Daten im Recht
Wer in den Gesetzen nach dem Begriff «Daten» sucht, wird nicht wirklich fündig, ausser im Datenschutzgesetz. Welche Daten sind im rechtlichen Umfeld von Bedeutung? Viel mehr, als man zunächst meinen würde – und zugleich auch weniger. Zudem hängen die Anforderungen an die Datensicherheit von Kriterien ab, die mit den Daten als solchen gar nichts zu tun haben.
Unter dem Datenschutzrecht gilt alles als rechtlich relevante Daten, was irgendeinen Bezug zu einer Person oder einem Unternehmen hat. Wenn man überlegt, welche Daten in einem Unternehmen einen Bezug zu Personen oder anderen Unternehmen haben, stellt man rasch fest: eine Unmenge. Jede Offerte, jede Bestellung, jede Lohnzahlung, jede Rechnung, jede Zahlung, jede Qualifikation, jede Notiz über ein Beförderungsgespräch.
Daneben gibt es im Unternehmen viele Daten, die für das Unternehmen enorm wichtig sind, aber datenschutzrechtlich ohne Belang: die Finanzbuchhaltung im engeren Sinn (oder Detailbelege) samt der daraus abgeleiteten Bilanz und Gewinnrechnung, die Lagerbuchhaltung, die Ressourcenplanung, die Produkteplanung, die Marketingmassnahmen, die Produktionssteuerung und vieles mehr. Unter diesen Daten interessiert sich der Gesetzgeber ganz besonders für die finanziellen Daten, also Finanzbuchhaltung und speziell Bilanz und Gewinnrechnung. Diese müssen nämlich richtig sein und die finanzielle Situation des Unternehmens objektiv wiedergeben, damit sich die Teilhaber, Aktionäre, Gläubiger usw. ein verlässliches Bild von der finanziellen Gesundheit des Unternehmens machen können.
Handelt es sich um ein börsenkotiertes Unternehmen, sind solche Daten noch deutlich «kritischer», d.h. die Anforderungen sind noch deutlich höher.
Eine weitere Gruppe von Daten sind solche, die für das Unternehmen sehr wichtig sind, aber datenschutzrechtlich ohne Belang, und für die Aktionäre oder die Börsenaufsicht primär auch nicht so wichtig: alle geheimen Daten, wie Fabrikations- und Geschäftsgeheimnisse, Anstellungsbedingungen, vertragliche Bindungen mit anderen Unternehmen, Distributions- und Absatzkanäle und ‑systeme, und vieles mehr. Ein Sonderfall sind Daten mit Bezug auf den Gewinn oder Zukunftspläne des Unternehmens, wenn das Unternehmen börsenkotiert ist: dann hat die Datensicherheit sogar den zusätzlichen Aspekt, dass die Daten nicht nur «nach aussen» sicher sein müssen, sondern auch «nach innen»: die Insider-Problematik.
Und dann kommt im heutigen Unternehmen die Flut belangloser Daten (Mail an alle: in den Küchen hat es heute Gipfeli), die in einer nicht minderen Flut von Daten mitschwimmt, bei welchen man erst nach Analyse der Daten selbst entscheiden kann, ob und für wen sie wichtig sind – und daher sicher sein müssen ‑, und worauf sich diese Sicherheit bezieht.
Kritische Daten: nicht für alle dieselben
Sehr viele Daten sind für gewisse Unternehmen kritisch, für andere nicht. Nehmen wir als Beispiel ein Unternehmen, das eine Datenbank betreibt, zum Beispiel mit Patent-Informationen. Für dieses Unternehmen ist die Sicherheit dieser Patent-Informationen von hoher Bedeutung; für den Nutzer der Datenbank ist es zwar ärgerlich, wenn eine bestimmte Patent-Information nicht oder unrichtig verfügbar ist, aber das hat bei weitem nicht denselben Stellenwert wie für den Datenbank-Betreiber. Zudem sind Patent-Informationen öffentlich zugänglich und jederzeit wiederherstellbar.
Die Datensicherheit für den Datenbank-Betreiber ist daher in diesem Beispiel nur eine Frage der technischen Verfügbarkeit korrekter Daten. Fragen, die sich einem börsenkotiertes Unternehmen bezüglich Insiderkenntnissen stellen, oder einem Fabrikationsunternehmen bezüglich Fabrikationsgeheimnissen, sind für die Datenbank-Betreiberin bezüglich der Patent-Informationen irrelevant.
Kategorisieren - nicht immer einfach,
aber rechtlich wichtig
Viele dieser Daten lassen sich relativ leicht kategorisieren. Es ist keine Hexerei, FIBU-Daten zu lokalisieren und datensicherheitsmässig entsprechend zu behandeln. Auch Fabrikationsgeheimnisse sind, wenn das Unternehmen einigermassen wohlgeordnet ist, an einem bestimmten Ort abgelegt und nicht im ganzen Unternehmen verteilt. Doch halt – wie steht es, wenn der Entwicklungs-Ingenieur einem Kunden im Rahmen einer Offerte oder eines gemeinsamen Projekts gewisse Dinge mitteilt? Dann stehen Fabrikationsgeheimnisse plötzlich auch in einem E-Mail, zwischen belanglosem Chat, Routinekorrespondenz, Mails mit privatem Inhalt und der letzten Newsletter des Unternehmens.
Es wäre ein Fehler zu meinen, das seien alles Dinge, die man leicht in den Griff bekommt und die keine rechtliche Bedeutung haben. Es kann sehr wohl darauf ankommen.
Die spontane Lösung des Problems ist keine wirkliche Lösung. Top-Sicherheit mit allen Aspekten der Sicherheit ist teuer. Der Datenträger als solcher ist, wenn man von Top-Sicherheit redet, gar kein Kostenfaktor. Es ist das organisatorische Drum-Herum. Und es ist, wie jeder nur schon aufgrund des täglichen Ärgers mit Passwörtern weiss, der damit verbundene «lästige» Zusatzaufwand für alle, die mit «sicheren» Daten zu tun haben. Würde sich ein Unternehmen entscheiden, alle seine Daten so sicher zu halten, wie es für seine Daten mit grösster Kritikalität richtig ist, würde es stillstehen: die Mitarbeiter wären nur noch mit Sicherheit, Passwörtern, Zugangskontrollen und Ähnlichem beschäftigt. Die Devise heisst also, auf den Punkt gebracht und überspitzt formuliert, nicht «soviel Sicherheit wie möglich», sondern «sowenig Sicherheit wie nötig – plus eine Sicherheitsmarge».
Keine einheitlichen Anforderungen im Recht
Die Erfüllung der sehr hohen Anforderungen an die Datensicherheit gemäss Datenschutzgesetz und vor allem gemäss Datenschutzverordnung ist schon als solche eine anforderungsreiche Aufgabe. Verlangt wird weit mehr als «sichere Speicherung», für welche man Routine-Backup-Prozeduren einrichtet. Die Datenschutzverordnung verlangt in Art. 8 nicht nur technische Massnahmen, sondern auch organisatorische, und sie verlangt Massnahmen nicht nur bezüglich Sicherheit im Sinne von Wiederherstellbarkeit, sondern auch im Sinne von Verfügbarkeit, Vertraulichkeit und Richtigkeit. Gemäss Artikel 9/10 sind nicht weniger als acht (!) Kontrollsysteme zu gewährleisten, nämlich Zugangskontrolle, Datenträgerkontrolle, Datentransportkontrolle, Bekanntgabe-(Zugriffs-)kontrolle, Speicherungskontrolle, Protokollierung, undsoweiter.
Gemäss der sogenannten GeBüV (Geschäftsbücherverordnung vom 24. April 2002) werden an die elektronische Aufbewahrung von Belegen (Daten!) hohe Anforderungen gestellt. Was man vor 20 Jahren mit Durchschlagskopien im Keller – in endlosen Gestellen, mit Rauchverbot und hinter feuersicheren Türen … – relativ leicht bewerkstelligte, ist elektronisch gar nicht trivial: Datenintegrität, Datensicherheit, Zugangs‑ und Zugriffskontrolle und Ähnliches konnte mit einfachen Mitteln gewährleistet werden. Aber eben nicht für die Unmengen von Daten, die heutzutage anfallen. Nicht auszudenken, wieviel Keller das braucht, wenn systematisch alle Mails ausgedruckt und schön der Reihe nach abgelegt und im Keller aufbewahrt werden!
Sehr anforderungsreich wird es im Bereich der Steuern. Hier stellt die sogenannte ElDi-Verordnung (ElDi steht für elelektronisch übermittelte Daten und Informationen) vom 30. Januar 2002 so hohe Anforderungen, dass es vielfach doch noch einfacher und billiger ist, die steuerlich relevanten Belege (vor allem im Bereich der Mehrwertsteuer!) als Original im Keller aufzubewahren.
Datensicherheit im Recht: komplex
und vielschichtig
Schon diese kurzen Bemerkungen zeigen, dass Datensicherheit weit über die blosse Wiederherstellbarkeit und Verfügbarkeit hinausgeht. Ein Unternehmen verfügt erst dann über sichere Datenhaltung, wenn es seine Daten analysiert hat, deren Kritikalität bewertet hat, die rechtlichen und die – damit oft nicht kongruenten ‑ Anforderungen eruiert hat, und dann die Sicherheitsanforderungen mit vernünftigen Mitteln und Methoden erfüllt – so, dass die Mitarbeiter immer noch arbeiten können.
