hushpuppies
Goto Top

Gesetzliche Vorgaben zur Datensicherung bei kleineren Unternehmen

Hallo zusammen!

Ich bin gerade auf der Suche nach möglichst akuraten und kompakten Informationen, welche gesetzlichen Vorgaben es zur Datensicherung in kleinen Unternehmen gibt.
Gibt es da vielleicht eine Art Checkliste oder eine Zusammenfassung zu Thema?
Die Recherche im Internet fördert ja da alles Mögliche zu Tage, aber einen Leitfaden oder ähnliches habe ich nicht gefunden.

Hintergrund ist der:
Es gibt ja gesetzliche Vorgaben z.B. zur Speicherung von Geschäftsvorfällen (Dokumente, Kundendaten, E-Mails) mit versch. Aufbewahrungsfristen. Meistens ist das ja entweder 5 oder 10 Jahre und diese Fristen gelten ja auch für elektronische Dokumente.
Und unter anderem gibt es ja schon bei Schriftstücken die Auflage, dass man die vor Feuer (und Wasser) geschützt aufbewahren muss.
Und soweit ich weiss gibts bei diesen Rahmenregelungen keine Vereinfachungen für kleinere Unternehmen, sondern das gilt für alle.

Für die digitalen Daten heisst das ja eigentlich, dass jedes Unternehmen auch bei seinen Backups in irgendeiner Weise eine dezentrale Strategie fahren muss - egal ob gross oder klein.
Bei grösseren hat man da ja normalerweise keine Argumentationsschwierigkeiten. Da lässt sich meistens immer eine Lösung mit Server -> Storage in anderem Gebäudeteil -> Bänder / ext. Festplatten anbringen.

Aber was macht man mit den ganzen kleinen - sagen wir mal so 1-10 Arbeitssplätze und im Idealfall ein Server (oder was da halt bei denen so als "Server" durchgeht))?
Meiner Erfahrung nach hatten diese Firmen meist noch keinen wirklichen Ausfall und sind daher auch sehr beratungsresistent was die Sicherung angeht und vorallem wenn das auch noch Geld kostet....
Andererseits möchte man die ja auch betreuen...

Wie macht ihr das in der Praxis? Lasst ihr euch den Verzicht auf eine vernüftige Sicherung irgendwie schriftlich bestätigen?
Irgendeine Absicherung braucht man ja als Dienstleister dann schon, weil sonst haftet man am Ende ja noch selber für z.B. die Steuerschätzung des Kunden, wenn die Bude abfackelt und nix mehr zu retten ist...

Content-ID: 181303

Url: https://administrator.de/forum/gesetzliche-vorgaben-zur-datensicherung-bei-kleineren-unternehmen-181303.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

ricochico
ricochico 01.03.2012 um 15:04:00 Uhr
Goto Top
Hallo,

Zitat von @hushpuppies:
Hallo zusammen!

Ich bin gerade auf der Suche nach möglichst akuraten und kompakten Informationen, welche gesetzlichen Vorgaben es zur
Datensicherung in kleinen Unternehmen gibt.
Gibt es da vielleicht eine Art Checkliste oder eine Zusammenfassung zu Thema?
Die Recherche im Internet fördert ja da alles Mögliche zu Tage, aber einen Leitfaden oder ähnliches habe ich nicht
gefunden.

1. Anlaufstelle: BSI

Hintergrund ist der:
Es gibt ja gesetzliche Vorgaben z.B. zur Speicherung von Geschäftsvorfällen (Dokumente, Kundendaten, E-Mails) mit
versch. Aufbewahrungsfristen. Meistens ist das ja entweder 5 oder 10 Jahre und diese Fristen gelten ja auch für elektronische
Dokumente.
Und unter anderem gibt es ja schon bei Schriftstücken die Auflage, dass man die vor Feuer (und Wasser) geschützt
aufbewahren muss.
Und soweit ich weiss gibts bei diesen Rahmenregelungen keine Vereinfachungen für kleinere Unternehmen, sondern das gilt
für alle.

Für die digitalen Daten heisst das ja eigentlich, dass jedes Unternehmen auch bei seinen Backups in irgendeiner Weise eine
dezentrale Strategie fahren muss - egal ob gross oder klein.
Bei grösseren hat man da ja normalerweise keine Argumentationsschwierigkeiten. Da lässt sich meistens immer eine
Lösung mit Server -> Storage in anderem Gebäudeteil -> Bänder / ext. Festplatten anbringen.

Aber was macht man mit den ganzen kleinen - sagen wir mal so 1-10 Arbeitssplätze und im Idealfall ein Server (oder was da
halt bei denen so als "Server" durchgeht))?
Meiner Erfahrung nach hatten diese Firmen meist noch keinen wirklichen Ausfall und sind daher auch sehr beratungsresistent was die
Sicherung angeht und vorallem wenn das auch noch Geld kostet....
Andererseits möchte man die ja auch betreuen...

Wie macht ihr das in der Praxis? Lasst ihr euch den Verzicht auf eine vernüftige Sicherung irgendwie schriftlich
bestätigen?

Hätte die vor Gericht im Schadensfall bestand und einen Wert?
Kommt es nicht auf den jeweiligen Schadenshergang an?

Irgendeine Absicherung braucht man ja als Dienstleister dann schon, weil sonst haftet man am Ende ja noch selber für z.B. die
Steuerschätzung des Kunden, wenn die Bude abfackelt und nix mehr zu retten ist...

Das ist ja schon fast eine Rechtsberatung, was du da willst.
Die wird dir kaum ein Admin hier geben können.
face-wink

Also ich lehne mich nicht so weit aus dem Fenster.
IANAL
Ravers
Ravers 01.03.2012 um 15:12:27 Uhr
Goto Top
Hi,

es gibt sicherlich einige Dokumente, die Aufbewahrungspflichtig sind. Jedoch zeigt die Praxis, das diese Dokumente als Papier z.B. beim Steuerberater hinterlegt sind.

Da ich deine Aufgabe dort nicht kenne: sprich soll das Unternehmen IT-technisch umstrukturiert werden .. und dafür hast du einen Auftrag?
Oder, so ist`s ja der Regelfall, bekommst du einzelne Aufträge (PC ins Netz bringen u.ä.); sprich man muß nicht die Gesamtheit des Netzes beachten, und das Risiko bleibt bei der Firma.
Als es um unsere Umstrukturierung ging, wollte man das Thema Datensicherung auch nicht angehen. Kosten sind z.T. ja immens. (SAP-Agent; Exchange-Agent; etc.). Also wurde beschlossen, einfach n Image machen und gut ist. Und die anderen Daten einfach über Nacht kopieren. Unser Systemhaus hat ganz klar gesagt, das dies nicht reicht. Aber unser alte Admin (Bürokauffmann aus den 80igern) meinte, es reicht so. Somit glaubte die GF natürlich den alten Admin - so brauchten Sie auch kein Geld in die Hand nehmen.
Also was macht unser Beratungshaus? Als letzten Satz: Die Datensicherung liegt in der Verantwortung der Firma XX. Bei Datenverlust besteht keinerlei Haftung unsererseits. Bei Änderungen am System hat der Kunde eine Datensicherung vorzuhalten. (Sinngemäß - in Fettschrift)

... als dies unser Chef dann unterschreiben sollte, wurde dann nochmal nachgefragt, ob wir das Sicherstellen können. Ich habe es verneint, Kollege bejaht. Nach etwas diskussion und nachfrage beim Systemhaus bekam ich nun doch eine "vernünftige" Sicherung.
Da kam mir ein Brand in unserer Gegend zugute, da diese mit der Sicherung richtig auf die Nase gefallen sind und mit Daten älter 2 Jahre arbeiten mußten, und selbst das war Glück. Leider wirds immer noch nicht so gemacht, wie`s sein soll (alles in einem Brandabschnitt, incl. Lagerung sämtlicher Datensicherungsbänder), aber ich arbeite dran.

Den besagten Satz würde ich bei jedem Auftrag mit einbringen. Entweder er weckt die GF auf, oder es bleibt halt deren Problem.

greetz
ravers
mrtux
mrtux 01.03.2012 um 16:25:32 Uhr
Goto Top
Hi !

Wenn Du es "richtig" und "rechtsverbindlich" machen willst, dann geh zu einem Fachanwalt für IT Recht (wenn der Fachanwalt im Steuerrecht auch fit ist, um so besser).

Als externer Anbieter:
Du regelst (mittels o.g. Fachanwalt) das Aufgabengebiet vertraglich mit deinem Kunden. In den Vertrag gehört der genaue Umfang deiner Dienstleistung. Und für diese Dienstleistung haftest Du dann in einem abgesteckten Rahmen. Ich würde die Haftungssumme begrenzen z.B. auf den Wert eines Datenträgers, Servers usw. Ein kompletter Haftungsausschluss ist nach aktueller Rechtsprechung (laut Infos bzw. Gerichtsurteilen aus dem Netz) nicht mehr so leicht möglich aber eben die Begrenzung.

Im kleinen Umfeld (z.B. kleiner PC-Laden) würde ich den Kunden darüber aufklären, dass Du eine Datensicherung grundsätzlich nicht durchführen kannst, weil Du den Wert seiner Daten gar nicht einschätzen kannst. Für den Einen sind es seine Word und Excel Dokumente, für den Anderen seine Urlaubsbilder mit der Freundin - Jeder hat da andere Maszstäbe für den Wert solcher Daten! Daher immer den Kunden dafür unterschreiben lassen, dass er seine Datensicherung selbst und gewissenhaft durchgeführt hat. Damit bist Du im Falle eines Datenverlustes normalerweise nicht mehr so leicht belangbar. Auch hier würde ich bei zweifelhaften Arbeiten die Schadenssumme begrenzen z.B. auf den Wert der Hardware (also z.B. der einer Festplatte).

In der Praxis läuft das meist so ab und darüber gibt es im Netz auch Gerichtsurteile. Der Auftrag des Kunden lautet z.B.: Baue eine grössere Platte in den PC ein und installiere darauf ein neues OS. Dann ist die Aufgabe klar definiert, wie das auch der Kollege unten schreibt. Eine Datensicherung ist also kein Bestandteil deiner Arbeit und folglich auch kein Haftungsgrund. Lautet der Auftrag des Kunden jedoch "sichere die Daten, wechsle die Platte aus und spiele die Datensicherung auf die neue Platte" ist das natürlich völlig anders. In diesem Fall gehört die Datensicherung auch zu deiner Aufgabe.

Als Angestellter:
Hast Du einen Arbeitsvertrag in dem ebenfalls deine Aufgaben klar definiert sind (sein sollten). In diesem Fall spielt aber auch noch das Arbeitsrecht und das Berufsbild eine Rolle. Dein Arbeitgeber darf dir gar keine Arbeiten zuweisen, für die Du die Verantwortung (im Sinne von Haftung) gar nicht übernehmen kannst. Warum?

Ein Beispiel: Du hast die Datensicherung deines Arbeitgebers unter dir und durch einen Defekt bzw. Unfall (den Du u.U. gar nicht vorhersehen kannst) sind alle Daten weg. Daten sind ein immaterielles Gut, von dem der genaue Wert nur schwer einschätzbar ist. In machen Firmen kann der Wert von Daten (virtuell betrachtet) im Millionenbereich liegen. Wie willst Du dafür haften, wenn dein jährliches Einkommen z.B. nur 20000 Euro ist? So eine Verantwortung (im Sinne von Haftung) kann dann nur bei der Geschäftsführung liegen. Sowas auf einen einfachen Mitarbeiter abzuwälzen zu wollen ist normalerweise nicht zulässig. Manchmal wird dafür auch eine Versicherung abgeschlossen und die Beiträge dafür zahlst ja dann auch nicht Du sondern die Firma. Und über den Sinn solcher Versicherungen kann man natürlich auch streiten, denn immer öfter zahlt die im Schadensfall nicht oder stellt sich zumindest quer.

Du musst da auch klar unterscheiden zwischen Datensicherung und Archivierung. Da gibt es unterschiedliche Regelungen. Dem Fiskus wäre es natürlich lieb wenn die Daten transaktionssicher (also nicht mehr änderbar) archiviert sind. In der Realität ist das aber nur sehr schwer umsetzbar, da die dazu nötigen, technischen Vorgänge oftmals Schwachstellen besitzen und so eine Sicherheit im Detail betrachtet oftmals nicht wirklich vorhanden ist. Das ist aber darauf begründet, dass dem Gesetzgeber die nötige Fachkenntnis in der IT fehlt und daher ist sich da die Rechtsprechung auch nicht einig.

In der Realität kann man eben nicht alles absichern, so ist das Leben. Ein gewisses Risiko muss man eben eingehen.....

Dir ist hoffentlich auch klar, dass mein Kommentar nur Halbwissen darstellt, daher geh zu einem Fachanwalt und lasse dich beraten. Die Kosten für den Fachanwalt sind immer günstiger als der Schaden hinterer.

mrtux
C.R.S.
C.R.S. 01.03.2012 um 17:37:32 Uhr
Goto Top
Hallo,

ich finde den Ansatz, der hinter der Frage steckt - die so ähnlich hier ziemlich oft aus der Sicht von Auftragnehmern auftaucht -, völlig falsch.
IT-Dienstleistung ist keine umfassende Lebens- und Business-Beratung, sondern besteht darin, die typischen IT-Angelegenheiten auftragsgemäß und fachgerecht durchzuführen. Da liegen sicherlich Haftungsrisiken, zivilrechtliche, teils auch strafrechtliche, je nach Dienstleistungen.
Der Kunde muss aber selbst wissen, dass er sich bei seinem Systemhaus nicht in Steuerangelegenheiten beraten lassen kann. Das gehört auch nicht zur Fachkunde, der ein Dienstleister zu entsprechen hat. Die Probleme beschwört man herauf, wenn man versucht, über seine Kompetenzen hinaus zu arbeiten und dem Kunden dabei etwas zu diktieren. Das führt dazu, die falschen Aufträge zu formulieren und anzunehmen. Schriftlich hast Du immer den Auftrag, und der ist maßgeblich. Wenn ich eine Sicherheitslösung verkaufe, muss ich mich anhand der Vorgespräche sehr genau fragen, ob ich die tatsächlich als eine "Lösung" für ein Problem verkaufen kann (die objektiv als solche durchgeht), oder lieber nach Beratung ein vom Kunden gewünschtes Konzept umsetze. Ersteres ist zwangsläufig eine Ausnahme und wenn man das akzeptiert und vertraglich berücksichtigt, braucht man nicht noch dies und jenes "bestätigen" lassen.

Grüße
Richard
speedhub
speedhub 07.03.2012 um 19:14:17 Uhr
Goto Top
Hallo hushpuppies,
ich lese aus der Ursprungsfrage heraus, das es in erster Linie um eine praktische Lösung zur dezentralen Datensicherung geht, weil Feuer im Gebäude die gesamte Sicherungsstrategie umwerfen kann.

1. Zum Verzicht auf vernünftige Sicherung per Unterschrift - - - Gesetze kann niemand durch Unterschrift außer Kraft setzen, denn ...
Zitat Wiki: Die Pflicht zur Datensicherung in Betrieben ergibt sich unter anderem aus den gesetzlichen Vorschriften über eine ordnungsgemäße, nachvollziehbare, revisionssichere Buchführung (HGB). Von der kurzzeitigen Aufbewahrung (begrenzt auf einen Tag bis drei oder auch sechs Monate) unterscheidet sich die längerfristige Datenarchivierung, die anderen Gesetzmäßigkeiten unterliegt. Die Grundsätze zur Archivierung und Nachprüfbarkeit digitaler Datenbestände sind in Deutschland seit Januar 2002 für Unternehmen verbindlich in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), herausgegeben vom Bundesfinanzministerium, zusammengefasst.

2. Zur dezentralen Sicherung - - - Mir ist ein Fall bekannt, wo auf Bändern täglich inkrementell oder differenziell gesichert wurde und wöchentlich am Freitag eine Vollsicherung durchgeführt wurde. Das müsste bei einem kleinen Unternehmen machbar sein. Die wöchentliche Vollsicherung wurde in ein naheliegendes Bankschließfach zwei Hauseingänge weiter gebracht.

Soweit zur Praxis.

Grüße
Speedhub