und steuerrechtliche Anforderungen können Mindest-Aufbewahrungszeiten vorgeben.

Was passiert wenn ein Kunde die Löschung seiner Daten verlangt und diese noch in Backups sind?

Die korrekte Vorgehensweise hängt von der Backup-Strategie ab. Optionen: granulare Löschung aus Backups (aufwändig), verkürzte Backup-Rotation die Löschung nach maximal X Tagen gewährleistet, oder Pseudonymisierung der betroffenen Daten. CCsolutions implementiert die Strategie die zum Nutzungskontext passt.

Wie oft sollten Restore-Tests durchgeführt werden?

Mindestens monatlich für kritische Systeme, quartalsweise für unkritische. Entscheidend ist nicht die Häufigkeit allein, sondern dass Tests dokumentiert und auf Anomalien überwacht werden.

Bereit, loszulegen?

Wir analysieren eure Situation kostenlos und zeigen, was in eurem konkreten Fall möglich ist.

Backup-Assessment anfragen