Wie Unternehmen ihre Daten schützen können, wenn es Gesetze nicht tun

Rechtsfrei durch das digitale Durcheinander

Durch die Nutzung von Mails, Internet und Smartphones ist jedes Unternehmen zwangsläufig Teil der digitalen Welt. Das Internet der Dinge (IoT) hat die Wertschöpfung von materiellen in immaterielle Werte verlagert: Mensch und Technologie verschmelzen immer mehr miteinander, und das global  sowie öffentlich. Cyberkriminelle bewegen sich zunehmend unbeobachtet in dieser Umgebung, ihre Taktiken sind willkürlich oder sehr gezielt. Attacken aus dem Web richten sich gegen große und kleine Unternehmen – im öffentlichen wie im privaten Sektor.

Unternehmensdaten, die beispielsweise nach einem Hackerangriff in Umlauf geraten, können von Dritten in der Regel ohne rechtliche Folgen genutzt werden. Denn: Bislang existiert in Deutschland keine einheitliche Regelung zum Umgang mit Daten. Nach einem Datenleak besteht für die Betroffenen kein Schutz und somit auch keine Rechtsgrundlage, mit der sie gegen die öffentliche Nutzung der geleakten Unternehmensdaten vorgehen können. Lediglich der Hacker selbst kann für die Verwendung belangt werden.

Server geschützt, Daten nicht

In Deutschland gibt es zwar verschiedene Gesetze, die für den Schutz von Daten herangezogen werden können, doch viele von ihnen sind nicht einschlägig: Sie schützen nur spezielle Datenarten oder nur in besonderen Situationen.

• Das Datenschutzgesetz zum Beispiel greift lediglich bei personenbezogenen Daten und ist damit für anonymisierte oder aggregierte Daten nicht anwendbar.
• Auch ein Eigentumsrecht an Daten ist nicht existent, weil Daten keine Sachen im Sinne des BGB sind.
• Zum Teil folgt das Recht an Daten dem Eigentumsrecht am Speichermedium: Danach wird der Eigentümer des Servers geschützt, auf dem die Daten gespeichert sind. Gerade in Zeiten der Cloud ist das ein lückenhafter Schutz, denn er schließt nur das Medium ein, nicht die Daten selbst. Der Ansatz, das Recht an Daten an das Eigentum am Speichermedium zu koppeln, ist in Zeiten von Cloud und Software as a Service obsolet.
• Da es an einer eigenen geistigen Schöpfung des Urhebers fehlt, löst auch das Urheberrecht dieses Problem nicht.

Tatsächlich gibt es aktuell keine Regelung, die ein generelles Recht an Daten statuiert. Ob Smartphones oder E-Scooter – kontinuierlich werden Nutzerdaten gesammelt, die für verschiedene Unternehmen sehr wertvoll sein können. Trotzdem ist das Eigentumsrecht der Daten nicht geregelt. Besonders für digitale Geschäftsmodelle wäre dies jedoch essenziell: Daten gelten als die Währung der Zukunft, demnach hängt der Unternehmenswert maßgeblich von ihnen ab.

Wenn schon keine Gesetze, dann wenigstens Verträge

Für Unternehmen wird es zunehmend schwieriger, ihre digitale Landschaft zu kartographieren und Daten vor Eindringlingen zu schützen. Das wird vorerst offenbar auch so bleiben, denn Politik und Wirtschaft signalisieren, diesen weitgehend rechtsfreien Raum auch zukünftig nicht zu regeln. Argumentiert wird, dass ein Recht an Daten Datenmonopole begünstigen und somit den Austausch von Daten einschränken würde. 

Dieser Schluss ist jedoch keinesfalls zwingend: Wenn Unternehmen ihre Daten rechtlich gesichert wissen, steigt auch die Bereitschaft zum Datenaustausch. Ist das Data Sharing hingegen mit rechtlichen Risiken verbunden, hüten Unternehmen die Daten wie Goldschätze. Ein Gesetz könnte also die Kommerzialisierung von Daten beflügeln und damit auch einen entscheidenden Beitrag zur Volkswirtschaft leisten.

Welchen Standpunkt man in dieser rechtspolitischen Diskussion auch vertritt, unterm Strich gilt: Unternehmen sollten unbedingt selbst aktiv werden und ihre Daten so gut wie möglich mit den vorhandenen Werkzeugen schützen, also zum Beispiel eine lückenlose vertragliche Absicherung schaffen. Dazu gehört im ersten Schritt eine Vereinbarung mit denen, die an der Generierung der Daten beteiligt sind – mit klaren Regelungen zum Verwertungsrecht an diesen Daten. Wichtig ist außerdem die konzerninterne Regelung des Datenzugriffs: Welche Konzerngesellschaft hält welche Daten? Welches der verbundenen Unternehmen hat Zugriff auf welche Daten? Derartige Verträge beugen auch steuerlichen Unsicherheiten vor. Werden die Daten Dritten zur Verfügung gestellt, sollten exakte Vereinbarungen den Umfang der Nutzung regeln. Ohne solche Verträge droht dem Datenbestand der wirtschaftliche Totalverlust.

Einsatz technischer Verteidigungsmechanismen

Ein Ziel von Unternehmen ist, die Widerstandsfähigkeit gegenüber verschiedenen Bedrohungsarten zu erhöhen. Diese Bedrohungen reichen von Standardangriffen auf bekannte Sicherheitslücken bis zu gezielten Attacken, die komplexere Schwachstellen durch zum Teil hohen zeitlichen und mitunter auch technischen Aufwand ausnutzen. Hinzu kommen Angriffe, die sich auf neue Technologien konzentrieren und denen praktisch eine eigene Forschung vorausgeht. 

Um die Taktik ihrer Kontrahenten zu kennen und zu verstehen, müssen Experten für Cybersicherheit in Unternehmen mindestens genauso flexibel und mehrschichtig agieren. Gegen konventionelle Angriffe helfen meistens schon eine Antivirussoftware, Systeme zur Erkennung von und zum Schutz vor Eindringlingen sowie Verschlüsselungstechnologien. Sie schützen die Datenintegrität, wenn ein Hacker bereits Zugriff darauf hat. Für den Fall, dass dieser Schutz durchbrochen wird, ist ein Warnsystem sinnvoll. Es identifiziert den unerlaubten Eingriff frühzeitig und leitet Schritte zur Sicherung weiterer Daten ein.

Für die bestmögliche Absicherung der Daten sollten Unternehmen einen Notfallplan zur Hand haben. Über diesen werden automatisch Schutzmechanismen aktiviert, zudem werden vorab organisatorische Schritte und Verantwortlichkeiten klar definiert. Die Zusammenarbeit und der Austausch mit Behörden wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) beziehungsweise anderen Unternehmen können eine gute Ergänzung darstellen. Je umfassender der Schutz von Daten gesteuert wird, desto besser kann er mögliche negative Auswirkungen für das Unternehmen eingrenzen.