Teil 1: Rechtspflichten, Haftungsfallen und Chancen bei der Nutzung geschäftskritischer Daten und Systeme
Im digitalen Zeitalter ist es unerlässlich, wichtige Unternehmensdaten revisionssicher zu speichern. Dies ist nicht nur aus rechtlicher Sicht geboten, sondern auch zur Einhaltung von Compliance-Standards erforderlich. Angesichts der steigenden Bedrohung durch Abhöraffären, Wirtschaftsspionage und Cyberkriminalität einerseits, und des massiven DSGVO-Bußgelds und sonstigen Sanktionsmechanismus andererseits, ist der Schutz von Geschäfts- und Personendaten von existenzieller Bedeutung. Die Gewährleistung von IT-Sicherheit ist daher eine zentrale Aufgabe im Unternehmensmanagement, da Verstöße schwerwiegende Konsequenzen haben. Es ist in der Regel fachlich und ökonomisch sinnvoller, Datenverarbeitung und -speicherung an spezialisierte IT-Dienstleister auszulagern anstatt sie unter Einsatz erheblicher personeller und finanzieller Ressourcen im eigenen Betrieb („on premise“) vorzuhalten. Die mit einem solchen Outsourcing verbundenen Chancen und Risiken sind jedoch vielen nicht genau bekannt. Diese Serie unseres CEO, Dr. Jens Bücking, Rechtsanwalt und Fachanwalt für IT-Recht, kann als Leitfaden dienen, um Risiken zu managen und durch effektives IT-Management einzuschränken.
Problemaufriss
Im Unterschied zu früher, als das (auch geistige) Eigentum, Rohstoffe, Auftragslage etc. über Wohl und Wehe eines Unternehmens entschieden, stellt die Verfügbarkeit und der Schutz von Informationen heute die betriebswichtigste Ressource im unternehmerischen Organismus dar.
Aus der Erkenntnis heraus, dass der Schutz und die Verfügbarkeit von Daten mithin ein „do-or-die“-Kriterium in Wirtschaft und Verwaltung ist, besteht von Gesetzes wegen die Verpflichtung zu einem effektiven Risiko- und Informationsmanagement. Dieses kann zwar delegiert werden, an der haftungsrechtlichen Eigenverantwortlichkeit ändert dies freilich dem Grunde nach nichts. Spiegelbildlich zur Haftung bestehen entsprechende Kontroll- und Hinweispflichten der Sonderbeauftragten für Compliance, IT-Sicherheit und Datenschutz.
Ein Outsourcing an IT-Dienstleister und externe Rechenzentren mittels SaaS- und Cloud-Modellen kann also helfen Kosten zu senken und Geschäftsprozesse zu verbessern, entbinden jedoch nicht von der eigenen Haftung.
Über ein zeitgemäßes Risikomanagement IT-Sicherheit zu gewährleisten, ist daher wesentlicher Bestandteil der Sorgfalts- und Vorsorgepflichten des Managements. Darüber hinaus verlangt das Gesetz ein effizientes Risikomanagementsystem, das eine Überwachung und Früherkennung sowie entsprechende Reaktionsszenarien im Schadensfall umfasst. Zu beachten ist in diesem Kontext auch die Beweislastumkehr, wonach in Fällen, in denen streitig ist, ob die zuständigen Mitglieder des Managements die Sorgfalt eines ordentlichen Geschäftsleiters angewandt haben, diese zu ihrer Entlastung die alleinige Beweislast trifft. Auf der Ebene der Haftungsentlastung kommt daher der Auswahl des geeigneten IT-Anbieters erhebliche Bedeutung zu.
Anbieterauswahl
Ein Gutteil der leistungsstarken Anbieter hat seinen Sitz oder seine Cloud-Serverfarmen in den schon seit 2013 ff. zunehmend in den Verdacht der außergesetzlichen verdeckten Datensammlung geratenen USA. Die Voraussetzungen einer zulässigen Übermittlung von Daten in „On-Off-unsichere Drittstaaten“ (Safe Harbor, Schrems I, Privacy Shield, Schrems II, aktuell Joe Biden’s Privacy Framework, guess…), wie die USA von der EU in datenschutzrechtlicher Hinsicht phasenweise eingestuft wird, bleibt mit erheblicher Rechtsunsicherheit behaftet.
Aber auch EU/EWR-Cloud-Lösungen bieten keine Garantie. So sind mehrere „Wellen“ des Verlusts von E-Mails eines großen Anbieters bekannt, der mit der besonderen Sicherheit seiner inländischen Standorte geworben hatte.
Da es sich bei SaaS und Cloud um Auftragsdatenverarbeitung handelt, besteht jedoch die Verpflichtung zu einer sorgfältigen Anbieterauswahl. Der Auftragsverarbeiter ist nach strengen (und zu dokumentierenden) Kriterien wie Zuverlässigkeit, Leistungsfähigkeit und seinen dem Stand der Technik entsprechend zum Einsatz kommenden technisch-organisatorischen Sicherheitsmaßnahmen (TOMs) auszuwählen.
Mit einschlägigen Sicherheits-Audits und Cloud-Zertifizierungen DIN ISO/IEC 27001, ISO 27701, ISO/IEC 22237, EN 50600, des Weiteren hersteller-/ anbieterspezifische Zertifikate wie Azure Certified etc. Rechenzentren und Anbieter von IT-Services die Einhaltung der gesetzlichen Vorgaben verlässlich und transparent nachweisen.