Welche Backup-Pflicht haben Firmen wirklich?

Ein Serverausfall am Montagmorgen ist selten nur ein IT-Problem. Wenn Angebote, Buchhaltung, Kundendaten oder Projektstände fehlen, steht schnell der ganze Betrieb. Genau deshalb stellt sich für viele Unternehmen die Frage: Welche Backup-Pflicht haben Firmen eigentlich wirklich - und was ist nur eine technische Empfehlung?

Die kurze Antwort lautet: Es gibt in Österreich meist keine einzelne, pauschale Gesetzesstelle, die jedem Betrieb exakt vorschreibt, wie oft Backups zu erstellen sind oder wohin sie gespeichert werden müssen. Trotzdem ergibt sich für Unternehmen sehr wohl eine klare Pflicht zur Datensicherung - aus mehreren rechtlichen, organisatorischen und wirtschaftlichen Anforderungen. Wer diese Pflicht zu locker auslegt, riskiert nicht nur Betriebsunterbrechungen, sondern auch Probleme bei Datenschutz, Buchhaltung und Nachweispflichten.

Welche Backup-Pflicht haben Firmen aus rechtlicher Sicht?

Wer nach einer einfachen Vorschrift sucht, findet oft keine klare Ja-Nein-Regel. In der Praxis entsteht die Pflicht zur Datensicherung aus dem Zusammenspiel verschiedener Vorgaben. Besonders relevant sind dabei Datenschutz, unternehmerische Sorgfaltspflichten und Aufbewahrungsanforderungen für geschäftsrelevante Unterlagen.

Bei personenbezogenen Daten verlangt die DSGVO, dass Unternehmen geeignete technische und organisatorische Maßnahmen treffen. Dazu gehört auch, die Verfügbarkeit und Belastbarkeit von Systemen und Diensten sicherzustellen. Wenn Daten durch einen Defekt, einen Bedienfehler oder einen Cyberangriff verloren gehen und nicht wiederhergestellt werden können, ist das schnell mehr als ein internes Ärgernis. Es kann ein Datenschutzproblem werden.

Dazu kommt das Unternehmensrisiko selbst. Geschäftsleiter haben die Pflicht, den Betrieb ordentlich zu organisieren. Wenn zentrale Daten für den laufenden Betrieb wesentlich sind, gehört eine sinnvolle Sicherungsstrategie heute zur normalen unternehmerischen Sorgfalt. Das gilt auch für kleinere Betriebe. Nicht die Größe entscheidet, sondern die Abhängigkeit von den Daten.

Schließlich spielen auch steuerliche und buchhalterische Vorgaben eine Rolle. Rechnungen, Belege, Verträge oder E-Mails mit Geschäftsbezug müssen oft über Jahre verfügbar, nachvollziehbar und lesbar bleiben. Wer Daten zwar einmal speichert, aber bei einem Ausfall nicht mehr darauf zugreifen kann, erfüllt den Zweck der Aufbewahrung nur unzureichend.

Es gibt keine Standardpflicht - aber eine klare Erwartung

Für KMU ist genau das der entscheidende Punkt. Die Frage ist weniger, ob ein Backup nötig ist. Die Frage ist, ob das vorhandene Backup dem tatsächlichen Risiko und den gesetzlichen Anforderungen angemessen ist.

Ein Handwerksbetrieb mit digitaler Terminplanung, E-Mail-Kommunikation und laufender Fakturierung hat andere Anforderungen als eine Arztpraxis oder ein Onlinehändler. Auch ein Unternehmen, das vollständig in Microsoft 365 arbeitet, braucht eine andere Sicherungslogik als ein Betrieb mit lokalem Server und Netzlaufwerken. Die Pflicht ist also nicht überall identisch, aber die Erwartung ist klar: geschäftskritische Daten müssen im Ernstfall verfügbar bleiben.

Wer sich darauf verlässt, dass "schon nichts passieren wird", handelt heute nicht mehr vorsichtig, sondern fahrlässig. Gerade Ransomware, versehentlich gelöschte Daten und Synchronisationsfehler zeigen regelmäßig, dass vermeintlich vorhandene Daten nicht automatisch gesichert sind.

Welche Daten Firmen sichern müssen

Nicht jede Datei ist gleich kritisch. Trotzdem gibt es Datenkategorien, bei denen Unternehmen sehr genau hinschauen sollten. Dazu zählen Buchhaltungs- und Belegdaten, Kundendaten, Vertragsunterlagen, Projektdateien, E-Mails mit Geschäftsbezug und Systemdaten, die für den laufenden Betrieb nötig sind.

Oft übersehen werden Konfigurationen, Berechtigungen und Ablagestrukturen. Ein Backup ist nicht nur dann hilfreich, wenn einzelne Dateien wiederhergestellt werden müssen. Es muss im Ernstfall auch möglich sein, Arbeitsumgebungen in vertretbarer Zeit wieder nutzbar zu machen. Ein Betrieb, der zwar PDFs rettet, aber keine Benutzerstrukturen, Freigaben oder zentralen Arbeitsordner zurückbekommt, steht trotzdem still.

Bei cloudbasierten Arbeitsplätzen kommt ein weiterer Punkt dazu. Viele Unternehmen gehen davon aus, dass Daten in der Cloud automatisch vollständig abgesichert sind. Das ist nur teilweise richtig. Der Anbieter schützt in der Regel die Plattform und Verfügbarkeit des Dienstes. Für die gezielte Wiederherstellung nach Benutzerfehlern, Fehlkonfigurationen oder längeren Aufbewahrungsanforderungen reicht das oft nicht aus. Gerade bei Microsoft 365 sollte daher geprüft werden, ob die Standardfunktionen für die eigenen Anforderungen genügen.

Welche Backup-Pflicht haben Firmen bei DSGVO und Aufbewahrung?

Sobald personenbezogene Daten verarbeitet werden, müssen Unternehmen nicht nur Vertraulichkeit, sondern auch Verfügbarkeit sicherstellen. Das bedeutet praktisch: Daten dürfen nicht einfach verschwinden, wenn ein Notebook defekt ist, ein Postfach gelöscht wurde oder Schadsoftware Dateien verschlüsselt.

Gleichzeitig müssen aufbewahrungspflichtige Unterlagen vollständig und nachvollziehbar erhalten bleiben. Das betrifft je nach Geschäftsfall zum Beispiel Rechnungen, steuerrelevante Dokumente oder Korrespondenz mit rechtlicher Bedeutung. Hier ist ein Backup kein Selbstzweck, sondern ein Teil der Nachweisfähigkeit des Unternehmens.

Wichtig ist dabei ein realistischer Blick auf die Wiederherstellung. Es genügt nicht, Sicherungen zu besitzen, die niemand kennt, nie getestet wurden oder im selben System liegen wie die Originaldaten. Sobald ein Ausfall eintritt, zeigt sich schnell, ob die Datensicherung nur auf dem Papier existiert oder tatsächlich funktioniert.

Was ein rechtssicheres Backup in der Praxis ausmacht

Ein rechtssicheres Backup ist kein einzelner Speicherort, sondern ein Konzept. Es beginnt bei der Frage, welche Daten wirklich gesichert werden müssen, und endet bei dokumentierten Wiederherstellungstests.

Für viele kleine und mittlere Unternehmen ist die 3-2-1-Regel weiterhin ein sinnvoller Ausgangspunkt. Drei Kopien der Daten, auf zwei unterschiedlichen Medien, davon eine Kopie getrennt vom Produktivsystem. Das ist kein Dogma, aber eine solide Orientierung. In modernen Umgebungen kann diese Trennung lokal, in der Cloud oder über externe Sicherungsziele umgesetzt werden. Entscheidend ist, dass ein einzelner Fehler nicht alle Kopien gleichzeitig betrifft.

Ebenso wichtig sind Aufbewahrungsfristen und Versionierung. Wenn eine Datei heute beschädigt wird, hilft das gestrige Backup. Wenn ein Fehler erst nach Wochen auffällt, braucht es ältere Wiederherstellungspunkte. Genau hier scheitern viele Konzepte. Sie sichern zwar täglich, überschreiben aber alte Stände zu schnell.

Auch der Schutz vor Manipulation zählt. Backups sollten möglichst so abgelegt werden, dass sie nicht ohne Weiteres von demselben Benutzerkonto oder von Schadsoftware verändert oder gelöscht werden können. Sonst ist die Sicherung im Ernstfall gemeinsam mit den Originaldaten betroffen.

Typische Irrtümer in KMU

In Gesprächen mit Unternehmen tauchen oft dieselben Missverständnisse auf. Ein häufiges Beispiel ist die Annahme, dass ein NAS automatisch ein Backup ersetzt. Tatsächlich ist ein NAS zunächst nur ein Speicherort. Wenn dort die einzigen aktuellen Daten liegen und keine getrennte Sicherung existiert, ist noch kein belastbares Backup-Konzept vorhanden.

Ebenso problematisch ist die Gleichsetzung von Synchronisation und Sicherung. Wird eine Datei versehentlich gelöscht oder durch Schadsoftware verschlüsselt, kann sich dieser Zustand sauber auf alle synchronisierten Geräte übertragen. Die Datei ist dann zwar überall aktuell - aber überall unbrauchbar.

Auch der Satz "Unsere Daten sind in der Cloud" vermittelt oft eine trügerische Sicherheit. Cloud-Dienste erhöhen die Verfügbarkeit, ersetzen aber nicht automatisch jede Form der Datensicherung, die ein Unternehmen für seinen konkreten Betrieb braucht.

So gehen Firmen das Thema sinnvoll an

Statt nur Speicherplatz zu kaufen, sollten Unternehmen zuerst ihre Risiken ordnen. Welche Systeme sind geschäftskritisch? Wie lange darf ein Ausfall maximal dauern? Welche Daten müssen zwingend wiederherstellbar sein, und wie alt darf ein Datenstand im Notfall höchstens sein?

Aus diesen Fragen ergeben sich die technischen Anforderungen. Manche Betriebe brauchen mehrmals täglich gesicherte Datenstände, andere kommen mit täglichen Sicherungen aus. Manche müssen einzelne Dateien schnell zurückholen können, andere zusätzlich ganze Systeme oder virtuelle Umgebungen. Es gibt hier keine seriöse Einheitslösung.

Wichtig ist außerdem die Dokumentation. Wenn niemand weiß, was gesichert wird, wohin gesichert wird und wer im Notfall verantwortlich ist, bleibt das Konzept lückenhaft. Gerade in kleineren Unternehmen ohne eigene IT-Abteilung ist ein klarer Ablauf entscheidend. Sonst hängt alles an Einzelpersonen oder am Zufall.

Ebenso sollte die Wiederherstellung regelmäßig getestet werden. Nicht theoretisch, sondern praktisch. Ein Backup ist erst dann vertrauenswürdig, wenn sich Daten daraus auch wirklich in brauchbarer Zeit zurückholen lassen.

Backup ist auch eine Führungsfrage

Datensicherung wird oft als technisches Randthema behandelt. Tatsächlich ist sie ein Teil der Betriebsfähigkeit. Geschäftsführung, Verwaltung und IT müssen daher dieselbe Frage beantworten: Was passiert, wenn morgen früh zentrale Daten fehlen?

Wer darauf keine klare Antwort hat, sollte nicht erst auf den nächsten Vorfall warten. Gerade für KMU lohnt sich ein pragmatischer, sauber dokumentierter Ansatz deutlich mehr als eine komplizierte Lösung, die im Alltag niemand betreut. Bei Unternehmen in Vorarlberg zeigt sich oft, dass nicht die Technik das größte Problem ist, sondern gewachsene Strukturen ohne klare Verantwortung.

Die richtige Backup-Strategie ist deshalb nicht die mit den meisten Funktionen, sondern die, die zum tatsächlichen Betrieb passt, regelmäßig geprüft wird und im Notfall verlässlich trägt. Genau dort beginnt echte Sicherheit - nicht im Werbeversprechen eines Tools, sondern in einem System, das den Geschäftsalltag aushält.