Rechtssicheres Backup als Verpflichtung der IT-Compliance

RA/Fachanwalt für IT-Recht Dr. Jens Bücking, Stuttgart

 

Während vormals der Schutz des geistigen Eigentums und die Innovationskraft eines Unternehmens die entscheidenden Faktoren für Marktverbleib und Markterfolg waren, ist es im Zeitalter der globalen Vernetzung von Daten und Systemen auch die jederzeitige Verfügbarkeit von Information. Nationale und internationale Gesetze und Regelwerke tragen diesem Umstand zunehmend Rechnung.

Im Regierungsauftrag durchgeführte Studien etwa der Wirtschaftsministerien Deutschlands und Großbritanniens, aber auch privatwirtschaftliche Auswertungen internationaler Institute (Gartner, Forrester, Ponemon, Ernst & Young etc.) belegen, dass bereits ein relativ kurzfristiger Ausfall von Schlüsselsystemen der IT über die Fortexistenz eines Unternehmens entscheiden kann.

Hackerangriffe und Sabotageakte haben im Jahr 2014 dramatisch zugenommen haben. Dasselbe gilt für die Wirtschaftsspionage; hiervon betroffen ist in der EU vor allem der deutsche Mittelstand, der sich einerseits zwar zunehmend der Gefahren von Bedrohungen für sein geistiges Eigentum und die Verfügbarkeit seiner Daten und Systeme bewusst wird, anderseits aber hinsichtlich des Krisenmanagements und der IT-Sicherheit oft noch nicht angemessen reagiert.

Der Schaden, der deutschen Unternehmen durch Wirtschaftsspionage entsteht, wird auf jährlich 4 Milliarden Euro geschätzt. Hierbei sind die mittelbaren – und oft noch wesentlich weiter reichenden – Schäden wie der Verlust des Vertrauens von Kunden und Geschäftspartnern sowie die langfristige Beschädigung des Unternehmens in der öffentlichen Wahrnehmung als „weiche“, unbezifferbare Faktoren nicht mit eingerechnet. Letzteres kann insbesondere dann von besonderer Relevanz sein, wenn es um den Verlust oder die unfreiwillige Verbreitung besonders sensibler Daten geht. Hiervon sind die Betroffenen zu benachrichtigen. Unter bestimmten Umständen kann Unternehmen im Rahmen der sogenannten „Skandalisierungspflicht“ sogar auferlegt werden, diesen Umstand durch Presseverlautbarungen öffentlich zu machen. Eine Benachrichtigungspflicht entfällt jedoch in Fällen, in denen ein Sicherheitskonzept nachgewiesen wurde, in dem die betroffenen Daten durch geeignete technische Vorkehrungen gesichert und insbesondere unter Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens gespeichert wurden.

Der Schutz von unternehmenskritischen Informationen ist als Element der „corporate governance“ Chefsache und zu gewährleisten durch ein geeignetes Risikomanagementsystem und dessen Überwachung, fortlaufender Anpassung und Dokumentation. Bereits das Fehlen der Dokumentation alleine kann ausreichen, um von einem wesentlichen Pflichtenverstoß der zuständigen Organe auszugehen. Dies wiederum impliziert Fragen der persönlichen Haftung des Managements, der Comliance- und Sicherheitsbeauftragten und weiterer Entscheider in Schlüsselpositionen. Im Falle erheblicher Pflichtenverstöße ist überdies der Versicherungsschutz des Unternehmens und der Mitglieder des Managements gefährdet.

Zwingender Bestandteil des IT-Risikomanagements ist die jederzeitige Gewährleistung eines effizienten und zeitgemäßen Kontinuitätsmanagements (Disaster Recovery, Business Continuity). Dies beinhaltet das schnelle Wiederanlaufen von Systemen nach Ausfall oder Datenverlust. Unabdingbar ist hierfür ein Backup-Management, das – abgestuft nach der Unternehmensrelevanz der jeweiligen Daten – die Szenarien eines Desasters abbilden muss. Schlüsselsysteme wie das ERP beispielsweise sollten umgehend mit möglichst tagesaktuellen Daten neu geladen werden können. Weniger zeitkritische Daten, die beispielsweise für externe oder interne Audits oder für ein Gerichtsverfahren als beweisrelevante Dokumente benötigt werden, sollten innerhalb von einer bis maximal zwei Wochen verfügbar sein.

Die Gerichte sehen es als unternehmerische Selbstverständlichkeit an, über zeitgemäße Backup-Systeme, deren Funktionalität durch regelmäßige Überprüfungen zu gewährleisten und gegebenenfalls an veränderte Bedrohungsszenarien anzupassen ist, Vorsorge zu treffen. Solche Systeme müssen gleichzeitig aber auch den Bedürfnissen des Datenschutzes gerecht werden. Die Aufgabe des Managements ist es mithin, technisch-organisatorisch und rechtlich durch effiziente Maßnahmen der IT-Sicherheit, insbesondere durch Backup-Strategien, „beweissichere“ Archivierung und flankierende IT-Richtlinien den Schutz unternehmenskritischer und personenbezogener Daten gegen Verlust oder ungewollte Offenlegung zu gewährleisten. Das Outsourcing beispielsweise in internationale Cloud-Strukturen oder auch in nationale Rechenzentrumslösungen genügt hierbei nicht, das delegierende Unternehmen und dessen Management hinsichtlich der – gegebenenfalls auch persönlichen – Haftung zu Lasten beauftragter IT-Unternehmen zu „exkulpieren“, also aus der haftungsrechtlichen Verantwortung zu nehmen. Zu beachten ist in diesem Kontext auch die Beweislastumkehr, wonach in Fällen, in denen streitig ist, ob die zuständigen Mitglieder des Managements die Sorgfalt eines ordentlichen und ungewissenhaften Geschäftsleiters angewandt haben, diese zu ihrer Exkulpation die alleinige Beweislast trifft.

Was konkret das Backup-Management anbelangt, verlangt die Rechtsprechung als allgemeine Schutz- und Sorgfaltspflicht, dass regelmäßig und zuverlässig geeignete, lückenlose Datensicherungsroutinen eingesetzt werden. Dies dürfen auch externe Fachleute – wie etwa mit Wartung und Support beauftragte IT-Firmen oder Rechenzentrumsbetreiber, die im Wege der Auftragsdatenverarbeitung mit den Daten und Systemen des Unternehmens arbeiten – ohne besondere Erkundigungspflicht als Selbstverständlichkeit voraussetzen. Es bestehen insoweit keine zusätzlichen Überprüfungspflichten solcher externer Dritter. Datensicherungsroutinen, die nicht täglich die Unternehmensdaten sichern und eine Vollsicherung mindestens einmal wöchentlich gewährleisten, sind hiernach ungeeignet.

Auch nach den spezielleren Regelungen des Bundesdatenschutzgesetzes zur Verfügbarkeitskontrolle ist sicherzustellen, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt werden. In den zugehörigen Maßnahmenkatalogen sind ein zeitgemäßes Backup-Konzept und die Dokumentation der regelmäßigen Überprüfung auf Schlüssigkeit, Angemessenheit und Funktionalität unverzichtbar.

Allgemein ist eine Tendenz der Gerichte zu erkennen, eine Vorlage von Daten, auch wenn diese bereits vor langer Zeit in großen und gegebenenfalls auch externen oder internationalen (Cloud- oder Backup-) Speichern abgelegt wurden und entsprechend schwer verfügbar gemacht werden können, für ein laufendes Verfahren in einer beweisverwertbaren Form zu verlangen, wobei diese Verpflichtung besteht unabhängig von gegebenenfalls höherer Gewalt oder etwaigem Fremdverschulden.