Teil 3
Datensicherheit im Desasterfall
Der Schutz und die Sicherheit personenbezogener, steuerrelevanter oder sonst betriebskritischer Daten (wie insbesondere IP-Daten, also solche des geistigen Eigentums) werden durch verschiedene nationale und internationale Regelwerke gewährleistet. Verantwortliche, die personenbezogene Daten verarbeiten, sind verpflichtet, geeignete Maßnahmen zu treffen, um zu gewährleisten, dass die einschlägigen Sicherheits- und Schutzanforderungen (bspw. aus Art. 32 DSGVO) erfüllt sind. Es muss sichergestellt werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden. Als Maßnahme dafür ist u.a. das Vorhandensein eines Backup-Konzepts vorzusehen, um sicherzustellen, dass Daten nicht verloren gehen, selbst wenn sie versehentlich gelöscht oder zerstört werden. Auch die Rechtsprechung unterstreicht, dass eine zuverlässige IT-Sicherheit in Bezug auf Unternehmensdaten zu den Selbstverständlichkeiten im Zeitalter digitaler Datenverarbeitungen gehört.
Verfügbarkeitshaftung
Zwingender Bestandteil des sonach gebotenen IT-Risikomanagements ist die jederzeitige Gewährleistung eines effizienten Kontinuitätsmanagements („desaster recovery“, „business continuity“). Dies beinhaltet das schnelle Wiederanlaufen von Systemen nach Ausfall oder Datenverlust. Das Vorhandensein eines geeigneten, zeitgemäßen Notfallplans wird folgerichtig ebenfalls als organisatorische Selbstverständlichkeit der „corporate governance“ vorausgesetzt. Dieser ist in regelmäßigen Abständen durch geeignete „scharfe“ Tests auf seine Belastbarkeit zu überprüfen. Auch in den Maßnahmenkatalogen zu den spezielleren datenschutz- und datensicherheitsrechtlichen Normen, best practices und Kompendien zur Verfügbarkeitskontrolle (s.o.) sind ein zeitgemäßes Backup-Konzept und die Dokumentation der regelmäßigen Überprüfung auf Schlüssigkeit, Angemessenheit und Funktionalität unverzichtbar. Ein nicht hinreichend ausgearbeitetes und gemeinsam mit dem Anbieter verbindlich nach allen Seiten technisch, rechtlich und organisatorisch abgesichertes Outsourcing genügt wie zuvor aufgezeigt nicht, das delegierende Unternehmen und dessen Management hinsichtlich der – gegebenenfalls auch persönlichen – Haftung aus der Verantwortung zu nehmen.
Es ist wichtig, zeitgemäße Backup-Systeme zu implementieren und regelmäßig zu überprüfen, um Datenverluste oder Kompromittierungen vorzubeugen und diese gegebenenfalls an neue Bedrohungsszenarien anzupassen. Diese Systeme müssen auch den Anforderungen des Datenschutzes gerecht werden. Das Management ist dafür verantwortlich, durch effiziente IT-Sicherheitsmaßnahmen, insbesondere durch Backup-Strategien, sichere Archivierung und entsprechende IT-Richtlinien, den Schutz von unternehmenskritischen und personenbezogenen Daten vor Verlust oder unerwünschter Offenlegung zu gewährleisten.
Konkret verlangt die Rechtsprechung die Implementierung und Überprüfung zuverlässiger Sicherheitsroutinen im Bereich Produktivsystem, Archivsystem und Backup. Datensicherungsroutinen, die nicht täglich die Unternehmensdaten sichern und eine Vollsicherung in zeitlich angemessenen Abständen (aber mindestens einmal wöchentlich) gewährleisten, sind hiernach ungeeignet. Die Delegierung dieser Aufgaben an ein IT-Fachunternehmen entbindet das Unternehmen selbst nicht von seiner (haftungs-) rechtlichen Verantwortlichkeit für den Schutz und die Sicherheit seiner Daten und Systeme. Dies kann sogar gelten bei einem Verschulden des externen IT-Dienstleisters für einen Datenverlust, wenn das den Auftrag erteilende Unternehmen die Konsequenzen dieses Verlusts durch unzuverlässige Desaster- und Backup-Strategien mitverursacht hat. Der Mitverschuldensanteil kann hier bis zu 100 %, also bis zur Vollhaftung des Unternehmens, führen. Selbst wenn Mitarbeiter externer EDV-Fachfirmen für den Verlust von unternehmenskritischen Daten verantwortlich wären, bliebe es dabei, dass dem Unternehmen selbst eine Alleinschuld am entstandenen Datenverlust und damit an dem hierdurch verursachten finanziellen Schaden vorzuwerfen wäre.
Im Allgemeinen zeigt sich ein Trend der Gerichte dahingehend, dass sie die Vorlage von Daten in einer beweissicheren (bzw. „gerichtsfesten“ Form) verlangen, selbst wenn diese Daten bereits vor langer Zeit auf großen, möglicherweise externen oder internationalen Backupsystemen gespeichert wurden und daher schwer zugänglich sein können. Diese Verpflichtung besteht unabhängig von höherer Gewalt oder Fremdverschulden. Dies erfordert möglicherweise den Einsatz moderner IT-Systeme, die starke Beweise für die Beweissicherheit und somit letztendlich die Rechtssicherheit liefern.