Verfügbarkeitskontrolle
Auch: Backup-Kontrolle
Die Verfügbarkeitskontrolle ist eine der klassischen technisch-organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO. Sie stellt sicher, dass personenbezogene Daten vor Verlust durch technische Störungen, Naturereignisse oder menschliches Versagen geschützt sind und im Ernstfall zeitnah wiederhergestellt werden können.
Ausführliche Erklärung
Für ein Maklerbüro bedeutet Verfügbarkeitskontrolle vor allem eines: Was passiert, wenn der Server ausfällt, ein Laptop gestohlen wird oder ein Mitarbeiter versehentlich eine Kundendatenbank löscht?
Praktische Bausteine:
- Regelmäßige Backups: Automatisierte, in angemessenen Abständen durchgeführte Datensicherungen (täglich bis wöchentlich, je nach Datenvolumen und Änderungsfrequenz), idealerweise mit räumlich getrennter Aufbewahrung (Cloud-Backup zusätzlich zur lokalen Sicherung).
- Wiederherstellungstests: Ein Backup ist nur so gut wie seine erfolgreiche Rücksicherung – regelmäßige Testwiederherstellungen gehören zur guten Praxis, werden aber häufig vernachlässigt.
- Unterbrechungsfreie Stromversorgung (USV): Schutz von Servern und Netzwerktechnik vor Datenverlust bei Stromausfällen.
- Redundanz: Gespiegelte Systeme oder Cloud-Infrastruktur mit automatischem Failover, insbesondere bei geschäftskritischen Anwendungen wie dem CRM-System.
- Notfallplan (Business Continuity): Dokumentierter Ablauf, wie im Falle eines Datenverlusts oder Systemausfalls reagiert wird – wer informiert wen, wie schnell muss wiederhergestellt werden.
- Schutz vor Ransomware: Da Verschlüsselungstrojaner eine der Hauptursachen für Datenverlust in kleinen Unternehmen sind, gehören Virenschutz, Backup-Isolierung (Offline-Backups) und Mitarbeiterschulung zur Verfügbarkeitskontrolle im weiteren Sinne.
- Meldepflicht bei Verletzung: Führt ein Verlust der Verfügbarkeit zu einem Risiko für Betroffene (z. B. weil Interessentendaten unwiederbringlich verloren gehen und dadurch Fristen versäumt werden), kann dies eine meldepflichtige Datenschutzverletzung nach Art. 33 DSGVO auslösen.
Beispiel aus der Praxis
Der Laptop eines Maklers mit der lokal gespeicherten Interessentendatenbank wird gestohlen. Da das Büro täglich ein automatisches, verschlüsseltes Cloud-Backup durchführt, können alle Daten innerhalb weniger Stunden auf einem Ersatzgerät wiederhergestellt werden – ohne dass Kaufinteressenten oder Vermittlungsprozesse durch den Vorfall dauerhaft beeinträchtigt werden.
Rechtsgrundlage
- Art. 32 Abs. 1 lit. b DSGVO – Pflicht zur Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme sicherzustellen.
- Art. 32 Abs. 1 lit. c DSGVO – Pflicht zur raschen Wiederherstellbarkeit der Verfügbarkeit nach einem physischen oder technischen Zwischenfall.
- Art. 33, Art. 34 DSGVO – Meldepflichten bei Datenschutzverletzungen infolge von Verfügbarkeitsverlusten.