Aktuell in der CR
Business Continuity bei Nutzung unternehmenskritischer Daten in der Cloud (Bierekoven, CR 2021, 217-225)Der Beitrag zeigt auf, welche Risiken für den Auftraggeber bei Nutzung unternehmenskritischer Daten in einer Cloud-Lösung bestehen, wenn der Cloud-Anbieter die Nutzung oder Herausgabe behindert oder verweigert. Hierauf aufbauend wird zum einen erläutert, warum Regelungen zur Datennutzung und -herausgabe sowohl Bestandteil des Risk Compliance Managements des Auftraggebers als auch der Verträge mit Anbietern sein müssen, und zum anderen, welche Anforderungen an die Vertragsgestaltung auch unter Berücksichtigung des Schrems-II-Urteils des EuGH vom 16.7.2020 zu beachten sind.
Anforderungen an die Vertragsgestaltung zur Sicherung der Rechte an Daten
INHALTSVERZEICHNIS:
I. Ausgangssituation
II. Schutz nach DSGVO
1. Schutz nach Art. 28 DSGVO
2. Schutz nach Art. 32 DSGVO
III. Schutz nach Geschäftsgeheimnisgesetz
IV. Schutz als „Dateneigentum“
1. Eigentum an Daten
2. Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb
3. Schutz von Daten nach § 823 Abs. 2 BGB i.V.m. § 303a StGB
4. Schutz von Daten als Datenbankwerk
V. Rechtsprechung
1. BGH
2. OLG München
VI. Fachliteratur
1. Herausgabe nach §§ 667 1. Alt., 675 Abs. 1 BGB
2. Herausgabe aus vertraglicher Nebenpflicht, § 241 Abs. 2 BGB
3. Herausgabe aufgrund ergänzender Vertragsauslegung, § 242 BGB
4. Format der Datenherausgabe
VII. Gerichtliche Durchsetzung – Lösungsansätze für die Praxis
1. Antragsfassung
2. Vollstreckung
a) Vollstreckung nach § 883 ZPO
b) Vollstreckung nach § 887 ZPO
c) Vollstreckung nach § 888 ZPO
3. Einstweiliges Verfügungsverfahren
a) Dringlichkeit
b) Vorwegnahme der Hauptsache
VIII. Multicloud-Back-ups und -Archivierung zur Sicherstellung der Business Continuity
1. Technischer Lösungsansatz
2. Vertragliche Anforderungen
3. Datenschutzaspekte – Einfluss der Schrems-II-Rechtsprechung des EuGH / datenschutzrechtlichen Anforderungen
a) Anforderungen des Schrems-II-Urteils
b) Empfehlungen des EDSA
IX. Zusammenfassung
|
I. Ausgangssituation |
1 |
Eine allgemeingültige Definition des Begriffs „unternehmenskritische Daten“ gibt es nicht. Hinweise auf den Begriff „Unternehmenskritische Informationen und Prozesse“ finden sich im Zusammenhang mit Informations-Sicherheits-Management-Systemen (ISMS) im IT-Grundschutz-Kompendium des BSI1 und sodann in den Anforderungen an Kritische Infrastrukturen (KRITIS) in § 8a BSiG i.V.m. der BSI-KritisV oder in ISO/IEC 27001 bzw. ISIS 12.2 |
2 |
Die Bestimmung „unternehmenskritischer Daten“ hat im Einzelfall anhand der in den genannten Regelwerken aufgeführten Kriterien zu erfolgen. |
3 |
Wesentliche Bestandteile eines ISMS sind danach |
|
- Analyse der unternehmensindividuellen Bedrohungslage - Risikoanalyse – Analyse der Verwundbarkeit - Definition der Schutzziele - Definition der Maßnahmen (Sicherheitsarchitektur) - Aufrechterhaltung der Maßnahmen.3 |
4 |
Im Rahmen der Bedrohungsanalyse sind die Bedrohungen für IT-Systeme zu identifizieren, die für das Unternehmen so relevant sind, dass sie bei Notfallplänen und im Business Continuity Management Berücksichtigung finden müssen.4 Eine Bedrohung ist ein potentielles Ereignis, dessen Eintritt zu einem wahrnehmbaren Schaden führt.5 Im Rahmen einer solchen Bedrohungsanalyse sind hinsichtlich der Nutzung von Daten die Bedrohungen zu identifizieren, die für das Unternehmen so relevant sind, dass sie bei Notfallplänen und im Business Continuity Management Berücksichtigung finden müssen. Eine solche Bedrohung hinsichtlich der Nutzung von Daten liegt dann vor, wenn bei Nicht-Nutzbarkeit von Daten der Geschäftsbetrieb nicht oder nur mit erheblichen Einschränkungen aufrechterhalten und/oder nicht fortgeführt werden und dies zu einem wahrnehmbaren Schaden, namentlich einem Betriebsausfallschaden, führen kann. Solche Daten sind für das Unternehmen kritisch, also unternehmenskritisch. |
5 |
Dies können personenbezogene oder nicht personenbezogene Daten sein, wie Kundenstamm- und Auftragsdaten im Rahmen eines ERP-Systems oder Maschinendaten für Maintenance-Management-Systeme oder Daten zur Steuerung der Produktionskette. Ist der Zugriff auf Kundenstamm- und/oder Auftragsdaten nicht möglich, können weder Angebote erstellt noch Rechnungen generiert oder Umsätze gebucht werden. Stehen Maschinendaten nicht zur Verfügung, kann ihre Funktionstüchtigkeit nicht überwacht werden; bei Nichtverfügbarkeit von Daten zur Steuerung der Produktionskette kann nicht produziert werden. |
6 |
Sodann sind die Schutzziele, wie Vertraulichkeit, Verfügbarkeit, Integrität und Belastbarkeit der Systeme zu identifizieren.6 Im Hinblick auf die Datennutzung ist in erster Linie das Schutzziel der Verfügbarkeit und sodann der Integrität von Daten von besonderer Bedeutung.7 |
7 |
Im Rahmen der Risikoanalyse erfolgt die Bewertung der evaluierten Bedrohung, indem dem Ereignis eine Eintrittswahrscheinlichkeit, also ein Risiko, zugeordnet wird.8 Dabei kommen neben technischen Einschränkungen bzgl. der Verfügbarkeit rechtliche Risiken in Betracht. Zur Bestimmung der Eintrittswahrscheinlichkeit und somit des Risikos ist weiter zu evaluieren, ob dem Auftraggeber bei einer Vorenthaltung von unternehmenskritischen Daten gegen den Anbieter Ansprüche auf Nutzung und Herausgabe der Daten zustehen und durchgesetzt werden können. |
8 |
Ist dies nicht der Fall oder ist die Rechtslage unklar, stellt dies ein rechtliches Risiko im Hinblick auf die Nutzung und Herausgabe unternehmenskritischer Daten dar. In diesem Fall sind vertragliche und ggf. zusätzlich technische Maßnahmen zu treffen, um dieses Risiko zu vermeiden oder weitestgehend zu minimieren. (...) |
Hier direkt weiterlesen im juris PartnerModul IT-Recht
