Datensicherung und Datenverlust - wer haftet
im Schadensfall?
Durch
die fast vollständige Umstellung auf elektronische Betriebsabläufe
in Unternehmen kommt der Speicherung und Sicherung der erfassten
Daten eine essentielle Bedeutung zu. Nach der herrschenden Rechtsprechung
muss dabei grundsätzlich davon ausgegangen werden, dass der
Unternehmer selbst für die gesetzlich erforderliche, regelmäßige
Sicherung seiner Daten verantwortlich ist. Die Haftung eines Schädigers
beschränkt sich weitestgehend auf denjenigen Schaden, der durch
eine in angemessenen Abständen erfolgende Datensicherung nicht
hätte verhindert werden können.
Grundsatz: Erstellen Sie ein Datensicherungskonzept
Der Möglichkeit eines Datenverlustes muss mit einem Datensicherungskonzept
begegnet werden. Hierfür ist die gelegentliche Anfertigung
einer Kopie des Datenbestandes auf externen Speichermedien nicht
ausreichend. Erforderlich ist eine regelmäßige, möglichst
automatische Erstellung von Backups des gesamten wertvollen Datenbestandes.
Darüber hinaus empfiehlt es sich, Sicherungskopien langfristig
zu verwahren, um auch zu früheren Versionen des Datenbestandes
zurückkehren zu können. In diesem Zusammenhang müssen
die nötigen Arbeitsschritte fixiert werden und in einem sorgfältigen
System gesammelt werden, um einen sicheren Zugriff zu ermöglichen.
Die einzelnen Arbeitsschritte müssen darüber hinaus kontrolliert
werden, um einen tatsächlichen Sicherungserfolg zu erreichen.
Es ist insbesondere zu einer räumlichen Trennung der unterschiedlichen
Sicherungsmittel und der Backups zu raten. Einbruchssichere und
feuerfeste Datensicherungsschränke sind zu empfehlen.
Kommt es zum Schadensfall, werden Versäumnisse bei der eigenen
Sicherung von Daten rechtlich stets als Mitverschulden im Sinne
des § 254 BGB bewertet. Die Möglichkeit Schadensersatz
von einem Schädiger zu erlangen, der Unternehmensdaten vorsätzlich
oder fahrlässig vernichtet hat, ist damit im Fall der mangelhaften
Datensicherung deutlich beschränkt bzw. ausgeschlossen.
BGH: Wie berechnet sich der Schaden bei Datenverlust?
Während damit grundsätzlich die Datensicherung durch den
Unternehmer in den Vordergrund zu rücken ist, stellt sich zusätzlich
die Frage, wie der Schaden bei einem eingetretenen Datenverlust zu
berechnen ist. Hierzu hat der BGH (Bundesgerichtshof) im Dezember
2008 (Aktenzeichen VI ZR 173) im Detail Stellung genommen.
Der BGH hatte über folgenden Fall zu entscheiden: Ein Ingenieurbüro
befasste sich mit der Planung von Steuerungsanlagen im Industriebereich.
Ein IT-Dienstleister, der für das Büro arbeitete, brachte
seinen damals zwölfjährigen Sohn zur Arbeit mit. Dieser
installierte unbeaufsichtigt auf dem Betriebsrechner ein Computerspiel.
Durch dieses wurde der Datenbestand auf der Festplatte weitgehend
zerstört und unbrauchbar. Das Ingenieurbüro hatte keine
eigene Datensicherung vorgenommen. Im Vorprozess verurteilte das
Landgericht Frankfurt Vater und Sohn dazu, dem Ingenieurbüro
70 Prozent des bei Hard- und Software entstandenen Schadens zu ersetzen,
während dem Ingenieurbüro 30 Prozent als Mitverschulden
angelastet wurden. Der durch das Ingenieurbüro bezifferte Schaden
belief sich insoweit auf 350.000 Euro, in dieser Höhe erging
das Urteil zulasten der Beklagten.
In der Berufungsinstanz befand das OLG Frankfurt, dass das Ingenieurbüro
nur rund 350 Euro beanspruchen könne für die Anschaffung
einer neuen Festplatte. Die Datenwiederherstellung sei dagegen nur
mit einem unverhältnismäßigen Aufwand möglich
und im Hinblick auf den wirtschaftlichen Wert der Daten unzumutbar
im Sinne des § 251, Absatz 2, Satz 1 BGB. Dabei bemesse sich
der Wert der wiederhergestellten Daten nach dem Aufwand, den das
Ingenieurbüro seit dem Verlust der Daten tatsächlich zu
deren Wiederherstellung betrieben habe. Da es aber weder hierzu
noch zu den künftig tatsächlich erforderlich werdenden
Kosten ausreichend vorgetragen habe, sei auch keine Schätzung
der ersatzweise zu zahlenden Entschädigung möglich.
Der BGH hob das Urteil des OLG Frankfurt auf und verwies an diese
Instanz zurück. Nach Meinung des BGH sei eine Wiederherstellung
der Daten als "Naturalrestitution" möglich, soweit
diese in anderer Form (z.B. in ausgedruckter Form) noch vorhanden
und reproduzierbar seien. In allen anderen Fällen könnten
auch nicht Wiederherstellungskosten im Sinne von "Reparaturkosten"
beansprucht werden (§ 249 Satz 2 BGB). Denn bei qualifizierten
geistigen oder schöpferischen Leistungen sei eine Neuschaffung
keine "Wiederherstellung" im schadensrechtlichen Sinne.
In diesem Fall könne der Geschädigte von vornherein nur
Wertersatz nach § 251 Absatz 1 BGB beanspruchen.
Damit ergibt sich eine hohe Haftbarkeit für die Herbeiführung
eines Datenverlustes nach dem Schadensersatzsystem des Zivilrechts,
auch wenn das Urteil des BGH keine wirklich neue Wendung in der
Rechtsprechung enthält.
IT-Dienstleister: Haftungsausschluss für Datenverlust in AGB
kaum möglich
Da die beim Verlust von Daten entstehenden Schadenssummen für
Unternehmen enorme Höhen erreichen können, muss über
die Möglichkeit einer vertraglichen Haftungsfreistellung nachgedacht
werden. Dies ist insbesondere für Dienstleister im IT-Bereich
relevant, da deren Arbeit oftmals direkt den Zugriff auf Datenbestände
ermöglicht. Oftmals wird im Rahmen von EDV-Leistungen die Geltung
von Allgemeinen Geschäftsbedingungen (AGB) vereinbart. In diesen
befinden sich oftmals auch Haftungsausschluss-Vereinbarungen oder
Haftungsbeschränkungen.
Im Zusammenhang mit der Verletzung von Datenbeständen muss
aber darauf aufmerksam gemacht werden, dass es sich bei IT-Leistungen,
die beispielsweise die Einrichtung von Programmen betreffen, die
auch Datensicherungsroutinen enthalten um Kardinalpflichten handelt,
von welcher eine Haftungsfreistellung nicht möglich ist, da
der Vertrag in seinem Kern ansonsten entwertet werden würde.
Ein Haftungsausschluss für eine fehlerhafte oder sonst ungenügende
Datensicherung wird damit regelmäßig unwirksam sein.
Denn angesichts der Wichtigkeit einer zuverlässigen Datensicherung
wird man meist davon ausgehen können, dass die fehlerfreie
Sicherstellung derselben im Rahmen von IT-Leistungen vertragswesentlich
ist.
Allerdings muss es als AGB-rechtlich zulässig erachtet werden,
die Haftung bei Datenverlust auf den Aufwand zu beschränken,
der notwendig ist, um anhand vorhandener Sicherungskopien die verlorenen
Daten auf der Anlage des Nutzers wiederherzustellen. Die Wirksamkeit
einer solchen Klausel, die normalerweise mit einer Verpflichtung
des Kunden zur eigenständigen Datensicherung verbunden sein
wird, ergibt sich wiederum aus dem Rechtsgedanken des § 254
BGB (vgl. dazu das bereits oben erwähnte). Insofern ist zu
dieser Haftungsbeschränkung zu raten.
Fazit
Die Haftung für die Löschung eines Datensatzes bestimmt
sich danach nach den allgemeinen Regeln des Schadensersatzrechtes.
Das Risiko einer Haftung ist hoch, da diese in den meisten Fällen
nicht durch einen Haftungsausschluss umgangen werden kann.
Die Datensicherung im Bereich der IT-Systeme eines Unternehmens
gehört schon seit langem zu einer allgemein bekannten und rechtlich
geforderten Selbstverständlichkeit, für deren Durchführung
der Unternehmer zu sorgen hat. Wenn doch einmal Daten durch das
Verschulden von Angestellten oder Dritten gelöscht werden,
wirkt sich die grundsätzlich bestehende Pflicht zur Datensicherung
für den Schädiger haftungsmildernd aus. Insofern kann
nur beschränkt Schadensersatz verlangt werden, wenn eine effektive
Datensicherung im Unternehmen nicht sichergestellt wurde. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter
im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma
Lena Fritz ist Rechtsassessorin.
Gefunden bei http://www.channelpartner.de
redaktion@bill.de
(Quelle ChannelPartner.de /
Autor wenn nicht erwähnt, UNBEKANNT)
|