DAllgemein

Datensicherung vs. Archivierung (GoBD/DSGVO)

Backup = Wiederherstellung; Archiv = revisionssichere Aufbewahrung/Belege.

Datensicherung (Backup) und Archivierung werden im Alltag oft verwechselt, erfüllen aber unterschiedliche Zwecke: Ein Backup dient der schnellen Wiederherstellung von Daten nach Verlust, Ransomware oder Bedienfehlern. Ein Archiv dient der langfristigen, unveränderbaren und nachvollziehbaren Aufbewahrung von geschäftlichen Unterlagen (z. B. Rechnungen) – in Deutschland häufig nach GoBD und unter Beachtung der DSGVO.

Was ist der Unterschied – in einem Satz?

Backup = Wiederherstellen (Betrieb schnell wieder aufnehmen). Archiv = beweissicher aufbewahren (Prüfungen, Nachweise, Aufbewahrungspflichten).

Datensicherung (Backup): Zweck, Merkmale, Beispiele

Ein Backup ist eine Kopie von Daten/Systemen, damit Sie nach einem Vorfall den aktuellen Arbeitsstand wiederherstellen können. Typische Ziele sind kurze Ausfallzeiten und geringe Datenverluste (RPO/RTO).

  • Typische Inhalte: Server/VMs, Dateien, Datenbanken, E-Mail-Postfächer, SaaS-Daten (M365/Google Workspace).
  • Beispiele: tägliche inkrementelle Sicherung, wöchentliches Vollbackup, Image-Backup für schnelle System-Restore.
  • Schutz vor Angriffen: Offsite/Offline/Immutable Backups, getrennte Admin-Konten, regelmäßige Restore-Tests.

Wichtig: Ein Backup ist nicht automatisch „revisionssicher“. Dateien können überschrieben, gelöscht oder ohne Protokoll verändert werden – das reicht für steuerliche Nachweise oft nicht.

Archivierung: Zweck, GoBD-Anforderungen, Beispiele

Archivierung bedeutet die revisionssichere Ablage von aufbewahrungspflichtigen Unterlagen über definierte Fristen. Für KMU relevant sind vor allem GoBD-Grundsätze (Nachvollziehbarkeit, Vollständigkeit, Unveränderbarkeit, Ordnung) sowie handels- und steuerrechtliche Aufbewahrungspflichten.

  • Typische Inhalte: Ausgangs-/Eingangsrechnungen, Buchungsbelege, Kassen-/Z-Bons, Verträge, Geschäftsbriefe, E-Mails mit Belegfunktion.
  • Technische Merkmale: WORM/Immutable-Speicher, Versionierung, Protokollierung (Audit-Trail), Berechtigungskonzepte, definierte Aufbewahrungs- & Löschregeln.
  • Beispiel: Rechnung wird nach Erstellung/Empfang im DMS archiviert, mit Metadaten (Datum, Lieferant, Belegnummer) versehen und gegen nachträgliche Änderungen gesperrt.

DSGVO: Was beide gemeinsam beachten müssen

Backup und Archiv müssen DSGVO-konform betrieben werden: Zweckbindung, Datenminimierung, geeignete TOMs (Zugriffsschutz, Verschlüsselung), und Löschkonzepte. Gleichzeitig können Aufbewahrungspflichten eine längere Speicherung rechtfertigen – entscheidend ist die saubere Trennung: „Aufbewahren müssen“ (Archiv) vs. „für Notfallwiederherstellung vorhalten“ (Backup).

Wie setzen KMU das praktisch um? (Kurz-Checkliste)

  • Backup-Strategie definieren: 3-2-1-Regel (3 Kopien, 2 Medien, 1 extern), plus immutable/offline Anteil gegen Ransomware.
  • Archiv-System festlegen: DMS/ERP-Archiv mit Unveränderbarkeit, Protokollierung, Rollenrechten und klaren Aufbewahrungsfristen.
  • Prozesse dokumentieren: Wer archiviert was wann? Wie werden Belege gefunden? Wie werden Restores getestet?
  • Lösch- & Aufbewahrungsplan: DSGVO-Löschfristen und gesetzliche Aufbewahrungsfristen abgestimmt (inkl. Sperr-/Aufbewahrungsgründen).

Merksatz: Ohne Backup riskieren Sie Betriebsstillstand. Ohne Archiv riskieren Sie Probleme bei Betriebsprüfung, Nachweispflichten und Compliance – beides ist notwendig, aber es sind unterschiedliche Systeme mit unterschiedlichen Regeln.