MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

Risiko des Datenverlusts und rechtliche Verantwortung für Systembetreiber

IT

Risiko des Datenverlusts und rechtliche Verantwortung für Systembetreiber

Es kann vorkommen, dass in der IT-Abteilung eines Unternehmens wichtige Unternehmensinformationen, die in einer Datenbank gespeichert sind, aufgrund unvorhergesehener Umstände verloren gehen. In solchen Fällen, wenn die Systembetriebsaufgaben an einen externen Dienstleister ausgelagert sind, ist es rechtlich möglich, diesen Dienstleister zur Verantwortung zu ziehen?

In diesem Artikel werden wir erläutern, wer rechtlich für den Verlust von Informationen in einem Unternehmen verantwortlich ist.

Was bedeutet “Betrieb” in IT-Systemen?

Um es ganz einfach auszudrücken, “Betrieb” in IT-Systemen bezeichnet die Arbeit, die damit verbunden ist, ein bestehendes System weiterhin wie bisher zu nutzen. Ein von IT-Ingenieuren und Programmierern neu entwickeltes System ist nicht etwas, das einmal erstellt und dann beendet wird. Zum Beispiel, wenn Sie eine Operation ausführen möchten, die nicht von der Bildschirmseite aus ausgeführt werden kann, müssen Sie möglicherweise einen Computer an die Datenbank anschließen und direkt Computercodes (wie SQL) eingeben (zum Beispiel zum Extrahieren oder Ändern von Daten, die nicht von der Bildschirmseite aus ausgeführt werden können).

Diese Betriebsaufgaben sind oft leichter zu standardisieren, zum Beispiel durch die Erstellung von Verfahrensanweisungen, im Vergleich zu Arbeiten, die die Implementierung neuer Programme erfordern, und sind daher oft leichter an externe Dienstleister auszulagern.

Dennoch, auch wenn diese Aufgaben leicht zu standardisieren sind, sollten wir nicht vergessen, dass sie, da sie direkt mit der Datenbank des Unternehmens arbeiten, oft neben großen Zwischenfällen liegen. Risiken wie Informationslecks oder Datenverluste im Unternehmen können sich unbemerkt stark ausweiten, wenn die Auslagerung leichtfertig vorangetrieben wird, ohne die Schwere der Verantwortung, die die Arbeit mit sich bringt, zu berücksichtigen.

Das Risiko des Datenverlusts ist überraschend nah

Es gibt verschiedene Arten von Datenbanken, die Unternehmen verwenden, aber im Grunde sind sie eine Art Software. Die Verarbeitung von Daten, wie das Extrahieren, Ändern, Hinzufügen und Löschen, die in diesen Datenbanken verwaltet werden, wird in der Regel mit einer Computersprache namens SQL durchgeführt.

Die Bedeutung der Rechtsabteilung

Die Arbeit von Technikern, die mit IT-Systemen zu tun haben, umfasst eine Vielzahl von Aufgaben, wie Entwicklung, Betrieb und Wartung. Ein gemeinsames Merkmal ihrer Arbeit ist die zentrale Behandlung von abstrakten Dingen wie “Daten” und “Computersprachen”. Daher kann selbst ein kleiner Fehler oder eine geringfügige Eingabefehler, wenn man nur das äußere Erscheinungsbild der Arbeit betrachtet, weitreichende Auswirkungen haben, die im Voraus nicht vorhersehbar sind. Diese Grundannahme sollte von allen, die mit Systemen arbeiten, unabhängig davon, ob sie IT-Experten sind oder nicht, anerkannt werden. Aufgrund der Natur der Arbeit, die mit Systemen zu tun hat, wenn ein Problem auftritt, sind die Auswirkungen oft sofort und weitreichend, über die betreffende Abteilung und die internen Barrieren des Unternehmens hinaus. Die Bedeutung der Rechtsabteilung für das System kann sowohl aus der Sicht des Auftraggebers als auch des Auftragnehmers einheitlich erklärt werden.

Risiko des Datenverlusts in Unternehmen

Lassen Sie uns ein einfaches Beispiel betrachten. Der Befehl (Query) zum Löschen aller Daten in einer Tabelle in SQL besteht nur aus der einzigen Zeile “TRUNCATE”. Wenn man über das Risiko des Datenverlusts in einem Unternehmen nachdenkt, ist es wahrscheinlich nicht so wichtig, die Syntax von SQL oder die Bedienung der Datenbanksoftware zu kennen. Es ist jedoch wichtig zu erkennen, dass selbst das Löschen aller Daten, die ein Unternehmen speichert, wenn man nur über die Methode spricht, so einfach sein kann. Diese Realitätserkenntnis könnte der Ausgangspunkt sein, wenn man über das Risiko des Datenverlusts in einem Unternehmen nachdenkt.

Zweifellos sind Betriebsaufgaben oft standardisiert und es gibt oft keine Probleme, wenn sie nach Anweisungen durchgeführt werden. Gleichzeitig ist jedoch die Bedeutung der Rechtsabteilung offensichtlich, wenn man unvorhergesehene Situationen in Betracht zieht, in denen die Verfahren nicht befolgt werden.

Wer ist rechtlich verantwortlich für den Verlust von Informationen?

Was ist die rechtliche Verantwortung im Falle eines unvorhergesehenen Datenverlusts?

Die rechtliche Natur der Arbeit eines Betriebsführers

Wer trägt die rechtliche Verantwortung, wenn Daten durch einen unvorhergesehenen Vorfall verloren gehen und es keine Möglichkeit zur Wiederherstellung gibt? Im Folgenden analysieren wir solche Vorfälle aus rechtlicher Sicht.

Es ist schwierig, die Aufbewahrungspflicht auf der Grundlage eines Hinterlegungsvertrags geltend zu machen

Eine mögliche Theorie, die in Betracht gezogen wird, wenn die Verantwortung eines Betreibers, der Datenverarbeitungsaufgaben übernimmt, in Frage gestellt wird, ist die Durchsetzung der Sorgfaltspflicht zur ordnungsgemäßen Verwaltung auf der Grundlage eines kostenpflichtigen Hinterlegungsvertrags. Dies ist im Grunde genommen das gleiche wie die Verfolgung der Haftung für den Verlust von “Daten”, ähnlich wie bei der Verfolgung der Schadensersatzhaftung, wenn ein Betreiber, der die Hinterlegung von Gegenständen in einem kostenpflichtigen Münzschließfach akzeptiert hat, diese Gegenstände verliert. Es ist jedoch nicht realistisch, unter dem geltenden Recht anzunehmen, dass eine “Datenhaltungspflicht” automatisch entsteht, genauso wie bei der Aufbewahrungspflicht für “Gegenstände”.

Es hängt vom Inhalt des einzelnen Vertrags ab

Letztendlich ist es schwierig, eine einheitliche Lösung für das Problem “Wer trägt die Verantwortung für die Aufbewahrung von Daten?” auf der Grundlage der Bestimmungen des Zivilgesetzbuchs zu finden. Daher ist die angemessene Antwort wahrscheinlich “Es hängt davon ab, was im einzelnen Vertragsinhalt festgelegt ist”.

Und die Frage “Was war der Inhalt des Vertrags?” wird nicht nur auf der Grundlage des Vertrags selbst, sondern auch unter Berücksichtigung von Protokollen und ähnlichem beurteilt. Die Bedeutung von Protokollen wird im folgenden Artikel ausführlich erläutert.

https://monolith.law/corporate/the-minutes-in-system-development[ja]

Es ist schwierig, die Haftung für unerlaubte Handlungen von Dritten, die nicht Vertragspartner sind, geltend zu machen

Es ist klar durch Gerichtsurteile, dass es unmöglich ist, die Haftung für unerlaubte Handlungen von Dritten, die keine Vertragsbeziehung haben, geltend zu machen. In einem Gerichtsfall wurde die Frage aufgeworfen, ob ein Nutzer Schadensersatzansprüche auf der Grundlage einer unerlaubten Handlung in einem Fall von Datenverlust bei einem Serververmietungsdienst geltend machen kann.

Ein typisches Beispiel für eine unerlaubte Handlung ist ein Verkehrsunfall. Wenn zum Beispiel eine Person durch die Fahrlässigkeit eines Fahrers bei einem Autounfall verletzt wird, trägt der Fahrer (natürlich auch im Strafrecht) zivilrechtliche Verantwortung. Es ist nicht so, dass man einen Vertrag mit einem Fremden abschließt, der besagt, dass man ihn nicht mit dem Auto anfahren wird, aber es ist denkbar, dass eine Schadensersatzpflicht zwischen Privatpersonen entsteht. Auf der Grundlage dieses Rahmens der Haftung für unerlaubte Handlungen wurde diskutiert, ob es möglich ist, die Verantwortung für den Verlust von Daten geltend zu machen, auch wenn es keine direkte Vertragsbeziehung gibt.

Das Gericht wies jedoch auf die Eigenschaften digitaler Informationen hin und stellte fest, dass es schwierig ist, die Existenz einer solchen Pflicht automatisch abzuleiten.

Ein Server ist nicht perfekt und kann ausfallen, was dazu führen kann, dass gespeicherte Programme usw. verloren gehen. Programme usw. sind digitale Informationen, die leicht kopiert werden können, und wenn der Nutzer diese Informationen aufzeichnet und speichert, kann er das Programm usw. wieder in Betrieb nehmen, auch wenn es verloren geht. Dies ist allgemein bekannt (aus der Gesamtheit der Argumente), und die Kläger hätten leicht Maßnahmen zur Verhinderung des Verlusts des Programms und der Daten ergreifen können. Angesichts der Interessenlage beider Parteien, der Kläger und des Beklagten, gibt es keinen Grund und keine Notwendigkeit, dem Beklagten, der den Server installiert und verwaltet, die Pflicht aufzuerlegen, die Aufzeichnungen der Kläger zu schützen und deren Verlust zu verhindern. (Auszug) Die Kläger behaupten, dass der Mietserververtrag die Eigenschaften eines Hinterlegungsvertrags für Programme oder Daten Dritter hat, und auf dieser Grundlage behaupten sie, dass der Beklagte als Mietserverbetreiber eine Sorgfaltspflicht zur ordnungsgemäßen Verwaltung gegenüber allen Personen, die Aufzeichnungen auf dem Server speichern, und insbesondere die Pflicht, den Verlust von Aufzeichnungen auf dem Server zu verhindern, hat, und sie behaupten, dass der Verlust der von den Klägern auf dem Server gespeicherten Aufzeichnungen durch den Beklagten gegen diese Pflicht zur Verhinderung des Verlusts verstößt.


Jedoch hat der Beklagte nur einen Vertrag über die Nutzung des Shared Server Hosting Service mit Nutzer A abgeschlossen, und es gibt keine Vertragsbeziehung zwischen dem Beklagten und den Klägern, und es kann nicht gesagt werden, dass es eine Hinterlegungsvertragsähnliche Natur in Bezug auf die Aufbewahrung des Programms und der Daten auf dem Server gibt, daher ist es schwierig, eine Grundlage dafür zu finden, dass der Beklagte eine Sorgfaltspflicht zur ordnungsgemäßen Verwaltung nach dem Gesetz über unerlaubte Handlungen gegenüber den Klägern, mit denen er keine Vertragsbeziehung hat, in Bezug auf die auf dem Server gespeicherten Aufzeichnungen hat. Daher kann nicht gesagt werden, dass der Beklagte, nur weil er ein Mietserverbetreiber ist, in Bezug auf Dritte, mit denen er keine Vertragsbeziehung hat, automatisch eine Sorgfaltspflicht zur ordnungsgemäßen Verwaltung oder eine Pflicht zur Verhinderung des Verlusts von Aufzeichnungen, die auf dem Server gespeichert sind, hat.

Tokyo District Court, May 20, 2009 (Heisei 21)

Dieses Urteil weist darauf hin, dass es nicht angemessen ist, eine “Pflicht, Daten nicht zu löschen” für Dritte, die keine direkte Vertragsbeziehung haben (die Kläger), anzunehmen. Dieses Urteil hat Aufmerksamkeit erregt, da es ein führender Fall für ähnliche Fälle, die in der Zukunft auftreten könnten, sein könnte.

Als Fazit lässt sich sagen, dass die Verfolgung der Verantwortung “schwierig” zu sein scheint

In der Praxis werden Verträge, die die Verantwortung für die Aufbewahrung und Sicherung von Daten dem Betriebsführer auferlegen, nicht so häufig verwendet. Vielmehr gibt es überwiegend Verträge, die festlegen, dass dies die Verantwortung des Nutzers (d.h. des Unternehmens auf der Kundenseite) ist.

Daher ist es, abgesehen von Fällen, in denen eine besondere Vereinbarung getroffen wurde, äußerst schwierig, rechtlich anzunehmen, dass der Systembetreiber die Pflicht hat, Maßnahmen zur Verhinderung des Verlusts von Daten zu ergreifen.

Vorbereitungen gegen das Risiko des Informationsverlusts

Ein Backup ist unerlässlich, um Datenverlust zu verhindern.

Letztendlich hängt das Risiko des Informationsverlusts, dem ein Unternehmen ausgesetzt ist, von den Informationen ab, die das Unternehmen selbst speichert. Daher ist es wahrscheinlich, dass das Unternehmen selbst entscheiden sollte, wie es dieses Risiko berücksichtigt und welche Speicherstruktur es aufbaut.

Zudem könnte selbst wenn die Verantwortung des Unternehmers anerkannt wird, eine Kompensation durch Mitverschulden verhindert werden. In früheren Gerichtsentscheidungen gab es Fälle, in denen das Gericht ein Mitverschulden anerkannte, weil der Kläger keine Backups gemacht hatte, obwohl der Beklagte, der die Daten des Klägers auf dem Server gespeichert hatte, die Daten gelöscht hatte.

Der Kläger hätte einfach Sicherungsmaßnahmen wie Backups für die Inhalte der betreffenden Dateien ergreifen können und hätte dadurch (Auszug) den Schadenseintritt verhindern und den Schaden auf ein äußerst geringes Maß reduzieren können, obwohl zum Zeitpunkt des betreffenden Löschunfalls auf Seiten des Klägers keine Dateninhalte der betreffenden Datei vorhanden waren.

In diesem Fall sollte bei der Bestimmung des Betrags der Schadenersatzverpflichtung des Beklagten dieser Punkt berücksichtigt und die Regelung zur Mitverschuldung angewendet werden, was dem Grundsatz der Fairness im Schadenersatzrecht entspricht. (Auszug)

Der Kläger argumentiert jedoch, dass es unmöglich war, vorauszusehen, dass die betreffende Datei vom Beklagten, einem Provider, vom Server gelöscht wird, und dass es nicht möglich war, vorauszusehen, dass Backups gemacht werden sollten, und dass es nicht möglich ist, das Unterlassen als rechtliche Pflicht anzuerkennen, und dass das Unterlassen nicht als rechtliches Verschulden angesehen werden kann, und lehnt daher die Anwendung der Mitverschuldung ab.

Bei der Anwendung der Mitverschuldung ist es jedoch ausreichend, wenn dem Kläger die Möglichkeit der Vorhersehbarkeit des Eintretens des Ergebnisses, nämlich des Verlusts der betreffenden Datei, anerkannt wird, und es ist nicht notwendig, die Möglichkeit der Vorhersehbarkeit des Verlusts der betreffenden Datei durch die Verletzung der Sorgfaltspflicht des Beklagten als Ursache für das Ergebnis anzuerkennen.

In diesem Fall ist es offensichtlich, dass (Auszug) das Risiko eines Hackerangriffs auf die Homepage erkannt wurde, und der Kläger erkennt an, dass es bei der Internetkommunikation das Risiko von Informationsänderungen und -zerstörungen gibt und dass dieses Risiko vorhersehbar war, so dass der Kläger das Risiko des Verlusts der betreffenden Datei durch die spezifischen Ursachen der Internetkommunikation vorhergesehen hat, und die Möglichkeit der Vorhersehbarkeit des Eintretens des Ergebnisses, nämlich des Verlusts der betreffenden Datei, ist vollständig bestätigt, und es gibt keine Hindernisse für die Anerkennung der Anwendung der Mitverschuldung.

Tokyo District Court, September 28, 2001 (Heisei 13)

In diesem Fall wurde argumentiert, dass “da keine Backups gemacht wurden, war es möglich, das Risiko des Verlusts von Dateien durch Eindringen von Hackern oder aus anderen Gründen vorherzusehen, und daher gibt es eine Anwendung der Mitverschuldung”, und der Schadenersatzbetrag wurde halbiert.

Zusammenfassung

Obwohl es sich nicht nur auf das Risiko des Datenverlusts beschränkt, neigen Benutzer dazu, sich hauptsächlich auf das Bediengefühl der Bildschirmseite zu konzentrieren, wenn sie Systemangelegenheiten an externe Dienstleister auslagern. Oftmals erstreckt sich die Governance der Organisation nicht auf den Bereich der Datenbank, in dem die Daten gespeichert werden.

Dennoch zeigen vergangene Gerichtsurteile, dass wir uns nicht einfach als “Außenstehende” betrachten dürfen. Mit anderen Worten, wir sollten uns bewusst sein, dass das Einrichten von Verwaltungssystemen, wie das Erstellen von Backups, um das Risiko von Informationsverlusten zu berücksichtigen, letztendlich eine Angelegenheit der Benutzerseite (innerhalb des Unternehmens) ist.

Frühere Gerichtsurteile deuten darauf hin, dass das Nicht-Vorbereiten auf solche Risiken zu irreparablen Situationen führen kann. Sollten wir diese nicht als Warnung vor der Notwendigkeit der Prävention verstehen?

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Zurück Nach Oben