Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Gesetzliche Vorgaben zur Datensicherung bei kleineren Unternehmen

Frage Sicherheit

Mitglied: hushpuppies

hushpuppies (Level 1) - Jetzt verbinden

01.03.2012 um 14:36 Uhr, 9504 Aufrufe, 5 Kommentare

Hallo zusammen!

Ich bin gerade auf der Suche nach möglichst akuraten und kompakten Informationen, welche gesetzlichen Vorgaben es zur Datensicherung in kleinen Unternehmen gibt.
Gibt es da vielleicht eine Art Checkliste oder eine Zusammenfassung zu Thema?
Die Recherche im Internet fördert ja da alles Mögliche zu Tage, aber einen Leitfaden oder ähnliches habe ich nicht gefunden.

Hintergrund ist der:
Es gibt ja gesetzliche Vorgaben z.B. zur Speicherung von Geschäftsvorfällen (Dokumente, Kundendaten, E-Mails) mit versch. Aufbewahrungsfristen. Meistens ist das ja entweder 5 oder 10 Jahre und diese Fristen gelten ja auch für elektronische Dokumente.
Und unter anderem gibt es ja schon bei Schriftstücken die Auflage, dass man die vor Feuer (und Wasser) geschützt aufbewahren muss.
Und soweit ich weiss gibts bei diesen Rahmenregelungen keine Vereinfachungen für kleinere Unternehmen, sondern das gilt für alle.

Für die digitalen Daten heisst das ja eigentlich, dass jedes Unternehmen auch bei seinen Backups in irgendeiner Weise eine dezentrale Strategie fahren muss - egal ob gross oder klein.
Bei grösseren hat man da ja normalerweise keine Argumentationsschwierigkeiten. Da lässt sich meistens immer eine Lösung mit Server -> Storage in anderem Gebäudeteil -> Bänder / ext. Festplatten anbringen.

Aber was macht man mit den ganzen kleinen - sagen wir mal so 1-10 Arbeitssplätze und im Idealfall ein Server (oder was da halt bei denen so als "Server" durchgeht))?
Meiner Erfahrung nach hatten diese Firmen meist noch keinen wirklichen Ausfall und sind daher auch sehr beratungsresistent was die Sicherung angeht und vorallem wenn das auch noch Geld kostet....
Andererseits möchte man die ja auch betreuen...

Wie macht ihr das in der Praxis? Lasst ihr euch den Verzicht auf eine vernüftige Sicherung irgendwie schriftlich bestätigen?
Irgendeine Absicherung braucht man ja als Dienstleister dann schon, weil sonst haftet man am Ende ja noch selber für z.B. die Steuerschätzung des Kunden, wenn die Bude abfackelt und nix mehr zu retten ist...
Mitglied: ricochico
01.03.2012 um 15:04 Uhr
Hallo,

Zitat von hushpuppies:
Hallo zusammen!

Ich bin gerade auf der Suche nach möglichst akuraten und kompakten Informationen, welche gesetzlichen Vorgaben es zur
Datensicherung in kleinen Unternehmen gibt.
Gibt es da vielleicht eine Art Checkliste oder eine Zusammenfassung zu Thema?
Die Recherche im Internet fördert ja da alles Mögliche zu Tage, aber einen Leitfaden oder ähnliches habe ich nicht
gefunden.

1. Anlaufstelle: BSI

Hintergrund ist der:
Es gibt ja gesetzliche Vorgaben z.B. zur Speicherung von Geschäftsvorfällen (Dokumente, Kundendaten, E-Mails) mit
versch. Aufbewahrungsfristen. Meistens ist das ja entweder 5 oder 10 Jahre und diese Fristen gelten ja auch für elektronische
Dokumente.
Und unter anderem gibt es ja schon bei Schriftstücken die Auflage, dass man die vor Feuer (und Wasser) geschützt
aufbewahren muss.
Und soweit ich weiss gibts bei diesen Rahmenregelungen keine Vereinfachungen für kleinere Unternehmen, sondern das gilt
für alle.

Für die digitalen Daten heisst das ja eigentlich, dass jedes Unternehmen auch bei seinen Backups in irgendeiner Weise eine
dezentrale Strategie fahren muss - egal ob gross oder klein.
Bei grösseren hat man da ja normalerweise keine Argumentationsschwierigkeiten. Da lässt sich meistens immer eine
Lösung mit Server -> Storage in anderem Gebäudeteil -> Bänder / ext. Festplatten anbringen.

Aber was macht man mit den ganzen kleinen - sagen wir mal so 1-10 Arbeitssplätze und im Idealfall ein Server (oder was da
halt bei denen so als "Server" durchgeht))?
Meiner Erfahrung nach hatten diese Firmen meist noch keinen wirklichen Ausfall und sind daher auch sehr beratungsresistent was die
Sicherung angeht und vorallem wenn das auch noch Geld kostet....
Andererseits möchte man die ja auch betreuen...

Wie macht ihr das in der Praxis? Lasst ihr euch den Verzicht auf eine vernüftige Sicherung irgendwie schriftlich
bestätigen?

Hätte die vor Gericht im Schadensfall bestand und einen Wert?
Kommt es nicht auf den jeweiligen Schadenshergang an?

Irgendeine Absicherung braucht man ja als Dienstleister dann schon, weil sonst haftet man am Ende ja noch selber für z.B. die
Steuerschätzung des Kunden, wenn die Bude abfackelt und nix mehr zu retten ist...

Das ist ja schon fast eine Rechtsberatung, was du da willst.
Die wird dir kaum ein Admin hier geben können.


Also ich lehne mich nicht so weit aus dem Fenster.
IANAL
Bitte warten ..
Mitglied: Ravers
01.03.2012 um 15:12 Uhr
Hi,

es gibt sicherlich einige Dokumente, die Aufbewahrungspflichtig sind. Jedoch zeigt die Praxis, das diese Dokumente als Papier z.B. beim Steuerberater hinterlegt sind.

Da ich deine Aufgabe dort nicht kenne: sprich soll das Unternehmen IT-technisch umstrukturiert werden .. und dafür hast du einen Auftrag?
Oder, so ist`s ja der Regelfall, bekommst du einzelne Aufträge (PC ins Netz bringen u.ä.); sprich man muß nicht die Gesamtheit des Netzes beachten, und das Risiko bleibt bei der Firma.
Als es um unsere Umstrukturierung ging, wollte man das Thema Datensicherung auch nicht angehen. Kosten sind z.T. ja immens. (SAP-Agent; Exchange-Agent; etc.). Also wurde beschlossen, einfach n Image machen und gut ist. Und die anderen Daten einfach über Nacht kopieren. Unser Systemhaus hat ganz klar gesagt, das dies nicht reicht. Aber unser alte Admin (Bürokauffmann aus den 80igern) meinte, es reicht so. Somit glaubte die GF natürlich den alten Admin - so brauchten Sie auch kein Geld in die Hand nehmen.
Also was macht unser Beratungshaus? Als letzten Satz: Die Datensicherung liegt in der Verantwortung der Firma XX. Bei Datenverlust besteht keinerlei Haftung unsererseits. Bei Änderungen am System hat der Kunde eine Datensicherung vorzuhalten. (Sinngemäß - in Fettschrift)

... als dies unser Chef dann unterschreiben sollte, wurde dann nochmal nachgefragt, ob wir das Sicherstellen können. Ich habe es verneint, Kollege bejaht. Nach etwas diskussion und nachfrage beim Systemhaus bekam ich nun doch eine "vernünftige" Sicherung.
Da kam mir ein Brand in unserer Gegend zugute, da diese mit der Sicherung richtig auf die Nase gefallen sind und mit Daten älter 2 Jahre arbeiten mußten, und selbst das war Glück. Leider wirds immer noch nicht so gemacht, wie`s sein soll (alles in einem Brandabschnitt, incl. Lagerung sämtlicher Datensicherungsbänder), aber ich arbeite dran.

Den besagten Satz würde ich bei jedem Auftrag mit einbringen. Entweder er weckt die GF auf, oder es bleibt halt deren Problem.

greetz
ravers
Bitte warten ..
Mitglied: mrtux
01.03.2012 um 16:25 Uhr
Hi !

Wenn Du es "richtig" und "rechtsverbindlich" machen willst, dann geh zu einem Fachanwalt für IT Recht (wenn der Fachanwalt im Steuerrecht auch fit ist, um so besser).

Als externer Anbieter:
Du regelst (mittels o.g. Fachanwalt) das Aufgabengebiet vertraglich mit deinem Kunden. In den Vertrag gehört der genaue Umfang deiner Dienstleistung. Und für diese Dienstleistung haftest Du dann in einem abgesteckten Rahmen. Ich würde die Haftungssumme begrenzen z.B. auf den Wert eines Datenträgers, Servers usw. Ein kompletter Haftungsausschluss ist nach aktueller Rechtsprechung (laut Infos bzw. Gerichtsurteilen aus dem Netz) nicht mehr so leicht möglich aber eben die Begrenzung.

Im kleinen Umfeld (z.B. kleiner PC-Laden) würde ich den Kunden darüber aufklären, dass Du eine Datensicherung grundsätzlich nicht durchführen kannst, weil Du den Wert seiner Daten gar nicht einschätzen kannst. Für den Einen sind es seine Word und Excel Dokumente, für den Anderen seine Urlaubsbilder mit der Freundin - Jeder hat da andere Maszstäbe für den Wert solcher Daten! Daher immer den Kunden dafür unterschreiben lassen, dass er seine Datensicherung selbst und gewissenhaft durchgeführt hat. Damit bist Du im Falle eines Datenverlustes normalerweise nicht mehr so leicht belangbar. Auch hier würde ich bei zweifelhaften Arbeiten die Schadenssumme begrenzen z.B. auf den Wert der Hardware (also z.B. der einer Festplatte).

In der Praxis läuft das meist so ab und darüber gibt es im Netz auch Gerichtsurteile. Der Auftrag des Kunden lautet z.B.: Baue eine grössere Platte in den PC ein und installiere darauf ein neues OS. Dann ist die Aufgabe klar definiert, wie das auch der Kollege unten schreibt. Eine Datensicherung ist also kein Bestandteil deiner Arbeit und folglich auch kein Haftungsgrund. Lautet der Auftrag des Kunden jedoch "sichere die Daten, wechsle die Platte aus und spiele die Datensicherung auf die neue Platte" ist das natürlich völlig anders. In diesem Fall gehört die Datensicherung auch zu deiner Aufgabe.

Als Angestellter:
Hast Du einen Arbeitsvertrag in dem ebenfalls deine Aufgaben klar definiert sind (sein sollten). In diesem Fall spielt aber auch noch das Arbeitsrecht und das Berufsbild eine Rolle. Dein Arbeitgeber darf dir gar keine Arbeiten zuweisen, für die Du die Verantwortung (im Sinne von Haftung) gar nicht übernehmen kannst. Warum?

Ein Beispiel: Du hast die Datensicherung deines Arbeitgebers unter dir und durch einen Defekt bzw. Unfall (den Du u.U. gar nicht vorhersehen kannst) sind alle Daten weg. Daten sind ein immaterielles Gut, von dem der genaue Wert nur schwer einschätzbar ist. In machen Firmen kann der Wert von Daten (virtuell betrachtet) im Millionenbereich liegen. Wie willst Du dafür haften, wenn dein jährliches Einkommen z.B. nur 20000 Euro ist? So eine Verantwortung (im Sinne von Haftung) kann dann nur bei der Geschäftsführung liegen. Sowas auf einen einfachen Mitarbeiter abzuwälzen zu wollen ist normalerweise nicht zulässig. Manchmal wird dafür auch eine Versicherung abgeschlossen und die Beiträge dafür zahlst ja dann auch nicht Du sondern die Firma. Und über den Sinn solcher Versicherungen kann man natürlich auch streiten, denn immer öfter zahlt die im Schadensfall nicht oder stellt sich zumindest quer.

Du musst da auch klar unterscheiden zwischen Datensicherung und Archivierung. Da gibt es unterschiedliche Regelungen. Dem Fiskus wäre es natürlich lieb wenn die Daten transaktionssicher (also nicht mehr änderbar) archiviert sind. In der Realität ist das aber nur sehr schwer umsetzbar, da die dazu nötigen, technischen Vorgänge oftmals Schwachstellen besitzen und so eine Sicherheit im Detail betrachtet oftmals nicht wirklich vorhanden ist. Das ist aber darauf begründet, dass dem Gesetzgeber die nötige Fachkenntnis in der IT fehlt und daher ist sich da die Rechtsprechung auch nicht einig.

In der Realität kann man eben nicht alles absichern, so ist das Leben. Ein gewisses Risiko muss man eben eingehen.....

Dir ist hoffentlich auch klar, dass mein Kommentar nur Halbwissen darstellt, daher geh zu einem Fachanwalt und lasse dich beraten. Die Kosten für den Fachanwalt sind immer günstiger als der Schaden hinterer.

mrtux
Bitte warten ..
Mitglied: C.R.S.
01.03.2012 um 17:37 Uhr
Hallo,

ich finde den Ansatz, der hinter der Frage steckt - die so ähnlich hier ziemlich oft aus der Sicht von Auftragnehmern auftaucht -, völlig falsch.
IT-Dienstleistung ist keine umfassende Lebens- und Business-Beratung, sondern besteht darin, die typischen IT-Angelegenheiten auftragsgemäß und fachgerecht durchzuführen. Da liegen sicherlich Haftungsrisiken, zivilrechtliche, teils auch strafrechtliche, je nach Dienstleistungen.
Der Kunde muss aber selbst wissen, dass er sich bei seinem Systemhaus nicht in Steuerangelegenheiten beraten lassen kann. Das gehört auch nicht zur Fachkunde, der ein Dienstleister zu entsprechen hat. Die Probleme beschwört man herauf, wenn man versucht, über seine Kompetenzen hinaus zu arbeiten und dem Kunden dabei etwas zu diktieren. Das führt dazu, die falschen Aufträge zu formulieren und anzunehmen. Schriftlich hast Du immer den Auftrag, und der ist maßgeblich. Wenn ich eine Sicherheitslösung verkaufe, muss ich mich anhand der Vorgespräche sehr genau fragen, ob ich die tatsächlich als eine "Lösung" für ein Problem verkaufen kann (die objektiv als solche durchgeht), oder lieber nach Beratung ein vom Kunden gewünschtes Konzept umsetze. Ersteres ist zwangsläufig eine Ausnahme und wenn man das akzeptiert und vertraglich berücksichtigt, braucht man nicht noch dies und jenes "bestätigen" lassen.

Grüße
Richard
Bitte warten ..
Mitglied: speedhub
07.03.2012 um 19:14 Uhr
Hallo hushpuppies,
ich lese aus der Ursprungsfrage heraus, das es in erster Linie um eine praktische Lösung zur dezentralen Datensicherung geht, weil Feuer im Gebäude die gesamte Sicherungsstrategie umwerfen kann.

1. Zum Verzicht auf vernünftige Sicherung per Unterschrift - - - Gesetze kann niemand durch Unterschrift außer Kraft setzen, denn ...
Zitat Wiki: Die Pflicht zur Datensicherung in Betrieben ergibt sich unter anderem aus den gesetzlichen Vorschriften über eine ordnungsgemäße, nachvollziehbare, revisionssichere Buchführung (HGB). Von der kurzzeitigen Aufbewahrung (begrenzt auf einen Tag bis drei oder auch sechs Monate) unterscheidet sich die längerfristige Datenarchivierung, die anderen Gesetzmäßigkeiten unterliegt. Die Grundsätze zur Archivierung und Nachprüfbarkeit digitaler Datenbestände sind in Deutschland seit Januar 2002 für Unternehmen verbindlich in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), herausgegeben vom Bundesfinanzministerium, zusammengefasst.

2. Zur dezentralen Sicherung - - - Mir ist ein Fall bekannt, wo auf Bändern täglich inkrementell oder differenziell gesichert wurde und wöchentlich am Freitag eine Vollsicherung durchgeführt wurde. Das müsste bei einem kleinen Unternehmen machbar sein. Die wöchentliche Vollsicherung wurde in ein naheliegendes Bankschließfach zwei Hauseingänge weiter gebracht.

Soweit zur Praxis.

Grüße
Speedhub
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

Backup
gelöst Datensicherung von Daten, auf denen die ganze Zeit gearbeitet wird (8)

Frage von Windows11 zum Thema Backup ...

Netzwerkmanagement
Google Hangout für Videokonferenz im Unternehmen? (3)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...