Bereits 2019 verwalteten globale Unternehmen durchschnittlich 13,5 Petabyte an Daten – fast 40 Prozent mehr als im Vorjahr, wie die Dell- Studie „Global Data Protection Index 2020 Snapshot” in ihrer vierten Auflage ermittelte. Die Sicherung exponentiell steigender Datenmengen ist nicht nur in technischer, sondern auch in rechtlicher Hinsicht eine große Herausforderung. 

„Für Backups und Archivierung können gesetzliche Speicher- und Löschpflichten gelten, die sich manchmal auch wider-sprechen“, weiß Rechtsanwalt Karsten U. Bartels, LL.M., auf IT-Recht spezialisierter Partner von HK2 Rechtsanwälte in Berlin und fügt hinzu: „Insbesondere bei der Sicherung personenbezogener oder hochsensibler Daten wie Gesundheitsdaten oder Geschäftsgeheimnissen ist die Rechtslage sehr komplex.“ 

Erst Recht, wenn es um die Auslagerung sehr großer Datenvolumina geht. „Wer zu großen Hyperscalern wie Microsoft, Google oder Amazon gehen will, muss vor dem Hintergrund des Schrems II Urteil des Europäischen Gerichtshofs genau prüfen, ob dies datenschutzrechtskonform möglich ist“, erklärt Bartels, der zugleich Vorstandsmitglied sowie Leiter der Arbeitsgruppe Recht im Bundesverband IT-Sicherheit e. V. (TeleTrusT) ist, und ergänzt: „Auch das Erfüllen von Betroffenenrechten wie Auskunft, Berichtigung oder Löschung ist bei immer größeren Datenmengen faktisch schwierig. Wie lässt sich hundertprozentig richtig und vollständig beauskunften, wenn man nicht sicher sein kann, alle Daten zum Betroffenen zusammen zu bekommen?“

Eine weitere Herausforderung beziehungsweise große Problematik im Zusammenhang mit der Daten-schutz-Grundverordnung (DSGVO) ist die Speicherung von Big Data, wie Bartels erklärt: „Für eine rechtskonforme Speicherung muss der Verarbeitungszweck vor dem Verarbeitungsbeginn feststehen, was häufig dem Wesen von Big Data Erfassung widerspricht.“

Von daher ist Unternehmen grundsätzlich zu raten, ihre Datensicherung-Vorhaben initial von IT-Rechtsanwälten prüfen zu lassen, um die Verfahren festzulegen und die allgemeinen Prozesse auf Rechtskonformität zu prüfen. „Das muss im Rahmen der DSGVO auch dokumentiert werden. Auch bei einzelnen Auslagerungen sollte mit den IT-Verantwortlichen im Unternehmen genau festgelegt werden, wie man technisch, organisatorisch und rechtlich vorgeht. Da lässt sich gut mit vorgefertigten Checklisten arbeiten“, empfiehlt Bartels und fügt hinzu: „In der Regel geht es dabei um Risikoabschichtung verschiedener Lösungen, bei welcher immer ein gewisses Restrisiko verbleibt.“

Für das Datenschutz-Management kann die Geschäftsführung auch persönlich haften. Vor diesem Hintergrund mag das Ergebnis einer Bitkom-Studie verwundern, welche besagt, dass nur jedes elfte Unternehmen gegen IT-Sicherheitsvorfälle versichert ist. Allerdings ist die Branche der Cybersecurity-Versicherungen noch relativ jung. In puncto Versicherungsschutz empfiehlt Bartels grundsätzlich eine konkrete juristische Einzelfallprüfung.

Als sinnvolle Maßnahme erachtet der Rechtsexperte die Umsetzung des vor zwei Jahren eingeführten Geschäftsgeheimnisschutzgesetzes im Unternehmen. Dieses ermöglicht Unternehmen auch die ihnen wichtigen Informationen zu schützen, die nicht durch andere Gesetze geschützt sind, wie beispielsweise Kunden- oder interne Preislisten, Produktideen, Businesspläne und vieles andere. „Schützen Unternehmen diese Daten als Geschäftsgeheimnis gemäß dem 'GeschGehG', können diverse Ansprüche entstehen. Sollte ein Unbefugter diese Informationen erlangen, nutzen oder veröffentlichen, kann er unter anderem auf Schadenersatz, Unterlassung oder auch Auskunft verklagt werden“, verrät Bartels. Voraussetzung ist allerdings, dass diese Informationen mit angemessen Geheimhaltungsmaßnahmen geschützt wurden, was auch dokumentiert werden muss.

Für das Dilemma steigender Komplexität und Compliance-Anforderungen bei etwaiger Stagnation von IT-Budgets hat Bartels leider kein Patentrezept. Aber eine möglicherweise tröstliche Sichtweise: „Es muss klar sein, dass ein guter Datenschutz eben auch Geld kostet. Und das häufig das Schadensrisiko um mehrere Dimensionen größer ist, als das eigentliche Auftragsvolumen einer Auslagerung. Zudem wird oft nicht gesehen, dass viele Datensicherungen ja auch im Rahmen der Leistungserbringung für die Kunden getätigt werden. Eine fehlerhafte IT-Sicherheit kann Kundenverträge gefährden!“