Wenn Backup und Disaster Recovery zur Pflicht wird

Themen wie Backup, Storage und Disaster Recovery sind Teil des Stands der Technik oder »State of the Art«. In vielen Fällen sind Unternehmen aber auch verpflichtet, diese Maßnahmen zu setzen. Die Grundlagen sind oft im Gesetz verankert, können aber auch in Verträgen geregelt werden. Die Rechtsgrundlagen sind sehr breit gefächert. Von Rechtsanwältin Katharina Bisset, Nerds of Law

Wenn es um den Schutz personenbezogener Daten gibt, ist eines der zentralen Themen, wann man Daten speichern darf und wann man diese löschen muss. Oft wird dabei übersehen, dass die Grundsätze der Datenintegrität und Sicherheit auch beachtet werden müssen. Das bedeutet: Wenn Daten verarbeitet – gespeichert, übertragen etc. – werden, müssen die Daten vor dem Zugriff Dritter sicher sein, aber auch korrekt und nicht durch Fehler oder Ähnliches verändert oder verfälscht werden.

Um doch noch auf die Löschung einzugehen, muss man immer mitdenken, wann und wie Daten bei Löschung auch aus Backups gelöscht werden. In der Praxis kann es zu Problemen kommen, wenn ein Backup eingespielt wird, und damit auch gelöschte Daten. So kann es vorkommen, dass beispielsweise ehemalige Newsletter-Empfänger diesen auch nach Löschung wieder zugeschickt bekommen. Die Konsequenz sind oft Beschwerden bei der Datenschutzbehörde.

Geschäftsgeheimnisse
Mit der Geschäftsgeheimnisse-Richtlinie und der Umsetzung im UWG in Österreich wurden weitere Regelungen geschaffen, mit denen Know-how und andere Geschäftsgeheimnisse geschützt werden. Voraussetzung für den Schutz ist unter anderem, dass angemessene Geheimhaltungsmaßnahmen gesetzt werden. Diese Maßnahmen sind einerseits rechtliche (zum Beispiel »Non Disclosure Agreements – NDAs«), aber auch technische.

Wenn mit Geschäftsgeheimnissen nicht umsichtig umgegangen wird, kann man im schlimmsten Fall den Schutz verlieren. Wie umfassend die technischen Maßnahmen sind, kommt auf die Bedeutung der Information, aber auch die Größe des Unternehmens und übliche Maßnahmen in der Branche an.

Gewährleistung und Schadenersatz
Bei Gewährleistung ist eine der zentralen Fragen, ob ein Mangel vorliegt. Definiert wird dieser, wenn die Ware von den vereinbarten Eigenschaften abweicht, was leichter zu beurteilen ist. Ein Mangel kann aber auch vorliegen, wenn die Eigenschaften gewöhnlich zu erwarten sind. Es kommt natürlich auf die Ware beziehungsweise das Produkt an, aber man sollte nicht vergessen, je mehr Backups und Ähnliches erwartet werden und zum Stand der Technik gehören, umso leichter wird es, ein Fehlen als Mangel zu beurteilen und daraus einen Gewährleistungsanspruch abzuleiten. Ebenso könnte es bei Schäden auch zu einem Schadenersatzanspruch kommen.

Vertrag
Ob und inwieweit Backups und Disaster Recovery Teil der Leistung sind, sollte im Vertrag geregelt werden. In vielen Fällen werden keine Regelungen getroffen, welche Vertragspartei zum Beispiel ein Backup machen muss. Ein weiterer Punkt, der bei einer vertraglichen Regelung beachtet werden muss, ist die Frage, wie das Backup gemacht werden kann. Ist bei Software-as-a-Service (SaaS) der Kunde zum Backup verpflichtet, wird dies oft nicht oder nicht einfach möglich sein, wenn die Software nicht eine entsprechende Funktion beinhaltet. Auch bei Softwarelösungen, die beim Kunden installiert werden, muss geklärt werden, wie und ob der Kunde Daten und Einstellungen exportieren kann oder nicht. Sind diese Punkte nicht geklärt, muss man im Streitfall oft sogar den Vertrag auslegen, welche Funktionen Teil einer Ware oder Dienstleistung sind und welche nicht. Zu beachten ist auch, um den Kreis zum Datenschutz zu schließen, dass es bei personenbezogenen Daten auch die Pflicht zur Datenportabilität gibt. Das ist besonders wichtig, wenn ein Unternehmer Daten seiner Kunden oder deren Endkunden verarbeitet – etwa durch Hosting.