OLG-Urteil zur Datensicherung

Daten-Schlamperei kann für Provider teuer werden

06.12.2018
Von Peter Bongartz und  
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Ein Hostingprovider schuldet nicht allein die Verfügbarkeit von Speicherplatz, sondern darüber hinaus auch die Sicherheit der dort von seinem Kunden abgelegten Daten. Dies ergibt sich aus den Nebenpflichten des Hosting-Vertrags und wurde vom OLG Hamburg (Az: U 69/16) erneut klargestellt.
Ob analog oder digital. So sollte der Umgang mit Daten von Auftraggebern auf keinen Fall aussehen.
Ob analog oder digital. So sollte der Umgang mit Daten von Auftraggebern auf keinen Fall aussehen.
Foto: trekandshoot - shutterstock.com

Am 11. April 2018 hat das Oberlandesgericht Hamburg erneut klar gestellt, dass ein Hostprovider im Rahmen eines Hosting-Vertrags nicht nur die Verfügbarkeit von Speicherplatz schuldet. Vielmehr sei er darüber hinaus nebenvertraglich verpflichtet, auch für die Sicherheit der dort von seinem Kunden abgelegten Daten zu sorgen. Soweit er im Rahmen von Wartungsarbeiten oder sonstigen Vorgängen Daten auf einen anderen Server verschiebt und sie auf dem ursprünglichen Server endgültig löscht, handelt dieser grob fahrlässig und hat den daraus entstandenen Schaden zu ersetzen (OLG Hamburg, Urteil v. 11. April 2018 - 8 U 69/16).

Onlineshop lahm gelegt

Im Fall vor dem OLG Hamburg kam es im Rahmen eines solchen Hosting-Vertrags eines Onlineshop-Betreibers zu Streitigkeiten. Der Grund: Bei der Verschiebung eines Accounts auf einen anderen Server kam es zu einer fehlerhaften Konfiguration. Dadurch wurden fälschlicherweise die Daten auf dem alten Server weiterhin aktualisiert - die auf dem neuen Server hingegen nicht.
Im Anschluss wurden alle Daten auf dem alten Server im Rahmen eines automatisierten Wartungsprozesses gelöscht und konnten nicht mehr wiederhergestellt werden. Dem Shop-Betreiber verblieben lediglich die veralteten, nicht aktualisierten Daten des neuen Servers.

Bei den Daten handelte es sich um Kunden- und Artikeldaten aus einem Onlineshop. Die zwischen Serverwechsel und Löschung neu erfassten 750 Kunden- und 2.500 Artikeldaten gingen unwiderruflich verloren. Infolgedessen war auch der Online-Shop des Kunden nicht mehr funktionsfähig und der Shopbetreiber verzeichnete hohe Umsatzeinbußen.

Grob fahrlässiges Handeln

Bei einem Hosting-Vertrag besteht die Hauptpflicht des Hostproviders darin, einem Kunden Speicherplatz auf einem Server zur Verfügung zu stellen. Dieser Speicherplatz kann dann für die Aufbewahrung von Daten genutzt werden oder zum Beispiel zum Betreiben eines Onlineshops.
Doch allein die Erfüllung der Hauptleistungspflicht genügt nicht. Die Gerichte binden die Hostprovider darüber hinaus an besondere Sorgfaltspflichten in Bezug auf die in seinem Verantwortungsbereich abgelegten Daten. Löscht der Hostprovider die Daten absichtlich oder versehentlich, so muss er die dem Kunden entstandenen Schäden vollständig ersetzen.

Soweit der Provider die Wichtigkeit der abgelegten Daten kennt und weiß, dass diese Daten unwiderruflich gelöscht werden, so stuft das OLG Hamburg das Löschen eben dieser Daten sogar als "besonders grob fahrlässig ein". Dies führt dazu, dass sich der Provider auch nicht mehr auf in den AGB regelmäßig enthaltenen Haftungsbeschränkungen berufen kann. Demnach sehen die deutschen Gerichte neben den Hauptleistungspflichten auch die Nebenpflicht eines Hostproviders zur Datensicherung.

Mitverschulden von Shop-Betreibern möglich

Allerdings müssen auch die Kunden regelmäßig eigene Datensicherungen vornehmen. Fehlt eine explizite Regelung im Vertrag, so ist auch der Kunde zu einer Sicherung der gehosteten Daten verpflichtet. Unterlässt der Kunde diese Sicherung fahrlässig, so ist ein etwaiger Haftungsanspruch gegen den Hostprovider im Rahmen eines Mitverschuldens zu kürzen.

Zukünftig sollten Provider davon ausgehen, dass sie trotz fehlender ausdrücklicher vertraglicher Vereinbarungen zur Sicherung der Daten verpflichtet sind. Eine Beschränkung dieser Haftung ist nur unmittelbar in der Leistungsbeschreibung des Vertrages möglich. Je nach Vertragsgestaltung und Hauptleistungspflicht kann aber auch diese Haftungsbeschränkung gemäß § 307 Abs. 3 S. 2 BGB unwirksam sein.

Zur Startseite