6 minute read
Hilfe, wie komme ich an meine Daten?
RA Yves Gogniat
Die Vorteile werden von Anbietern gerne hervorgehoben. Die Nachteile gehen dagegen gerne ein wenig vergessen, sollten aber bei der Auswahl eines IT-Dienstleisters unbedingt beachtet und die Risiken so weit als möglich reduziert werden.
Advertisement
Risiken bei der Auslagerung Einer der grössten Nachteile besteht sicherlich darin, dass man sich als Kunde in eine Abhängigkeit begibt. Der ordentliche Betrieb (Verfügbarkeiten, Reaktionszeiten oder Service Levels etc.) wird bei Vertragsschluss meist geprüft, diskutiert und teilweise auch verhandelt. Die Beendigung und die Datenrückgabe sind meist weniger ein Thema und noch weniger wird die ausserordentliche Kündigung im Detail geprüft. Bereits eine ordentliche Kündigung kann mit Problemen behaftet sein, wenn die Kosten der Rückabwicklung sowie die technischen Modalitäten (bspw. Datenformat) nicht genau geklärt sind. Können sich die Parteien nachträglich nicht über die Modalitäten einigen, kann dies allenfalls vor dem Richter enden. Ein Gerichtsverfahren ist nicht nur teuer, es kann auch dazu führen, dass die Daten für längere Zeit blockiert bleiben. Für einen Kunden kann die Blockierung der Daten gravierende wirtschaftliche Folgen haben.
IT-Dienstleister im Konkurs Meist findet sich eine Vertragsklausel, welche beispielhaft verschiedene Kündigungsgründe aufführt. Die Abwicklung einer ausserordentlichen Kündigung ist in den seltensten Fällen genauer geregelt. Im Ergebnis führt dies zwar dazu, dass der Vertrag aufgelöst werden kann und keine Kosten mehr anfallen, der Zugang zu den Daten kann
Die Auslagerung der IT in die Cloud oder auch nur in ein einzelnes Rechenzentrum bringt für Unternehmen viele Vorteile. Es kann beispielsweise von Skaleneffekten profitiert werden, was zu einer besseren Qualität und Sicherheit der IT-Infrastruktur führen kann. Gleichzeitig birgt die IT-Auslagerung aber auch die Gefahr der Abhängigkeit, diese Gefahr darf bei der Auslagerung nicht unbeachtet bleiben.
aber trotzdem verwehrt bleiben. Aus wirtschaftlicher Sicht ist der Zugang zu den eigenen Daten oder das Funktionieren einer Software meist viel wesentlicher als die Weiterbezahlung der Gebühren bis zum ordentlichen Kündigungstermin. Eine etwas bessere Vertragsformulierung besteht darin zu vereinbaren, dass das Eigentum (wenn auch juristisch nicht korrekt) an den Daten beim Kunden verleiben soll und dieser jederzeit die Herausgabe der Daten verlangen kann. Ein Gericht oder ein Konkursamt wird eine klare vertragliche Zuordnung oft akzeptieren und einen Anspruch an diesen Daten nicht verweigern. Stellt das Konkursamt aber den Betrieb vollständig ein, ist ein kurzfristiger Zugriff ebenfalls nicht mehr möglich. Ein wesentliches Problem besteht darin, dass das geltende Recht ein Aussonderungsrecht lediglich für Sachen vorsieht (Art. 242 Abs. 1 SchKG). Rechtlich gesehen stellen Daten keine Sache dar und somit hat ein Kunde eines konkursiten Rechenzentrums nicht die Möglichkeit, ein Aussonderungsbegehren für die Daten zu stellen. Selbst wenn viele Daten als das neue Gold sehen, so kann den Daten in vielen Fällen auch kein objektiver Vermögenswert zugeschrieben werden, was dazu führt, dass diese auch nicht pfändbar sind. Einige Daten können aber durchaus einen Wert besitzen, es ist hierbei an Kundenkarteien oder auch Softwarecodes zu denken. Meist wird aber eine Verwertung trotzdem nicht möglich sein, da das Datenschutzgesetz oder Urheberrecht eine Verwertung verhindert. Im Schuldbetreibungsund Konkursrecht findet sich heute keine klare rechtliche Regelung zum Umgang mit Daten im Konkurs. Möchte ein Kunde im Konkurs Zugang zu seinen Daten haben, ist man heute auf den Goodwill des Konkursamtes angewiesen. Ein Anspruch auf den Weiterbetrieb eines Rechenzentrums im Konkurs, damit die Daten migriert werden können, besteht somit nicht. So kann es durchaus sein, dass ein Konkursamt aus Kostengründen ein Rechenzentrum relativ schnell abschaltet und damit den Zugang verunmöglicht. Was dazu führen kann, dass ein Zugang zur Buchhaltung oder zum Kundenstamm plötzlich nicht mehr möglich ist und durch den Konkurs des IT-Dienstleisters auch das eigene Unternehmen mehrheitlich stillsteht. Dies ist selbst bei einer eigenen Software der Fall. Diese ist zwar urheberrechtlich weiterhin geschützt, es lässt sich daraus aber keinen direkten Anspruch auf die Daten ableiten. Wird die Software extern gehostet, kann selbst der Zugriff auf die eigene Software blockiert sein.
Gesetzesrevision Das Problem einer unbefriedigenden Rechtslage ist bereits seit Längerem bekannt und wurde nun im Rahmen der laufenden Gesetzesrevision, mit welcher die Rechtsgrundlagen für die rechtskonforme Nutzung der Blockchain geschaffen werden sollen, ebenfalls aufgenommen. Der Bundesrat hat es als angebracht erachtet, im Rahmen dieser Revision eine entsprechende Regelung im Konkursrecht zu schaffen, welche für alle Daten gilt und nicht nur für die Daten einer Blockchain. Sofern das Parlament dieser Neuerung zustimmt, sind in Zukunft auch Daten im Konkurs geschützt bzw. können vom Kunden herausverlangt werden. Das Risiko, als Kunde eines konkursiten Rechenzentrums seine Daten zu verlieren, würde mit der Neuerung stark vermindert. Es ist ein längst überfälliger Schritt. Es ist wohl unbestritten, dass ein Zugang und die Kontrolle über ihre Daten für
die meisten Unternehmen heute überlebenswichtig sind.
Risikomanagement Die Gesetzesanpassung schafft lediglich Klarheit in Bezug auf die Eigentumsverhältnisse, es werden dadurch aber nicht alle Risiken eliminiert. Weshalb im Rahmen des Business Continuity Planning (BCP) nicht einfach darauf vertraut werden darf, dass man automatisch und unterbrechungsfrei Zugang auf seine Daten erhalten wird. Das Recht auf einen Zugang zu den eigenen Daten garantiert nicht, dass im Konkurs das Konkursamt unmittelbar einen Zugang zu den Daten garantieren muss. Es kann daher durchaus sein, dass der Zugang zu den eigenen Daten für eine gewisse Zeit verunmöglicht ist. Noch länger wird der Zugang zu den
«Hält die Konkursverwaltung den Anspruch für unbegründet, so setzt sie dem Dritten eine Frist von 20 Tagen, innert der er beim Gericht am Konkursort Klage einreichen kann (Art. 242b Abs. 2 E-SchKG).»
eigenen Daten dauern, wenn der Anspruch umstritten ist. Ein Aussonderungsverfahren wird längere Zeit in Anspruch nehmen und damit den Zugang zu den Daten blockieren. Ist jederzeitiger Datenzugriff für das Unternehmen überlebenswichtig, sollte weiterhin eine Backup-Lösung bei einem zweiten Anbieter geprüft werden. Es kann dabei auf ein simples Datenbackup gesetzt werden, allenfalls sogar durch Auslieferung der Daten auf eine eigene externe Festplatte oder falls Software betroffen ist, sollte eine Escrow-Lösung geprüft werden. Bei geschäftskritischen Anwendungen muss eine Lösung gewählt werden, die einen schnellen Switch und die Aufrechterhaltung des Betriebes ermöglicht. Viele Unternehmen sind sich gar nicht bewusst, wie stark sie auf einen jederzeitigen Datenzugriff angewiesen sind. Bei einer Auslagerung sollte daher immer eine entsprechende Prüfung erfolgen. Selbst wenn eine gesetzliche oder vertragliche Berechtigung an den Daten ohne Probleme nachgewiesen werden kann und das Konkursamt einen schnellen Zugriff gewährt, heisst das noch nicht, dass der Betrieb reibungslos weitergeführt werden kann. Das Konkursamt wird nur eine kurze Zeitspanne für eine Datenmigration gewähren. Eine kurzfristige Migration wird oft nicht unproblematisch sein, ist doch eine geplante Migration meist mit grösserem Aufwand und Risiken verknüpft. Bei PaaS- oder SaaS-Lösungen wird kaum eine einfache Übertragung zu einem neuen Anbieter möglich sein. Des Weiteren kann es allenfalls auch sein, dass sich die Daten gar nicht beim Unternehmen befinden. Bei einem reinen Hostinganbieter mit eigener Infrastruktur verbleiben die Daten meist in dessen Infrastruktur. Handelt es sich um einen SaaS-Anbieter, wird dieser für die Datenspeicherung vielfach auf einen externen Hostingpartner zurückgreifen (bspw. AWS oder Azure), was den Zugang zu den Daten nochmals massiv verkomplizieren kann. Ebenfalls gilt es zu beachten, dass die angedachte Gesetzesänderung nur für die Schweiz gelten wird und keine extraterritoriale Wirkung entfaltet. Viele IT-Unternehmen operieren heute international, was dazu führen kann, dass sich die Daten schlussendlich gar nicht mehr in der Schweiz befinden. Liegen die Daten nun bei einer ausländischen Tochtergesellschaft, gilt das lokale Recht, und als Kunde komme ich allenfalls nur noch über die Tochtergesellschaft an die Daten heran. Der Konkurs seines IT-Dienstleisters bedarf auch nach der geplanten Gesetzesänderung immer noch einer sorgfältigen Risikoanalyse und es muss weiterhin ein umfassendes Business Continuity Planning betrieben werden. ■
