Pflichten des Dienstleisters

Doch welche genauen Anforderungen stellt das deutsche Recht an die Datenhaltung eines IT-Dienstleisters und wie muss er Daten speichern und gegebenenfalls trennen, um möglichen Sanktionen von Kunden, Vertragspartnern und des Staates zu entgehen? Der Ausgangspunkt der Überlegungen: Aus den jeweiligen Verträgen zwischenDienstleister und Kunde (also demjenigen, dessen Daten verwaltet und betreut werden) ergeben sich entweder explizit oder durch Auslegung desVertrages (also »zwischen den Zeilen«) Pflichten des Dienstleisters. Hierzu gehört die Pflicht, mit den Daten so umzugehen, wie der jeweiligeVertrag und die sich daraus ergebenden weiteren Pflichten des Dienstleisters es erfordern. Welche weiteren Pflichten dies sind, hängt vomWesen des jeweiligen Vertrags ab. Beispielsweise gibt beim IT-Outsourcing der Kunde zum Teil geschäftskritische Daten vollständig in die Hände des Dienstleisters; diese stehen ihm dann zum Teil gar nicht mehr selbst direkt zur Verfügung. Deshalb ergibt sich aus solchen Verträgen zum einen die Pflicht zur Beachtung der Datensicherheit (nach § 9 Bundesdatenschutzgesetz (BDSG) und der Anlage hierzu). Hierzu gehört primär die Verhinderung des Zugriffs Unberechtigter auf die Daten. Zum anderen ist die Pflicht zur regelmäßigen Sicherung der Daten sowie zu ihrer Rückgabe an den Kunden nach Vertragsende umfasst. Hinzu kommt die nicht zu unterschätzende Pflicht, jegliche Daten des Kunden zu löschen, nachdem der Vertrag beendet ist. Das alles gilt letztlich unabhängig davon, ob es sich um personenbezogene Daten (im Sinne des BDSG), um anderweitig besonders geschützte Daten (etwa Geschäftsgeheimnisse, urheberrechtlich geschützte Werke) oder um sonstige Daten handelt.