Datenschutz, Teil 2

Datensicherung und Datenverlust - wer haftet im Schadensfall?

12.07.2010
Wer grundsätzlich haftet und welche Ausnahmen es gibt, sagen Dr. Sebastian Kraska und Alma Lena Fritz.

Durch die fast vollständige Umstellung auf elektronische Betriebsabläufe in Unternehmen kommt der Speicherung und Sicherung der erfassten Daten eine essentielle Bedeutung zu. Nach der herrschenden Rechtsprechung muss dabei grundsätzlich davon ausgegangen werden, dass der Unternehmer selbst für die gesetzlich erforderliche, regelmäßige Sicherung seiner Daten verantwortlich ist. Die Haftung eines Schädigers beschränkt sich weitestgehend auf denjenigen Schaden, der durch eine in angemessenen Abständen erfolgende Datensicherung nicht hätte verhindert werden können.

Grundsatz: Erstellen Sie ein Datensicherungskonzept

Der Möglichkeit eines Datenverlustes muss mit einem Datensicherungskonzept begegnet werden. Hierfür ist die gelegentliche Anfertigung einer Kopie des Datenbestandes auf externen Speichermedien nicht ausreichend. Erforderlich ist eine regelmäßige, möglichst automatische Erstellung von Backups des gesamten wertvollen Datenbestandes.

Darüber hinaus empfiehlt es sich, Sicherungskopien langfristig zu verwahren, um auch zu früheren Versionen des Datenbestandes zurückkehren zu können. In diesem Zusammenhang müssen die nötigen Arbeitsschritte fixiert werden und in einem sorgfältigen System gesammelt werden, um einen sicheren Zugriff zu ermöglichen. Die einzelnen Arbeitsschritte müssen darüber hinaus kontrolliert werden, um einen tatsächlichen Sicherungserfolg zu erreichen. Es ist insbesondere zu einer räumlichen Trennung der unterschiedlichen Sicherungsmittel und der Backups zu raten. Einbruchssichere und feuerfeste Datensicherungsschränke sind zu empfehlen.

Kommt es zum Schadensfall, werden Versäumnisse bei der eigenen Sicherung von Daten rechtlich stets als Mitverschulden im Sinne des § 254 BGB bewertet. Die Möglichkeit Schadensersatz von einem Schädiger zu erlangen, der Unternehmensdaten vorsätzlich oder fahrlässig vernichtet hat, ist damit im Fall der mangelhaften Datensicherung deutlich beschränkt bzw. ausgeschlossen.

BGH: Wie berechnet sich der Schaden bei Datenverlust?

Während damit grundsätzlich die Datensicherung durch den Unternehmer in den Vordergrund zu rücken ist, stellt sich zusätzlich die Frage, wie der Schaden bei einem eingetretenen Datenverlust zu berechnen ist. Hierzu hat der BGH (Bundesgerichtshof) im Dezember 2008 (Aktenzeichen VI ZR 173) im Detail Stellung genommen.

Der BGH hatte über folgenden Fall zu entscheiden: Ein Ingenieurbüro befasste sich mit der Planung von Steuerungsanlagen im Industriebereich. Ein IT-Dienstleister, der für das Büro arbeitete, brachte seinen damals zwölfjährigen Sohn zur Arbeit mit. Dieser installierte unbeaufsichtigt auf dem Betriebsrechner ein Computerspiel. Durch dieses wurde der Datenbestand auf der Festplatte weitgehend zerstört und unbrauchbar. Das Ingenieurbüro hatte keine eigene Datensicherung vorgenommen. Im Vorprozess verurteilte das Landgericht Frankfurt Vater und Sohn dazu, dem Ingenieurbüro 70 Prozent des bei Hard- und Software entstandenen Schadens zu ersetzen, während dem Ingenieurbüro 30 Prozent als Mitverschulden angelastet wurden. Der durch das Ingenieurbüro bezifferte Schaden belief sich insoweit auf 350.000 Euro, in dieser Höhe erging das Urteil zulasten der Beklagten.

In der Berufungsinstanz befand das OLG Frankfurt, dass das Ingenieurbüro nur rund 350 Euro beanspruchen könne für die Anschaffung einer neuen Festplatte. Die Datenwiederherstellung sei dagegen nur mit einem unverhältnismäßigen Aufwand möglich und im Hinblick auf den wirtschaftlichen Wert der Daten unzumutbar im Sinne des § 251, Absatz 2, Satz 1 BGB. Dabei bemesse sich der Wert der wiederhergestellten Daten nach dem Aufwand, den das Ingenieurbüro seit dem Verlust der Daten tatsächlich zu deren Wiederherstellung betrieben habe. Da es aber weder hierzu noch zu den künftig tatsächlich erforderlich werdenden Kosten ausreichend vorgetragen habe, sei auch keine Schätzung der ersatzweise zu zahlenden Entschädigung möglich.

Der BGH hob das Urteil des OLG Frankfurt auf und verwies an diese Instanz zurück. Nach Meinung des BGH sei eine Wiederherstellung der Daten als "Naturalrestitution" möglich, soweit diese in anderer Form (z.B. in ausgedruckter Form) noch vorhanden und reproduzierbar seien. In allen anderen Fällen könnten auch nicht Wiederherstellungskosten im Sinne von "Reparaturkosten" beansprucht werden (§ 249 Satz 2 BGB). Denn bei qualifizierten geistigen oder schöpferischen Leistungen sei eine Neuschaffung keine "Wiederherstellung" im schadensrechtlichen Sinne. In diesem Fall könne der Geschädigte von vornherein nur Wertersatz nach § 251 Absatz 1 BGB beanspruchen.

Damit ergibt sich eine hohe Haftbarkeit für die Herbeiführung eines Datenverlustes nach dem Schadensersatzsystem des Zivilrechts, auch wenn das Urteil des BGH keine wirklich neue Wendung in der Rechtsprechung enthält.

IT-Dienstleister: Haftungsausschluss für Datenverlust in AGB kaum möglich

Da die beim Verlust von Daten entstehenden Schadenssummen für Unternehmen enorme Höhen erreichen können, muss über die Möglichkeit einer vertraglichen Haftungsfreistellung nachgedacht werden. Dies ist insbesondere für Dienstleister im IT-Bereich relevant, da deren Arbeit oftmals direkt den Zugriff auf Datenbestände ermöglicht. Oftmals wird im Rahmen von EDV-Leistungen die Geltung von Allgemeinen Geschäftsbedingungen (AGB) vereinbart. In diesen befinden sich oftmals auch Haftungsausschluss-Vereinbarungen oder Haftungsbeschränkungen.

Im Zusammenhang mit der Verletzung von Datenbeständen muss aber darauf aufmerksam gemacht werden, dass es sich bei IT-Leistungen, die beispielsweise die Einrichtung von Programmen betreffen, die auch Datensicherungsroutinen enthalten um Kardinalpflichten handelt, von welcher eine Haftungsfreistellung nicht möglich ist, da der Vertrag in seinem Kern ansonsten entwertet werden würde. Ein Haftungsausschluss für eine fehlerhafte oder sonst ungenügende Datensicherung wird damit regelmäßig unwirksam sein. Denn angesichts der Wichtigkeit einer zuverlässigen Datensicherung wird man meist davon ausgehen können, dass die fehlerfreie Sicherstellung derselben im Rahmen von IT-Leistungen vertragswesentlich ist.

Allerdings muss es als AGB-rechtlich zulässig erachtet werden, die Haftung bei Datenverlust auf den Aufwand zu beschränken, der notwendig ist, um anhand vorhandener Sicherungskopien die verlorenen Daten auf der Anlage des Nutzers wiederherzustellen. Die Wirksamkeit einer solchen Klausel, die normalerweise mit einer Verpflichtung des Kunden zur eigenständigen Datensicherung verbunden sein wird, ergibt sich wiederum aus dem Rechtsgedanken des § 254 BGB (vgl. dazu das bereits oben erwähnte). Insofern ist zu dieser Haftungsbeschränkung zu raten.

Fazit

Die Haftung für die Löschung eines Datensatzes bestimmt sich danach nach den allgemeinen Regeln des Schadensersatzrechtes. Das Risiko einer Haftung ist hoch, da diese in den meisten Fällen nicht durch einen Haftungsausschluss umgangen werden kann.

Die Datensicherung im Bereich der IT-Systeme eines Unternehmens gehört schon seit langem zu einer allgemein bekannten und rechtlich geforderten Selbstverständlichkeit, für deren Durchführung der Unternehmer zu sorgen hat. Wenn doch einmal Daten durch das Verschulden von Angestellten oder Dritten gelöscht werden, wirkt sich die grundsätzlich bestehende Pflicht zur Datensicherung für den Schädiger haftungsmildernd aus. Insofern kann nur beschränkt Schadensersatz verlangt werden, wenn eine effektive Datensicherung im Unternehmen nicht sichergestellt wurde. (oe)

Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.

Kontakt:

IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de