DA+

Kurzbeitrag : Microsoft vs. New York: warum Datenmapping immer wichtiger wird : aus der RDV 1/2015, Seite 28 bis 29

Lesezeit 5 Min.

Der aktuelle Rechtsstreit um die Offenlegung von Kundendaten, die Microsoft auf Servern in Irland gespeichert hat, birgt wichtige Implikationen für Unternehmen in ganz Europa. Die Umsetzung eines kontinuierlichen und proaktiven Ansatzes für die Informationsverwaltung ist von entscheidender Bedeutung, wenn Unternehmen ihren Pflichten in Bezug auf Datenmanagement nachkommen wollen.

Die Vorgeschichte des Microsoft-Falls: Am 4. Dezember 2013 unterzeichnete Hon. James C. Francis IV, Magistratsrichter im Bundesstaat New York, einen Durchsuchungsbeschluss zur Beschlagnahme von E-Mails und weiteren Aufzeichnungen, die in einem bestimmten MSN E-Mail-Konto enthalten waren. Das E-Mail-Konto war auf Servern in einem lokalen Rechenzentrum in Dublin gespeichert, das Eigentum eines lokalen Tochterunternehmens von Microsoft ist und von diesem betrieben wird. Das bedeute, so Brad Smith, Leiter Rechtsangelegenheiten bei Microsoft, in einem Artikel im Wall Street Journal, dass der US-amerikanische Durchsuchungsbeschluss nicht anwendbar sei. Microsoft stellte Antrag, den Erlass aufzuheben.

Am 25. April 2014 lehnte der Magistrat den Antrag auf Erlass ab. Die Oberste U.S.-Bundesrichterin Loretta Preska verwarf am 31. Juli 2014 die Berufung von Microsoft mit der Begründung, der Speicherort der E-Mails sei nicht relevant, da Microsoft die Daten von den USA aus kontrollieren würde. Sie räumte jedoch die Aussetzung des Vollzuges während der laufenden Berufung von Microsoft beim Appellationsgericht ein. Ihrer Ansicht nach stellen von Microsoft-Kunden oder Verwendern auf Microsoft Servern gespeicherte E-Mails Geschäftsaufzeichnungen von Microsoft dar.

Am 29. August hob Richterin Preska die Aussetzung des Vollzuges der Anordnung vom 31. Juli auf. Microsoft teilte mit, dass man der Anordnung nicht Folge leisten und die Berufung vor dem U.S. Court of Appeals for the 2nd Circuit (Appellationsgericht) weiter betreiben würde, und dass die von Brad Smith unmittelbar nach der Entscheidung vom 31. Juli veröffentlichte Stellungnahme nach wie vor Geltung hätte. Am 8. September wurden weitere Unterlagen eingereicht, in denen vereinbart wurde, dass Microsoft zwar die Anordnungen des Gerichts bezüglich der Erfüllung des Durchsuchungsbeschlusses missachtet habe, zunächst aber keine weitergehenden Sanktionen verhängt und die Ergebnisse des Berufungsverfahrens (oder wesentlich geänderter Umstände) abgewartet würden.

Zum Zeitpunkt des Verfassens dieses Artikels ist das Verfahren noch in Gang.

Mögliche Auswirkungen einer Gerichtsentscheidung

Wird diese Entscheidung vom Berufungsgericht nicht verworfen, hat die U.S.-Regierung erfolgreich ihr Recht durchgesetzt, auf Daten zuzugreifen, die auf Servern von U.S.-Firmen außerhalb der USA erstellt oder gespeichert wurden – sei es per Vorladung oder Durchsuchungsbefehl. Daraus folgt auch, dass Daten von europäischen Firmen auf Cloud-Einrichtungen von U.S.-Anbietern innerhalb europäischer Datenzentren Untersuchungen von US-Behörden unterfallen könnten, ohne bestehende Vereinbarungen zwischen der U.S.-amerikanischen und europäischen Regierungen berücksichtigen zu müssen.

Wenn ein Unternehmen Daten auf Servern vorhält, die U.S.- amerikanischen Unternehmen gehören oder von einem solchen Unternehmen betrieben werden, sind einige wichtige Punkte zu bedenken. Dazu gehört auch die mögliche Zunahme ordnungsbehördlicher Untersuchungen, denen sich europäische Firmen stellen müssen. Um auf die Konsequenzen des Microsoft-Falls und andere rechtliche Entwicklungen rund um Datenmanagement angemessen zu reagieren, besteht der erste Schritt für Unternehmen darin, einen Überblick über ihren Datenbestand zu erlangen und festzustellen, wo und wie diese gespeichert sind.

Auch wenn der Berufung von Microsoft stattgegeben wird, ist effizientes Datenmanagement ein guter Ausgangspunkt für konsistente, proaktive Informationsverwaltung. Damit ist ein Unternehmen auf eventuelle ordnungsbehördliche Anfragen oder Gesetzesänderungen, die eine Anpassung des bestehenden Berichtswesens erforderlich machen könnten, gut vorbereitet.

Aufbau der Data Mapping-Strategie

Epiq Systems hat kürzlich eine Umfrage[1]zu den Auswirkungen wachsender Datenmengen in Großunternehmen durchgeführt. Mehr als drei Viertel der befragten Organisationen zeigten sich zuversichtlich, Schlüsseldaten im Zuge eines Verfahrens oder einer Untersuchung lokalisieren zu können. Allerdings ergab die Umfrage auch, dass nur die Hälfte der Firmen ihre Datenbestände konstant überwachen und aktualisieren. Das dämpft den anfänglichen Optimismus.

Gesetzliche Fristen für die Dokumentenvorlage können zum Teil nur 14 Tage betragen. Werden Daten nicht laufend überwacht und ausgewertet, beeinträchtigt das die Fähigkeit, schnell, genau und vertretbar auf Anfragen zu reagieren.

Wo fängt man also an? Wie bahnt man sich am besten den Weg durch das Datenlabyrinth?

Ein pro-aktiver Ansatz beginnt mit einem klaren Verständnis des vorhandenen Datenuniversums. Das bringt auch deutliche Vorteile bei der Einsparung von Speicherkosten (im Schnitt geschätzte 40 Prozent) und den begleitenden Kosten für Verarbeitung und Überprüfung von Dokumenten mit sich. Weniger bezifferbar, dafür aber möglicherweise umso wichtiger, ist die Tatsache, dass andernfalls Daten langfristig aufbewahrt werden, die unter korrekter Umsetzung der Richtlinien gelöscht werden könnten.

Planung und Kommunikation sind Kern einer erfolgreichen Information Governance-Strategie. Im ersten Schritt müssen die wichtigsten Akteure (mindestens IT- und Rechts- beziehungsweise Compliance-Abteilung sowie ein Experte im Bereich eDiscovery-Lösungen) an einen Tisch gebracht werden. Die Stakeholder sollten ausreichend Zeit für den Aufbau einer Datenlandkarte (Beschreibung von Datentypen, technischer Infrastruktur und Aufbewahrungslösungen) aufwenden. Die Bewertung aller Vorgänge, die zur Aufbewahrung und Sammlung von Daten notwendig sind, verschafft frühzeitig ein umfassendes Verständnis für den Umfang der Arbeit und damit verbundene Herausforderungen.

Außerdem können Unternehmen dadurch Datensätze, die aus Offenlegungsanforderungen entfernt werden können, schnell identifizieren, wie zum Beispiel Back-Ups von E-Mails. Diese leicht realisierbaren Maßnahmen können sich in Zusammenhang sowohl mit einer ordnungsbehördlichen Untersuchung, einer internen Untersuchung oder auch einem Rechtsstreit als nützlich erweisen. Nicht zuletzt sichert sich ein Unternehmen durch schnelle und praktische Offenlegung der angeforderten Daten auch das Wohlwollen der Ordnungsbehörden oder Gerichte.

Nur wenn alle Beteiligten als Team eng zusammenarbeiten und die Frage beantworten können, wo in Bezug auf Zeit, Kosten und Umfang die Prioritäten liegen, kann man geeignete Lösungen finden und beibehalten. Die Datenlandschaft ist in ständiger Bewegung, wie der Fall von Microsoft zeigt, und deshalb sollte deren Vermessung nicht als einmalige Aktion betrachtet werden. Sporadische Datenkontrollen sind nicht ausreichend, weshalb es für Unternehmen einen bedeutenden Vorteil darstellen kann, bei der Umsetzung eines proaktiven, beständigen Ansatzes zur Information Governance eine Zusammenarbeit mit Experten anzustreben.

Unabhängig vom Ausgang des Microsoft-Falles sollten Management und Rechtspraktiker die Umsetzung eines vorausschauenden Aktionsplans für Datenüberwachung und Information Governance überdenken. Ein pro-aktiver und nachhaltiger Ansatz stellt sicher, dass die Unternehmen zukünftigen Entwicklungen und Änderungen gegenüber gewappnet sind.

* Martin Bonney ist Direktor der International Consulting Services-Einheit bei Epig Systems. Nick Rich ist als Lead Solution Adviser bei Epig Systems tätig.

[1] Methodologie Im November 2013 telefonisch durchgeführte Umfrage mit 100 Zielpersonen in Blue-Chip-Unternehmen (definiert als Unternehmen mit mehr als 500 Mio. U.S.-Dollar Jahresumsatz, wobei 74 Prozent der an der Studie teilnehmenden Unternehmen mehr als 1 Mrd. U.S.-Dollar Jahresumsatz generieren) in Großbritannien, Deutschland, der Schweiz und den Niederlanden. Teilnehmer waren die größten europäischen Unternehmen im Bereich Herstellung und Konstruktion, Einzelhandel, Finanzdienstleistungen, Versorgungsunternehmen, pharmazeutische Unternehmen, Unternehmen für Beratungsdienstleistungen und IT/ Telekommunikationsunternehmen. Die Gesprächspartner waren der jeweilige CFO/Finanzdirektor, Leiter Compliance/Compliance-Direktor, Leiter der Rechtsabteilung oder Justiziar.