Viele Unternehmen sichern ihre Daten regelmäßig und gehen davon aus, damit auf der sicheren Seite zu sein. Ein Backup ist ja vorhanden, also ist alles gut. Aber stimmt das wirklich? Die Frage, ob Backups in Deutschland gesetzlich verpflichtend sind, lässt sich nicht mit einem einfachen Ja oder Nein beantworten. Das Thema ist vielschichtiger als man zunächst denkt und berührt gleich mehrere Rechtsgebiete. Und eines vorweg: Dieser Artikel ist keine Rechtsberatung, sondern soll Ihnen als Orientierung dienen, welche Anforderungen es gibt und worauf Sie achten sollten.

Es gibt kein "Backup-Gesetz", aber...

Ein einzelnes Gesetz, das Ihnen vorschreibt "Sie müssen ein Backup machen", existiert in Deutschland tatsächlich nicht. Trotzdem ergibt sich aus verschiedenen Regelwerken eine ziemlich klare Pflicht zur Datensicherung. Die DSGVO regelt Backups nicht ausdrücklich. Aber nach Art. 5 DSGVO müssen Verantwortliche eine angemessene Sicherheit der verarbeiteten personenbezogenen Daten gewährleisten. Und genau hier kommt Art. 32 DSGVO ins Spiel: Art. 32 DSGVO sieht unter anderem vor, dass die Verfügbarkeit personenbezogener Daten und der Zugang zu diesen bei technischen oder physischen Zwischenfällen schnellstmöglich wiederhergestellt werden kann. Der Verantwortliche soll die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen.

Im Klartext: Wenn Sie personenbezogene Daten verarbeiten (und das tut praktisch jedes Unternehmen, allein schon durch Kunden- und Mitarbeiterdaten), dann müssen Sie technisch und organisatorisch dafür sorgen, dass diese Daten verfügbar bleiben und im Ernstfall wiederhergestellt werden können. Ohne funktionierendes Backup ist das kaum machbar.

Und das ist noch nicht alles. Art. 32 Abs. 1 lit. c und d DSGVO legt fest, dass die Daten rasch wiederherstellbar sein müssen und dass technische und organisatorische Maßnahmen (wie ein Backup) regelmäßig auf ihre Wirksamkeit hin überprüft werden müssen. Das Backup einfach nur einzurichten reicht also nicht. Es muss auch regelmäßig getestet werden. Mehr dazu habe ich übrigens in unserem Artikel Warum ein Backup ohne Test wertlos ist geschrieben.

Was droht, wenn kein Backup vorhanden ist?

Verantwortliche müssen sicherstellen, dass die Verfügbarkeit der personenbezogenen Daten und der Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederhergestellt werden (Art. 32 Abs. 1 lit. c DSGVO). Auch die NIS-2-Richtlinie verpflichtet Unternehmen zu weitreichenden technischen, operativen und organisatorischen Maßnahmen, darunter zu einem Notfall- und Kontinuitätsmanagement, Back-up-Management und effizienten Datenwiederherstellungsmaßnahmen. Verstöße sowohl gegen die vorgenannten Bestimmungen der DSGVO als auch NIS-2 sind mit drakonischen Bußgeldern und bei NIS-2 mit einer persönlichen Haftung des Managements bedroht.

Die technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO umfassen Zugangs-, Zugriffs-, Weitergabe- und Verfügbarkeitskontrollen. Bei Verstößen drohen Bußgelder bis zu 20 Mio. Euro oder 4 % des Jahresumsatzes. Natürlich wird ein kleines Unternehmen nicht gleich mit dem Maximalbußgeld belegt. Aber die Aufsichtsbehörden schauen hin, und ein fehlendes Backup-Konzept wird als Verstoß gewertet.

Backup ist nicht gleich Archivierung

Ein Punkt, der in der Praxis häufig durcheinander gebracht wird: Viele Unternehmer glauben, ihr Backup erfülle gleichzeitig die gesetzliche Aufbewahrungspflicht. Das ist ein Trugschluss, der teuer werden kann. "Der Satz 'Mein Backup ist mein Archiv' ist der teuerste Satz, den ein Unternehmer sagen kann", so ein verbreitetes Fazit unter IT-Sicherheitsexperten. Ein einfaches Backup sichert nur die Daten, es archiviert sie nicht manipulationssicher. Die Vorgaben der GoBD fordern explizit, dass relevante Daten wie Buchungsbelege, Handelsbriefe oder elektronische Rechnungen nicht nachträglich manipuliert werden können.

Die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) legen fest, in welchem Umfang und für wie lange Unterlagen in einem Unternehmen aufbewahrt werden müssen. Das Handelsgesetzbuch (§ 257 HGB) und die Abgabenordnung (§ 147 AO) verlangen, dass alle steuerrelevanten Unterlagen unveränderbar und lückenlos für 6 bis 10 Jahre aufbewahrt werden. Ein einfaches Löschen ist hier ein Verstoß gegen die Aufbewahrungspflichten.

Ein normales Backup-System erstellt Kopien Ihrer Daten, um nach einem Ausfall wieder arbeitsfähig zu sein. Ältere Backups werden dabei in der Regel überschrieben. Eine GoBD-konforme Archivierung hingegen speichert Dokumente unveränderbar über die gesamte Aufbewahrungsfrist hinweg. Elektronische Rechnungen müssen gemäß der gesetzlichen Aufbewahrungspflicht mindestens acht Jahre lang digital gespeichert werden. Die GoBD legt hierfür klare Kriterien fest: Unveränderbarkeit, das heißt Rechnungen müssen in einer Weise gespeichert werden, die eine nachträgliche Änderung unmöglich macht. Falls Änderungen notwendig sind, müssen diese transparent und nachvollziehbar dokumentiert werden.

Wer also nur auf Backups setzt und keine separate Archivierung betreibt, riskiert bei einer Betriebsprüfung Probleme. Ein Verstoß gegen die Aufbewahrungsfrist kann erhebliche rechtliche und steuerliche Folgen nach sich ziehen. Werden Rechnungen nicht, unvollständig oder nicht ordnungsgemäß aufbewahrt, kann das Finanzamt den Vorsteuerabzug verweigern, Schätzungen der Besteuerungsgrundlage vornehmen oder Bußgelder verhängen.

Was sagt das BSI zu Backups?

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im IT-Grundschutz-Kompendium einen eigenen Baustein für das Thema Datensicherung veröffentlicht: den CON.3. Der Baustein CON.3 Datensicherungskonzept des BSI-Grundschutzes definiert Anforderungen und Empfehlungen, wie Unternehmen ihre Daten systematisch sichern und für den Ernstfall wiederherstellen können. Diese Vorgaben helfen dabei, eine widerstandsfähige IT-Landschaft zu schaffen und sensible Informationen vor Datenverlust oder Beschädigung zu schützen.

Das BSI formuliert seine Anforderungen in drei Stufen: Basis, Standard und erhöhter Schutzbedarf. Selbst die Basis-Anforderungen, die jedes Unternehmen umsetzen sollte, gehen weit über das hinaus, was die meisten kleinen Unternehmen in der Praxis tun. Unter den Basis-Anforderungen werden folgende Punkte genannt: Abstimmung über die konkreten Rahmenbedingungen der Datensicherung, festgelegte Verfahrensweisen für die Datensicherung, Datensicherungspläne auf Basis der festgelegten Verfahrensweisen und regelmäßiges Testen der Datensicherungen.

Besonders wichtig: Datensicherungen müssen in geeigneter Weise vor unbefugtem Zugriff geschützt werden. Hierbei muss insbesondere sichergestellt werden, dass Datensicherungen nicht absichtlich oder unbeabsichtigt überschrieben werden können. Die Speichermedien für die Datensicherung müssen außerdem räumlich getrennt von den gesicherten IT-Systemen in einem anderen Brandabschnitt aufbewahrt werden.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) empfiehlt dafür die sogenannte 3-2-1-Regel: Von den Unternehmensdaten soll es drei Versionen geben, diese sollen auf zwei verschiedenen Speichermedien gespeichert werden, wovon sich eines nicht am Unternehmenssitz befindet. Eine einfache, aber wirksame Strategie.

Praxisbeispiele, die nachdenklich machen

Was passiert, wenn man diese Anforderungen nicht ernst nimmt, zeigen reale Fälle der Aufsichtsbehörden. In seiner aufsichtsbehördlichen Praxis begegnete der HBDI einem kleinen Unternehmen, das seine Datenverarbeitungen und auch das Backup der Daten vollständig auf einem zentralen Server durchgeführt hat. Durch einen Ransomware-Angriff wurden sämtliche Daten verschlüsselt und unbrauchbar gemacht. Bei der Wiederherstellung musste auf Papierdokumente zurückgegriffen werden. Weil nicht alle Daten analog vorhanden waren, ging dabei ein Teil der Daten verloren.

Und das ist kein Einzelfall. Laut der Bitkom-Studie "Wirtschaftsschutz 2025" berichten knapp 9 von 10 Unternehmen (87 Prozent) von Diebstahl von Daten und IT-Geräten, digitaler und analoger Industriespionage oder Sabotage. Der Schaden durch diese analogen und digitalen Angriffe ist im Vergleich zum Vorjahr um rund 8 Prozent auf 289,2 Milliarden Euro gestiegen. Gerade für kleine Unternehmen kann ein einziger Ransomware-Angriff ohne funktionierendes (und getestetes!) Backup existenzbedrohend sein.

Was das alles für Sie als Unternehmer bedeutet

Fassen wir zusammen, was aus den verschiedenen Regelwerken folgt:

1. DSGVO (Art. 32): Sie müssen personenbezogene Daten durch technische und organisatorische Maßnahmen schützen. Dazu gehört zwingend die Fähigkeit, Daten nach einem Vorfall rasch wiederherzustellen. Ein Backup ist dafür die naheliegendste Maßnahme.
2. GoBD, HGB, AO: Steuerrelevante Unterlagen müssen bis zu 10 Jahre unveränderbar aufbewahrt werden. Ein rollierendes Backup reicht dafür nicht. Sie brauchen zusätzlich eine revisionssichere Archivierung.
3. BSI IT-Grundschutz (CON.3): Es gibt konkrete Mindestanforderungen an ein Datensicherungskonzept, darunter automatisierte Sicherungen, räumlich getrennte Aufbewahrung und regelmäßige Wiederherstellungstests.
4. NIS-2: Je nach Branche und Unternehmensgröße kommen durch die NIS-2-Umsetzung weitere Pflichten hinzu, bis hin zur persönlichen Haftung der Geschäftsführung.

Die Anforderungen sind also da, auch wenn sie nicht in einem einzigen "Backup-Paragraphen" zusammengefasst sind.

Und wer kümmert sich um all das?

Genau hier wird es für viele Unternehmen schwierig. Ein durchdachtes Backup-Konzept zu erstellen, die richtige Strategie zu wählen, die Sicherungen regelmäßig zu testen und gleichzeitig die Archivierungspflichten im Blick zu behalten: Das erfordert Fachwissen, das in kleineren Teams oft schlicht nicht vorhanden ist. Der "Kollege, der sich nebenbei um die IT kümmert" ist mit diesen Anforderungen schnell überfordert. Das ist kein Vorwurf, sondern Realität. Gerade in kleinen Unternehmen fehlen häufig die personellen Ressourcen und das spezialisierte Know-how, um all diese Anforderungen intern zuverlässig abzudecken.

Beim Remote-Arbeitsplatz von serverstart ist genau dieses Thema von Anfang an mitgedacht. Der Remote-Arbeitsplatz ist ein vollständiger Windows-Desktop in der Cloud, auf den Ihre Mitarbeiter von jedem Gerät aus zugreifen können. Die Server stehen nicht mehr in Ihrem Büro, sondern in hochsicheren Microsoft-Rechenzentren in Deutschland. Das bedeutet: Ihre Daten liegen in einer professionell betriebenen Infrastruktur mit redundanten Systemen, automatisierten Backups und georedundanter Speicherung. Sie müssen sich nicht selbst um Backup-Software kümmern, keine Bänder wechseln und keine Wiederherstellungstests planen. Das übernehmen wir.

Und weil Ihre Daten in deutschen Rechenzentren liegen, ist auch die DSGVO-Konformität gewährleistet. Mehr dazu finden Sie in unserem Beitrag zum Thema US-Cloud und DSGVO. Denn wo Ihre Daten gespeichert werden, spielt für die Compliance eine entscheidende Rolle.

Natürlich ersetzt ein Cloud-Arbeitsplatz allein keine revisionssichere Archivierung. Aber er schafft die Grundlage dafür, dass Ihre Daten sicher, verfügbar und geschützt sind. Und wenn Sie sich darüber hinaus Gedanken um Archivierung machen möchten, sprechen Sie uns gerne an. Wir beraten Sie, welche Lösung in Ihrer Situation sinnvoll ist.

Denn am Ende geht es nicht darum, ein weiteres Häkchen auf einer Compliance-Liste zu setzen. Es geht darum, dass Ihr Unternehmen auch nach einem Serverausfall, einem Ransomware-Angriff oder einem Wasserschaden im Büro am nächsten Tag weiterarbeiten kann. Und dass Sie bei der nächsten Betriebsprüfung ruhig schlafen können.

Wenn Sie wissen möchten, wie der Remote-Arbeitsplatz Ihre IT sicherer und gleichzeitig einfacher machen kann, finden Sie alle Informationen auf unserer Produktseite. Oder Sie nehmen direkt Kontakt mit uns auf. Wir schauen uns Ihre Situation an und sagen Ihnen ehrlich, was sinnvoll ist und was nicht.