Daten - besser trennen!
IT-Dienstleister propagieren neue Möglichkeiten wie Virtualisierung und Cloud Computing. Ärger droht allerdings beim Umgang mit den Kundendaten. Beide Seiten sollten deshalb wichtige rechtliche Hintergründe kennen und beachten.
- Daten - besser trennen!
- Pflichten des Dienstleisters
- Viele Service-Provider schludern
- Sanktionen drohen
Kürzlich sorgte die Berichterstattung über eine mutmaßliche Datenpanne bei der Sparkasse Köln/Bonn für Aufsehen. Diese hatte sensible Kundendaten an einen freiberuflichen Unternehmensberater »ausgelagert«, die nun bei diesem auf 25 Festplatten lagern. Die Angelegenheit könnte theoretisch durch Löschung der Daten bei diesem Berater bereinigt werden. Das Problem dabei: Dieser habe die Daten, so die Berichterstattung, »gemischt« mit eigenen Daten gespeichert, was eine Löschung ohne Beschädigung der eigenen Daten nun beinahe unmöglich mache.
Dieser Fall wird nun möglicherweise die Gerichte beschäftigen. Er zeigt beispielhaft: Die Missachtung einer ordnungsgemäßen Datenhaltung birgt für alle Beteiligten – einschließlich der Kunden – Gefahren. Und er zeigt, dass zu einer ordnungsgemäßen Datenhaltung die Datentrennung gehört – selbst dann, wenn nur die Daten eines einzigen Kunden gespeichert werden. Der Normalfall bei IT-Dienstleistern besteht dagegen in der Speicherung sensibler Daten einer Vielzahl von Kunden. Eine Pflicht zur ordnungsgemäßen Datenhaltung kann im Falle eines IT-Projekts wie zum Beispiel einem Outsourcing oder einem Hosting von Daten und Anwendungen vorliegen. Auch Konstellationen des Cloud Computing oder des Angebots von Software as a Service (SaaS) umfassen regelmäßig die Pflicht des Anbieters, sensible Daten des Kunden nicht nur zu speichern und gegebenenfalls zu archivieren, sondern sie dabei auch gegen fremden Zugriff und vor Datenverlust zu sichern.
