Das Rechenzentrum ist konkurs, wie komme ich an meine Daten?
Die Auslagerung der IT in die Cloud oder auch nur in ein einzelnes Rechenzentrum bringt für Unternehmen viele Vorteile. Es kann von Skaleneffekten profitiert werden, was zu einer besseren Qualität und Sicherheit der IT-Infrastruktur führen kann. Gleichzeitig birgt die IT-Auslagerung aber auch die Gefahr der Abhängigkeit und diese Gefahr darf bei der Auslagerung nicht unbeachtet bleiben. Die Vorteile werden von Anbietern gerne hervorgehoben. Die Nachteile gehen dagegen gerne ein wenig vergessen, sollten aber bei der Auswahl eines IT-Dienstleisters unbedingt beachtet und die Risiken soweit als möglich reduziert werden.
Risiken bei der Auslagerung
Einer der grössten Nachteile besteht darin, dass man sich als Kunde in eine Abhängigkeit begibt. Der ordentliche Betrieb (Verfügbarkeiten, Reaktionszeiten oder Services Levels, etc.) wird üblicherweise bei Vertragsschluss geprüft, diskutiert und teilweise auch verhandelt. Die Beendigung und die Datenrückgabe sind meist weniger ein Thema und noch weniger wird die ausserordentliche Kündigung im Detail geprüft. Bereits eine ordentliche Kündigung kann mit Problemen behaftet sein, wenn die Kosten der Rückabwicklung sowie die technischen Modalitäten (bspw. Datenformat) nicht genau geklärt sind. Können sich die Parteien nachträglich nicht über die Modalitäten einigen, kann dies allenfalls vor dem Richter enden. Ein Gerichtsverfahren ist nicht nur teuer, es kann auch dazu führen, dass die Daten für längere Zeit blockiert bleiben. Für einen Kunden kann die Blockierung seiner Daten gravierende wirtschaftliche Folgen haben.
IT-Dienstleister im Konkurs
Meist findet sich in den Standardverträgen mit Rechenzentren eine Vertragsklausel, welche beispielhaft verschiedene Kündigungsgründe aufführt. Die Abwicklung einer ausserordentlichen Kündigung ist in den seltensten Fällen genauer geregelt. Im Ergebnis führt dies dazu, dass der Vertrag zwar aufgelöst werden kann und keine Kosten mehr anfallen, der Zugang zu den Daten kann aber trotzdem verwehrt bleiben. Aus wirtschaftlicher Sicht ist der Zugang zu den eigenen Daten oder das Funktionieren einer Software meist viel wesentlicher als die Weiterbezahlung der Gebühren bis zum ordentlichen Kündigungstermin.
Eine bessere Vertragsformulierung besteht darin, zu vereinbaren, dass das Eigentum (wenn auch juristisch nicht korrekt) an den Daten beim Kunden verleiben soll und dieser jederzeit die Herausgabe der Daten verlangen kann. Ein Gericht oder ein Konkursamt werden eine klare vertragliche Zuordnung oft akzeptieren und einen Anspruch an diesen Daten nicht verweigern. Stellt das Konkursamt aber den Betrieb des konkursiten Rechenzentrums vollständig ein, ist ein kurzfristiger Zugriff ebenfalls nicht mehr möglich.
Ein wesentliches Problem besteht darin, dass das geltende Recht ein Aussonderungsrecht lediglich für Sachen vorsieht (Art. 242 Abs. 1 SchKG). Rechtlich gesehen stellen Daten keine Sache dar und somit hat ein Kunde eines konkursiten Rechenzentrums nicht die Möglichkeit, ein Aussonderungsbegehren für die Daten zu stellen. Selbst wenn viele Personen Daten als das neue Gold sehen, so kann den Daten in vielen Fällen kein objektiver Vermögenswert zugeschrieben werden, was dazu führt, dass diese nicht pfändbar sind. Einige Daten können aber durchaus einen Wert besitzen, es ist hierbei an Kundenkarteien oder auch Softwarecodes zu denken. Oftmals wird aber eine Verwertung trotzdem nicht möglich sein, da das Datenschutzgesetz oder Urheberrecht eine Verwertung verhindert. Eine klare rechtliche Regelung zum Umgang mit Daten im Konkurs findet sich im Schuldbetreibung und Konkursrecht keine.
Möchte ein Kunde im Konkurs Zugang zu seinen Daten haben, ist man heute im Ergebnis auf den Goodwill des Konkursamtes angewiesen. Ein Anspruch auf den Weiterbetrieb eines Rechenzentrums im Konkurs, damit die Daten migriert werden können, besteht somit nicht. So kann es durchaus sein, dass ein Konkursamt aus Kostengründen ein Rechenzentrum relativ schnell abschaltet und damit den Zugang verunmöglicht. Was dazu führen kann, dass ein Zugang zur Buchhaltung oder zum Kundenstamm plötzlich nicht mehr möglich ist und durch den Konkurs des IT-Dienstleisters auch das eigene Unternehmen mehrheitlich stillsteht. Dies ist selbst bei einer eigenen Software der Fall. Diese ist zwar urheberrechtlich weiterhin geschützt, es lässt sich daraus aber keinen direkten Anspruch auf die Daten ableiten. Wird die Software extern gehostet, kann selbst der Zugriff auf die eigene Software blockiert sein.
Gesetzesrevision
Das Problem einer unbefriedigenden Rechtslage ist bereits seit Längerem bekannt und wurde nun im Rahmen der laufenden Gesetzesrevision, mit welcher die Rechtsgrundlagen für die rechtskonforme Nutzung der Blockchain geschaffen werden sollen, ebenfalls aufgenommen. Der Bundesrat hat es als angebracht erachtet, im Rahmen dieser Revision eine entsprechende Regelung im Konkursrecht zu schaffen, welche für alle Daten gilt und nicht nur für die Daten einer Blockchain.
Sofern das Parlament dieser Neuerung zustimmt, sind in Zukunft auch Daten im Konkurs geschützt bzw. können vom Kunden herausverlangt werden. Das Risiko als Kunde eines konkursiten Rechenzentrums seine Daten zu verlieren, würde mit der Neuerung stark vermindert. Es ist ein längst überfälliger Schritt, da es wohl unbestritten ist, dass ein Zugang und die Kontrolle über die eigenen Daten für die meisten Unternehmen heute überlebenswichtig sind.
Risikomanagement
Die Gesetzesanpassung schafft lediglich Klarheit in Bezug auf die Eigentumsverhältnisse, es werden dadurch aber nicht alle Risiken eliminiert. Weshalb im Rahmen des Business Continuity Planning (BCP) nicht einfach darauf vertraut werden darf, dass man automatisch und unterbrechungsfrei Zugang auf seine Daten erhalten wird.
Das Recht auf einen Zugang zu den eigenen Daten garantiert nicht, dass im Konkurs das Konkursamt unmittelbar einen Zugang zu den Daten garantieren muss. Es kann daher durchaus sein, dass der Zugang zu den eigenen Daten dennoch für eine gewisse Zeit verunmöglicht ist. Noch länger wird der Zugang zu den eigenen Daten dauern, wenn der Anspruch umstritten ist: «Hält die Konkursverwaltung den Anspruch für unbegründet, so setzt sie dem Dritten eine Frist von 20 Tagen, innert der er beim Gericht am Konkursort Klage einreichen kann. (Art. 242b Abs. 2 E-SchKG)»
Ein Aussonderungsverfahren wird also längere Zeit in Anspruch nehmen und damit den Zugang zu den Daten blockieren. Ist jederzeitiger Datenzugriff für das Unternehmen überlebenswichtig, sollte weiterhin eine Backup-Lösung bei einem zweiten Anbieter geprüft werden. Es kann dabei auf ein simples Datenbackup gesetzt werden, allenfalls sogar durch Auslieferung der Daten auf eine eigene externe Festplatte oder falls Software betroffen ist, sollte eine Escrow-Lösung geprüft werden. Bei geschäftskritischen Anwendungen muss eine Lösung gewählt werden, die einen schnellen Switch und die Aufrechterhaltung des Betriebes ermöglicht.
Viele Unternehmen sind sich gar nicht bewusst, wie stark sie auf einen jederzeitigen Datenzugriff angewiesen sind. Bei einer Auslagerung sollte daher vorgängig immer eine entsprechende Prüfung erfolgen.
Selbst wenn eine gesetzliche oder vertragliche Berechtigung an den Daten ohne Probleme nachgewiesen werden kann und das Konkursamt einen schnellen Zugriff gewährt, heisst das noch nicht, dass der Betrieb reibungslos weitergeführt werden kann. Das Konkursamt wird nur eine kurze Zeitspanne für eine Datenmigration gewähren. Eine kurzfristige Migration wird oft nicht unproblematisch sein, ist doch eine Migration meist mit grösserem Aufwand und Risiken verknüpft. Bei PaaS oder SaaS Lösungen wird kaum eine einfache Übertragung zu einem neuen Anbieter möglich sein. Des Weiteren kann es allenfalls auch sein, dass sich die Daten gar nicht beim konkursiten Rechenzentrum befinden. Bei einem reinen Hostinganbieter mit eigener Infrastruktur verbleiben die Daten meist in dessen Infrastruktur. Handelt sich um einen SaaS Anbieter, wird dieser für die Datenspeicherung vielfach auf einen externen Hosting Partner zurückgreifen (bspw. AWS oder Azure), was den Zugang zu den Daten nochmals erheblich verkomplizieren kann. Ebenfalls gilt es zu beachten, dass die angedachte Gesetzesänderung nur für die Schweiz gelten wird und keine extraterritoriale Wirkung entfaltet. Viele IT-Unternehmen operieren heute international, was dazu führen kann, dass sich die Daten schlussendlich gar nicht mehr in der Schweiz befinden. Liegen die Daten nun bei einer ausländischen Tochtergesellschaft, gilt das lokale Recht und als Kunde komme ich allenfalls nur noch über die Tochtergesellschaft an die Daten heran.
Der Konkurs seines IT-Dienstleister bedarf auch nach der geplanten Gesetzesänderung immer noch einer sorgfältigen Risikoanalyse und es wird empfohlen, auch weiterhin ein umfassendes Business Continuity Planning zu betreiben.
Dieser Beitrag wurde von RA Yves Gogniat verfasst.
Für allfällige Fragen zum Umgang mit Daten im Konkurs sowie zur Verminderung von Risiken steht Ihnen Balthasar Wicki gerne zur Verfügung.