Diese Webpräsenz des Datenschutzbeauftragten der Evangelischen Landeskirche Württemberg ist im Oktober 2011 umgezogen.
Die neue Webpräsenz finden Sie unter http://www.kirche-datenschutz.de
Umsetzung Datensicherungsverordnung
Mi, 09/03/2008 - 21:33 – DSB
Verordnungstext
Urteil zum Schadensersatz bei Datenverlusten
Datensicherung und Erforderlichkeitsgrundsatz
Durchführung von Datensicherungen
Gegenstand von Datensicherungen
Preiswerte Bezugsquelle für kirchliche Stellen
Datensicherung und Virenschutz
Datensicherung und Verschlüsselung
Verordnungstext
Die Datensicherungsverordnung befindet sich im Rechtsteil des Datenschutzwebs, dort unter den "Landeskirchlichen Bestimmungen" im Unterordner "Verordnungen". Durch einen Mausklick hier! gelangen Sie direkt dahin. Mit der Rücktaste des verwendeten Browsers gelangt man zu dieser Seite zurück.
Urteil zum Schadensersatz bei Datenverlusten
Nach einem Urteil des Oberlandesgerichts Hamm vom 1. Dezember 2003 gilt hinsichtlich von Datenverlusten bei Servicearbeiten folgendes:
Tritt nach der Durchführung von Servicearbeiten ein Datenverlust ein, so ist der Auftragnehmer nicht nach § 280 Abs. 1 BGB schadensersatzpflichtig, wenn der Schaden bei ordnungsgemäßer Datensicherung seitens des Auftraggebers vermieden worden wäre. Dies gilt jedenfalls dann, wenn der Auftragnehmer sich vor Beginn der Tätigkeit hinsichtlich der Durchführung einer zuverlässigen, dem aktuellen Stand entsprechenden Datensicherung vergewissert hat.
Erfolgt die Datensicherung - entgegen der gegebenen Auskunft - nicht täglich und als Vollsicherung mindestens wöchtenlich, so schließt ein haftungsübergreifendes Mitverschulden des Auftraggebers nach § 254 Abs. 1 BGB die Haftung des Auftragnehmers aus.
Datensicherung und Erforderlichkeitsgrundsatz
Nach dem oben genannten Urteil sind Umfang und Häufigkeit von Datensicherungen konkret vorgegeben. Entsprechendes gilt nicht nur für Servicearbeiten Dritter, sondern auch dann, wenn die selbstständige Installation von Programmen oder Programmerweiterungen (auch Betriebssysteme) einen Rechnerausfall bewirken.
Personenbezogene Daten sind grundsätzlich zu sichern, nicht nur wegen der entsprechenden Verordnung, sondern auch deshalb, weil eine nicht durchgeführte Datensicherung, also das unbesorgte in Kauf nehmen von deren Verlust, umgehend die Frage aufwirft, ob die Daten tatsächlich benötigt werden.
Jede unnötige Datenspeicherung bringt Missbrauchsrisiken mit sich und gefährdet dadurch die Privatsphäre der Betroffenen. Der Zwang zur Datensicherung bringt beim speichern personenbezogener Daten weitere Umstände mit sich und hat damit eine durchaus gewünschte Schwellenwirkung: Die speichernde Stelle soll und muss sich überlegen, ob der Nutzen diese Umstände manifest rechtfertigt.
Durchführung von Datensicherungen
Von der Durchführung regelmäßiger Datensicherungen kann lediglich dann abgesehen werden, wenn die Daten umgehend wiederbeschafft werden können. Dies wäre beispielsweise dann der Fall, wenn die Daten regelmäßíg von einer anderen Stelle bezogen werden. In diesem Fall soll sogar von einer Datensicherung Abstand genommen werden, insbesondere wenn die Sicherungsträger nicht zuverlässig weggeschlossen werden können, weil auch unnötige Dupletten von Daten ein Mißbrauchsrisiko bergen.
Wird gesichert, muß dies zuverlässig geschehen. Dazu gehört:
Mindestens drei Generationen von Sicherungen, die jeweils älteste wird durch die aktuelle überschrieben.
Eine weiter zurückliegende vierte Generation sollte in einem versiegelten Umschlag an einem sicheren Ort außer Haus hinterlegt werden (Brand-/Diebstahl-/Virenschutz).
Sinnvolle Festlegung der Häufigkeit der Sicherungen unter Beachtung des oben genannten Urteils. Entscheidend ist, welchen Aufwand es bedeuten würde, wenn alle seit der letzten Sicherung gespeicherten Daten erneut eingegeben werden müßten. Dieser Aufwand muß verkraftbar sein.
Datensicherung nach jeder Eingabe einer größeren Menge neuer Daten.
Bei mehr als 5 Disketten für eine Sicherungsgeneration Einsatz eines Zip-Laufwerks, eines Bandlaufgeräts, einer Festplatte in einem Wechselrahmen, eines CD-Schreibers oder anderer für die Aufnahme größerer Datenmengen geeigneter Datenträger.
Gegenstand von Datensicherungen
Es muss eine Übersicht erstellt werden, welche Dateien und Verzeichnisse Gegenstand einer Datensicherung sein sollen. Auch wenn die Datensicherungen mit einem speziellen Datensicherungsprogramm durchgeführt werden, wird eine solche Übersicht benötigt.
Dies erübrigt sich, wenn die verwendete Software einen Menüpunkt zur Datensicherung enthält. Sehr oft enthalten auch die Programmbeschreibungen Hinweise, welche Dateien die Daten enthalten und somit zu sichern sind, andernfalls muss ggf. beim Softwarehersteller nachgefragt werden. Sofern mit Office-Produkten gearbeitet wird, sollte eine von einem bestimmten Ordner ausgehende Verzeichnisstruktur festgelegt sein, in der abgespeichert wird (z.B. Textdokumente). Dieser Ordner muss dann Gegenstand der Datensicherung sein.
Ob ein spezielles Datensicherungsprogramm zum Einsatz kommt oder ob Optionen des Betriebssystem genutzt werden ist letztlich zweitrangig. Sofern keine sichere Unterbringung der Sicherungsträger gewährleistet ist, müssen die Datensicherungen verschlüsselt werden können.
Die zeitlichen Aufwände, die hinter der Konfiguration von Betriebssystem und Programmen stehen, können erheblich sein. In einem Schadensfall genügt es dann meist nicht, nur die Programme neu zu installieren und die gesicherten Daten einzuspielen, sondern es ist auch der unter Umständen nicht unbeträchtliche Konfigurationsaufwand zu wiederholen bzw. es muss sogar die betreffende Softwarefirma um eine Neuinstallation gebeten werden. Konfigurationsdaten sind zwar keine personenbezogenen Daten und unterliegen somit nicht direkt der Sicherungspflicht, indirekt aber dann, wenn durch eine geeignete Datensicherungsmethode das Hinzuziehen einer Softwarefirma im Schadensfall vermieden werden kann. Ein solches Hinzuziehen Dritter bringt fast immer Einblicksmöglichkeiten in persönliche oder sachliche Verhältnisse der von der Datenspeicherung Betroffenen mit sich.
Eine relativ einfache und sichere Methode, die oben genannten Schwierigkeiten zu vermeiden ist das Anfertigen sogenannter "Images" von Festplatten oder Partitionen unter Verwendung hinreichend großer Datensicherungsträger. Allerdings entstehen weitere Kosten insofern, als hinreichend leistungsfähige Geräte zur Datenspeicherung bereit stehen müssen. Insofern wäre vorab zu prüfen, ob sich der Aufwand rechtfertig. Wenn beispielsweise Windows und Office, ein Virenschutzprogramm und eine Datensafe-Software "von der Stange weg" installiert sind und erstellte Texte gesichert werden müssen, muss kein "Image" angefertigt werden.
Die vorstehenden Ausführungen zeigen, dass eine Datensicherung überlegt sein will und ein Konzept erfordert. Es ist sehr sinnvoll, neben den zu sichernden Dateien und Verzeichnissen auch die angestellten Überlegungen dazu schriftlich festzuhalten.
Preiswerte Bezugsquelle für kirchliche Stellen
Eine sehr preisgünstige Bezugsquelle haben kirchliche Stellen bei der Kirchliche Gemeinschaftsstelle für elektronische Datenverarbeitung (Kigst).
Die Preise reduzieren sich weiter, wenn sich mehrere Stellen zusammen tun, um auf höhere Lizenzzahlen zu kommen, genauere Einzelheiten müssen jeweils (per E-Mail) nachgefragt werden. Die Preise für Datensicherungsprogramme, die hier nicht zu bekommen sind, können über das Internet recherchiert werden.
Datensicherung und Virenschutz
Die Tests der Virenschutzprogramme zeigen auf, dass nicht immer alle Viren erkannt werden und dass es auch zu Fehlalarmen kommen kann. Auch die Desinfektion befallener Dateien funktioniert nicht zu 100%, unter Umständen werden dabei die Dateien zerstörrt. Der Einsatz eines Virenschutzprogramms erhöht somit die Notwendigkeit einer zuverlässigen Datensicherung und verringert sie nicht etwa.
Gute Virenschutzprogramme finden Viren auch in gepackten Dateien und Archiven, sogar bei mehrfacher Verschachtelung. Deshalb sollten auch diese nach einem festgelegten zeitlichen Schema nach Viren durchsucht werden.
Die
Computervirenschutzverordnung,
und die Verschlüsselungsverordnung
sind als ein aufeinander abgestimmtes System zu verstehen. Es ist unzureichend, nur einem Teil dieser Verordnungen nachzukommen.
Datensicherung und Verschlüsselung
Datensicherungssoftware enthält in aller Regel auch die Möglichkeit, die Sicherungen verschlüsselt anzufertigen. Die Träger für Datensicherungen sind klein und kompakt und stellen ein erhebliches Risiko dar. So können sie einen beachtlichen materiellen Wert darstellen, wenn auf ihnen teure Software gespeichert ist, es können aber auch die dort gespeicherten Daten Begehrlichkeiten wecken, so etwa die Patientendaten einer Diakoniestation für jemanden, der sich selbstständig machen möchte.
Soweit Datensicherungen nicht verschlüsselt sind, müssen sie sicher verschlossen aufbewahrt werden. Das Datenschutzgesetz macht keinen Unterschied zwischen Originaldaten und Datensicherungen.
