Wir betreuen eine Reihe von Kunden, die ihre Lösungen (Saas, IaaS etc.) in einem Rechenzentrum hosten lassen. Im Deutsch der Juristen heißt das: Das Rechenzentrum vermietet dem Anbieter IT-Infrastruktur in Form von Raum, Racks, Computern, Rechenleistungen etc.
Die Rechenzentren werben immer wieder damit, daß ISOs, DINs und Zertifizierungen erfolgt sind, die den Kunden vor technischen Risiken schützen.
Einen Schutz vor der Insolvenz des Rechenzentrums gibt es nicht. Allein der Insolvenzverwalter bestimmt, ob der Betrieb des Rechenzentrums aufrecht erhalten bleibt (§ 22 InsO). Setzt der Insolvenzverwalter den Betrieb des Rechenzentrums nicht fort und können deshalb die Daten nicht herausgegeben werden, hat man zwar theoretisch Schadensersatzansprüche. Da diese in der Praxis nur zur Quote erfüllt werden, bezahlt man vermutlich mehr Geld für den Anwalt als man nach langer Zeit am Ende erhält.
1.) Endgültige Löschung personenbezogener Daten
a.) Das Problem besteht hier darin, dass im Falle dessen, dass personenbezogene Daten gespeichert werden – also Daten von Kunden oder Mitarbeitern – immer ein Anspruch auf die vollständige Löschung der Daten besteht, den man auch wird erfüllen müssen. Wie das mit den Regelungen des Insolvenzrechts zusammenpasst, ist nicht geklärt. In der Praxis wird man (war ich schon einmal) gezwungen sein, dem Insolvenzverwalter das notwendige Personal beizustellen oder ihn für die Dienstleistungen zu bezahlen. Eine juristische Lösung, nach deren Inhalt man ohne weitere Zahlung aus der Misere gelangt, gibt es nicht. Faktisch aber sind noch weitere Hürden zu überwinden. Denn wenn bei der Löschung der personenbezogenen Daten nicht ausgeschlossen werden kann, dass auch Daten Dritter – also anderer Menschen oder Unternehmen – mit ausgelesen werden können, braucht man wieder die Zustimmung dieser Betroffenen.
b.) Es tue sich also jeder den Gefallen und unterhalte ein Speichermedium im Rechenzentrum, das nur ihm zusteht, das physikalisch eindeutig von anderen Medien abgrenzbar und zudem gut auffindbar ist. Und wenn das Rechenzentrum Datensicherungen anfertigt, gilt für diese das Gleiche (und wird oft übersehen).
2.) Herausgabe personenbezogener Daten
Natürlich gibt es den Anspruch auf die Herausgabe personenbezogener Daten nach den Regeln der Auftragsdatenverarbeitung. Und wenn der Insolvenzverwalter sich hier weigert, sind wir wieder bei Punkt 1.a) angelangt.
b.) In der Praxis gilt hier nur die regelmäßige Überlassung eines Speichermediums, das alle personenbezogenen Daten enthält. Regelmäßig bedeutet wöchentlich oder je nach Sensibilität der Daten auch öfter oder seltener. Sie müssen ohnehin mit dem RZ eine TOM vereinbaren und an dieser Stelle – der Stelle, wie personenbezogene Daten gegen versehentliche Löschung geschützt sind – muss individuell vereinbart werden, wie man sich gegen den GAU der Insolvenz des Rechenzentrums absichert.
3.) Herausgabe von nicht personenbezogenen Daten und Datenbanken
Firmen- und Geschäftsgeheimnisse, die nicht dem BDSG unterfallen, müssen vom Insolvenzverwalter nicht herausgegeben werden. Zwar gibt es erste Ansätze, diese Daten als Teil des geschützten und ausgeübten Gewerbebetriebs zu charakterisieren (das halte ich für richtig), aber der Weg ist lang und steinig aus diesem Umstand eine Herausgabepflicht des Insolvenzverwalters zu konstruieren.
Am Ende gilt auch hier der Vorschlag des Praktikers: Nehmen Sie den Weg nach 2.a), lassen Sie sich also in regelmäßigen Abständen alle Daten, Datenbanken etc. per Hardkopie übersenden. Und wenn Sie Daten Ihrer Kunden in dem Rechenzentrum speichern, gilt das Gleiche analog.