DLP dient dazu, die Risiken der Preisgabe von Daten an Unberechtigte durch verstärkte Kontrolle über die Nutzung der Daten zu kontrollieren. Mindestens soll sichergestellt werden, dass die Daten bei unbefugtem Zugriff, Verlieren oder Entwendung von Datenträgern, unsorgfältiger Entsorgung etc. nicht verwertet werden können.

Die ISSS Zürcher Tagung 2010 war wie jedes Jahr in zwei Teile unterteilt. Der erste Teil beschäftigte sich mit den Aspekten von Recht und Compliance der DLP und ging auf die Sanktionen gegen die Täter, Empfänger und Nutzer entwendeter Daten sowie auf die Verantwortung und Haftung von Unternehmen und Verwaltungsstellen bei ungenügenden Massnahmen zur DLP ein. In sehr spannenden Vorträgen legten die Referenten David Rosenthal, Konsulent für Informations- und Kommunikationsrecht, Kanzlei Homburger, Zürich, Karin Koç, juristische Beraterin in datenschutzrechtlichen Fragen des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB), und Jürgen Wagner, Rechtsanwalt und Fachanwalt für Handels- und Gesellschaftsrecht, Wagner & Joos Rechtsanwälte, Konstanz/Zürich/Vaduz, ihre Erfahrungen aus der Praxis dar.

David Rosenthal zeigt auf, dass es sich beim vielzitierten Datenklau aus rechtlicher Sicht meistens nicht um Datendiebstahl handelt. Einer der Hauptgründe hierfür ist das gemäss dem Artikel 143 StGB erforderliche Tatbestandsmerkmal des unbefugten Zugriffs auf besonders gesicherte Daten. Diese Bestimmung erfasst meist nur externe Angreifer, da die Mitarbeitenden über eine Zugangsberechtigung zu den Daten verfügen. Da die Datendiebe aber meist etwas mit den gestohlenen Daten anfangen wollen, bietet sich trotzdem die Gelegenheit, rechtlich einzugreifen. Rosenthal stellte die wichtigsten strafrechtlichen und zivilrechtlichen Ansatzpunkte kurz vor, beispielsweise den Tatbestand der Bekanntgabe «entwendeter» Geheimnisse an Dritte oder der Persönlichkeits- oder Vertragsverletzung.

Mit der Frage «Vertrauen ist gut, Kontrolle ist besser?» stellte Karin Koç die Teilnehmenden vor die nächste Herausforderung. Gleich zu Beginn betonte sie, dass aus Gründen des Persönlichkeitsschutzes die Überwachung der Mitarbeitenden immer die letzte aller möglichen Massnahmen sein sollte. Sie zeigte auf, welche rechtlichen Grundlagen und Voraussetzungen erfüllt sein müssen, damit eine Überwachung der eigenen Mitarbeitenden rechtmässig erfolgen kann.

Jürgen Wagner bezog sich in seinem Referat im Speziellen auf die LGT Treuhand, welcher im Jahre 2002 Kundendaten gestohlen worden sind. Auch aus seiner Sicht ist die Begriffsbezeichnung «Datenklau» verwirrend oder gar zu harmlos formuliert. In Fällen wie dem vorliegenden gehe es vielmehr um Straftaten wie Betrug.