Kolumne für Netzwerk Südbaden, Ausgabe Oktober 2023
Viele Unternehmen setzen auf Microsoft 365 (M365) und gehen davon aus, dass ihre Daten automatisch gesichert sind – ein Trugschluss. Microsoft stellt zwar die Infrastruktur bereit, aber die Verantwortung für die Sicherung und Langzeitaufbewahrung der Daten liegt bei den Nutzern selbst. Besonders in Deutschland, wo strenge gesetzliche Vorschriften zur Datenspeicherung gelten, kann dieses Missverständnis schwerwiegende Folgen haben.
In Deutschland müssen Unternehmen bestimmte gesetzliche Vorschriften zur Aufbewahrung von Dokumenten und elektronischen Nachrichten befolgen. So ist zum Beispiel im Handelsgesetzbuch (§257 HGB) und in der Abgabenordnung (§147 AO) geregelt, dass geschäftsrelevante Unterlagen und Dokumente, zu denen auch E-Mails zählen können, für eine bestimmte Dauer aufbewahrt werden müssen. Die Aufbewahrungsfristen betragen in der Regel sechs oder zehn Jahre.
Gemäß der Microsoft Dokumentation gilt die Datenverarbeitungsstandardrichtlinie für Microsoft 365, die angibt, wie lange Kundendaten nach dem Löschen aufbewahrt werden. Dabei wird zwischen aktivem und passivem Löschen unterschieden. Aktives Löschen bezieht sich auf den Vorgang, bei dem der Benutzer oder Administrator Daten manuell entfernt. Passives Löschen hingegen tritt ein, wenn das Mandantenabonnement abgelaufen ist und die Daten automatisch entfernt werden. Fest steht, egal ob der Benutzer oder Administrator des Kunden Daten aktiv löscht oder ob das Mandantenabonnement abgelaufen ist, Microsoft bewahrt die Daten nur übergangsweise 30 beziehungsweise 180 Tage auf. Danach werden sie unwiderruflich gelöscht.
Zusätzliches Backup
Wie können Unternehmen sich dagegen absichern? Um Aufbewahrungsfristen von sechs bis zehn Jahren zu erfüllen, benötigen im Prinzip alle Unternehmen und Nutzer, die M365 nutzen, ein zusätzliches Backup. In der M365-Welt hat jeder Nutzer Speicherplatz und damit Zugriff auf seine Exchange E-Mails, Outlook-Kalender, Outlook-Kontakte, Teams-, SharePoint- und OneDrive-Daten und Office-Dokumente. Diese Daten sind von Unternehmen etwa nach dem Ausscheiden von Mitarbeitern und als zusätzlicher Schutz vor unbeabsichtigtem Löschen sowie vor Cyberangriffen, je nach Anforderungen des Unternehmens und den gesetzlichen Vorschriften, aufzubewahren.
Das Problem daran ist, dass ziemlich schnell sehr viel Speicherbedarf für die zusätzliche Sicherung benötigt wird, da jedem Benutzer im Standard 1 Terrabyte Speicherplatz zusteht, was schnell sehr teuer werden kann.
Sicherung im Einklang mit der DSGVO
Es existieren mittlerweile verschiedene Angebote auf dem Markt, die eine monatliche Pauschalgebühr pro Benutzer vorschlagen. Dieser Ansatz bietet Unternehmen finanzielle Planbarkeit und damit eine geringe Hürde für die Einführung dieses Rundumsorglos-Backup-Clouddienstes mit. In Kombination mit flexiblen, jährlichen Aufbewahrungsoptionen von bis zu zehn Jahren und der Möglichkeit für unbegrenzten Speicher wird dieser Service häufig als umfassender Managed Service angeboten. Dabei wird für eine festgelegte monatliche Gebühr pro Benutzer die Sicherung der gesamten Microsoft-365-Umgebung ermöglicht. Durch solche Dienste können Daten zusätzlich geschützt und über einen längeren Zeitraum im Einklang mit der EU-DSGVO aufbewahrt werden.
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) regelt den Umgang mit personenbezogenen Daten. Zur Langfrist-Aufbewahrung von personenbezogenen Daten muss gewährleistet sein, dass diese im Einklang mit den Vorschriften der EU-DSGVO verarbeitet und gespeichert werden. Daher ist es ratsam, den Datenschutzbeauftragten in die Umsetzungsplanung einzubeziehen.
Mehr erfahren zur Continum Cloud Backup Lösung
Mehr erfahren zu Business-Continuity Management
Der Autor
Julian Sayer ist Vorstand für Vertrieb, Marketing und Entwicklung der Continum AG. Das Freiburger Hostingunternehmen ist AWS-, Microsoft Azure sowie IONOS Partner und unterstützt Unternehmen auf dem sicheren Weg in die Cloud.
