Neue technische Möglichkeiten wie Virtualisierung und Cloud Computing erleichtern IT-Dienstleistern die Datenverwaltung für ihre Kunden. Wichtig dabei: Daten verschiedener Kunden sind strikt voneinander zu trennen, sowohl bei der alltäglichen Datenhaltung als auch bei deren Archivierung und Sicherung. Die rechtlichen Hintergründe dieser „virtuellen Datentrennung“ und Folgen ihrer Verletzung zeigt dieser Beitrag.
Kürzlich sorgte die Berichterstattung über eine mutmaßliche Datenpanne bei der Sparkasse Köln/Bonn für Aufsehen. Diese hatte sensible Kundendaten an einen freiberuflichen Unternehmensberater „ausgelagert“, die nun bei diesem auf 25 Festplatten lagern. Die Angelegenheit könnte theoretisch durch Löschung der Daten bei diesem Berater bereinigt werden. Das Problem dabei: Dieser habe die Daten, so die Berichterstattung, „gemischt“ mit eigenen Daten gespeichert, was eine Löschung ohne Beschädigung der eigenen Daten nun beinahe unmöglich mache.
Dieser Fall wird nun möglicherweise die Gerichte beschäftigen. Er zeigt beispielhaft: Die Missachtung einer ordnungsgemäßen Datenhaltung birgt für alle Beteiligten – einschließlich der Kunden – Gefahren. Und er zeigt, dass zu einer ordnungsgemäßen Datenhaltung die Datentrennung gehört – selbst dann, wenn nur die Daten eines einzigen Kunden gespeichert werden. Der Normalfall bei IT-Dienstleistern besteht dagegen in der Speicherung sensibler Daten einer Vielzahl von Kunden. Eine Pflicht zur ordnungsgemäßen Datenhaltung kann im Falle eines IT-Projekts wie z.B. einem Outsourcing, oder einem Hosting von Daten und Anwendungen vorliegen. Auch Konstellationen des Cloud Computing oder des Angebots von SaaS umfassen regelmäßig die Pflicht des Anbieters, sensible Daten des Kunden nicht nur zu speichern und ggf. zu archivieren, sondern sie dabei auch gegen fremden Zugriff und vor Datenverlust zu sichern. Doch welche genauen Anforderungen stellt das deutsche Recht an die Datenhaltung eines IT-Dienstleisters, und wie muss er Daten speichern und ggf. trennen, um möglichen Sanktionen von Kunden, Vertragspartnern und des Staates zu entgehen?
Der Ausgangspunkt der Überlegungen: Aus den jeweiligen Verträgen zwischen Dienstleister und Kunde (also demjenigen, dessen Daten verwaltet und betreut werden) ergeben sich entweder explizit oder durch Auslegung des Vertrages (also „zwischen den Zeilen“) Pflichten des Dienstleisters. Hierzu gehört die Pflicht, mit den Daten so umzugehen, wie der jeweilige Vertrag und die sich daraus ergebenden weiteren Pflichten des Dienstleisters es erfordern. Welche weiteren Pflichten dies sind, hängt vom Wesen des jeweiligen Vertrags ab. Beispielsweise gibt beim IT-Outsourcing der Kunde zum Teil geschäftskritische Daten vollständig in die Hände des Dienstleisters; diese stehen ihm dann zum Teil gar nicht mehr selbst direkt zur Verfügung. Deshalb ergeben sich aus solchen Verträgen zum einen die Pflicht zur Beachtung der Datensicherheit (nach § 9 Bundesdatenschutzgesetz (BDSG) und der Anlage hierzu). Hierzu gehört primär die Verhinderung des Zugriffs Unberechtigter auf die Daten. Zum anderen ist die Pflicht zur regelmäßigen Sicherung der Daten sowie zu ihrer Rückgabe an den Kunden nach Vertragsende umfasst. Hinzu kommt die nicht zu unterschätzende Pflicht, jegliche Daten des Kunden zu löschen, nachdem der Vertrag beendet ist. Das alles gilt letztlich unabhängig davon, ob es sich um personenbezogene Daten (im Sinne des BDSG), um anderweitig besonders geschützte Daten (z.B. Geschäftsgeheimnisse, urheberrechtlich geschützte Werke) oder um sonstige Daten handelt.
Viele IT-Dienstleister nehmen es in der Praxis mit einem sorgfältigen Umgang mit den ihnen anvertrauten oder für den Kunden erzeugten Daten jedoch nicht allzu genau. Entweder ist bereits die IT-Infrastruktur nicht auf eine ausreichende „virtuelle Datentrennung“ ausgerichtet, oder es wird zumindest im Rahmen der Datensicherung nicht zwischen Daten verschiedener Kunden unterschieden – alle landen auf dem gleichen Backup-Tape. Anhand der zuvor dargestellten Pflichten zeigt sich, wozu ein solches Verhalten führen kann: Der Dienstleister kann gar unter Umständen nicht gewährleisten, dass Kunden nur auf ihre eigenen, nicht aber auf Daten anderer Kunden zugreifen können. Wenn er Daten „vermischt“ archiviert oder sichert, kann er dem Kunden die Archive oder Sicherungen nach Vertragsende entweder gar nicht oder nur gemeinsam mit Daten anderer Kunden herausgeben. Und er kann nach Vertragsende Daten des Kunden nicht oder nur mit unverhältnismäßigem Aufwand löschen.
Welche Sanktionen ein solches Fehlverhalten nach sich zieht, hängt vom einzelnen Verstoß und dem „rechtlichen Wert“ der einzelnen Daten ab. Generell verletzt der Dienstleister vertragliche Pflichten gegenüber seinem Kunden. Da Verstöße gegen die Datentrennung regelmäßig als zumindest fahrlässige Verletzungen der vertraglichen Sorgfaltspflicht einzustufen sind, muss der Dienstleister sämtliche Vermögensschäden ersetzen, die seinem Kunden entstehen – soweit diese nicht vertraglich ausgeschlossen sind. In Allgemeinen Geschäftsbedingungen (AGB) sollte ein solcher Ausschluss jedoch kaum möglich sein, da die Pflichten zum korrekten Umgang mit den Daten meistens als so wesentlich einzustufen sind, dass sie sich nicht in AGB ausschließen lassen.
Soweit im konkreten Fall personenbezogene Daten betroffen sind, treten Ansprüche der konkret betroffenen Personen (also z.B. der Kunden oder Mitarbeiter des Kunden) gegen den Dienstleister hinzu. Zudem drohen aufsichtsrechtliche Sanktionen der Datenschutzbehörden in Form von Bußgeldern und, in letzter Zeit ein nicht zu unterschätzendes Problem der Unternehmen, ein gewaltiger Imageschaden. Geht es bei den Daten um Betriebs- und Geschäftsgeheimnisse des Kunden, droht gemäß § 17 Abs. 1 UWG sogar die Strafbarkeit des IT-Verantwortlichen, falls diese Daten wegen der „Vermischung“ bewusst an einen anderen Kunden weiter gegeben werden.
Ein Sonderfall der Pflicht zur „virtuellen Datentrennung“ ist übrigens durch die Pflicht von IT-Providern zur Vorratsdatenspeicherung (§§ 113a, 113b TKG) entstanden. Die hiervon Betroffenen (vgl. den Artikel in der InformationWeek-Ausgabe 6/2008) durften Verkehrsdaten bislang nur in Ausnahmefällen und für einen bestimmten Zeitraum speichern. Danach mussten sie gelöscht werden; das sehen die Datenschutzvorschriften so vor. Die Vorratsdatenspeicherung umfasst nun unter bestimmten Voraussetzungen eine Pflicht zur Speicherung dieser Daten für sechs Monate. Die Daten dürfen aber nur für Zwecke der Verfolgung schwerwiegender Straftaten an die Ermittlungsbehörden herausgegeben werden. Dem Spannungsfeld zwischen dieser Speicherpflicht und den nach wie vor geltenden Löschungspflichten kann ein Dienstleister nur dann entsprechen, wenn er seine Verkehrsdaten bereits bei der Speicherung ordnungsgemäß trennt.
Erstveröffentlichung: InformationWeek, Ausgabe 8/2009, S. 28 f.