Backup und Archivierung sind nicht das Gleiche
Backup und Archivierung dienen unterschiedlichen Zwecken: Ein Backup beugt dem Datenverlust vor, sorgt im Ernstfall für die schnelle Wiederherstellung eines Zustands von Daten und Applikationen zu einem definierten Zeitpunkt. Das Backup dient somit der Geschäftskontinuität. Die Archivierung stellt dagegen eine langfristige Speicherung von relevanten Geschäftsdokumenten sicher.
Die gesetzlichen Anforderungen gelten schon lange
Gesetzliche Direktiven, die es in sich haben: Mitarbeiter, die E-Mails auf eigene Faust als archivierungswürdig oder -unwürdig einordnen, verändern oder löschen, handeln hinsichtlich der Aufbewahrungspflicht grob fahrlässig – werden allerdings im Fall der Fälle nicht zur Verantwortung gezogen. Das Unternehmen haftet für den falschen Mausklick eines Mitarbeiters. Schlimmstenfalls wird der Chef persönlich zur Rechenschaft gezogen, wenn er die entsprechenden E-Mails nicht vorlegen kann. Das Handelsrecht sieht hier sogar Geld- oder Freiheitsstrafen vor, wenn Handelsbücher oder wichtige Unterlagen vor Ablauf der Aufbewahrungsfrist nicht mehr auffindbar sind.
Betriebe, die ohne Backup-Konzepte agieren, leben gefährlich. Sie machen sich per se damit zwar nicht strafbar, weil die Datensicherungsspiegelung im deutschen Strafgesetzbuch nicht verankert ist. Daraus jedoch die Schlussfolgerung abzuleiten, dass ein Backup freiwillig sei und mit Compliance nichts zu tun habe, wäre fatal. Ein Unternehmen, das geschäftskritische Daten verliert, hat in der Regel schlechte Prognosen. Diesem Risiko sollte es sich daher nicht fahrlässig aussetzen. Zum Schutz von Kreditgebern und Investoren gibt es mittlerweile auch Richtlinien, die Unternehmen In puncto einer Implementierung von Backup-Funktionen in die Pflicht nehmen. Basel II legt eine verantwortungsvolle Informationstechnologie als Bonitätskriterium für ein Unternehmen fest. Darüber hinaus hat das Oberlandesgericht Hamm schon 2003 geurteilt, dass die Datensicherung eine Selbstverständlichkeit ist.
Prozesse zur Sicherung und Wiederherstellung von IT-Systemen sind somit keine freiwillige Leistung mehr. Und im Fall des Falles kann ein Datenverlust aufgrund fehlender Backup-Prozesse unangenehme Folgen für ein Unternehmen haben: Sie reichen von höheren Zinsen für Kredite über die Haftung im Schadensfall bis hin zu Regressansprüchen.