Für die meisten Unternehmen in Deutschland ist ein Backup in Unternehmen selbstverständlich. Eine Datensicherung wird erstellt, um sich vor Datenverlust, Hardware-Ausfällen oder Ransomware-resilienten Backups zu schützen. Doch eine funktionierende Wiederherstellung ist nur die halbe Miete. Die andere Hälfte ist die Compliance, also die Einhaltung der rechtlichen Anforderungen.
In Deutschland (und der EU) prallen zwei Welten aufeinander: Die DSGVO (Datenschutzgrundverordnung) fordert das “Recht auf Vergessenwerden” und Datenminimierung für personenbezogene Daten.
Gleichzeitig fordern die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form) und Gesetze wie das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) die lückenlose, revisionssichere Aufbewahrung aller steuerrelevanten Daten für bis zu 10 Jahre.
Wie passt das zusammen? Wie kann ein Backup compliant sein, wenn es gleichzeitig personenbezogene Daten löschen und Buchungsbelege manipulationssicher aufbewahren muss? Dieser Beitrag löst den Konflikt auf.
Der Kernkonflikt: Löschen (DSGVO) vs. Aufbewahren (GoBD)
Das Hauptproblem für eine Backup-Strategie ist der Zielkonflikt zwischen Datenschutz (EU-DSGVO) und Steuerrecht (GoBD).
DSGVO-Anforderungen: Die Datenschutzgrundverordnung (Art. 17) gibt Betroffenen ein “Recht auf Vergessenwerden”. Personenbezogene Daten müssen gelöscht werden, sobald der Zweck für ihre Speicherung entfällt. Das Prinzip der Speicherbegrenzung (Art. 5) verbietet die “ewige” Aufbewahrung von Daten.
GoBD-Anforderungen: Die GoBD, das Handelsgesetzbuch (§ 257 HGB) und die Abgabenordnung (§ 147 AO) verlangen, dass alle steuerrelevanten Unterlagen (Buchungsbelege, Handelsbriefe, geschäftsbriefe, elektronische Rechnungen) unveränderbar und lückenlos für 6 bis 10 Jahre aufbewahrt werden.
Ein einfaches Löschen ist hier ein Verstoß gegen die Aufbewahrungspflichten. Jede elektronische Rechnung und jeder Geschäftsvorfall muss in elektronischer Form nachprüfbar sein.
Ein Backup, das alle Daten eines Servers (z.B. vom Mail-Server) sichert, enthält zwangsläufig beides: Personenbezogene Daten, die gelöscht werden müssten, und steuerrelevante Daten, die aufbewahrt werden müssen.
Die Lösung: Backup (Datensicherung) vs. Archiv (Datenarchivierung) – Der entscheidende Unterschied
Der häufigste unter den 15 häufigsten Backup-Fehlern ist die Annahme, ein Backup sei ein Archiv. Das ist es nicht. Um DSGVO- und GoBD-konform zu handeln, müssen Sie diese beiden Systeme strikt trennen.
Ein Backup und eine Archivierung zu unterscheiden ist die wichtigste Unterscheidung für Ihre Rechtssicherheit:
| Merkmal | Backup (Datensicherung) | Archiv (Datenarchivierung) |
| Zweck | Disaster Recovery (DR). Wiederherstellung von Systemen und Daten nach einem Datenverlust (z.B. Hardware-Defekt, Ransomware-Angriff). | Compliance und Nachweisbarkeit (GoBD Aufbewahrung Daten). Erfüllung der gesetzlichen Aufbewahrungsfristen. |
| Inhalt | Ein komplettes Abbild (Image, VM-Backup, Dateisystem) zu einem bestimmten Zeitpunkt. | Nur die spezifischen, aufbewahrungspflichtigen Daten (z.B. E-Mails mit Rechnungen, PDF-Belege), die aus dem System extrahiert wurden. |
| Aufbewahrung | Kurz- bis mittelfristig (z.B. 30, 60 oder 90 Tage). Alte Backups werden rotiert und überschrieben. | Langfristig (6, 10 oder mehr Jahre, je nach gesetzlicher Frist). |
| Löschkonzept | DSGVO-konform: Das “Recht auf Vergessenwerden” wird durch die Rotation (z.B. nach 90 Tagen) umgesetzt. Personenbezogene Daten verschwinden automatisch. | GoBD-konform: Daten werden erst nach Ablauf der gesetzlichen Aufbewahrungsfristen (z.B. 10 Jahre) gelöscht. Sie müssen manipulationssicher sein. |
Wer ist verantwortlich? Das Compliance-Dreieck (GF, IT & DSB)
Ein häufiges Problem in der Praxis ist die unklare Zuständigkeit. Wer ist für das DSGVO GoBD Backup und die Archivierungspflicht verantwortlich? Die Rechtssicherheit ist eine Teamaufgabe.
Geschäftsführung (GF): Trägt die Hauptverantwortung für die Einhaltung von DSGVO und GoBD. Sie muss die Strategie (strikte Trennung von Datensicherung & Archivierung) genehmigen und die nötigen Ressourcen bereitstellen. Sie ist final für die Erstellung und Pflege der Verfahrensdokumentation laut GoBD verantwortlich, welche die GoBD-konforme Aufbewahrung von Büchern in elektronischer Form sicherstellt und die Aufbewahrungspflichten für Handelsbriefe oder Buchungsbelege definiert.
IT-Abteilung / IT-Dienstleister (MSP): Verantwortlich für die technische Umsetzung der rechtlichen Anforderungen. Sie muss die Systeme (z.B. revisionssichere E-Mail-Archivierung, DMS / Dokumentenmanagement, Archivierungssoftware) implementieren. Sie stellt die Unveränderbarkeit der relevanten Daten im Archivsystem sicher (z.B. über revisionssichere Speicher) und gewährleistet die Datensicherheit der Datensicherung. Auch die Umsetzung der Protokollierung für den Datenzugriff fällt hierunter.
Datenschutzbeauftragter (DSB): Hat eine beratende und prüfende Funktion. Er bewertet, ob die TOMs der IT die Anforderungen der Datenschutzgrundverordnung (EU-DSGVO) erfüllen. Im Fokus stehen der DSGVO-konforme Umgang mit personenbezogenen Daten (z.B. von einem Mail-Server), das Löschkonzept der Datensicherung und die Wirksamkeit der Zugriffskontrollen.
Aus der Praxis:
“Der Satz ‘Mein Backup ist mein Archiv’ ist der teuerste Satz, den ein Unternehmer sagen kann. Im Ernstfall führt er entweder zu massivem Datenverlust, weil die Kosten eines Ausfalls nicht bedacht wurden, oder zu Bußgeldern von Finanzamt oder Datenschutzbehörden. Die technische und prozessuale Trennung von Backup und Archivierung ist die einzige Lösung.”
So wird Ihr Archiv GoBD-konform: Unveränderbarkeit & Protokollierung
Die Vorgaben der GoBD (sowie Handelsgesetzbuch und Abgabenordnung) fordern explizit, dass relevante Daten wie Buchungsbelege, Handelsbriefe, Geschäftsbriefe oder eine elektronische Rechnung nicht nachträglich manipuliert werden können. Jeder Geschäftsvorfall muss gesichert werden. Ein normales Backup auf einer Festplatte erfüllt diese Anforderung der GoBD nicht.
Hier ist ein revisionssichere Speicher (oft als Immutable Storage oder WORM bezeichnet) der technische Schlüssel. “Immutable” bedeutet, dass die Daten nach dem Schreiben für die Dauer der gesetzlichen Aufbewahrungsfristen nicht mehr geändert oder gelöscht werden können. Dies macht das Archiv manipulationssicher.
Ein GoBD-konformes Archivsystem muss für eine Betriebsprüfung zudem die Nachvollziehbarkeit und Nachprüfbarkeit sicherstellen. Dies geschieht durch lückenlose Protokollierung (Logging) von jedem Datenzugriff und allen Änderungen.
Wichtig ist auch eine Suchfunktion (z.B. Volltextsuche), um relevante Daten schnell zu finden, ohne die Datensilos (z.B. in Rechenzentren in Deutschland) aufzubrechen. Technologien wie S3 Object Lock sind hierfür ein moderner Standard, um die Unveränderbarkeit technisch zu garantieren.
So wird Ihr Backup DSGVO-konform: Löschkonzept & TOMs
Die DSGVO (Art. 32) fordert “Technische und Organisatorische Maßnahmen” (TOMs), um die Datensicherheit für personenbezogene Daten zu gewährleisten. Ein Backup ist eine zentrale TOM. Um DSGVO-konform zu sein, muss Ihr Backup-Prozess:
- Sicher sein: Backups müssen verschlüsselt übertragen (in transit) und gespeichert (at rest) werden. Strenge Zugriffskontrollen sind Pflicht.
- Getestet werden: Sie müssen die Wiederherstellbarkeit regelmäßig prüfen. Ein Restore-Test & Backup-Validierung ist nicht nur Best Practice, sondern Teil der DSGVO-Rechenschaftspflicht.
- Ein Löschkonzept haben: Wie oben beschrieben, muss das Backup (nicht das Archiv) rotieren. Sie müssen Aufbewahrungsfristen definieren (z.B. 90 Tage) und dies in Ihrem Verarbeitungsverzeichnis und der Verfahrensdokumentation dokumentieren.
VM Backup Best Practices: Sicherung virtueller Umgebungen
Der Haken: Auftragsverarbeitung (AVV) bei Cloud-Backups & MSPs
Sobald ein externer Dienstleister (z.B. ein IT-Systemhaus, MSP oder ein Cloud-Anbieter für Cloud-Backup) Datenzugriff auf Ihre personenbezogenen Daten erhält, wird ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO zwingend erforderlich.
Ein fehlender oder mangelhafter AVV ist ein direkter DSGVO-Verstoß. Achten Sie bei der Auswahl Ihres Dienstleisters auf diese Punkte im AVV:
- Speicherort (DSGVO): Der Anbieter muss garantieren, dass die Daten die EU nicht verlassen. Achten Sie auf Rechenzentren in Deutschland oder der EU.
- Technische Garantien (GoBD): Kann der Anbieter die Unveränderbarkeit (z.B. durch S3 Object Lock) für Ihr Archiv technisch garantieren und vertraglich zusichern?
- Löschfristen (DSGVO): Der Vertrag muss die vereinbarten Aufbewahrungsfristen für das Backup (z.B. 90 Tage Rotation) festhalten.
- Kontrollrechte: Sie müssen das Recht haben, die Einhaltung der Maßnahmen beim Dienstleister zu prüfen (oder durch Zertifikate nachweisen zu lassen).
Sonderfall: Microsoft 365 und Compliance
Diese Prinzipien gelten auch für Cloud-Dienste wie Microsoft 365. Ein Microsoft 365 Backup ist notwendig für Disaster Recovery. Es ist jedoch keine revisionssichere E-Mail-Archivierung im Sinne der GoBD.
Wenn Sie SharePoint oder Exchange Online als GoBD-konforme Archiv nutzen wollen, benötigen Sie spezielle Lizenzen (z.B. E5 mit Purview) oder eine externe Archivierungssoftware. Ein einfaches Backup sichert nur die Daten, es archiviert sie nicht manipulationssicher.
Fazit: Non-Compliance ist teurer als jede Backup-Lösung
Wer ein einheitliches System nutzt oder die Trennung ignoriert, riskiert empfindliche Strafen an zwei Fronten. Zum einen droht durch das Finanzamt bei einem GoBD-Verstoß die Verwerfung der Buchführung und eine Schätzung der Besteuerungsgrundlage, zum anderen können Datenschutzbehörden bei einem DSGVO-Verstoß – etwa durch fehlenden AVV, mangelhaftes Löschkonzept oder unzureichende Verschlüsselung – Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes verhängen.
Die strategische Trennung von Backup und Archivierung ist der erste Schritt. Der zweite ist die technisch saubere und revisionssichere Umsetzung. Diese Komplexität aus rechtlichen Anforderungen und technischer Implementierung (z.B. E-Mail-Archivierung, Unveränderbarkeit, Verfahrensdokumentation) muss ein IT-Partner ganzheitlich abbilden können.
Als erfahrener Full-Service-Provider mit 40 Jahren Expertise im Bereich IT-Security und Data Protection versteht microCAT beide Welten. Wir spannen Ihr Sicherheitsnetz. Wir unterstützen Sie bei der Entwicklung einer GoBD-konformen, DSGVO-konformen und kosteneffizienten Strategie für Ihre Datensicherung und Ihre revisionssichere E-Mail-Archivierung. Sprechen Sie mit unseren Experten, um Ihre Compliance sicherzustellen.
FAQ – Häufige Fragen zu DSGVO & GoBD-Backups
Was ist der Unterschied zwischen GoBD-konformer Aufbewahrung und einem Immutable Backup?
Ein Immutable Backup (unveränderlicher Speicher) ist die technische Umsetzung (das “Wie”), um die Anforderung der GoBD nach Unveränderbarkeit und Manipulationssicherheit (das “Was”) zu erfüllen. GoBD-konform ist das gesamte System inklusive Verfahrensdokumentation und Protokollierung.
Sind meine Backups in der Cloud automatisch GoBD-konform?
Nein. Nur weil Daten in der Cloud (z.B. bei Azure/AWS/GCP) liegen, sind sie nicht automatisch GoBD-konform. Sie müssen den Speicher explizit als revisionssichere und unveränderbar konfigurieren (z.B. WORM/Object Lock) und sicherstellen, dass der Speicherort (Rechenzentren in Deutschland oder EU) mit der DSGVO vereinbar ist.
Brauche ich für mein Cloud-Backup einen AVV?
Ja, zwingend. Sobald ein externer Anbieter (wie ein Cloud-Hoster oder ein MSP) Datenzugriff auf Ihre personenbezogenen Daten haben könnte, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO gesetzlich vorgeschrieben. Das Backup bei einem Dritten ohne AVV ist ein klarer Compliance-Verstoß.
