Wer haftet bei Datenverlust und verlorenen Daten?
Wir hören diese Fragen oft: Gibt es eine Kostenübernahme der Versicherung für die Wiederherstellung meiner Daten? Zahlt die Hausrat- oder Haftpflichtversicherung den Schaden? Bezahlt der Hersteller die Datenrettung im Rahmen der bestehenden Garantie?
DIREKT ZUR ANFRAGE

Haftungsfrage bei Datenverlust

Bei Datenverlust stellen sich häufig verschiedene Fragen: Wer hat schuld daran? Wer haftet für den Datenverlust? Welcher Schaden ist entstanden? Wer haftet für den Schaden? Wie unabdingbar ist eine regelmäßige Datensicherung? Im privaten sowie gewerblichen Bereich gibt es hier etwaige Unterschiede bei der Haftung und Verantwortlichkeit. Nicht jede Versicherung kommt für verlorene Daten auf. Nicht jeder IT-Dienstleister haftet für Datenverluste seines betreuten Kunden, nicht jeder Haftungsausschluss in den AGB ist mit deutschem Recht vereinbar und Gerichte entscheiden nicht ausnahmslos zu Gunsten des Geschädigten.

Hamburg, Deutschland - 31. Januar 2018 - Sebastian Evers

Wer haftet bei Datenverlust und wer bezahlt die Datenrettung?

Die wichtigste Regel für Datenverlust ist so einfach wie zutreffend: Datenverlust passiert, das ist Fakt. Die Frage nach dem „Ob“ stellt sich nicht, sondern nur die Frage nach dem „Wann“ und vielleicht noch nach dem "Wie". Früher oder später wird jeder im kleineren oder größeren Umfang mit dem Thema Datenverlust und korrelierend mit dem Thema Datenrettung (engl. data restore, data recovery) und Datenwiederherstellung in Kontakt kommen. Das betrifft sowohl Flashmedien wie Speicherkarten und USB Sticks, externe und interne Festplatten, Heim-Cloud-Speicher (Network Attached Storage) mit einzelnen Datenträgern oder JBOD/RAID und auch komplexe RAID Storage Systeme mit Hotspare gleichermaßen. Die ursächlichen Probleme für Datenverlust sind vielseitig und in den meisten Fällen stellen sich die Fragen: Wer hat Schuld? Wer haftet bei Datenverlust? Wer kommt für die finanzielle Belastung der Datenrettung auf?

Haftet der Hersteller bei Datenverlust durch defekte Hardware?

Wir bekommen des Öfteren Anfragen zur Datenwiederherstellung bei denen beispielsweise eine externe Festplatte bereits wenige Monate nach dem Erwerb und Inbetriebnahme die Funktionalität einstellt. Eine tägliche oder sporadische Verwendung sei hier außen vorgelassen, da der Umstand irrelevant ist.

Um beim Beispiel der Festplatte zu bleiben: Es handelt sich hierbei um ein mechanisches Gerät. Eine Erfahrung die jeder schon gemacht haben dürfte, sei es mit dem Auto, der Waschmaschine oder anderen Geräten im eigenen Haushalt (in meinem Fall derzeit ein Küchenmixer von Bosch der keinen Mucks mehr von sich gibt) gehen Geräte halt irgendwann kaputt, unabhängig vom Verwendungsumfang. Diesen Umstand habe ich auch schon in meinem Beitrag zur Definiton der Datenrettung kurz erwähnt.

Im spezielleren Fall der Festplatte, mit meist unwiederbringlichen Datenbeständen, ereilt uns als Datenrettungspartner eines namhaften Festplattenfabrikanten häufig die Fragestellung, ob der Festplattenhersteller im Rahmen der Garantie für die Kosten der Diagnose/Datenrettung aufkommt? Immerhin sei das Gerät im Rahmen der Garantie und ohne eigenes Verschulden kaputt gegangen. Hin und wieder wird dies sogar als gegeben vorausgesetzt und es folgt die Ernüchterung, wenn wir darauf hinweisen müssen, dass Datenwiederherstellung nicht in die Garantieleistungen fällt und vom Anwender selbst zu zahlen ist. Unserer langjährigen Erfahrung nach sind die Hersteller im Rahmen ihrer eigenen Garantiebestimmungen sowie der gesetzlichen Gewährleistung dazu verpflichtet defekte oder mangelhafte Datenträger gegen einen gleichwertigen neuen Datenträger auszutauschen. Das ist auch der Fall, wenn der Datenträger im Rahmen der Diagnose/Datenrettung in unserem professionellen Labor geöffnet worden ist.

Beispiele herstellerseitiger Faktoren für Datenverlust

Grundsätzlich können Produktionsfehler nicht ausgeschlossen werden. So gab es in der Vergangenheit potenzielle Firmware-Fehler bei den Seagate Festplatten Serien Barracuda 7200.11, Barracuda ES.2 SATA und der Maxtor Festplatten Serie DiamondMax 22 aus dem Dezember 2008, die Seagate im Januar 2009 einräumte und ein herstellerseitiges Firmwareupdate auf der eigens für das Problem eingerichteten Supportdomain anbot.

Nachfolgend die betroffenen Modellserien:

  • Seagate Barracuda 7200.11

ST31000340AS
ST3750330AS
ST3640330AS
ST3500320AS
ST31500341AS
ST31000333AS
ST3640323AS
ST3640623AS
ST3320613AS
ST3320813AS
ST3160813AS

  • Seagate Barracuda ES.2 SATA

ST31000340NS
ST3750330NS
ST3500320NS
ST3250310NS

  • Seagate-Maxtor DiamondMax 22

STM31000340AS
STM3750330AS
STM3500320AS
STM31000334AS
STM3320614AS
STM3160813AS
STM31000333AS

Im Jahr 2016 wurde Seagate von der Firma Hagens Berman als Klageführer wegen der exorbitant hohen Ausfallrate der Seagate ST3000DM001 verklagt. Schon ein Jahr zuvor hatte der Cloud-Anbieter Backblaze die hohe Ausfallquote der speziellen Seagate Festplatten statistisch dokumentiert. Verschiedenste Vermutungen betreffend der Ausfallgründe der Festplatten rankten sich um die unsachgemäße Verwendung der Consumer-Festplatten für Enterpise-Anwendungen und stellten die Erhebungen von Backblaze mehrfach in Frage.

Ein weiteres derartiges Szenario betraf den Hersteller IBM im Jahr 2004 mit ihren IBM Desktar (DTLA) Festplatten, die aufgrund ihrer Probleme Datenverlust begünstigten. Zwar wurden Qualitätsprobleme mit den Datenträger seitens IBM abgestritten, allerdings führte die Herausgabe eines Firmwareupdates zur Minderung der vorliegenden Probleme zur indirekten Bestätigung. Viele Kunden hatten aber auch nachfolgend weiterhin Probleme mit den IBM Festplattenmodellen. In dem 2005er Rechtsstreit diesbezüglich stellte sich durch firmeninterne Unterlagen heraus, dass Verantwortliche über die Problematik Bescheid gewusst haben sollten. Das betraf die nachfolgenden IBM 75GXP Serien: DTLA 307-015, DTLA 307-020, DTLA 307-030, DTLA 307-045, DTLA 307-060 und DTLA 307-075. IBM erklärte sich im Zuge des Rechtsstreits bereit 100,00 $ an jeden Anwender zu zahlen, der von einer der vorhergehend genannten defekten Deskstar 75GXP betroffen sei.

Ein weiteres Problem mit IBM Festplatten betraf die IC35 Modelle im Zeitraum von 2003 bis 2004. Diese Festplatten waren innerhalb kürzester Zeit defekt oder ließen sich gar nicht erst in Betrieb nehmen – die Ausfallrate war ungewöhnlich hoch. Mein Kollege Andreas, der damals für Cemos gearbeitet hat kann sich lebhaft an Massen von Reklamationen und Reklamationen der Austauschdatenträger erinnern. Unser Geschäftsführer und technischer Leiter Peter, der schon lange vor Attingo in der Datenrettung tätig war, kann ebenfalls bestätigen dass er dieses Modell in ungewöhnlicher Häufigkeit auf den Labortisch bekommen hatte. Auch das Internet ist voll von zumeist negativen Erfahrungen und berichtet von sehr kurzen Laufzeiten bis zum Versagen der HDD. Gleiches galt für die von IBM zur Verfügung gestellten Austauschspeicher der gleichen Baureihe. Die seit damals in Datenrettungskreisen kursierende und plausibelste Mutmaßung hinsichtlich des Problemursprungs deutet auf umgefallene Paletten in irgendeinem Lager oder irgendwo auf dem Transportweg hin.

Die oben genannten Beispiele zeigen also, dass es durchaus auch herstellerseitige Ursachen für potenziellen Datenverlust geben kann. Doch ob Hersteller für Datenverlust haftbar zu machen sind steht auf einem ganz anderen Blatt. Hier gilt es vor allem auch klar zu stellen, wer den Datenverlust verhindern beziehungsweise vorbeugen kann? Hat der Hersteller, der einem die entsprechende Hardware verkauft die Möglichkeit eine Datensicherung auf einem weiteren Medium anzulegen, um für den Fall eines Ausfalls ein aktuelles Backup vorzuhalten?

Die Beantwortung der Frage dürfte jedem äußerst leicht fallen. Immerhin hat der Hersteller zu keinem Zeitpunkt Zugriff geschweige denn die Hoheit über die auf dem Gerät abgelegten Daten. Die Hersteller weisen in den gerätespezifischen Bedienungsanleitungen sowie ihren AGB zudem deutlich darauf hin, dass sie keinerlei Haftung für Datenverlust und Schäden die durch Datenverlust entstehen übernehmen beziehungsweise nicht viel mehr haften, als eine gleichwertige Erstattung des erworbenen Produkts, also einen Austausch als Ersatz für das defekte Gerät, vorzunehmen. Im Zuge dessen werden zumeist auch Garantien auf den fehlerfreien Betrieb der Hardware vollständig ausgeschlossen. Derartige Informationen werden auch hin und wieder von dem Hinweis begleitet, dass man seine Daten ausreichend sichern sollte.

Beispiele für Hersteller-Haftungsausschlüsse bei Datenverlust

Nachfolgend habe ich einige Beispiele für den Garantieausschluss und die Haftung beziehungsweise Nichthaftung bei Datenverlust sowie aus Datenverlust resultierenden Folgeschäden mit entsprechenden Verlinkungen oder der hochgeladenen PDF zum zitierten Passus aufgelistet. Der Wortlaut ist zum Zeitpunkt der Veröffentlichung dieses Beitrags unverändert. Zukünftige Änderungen und Anpassungen der Formulierungen und Wortlaute derzeit bestehender Texte auf den verlinkten Domains durch die Hersteller können zum jetzigen Zeitpunkt nicht ausgeschlossen werden.

Buffalo (Haftungsausschluss)

„Die von Buffalo hergestellten Produkte werden ausschließlich zur Nutzung im Heim- oder Bürobereich vertrieben. Buffalo übernimmt keinerlei Haftung für aus einer Nutzung bzw. nicht möglichen Nutzung des Buffalo Produkts entstandene Schäden, Datenverluste oder aufgetretene Folgeschäden (inklusive, ohne darauf beschränkt zu sein: Schäden aufgrund entgangener Unternehmensgewinne oder verlorener Geschäftsinformationen, Schäden aufgrund von Unterbrechungen des Geschäftsbetriebs bzw. jedwede andere Vermögensschäden). Dies gilt auch für den Fall, dass Buffalo über das mögliche Auftreten solcher Schäden in Kenntnis gesetzt wurde.“

HGST (Haftungsausschluss)

„Eine Garantie auf unterbrechungsfreien oder fehlerfreien Betrieb bzw. Mängel im Design wird nicht gewährt. Eine Garantie für Datenverlust oder Datenschäden wird nicht gewährt; Sie müssen die auf Ihrem Produkt gespeicherten Daten regelmäßig auf einem separaten Speicherprodukt sichern. Produkte, deren Identifizierungsetikett entfernt oder verändert wurde, sind von der Garantie ausgeschlossen.“

QNAP (Haftungsausschluss)

„Die Haftung der QNAP Systems, Inc. (QNAP) übersteigt bei direkten, mittelbaren, konkreten, beiläufig entstandenen oder Folgeschäden, die aus der Nutzung des Produktes, dessen mitgelieferter Software oder Dokumentation hervorgehen, unter keinen Umständen den für das Produkt bezahlten Preis. QNAP macht keine ausdrücklichen, impliziten oder gesetzlich angeordneten Garantien oder Zusicherungen im Hinblick auf seine Produkte, die Inhalte oder Nutzung dieser Dokumentation oder aller mitgelieferten Softwareprogramme und garantiert vor allem nicht die Qualität, Leistungsfähigkeit, Marktgängigkeit oder Eignung für einen bestimmten Zweck. QNAP behält sich das Recht vor, seine Produkte, Software oder Dokumentation ohne vorherige Benachrichtigung von Einzelpersonen oder Instanzen zu ändern oder zu aktualisieren.

Vermeiden Sie möglichen Datenverlust, indem Sie Ihr System regelmäßig sichern. QNAP lehnt jede Verantwortung für alle Arten von Datenverlust oder -wiederherstellung ab.“

Western Digital

Western Digital haftet nicht bei Datenverlust

WD haftet nicht für den Verlust von Daten, unabhängig von der Ursache, für die Wiederherstellung
verlorener Daten oder für Daten, die in Produkten enthalten sind, die an WD
übergeben wurden.“ (PDF ansehen)

Toshiba

Toshiba haftet nicht bei Datenverlust

Toshiba und die Toshiba Service Partner übernehmen keinerlei explizite oder konkludente Gewährleistung. Toshiba und die Toshiba Service Partner übernehmen keinerlei Haftung für Datenverluste, Geschäftsausfälle oder sonstige Schäden einschließlich Neben- und Folgeschäden, insbesondere nicht für Datenverluste auf dem Transportweg zwischen dem Kunden und Toshiba bzw. den Toshiba Service Partnern.“ (PDF ansehen)

DELL

„Der Kunde ist uneingeschränkt für Folgendes verantwortlich:
[…]
Sicherung von Systemen zur Vermeidung von Datenverlust. Dell übernimmt keine Haftung für Software- oder Datenverlust.
[…]“ (PDF ansehen)

Netgear

Netgear haftet nicht bei Datenverlust

„Dieses NETGEAR Produkt gestattet das Hinzufügen und Nutzen eigener Festplattenlaufwerke. Ziehen Sie vor dem Einbau eigener Festplattenlaufwerke bitte zunächst die NETGEAR Kompatibilitätsliste für ReadyNAS zurate. Dieses NETGEAR Produkt bietet keine Datenredundanz, solange nur ein Festplattenlaufwerk verbaut ist. Durch die Nutzung
dieses NETGEAR Produkts erklären Sie sich damit einverstanden, dass (i) NETGEAR keine Garantie für Festplatten übernimmt, die nicht von NETGEAR bereitgestellt oder eingebaut wurden, und dass (ii) NETGEAR unter keinen Umständen für beschädigte oder verloren gegangene Daten oder Inhalte von Festplatten haftet, die zusammen mit diesem NETGEAR Produkt benutzt werden, unabhängig davon, ob es sich um von NETGEAR bereitgestellte oder für dieses Produkt freigegebene Festplatten handelt. Die von NETGEAR eingeräumte Haftung für fehlerhafte Festplatten oder ein fehlerhaftes Produkt geht in keinem Fall über die Kosten einer Austauschfestplatte bzw. eines Austauschprodukts hinaus. Datenverluste sind unter Umständen dauerhaft und unumkehrbar; das Anlegen einer separaten Sicherungskopie aller auf den Festplatten dieses NETGEAR Produkts gespeicherten Daten wird daher nachdrücklich empfohlen.“ (PDF ansehen)

Intel

„EIN FEHLVERSAGEN DES OBEN ANGEGEBENEN PRODUKTS KANN ZU VERLUST, LÖSCHUNG, BESCHÄDIGUNG ODER ÄNDERUNG VON DATEN („DATENVERLUST“) FÜHREN. INTEL IST NICHT HAFTBAR FÜR DATENVERLUSTE IM ZUSAMMENHANG MIT DEM PRODUKT, UNABHÄNGIG VON DER URSACHE DES DATENVERLUSTS.
SIE SIND FÜR DEN SCHUTZ VOR DATENVERLUST SELBST VERANTWORTLICH, UND SIE ERKLÄREN SICH DAMIT EINVERSTANDEN, STÄNDIG ÜBER EINE VERIFIZIERTE SICHERUNGSKOPIE ALLER DATEN AUF DEM PRODUKT ZU VERFÜGEN.“ (PDF ansehen)

Thecus

„Die Thecus Technology Corporation garantiert, dass alle Komponenten des Thecus N4100PRO vor Werksauslieferung gründlich getestet wurden und dass sie bei üblicher Verwendung normal funktionieren sollten. Sollten Betriebsstörungen auftreten, sind Thecus Technology Corporation und ihre Firmenvertreter und Händler vor Ort ohne Kosten für den Kunden für die Reparatur verantwortlich, sofern das Produkt innerhalb des Garantiezeitraums und bei üblicher Verwendung Mängel aufweist. Die Thecus Technology Corporation ist nicht für Beschädigungen oder Datenverluste verantwortlich, für die ihre Produkte als Verursacher angesehen
werden. Es wird dringendst empfohlen, dass Benutzer regelmäßig erforderliche Datensicherungen durchführen.“ (PDF ansehen)

Synology

SYNOLOGY ÜBERNIMMT KEINE GARANTIE, DASS DIE AUF SYNOLOGY-PRODUKTEN GESPEICHERTEN DATEN JEDERZEIT SICHER UND VOR DATENVERLUST GESCHÜTZT SIND. SYNOLOGY WEIST DARAUF HIN, DASS EINE REGELMÄSSIGE DATENSICHERUNG DURCHGEFÜHRT WERDEN MUSS. SYNOLOGY HAFTET UNTER KEINEN UMSTÄNDEN UND IN KEINER WEISE FÜR SCHÄDEN, DIE AUS DER BENUTZUNG, DER UNFÄHIGKEIT DER BENUTZUNG ODER DEM VERLUST VON DATEN BEI DER BENUTZUNG VON SYNOLOGY-PRODUKTEN ENTSTEHEN KÖNNEN. DIES GILT AUCH FÜR VERMÖGEN, ENTGANGENE GEWINNE ODER ANDERE BEGLEITENDE ODER DARAUS RESULTIERENDE SCHÄDEN
JEGLICHER ART.“ (PDF ansehen)

LaCie

LaCie haftet nicht bei Datenverlust

„Für den Verlust, die Beschädigung oder Vernichtung von Daten während des Betriebs eines LaCie Laufwerks haftet ausschließlich der Benutzer. In keinem Fall haftet LaCie für die Wiederherstellung dieser Daten. Um Datenverlust zu vermeiden, empfiehlt LaCie dringend, ZWEI Kopien Ihrer Daten
zu erstellen, beispielsweise eine Kopie auf Ihrer externen Festplatte und eine zweite Kopie auf Ihrer internen Festplatte sowie auf einer weiteren externen Festplatte oder einem anderen Wechselspeichermedium. LaCie bietet ein umfassendes Sortiment an CD- und DVD-Laufwerken. Weitere Informationen zur Datensicherung finden Sie auf unserer Website.“ (PDF ansehen)

Übernimmt die Versicherung die Datenrettung?

Da eine Datenrettung oftmals mit einschneidendem finanziellen Aufwand verbunden sein kann hören wir öfter, dass Kostenschätzungen und Angebote erst einmal der Versicherung vorgelegt werden, in der Hoffnung dass diese die Kosten trägt. Man kann hier nicht pauschal sagen, dass die Versicherungen die Kosten der Datenrettung niemals übernehmen. Abhängig von bestimmten Voraussetzungen kann es durchaus sein, dass beispielsweise eine Haftpflichtversicherung die Kosten der Datenrettung übernimmt: Wenn ein finanzieller Schaden durch einen defekten Datenträger belegbar ist. Dies gilt vor allem bei unternehmensspezifischen und geschäftsrelevanten Daten, bei denen eine Auf- beziehungsweise Nacharbeitung weitaus kostenintensiver ist als eine professionelle Datenwiederherstellung.

Weitere entscheidende Faktoren können auch nachweisbare Präventivmaßnahmen gegen Datenträgerausfälle sowie Datenverlust sein, also eine gewissenhafte Datensicherung. Sollte kein Backup vorliegen könnte ein Versicherer durchaus unterstellen, dass die Daten doch nicht so wichtig sein können oder dass in so einem Fall fahrlässig gehandelt und das Risiko des Verlusts der Daten bewusst in Kauf genommen worden ist. Dabei wird in der Regel auf die Empfehlung des BSI für die regelmäßige Datensicherung eine tägliche, inkrementelle Datensicherung anzulegen, verwiesen und die Kostenübernahme abgelehnt.

Sinnvoller erscheint der Abschluss einer für Gewerbe gedachten Elektronikversicherung die Beschädigungen durch Überspannungen, Fahrlässigkeit und Bedienungs- sowie Anwenderfehler, Kurzschlüsse, Sabotage, Brände oder Diebstahl abdeckt. Im Speziellen liegt das Augenmerk hierbei auch auf den potenziellen Folgeschäden die durch die Kosten der Wiederherstellung oder Datenrettung entstehen können. Das kann unter anderem dann zum Tragen kommen, wenn bei einem Brand die vorhandenen Datensicherungen durch den Einsatz von Löschwasser beschädigt worden sind.

Im privaten Umfeld zeigt unsere Erfahrung der letzten Jahre, dass Haftpflichtversicherungen und Hausratversicherungen in der Regel nur den beschädigten Datenträger ersetzen, jedoch nicht für die Wiederherstellung der verlorenen Daten aufkommen. Ganz gleich, ob dieser durch Eigen- oder Fremdverschulden beschädigt worden ist oder durch Verschleiß den Dienst eingestellt hat. Nach kurzer Recherche konnte ich zumindest ermitteln, dass die Allianz in Ihrer in der Hausrat-Haftpflicht-Kombi enthaltenen Internetversicherung unter anderem eine professionelle Datenrettung bis 1.000,00 € umfasst und wenn ich mich recht entsinne, wurde dies vor einigen Jahren sogar einige Male im Fernsehen beworben (Allianz Datenrettung Werbung von 2013).

Wer haftet bei schuldhafter Beschädigung?

Bei der schuldhaften Beschädigung eines Datenträgers haftet der Verursacher, der für den Schaden verantwortlich ist, für den Ersatz der Hardware sowie die Rückgewinnung der verlorenen Datenbestände. Grundlegend für Ersatzansprüche ist bei Datenverlust das Eigentum am Speichermedium. Aus dem § 823 Abs. 1 BGB lässt sich schlussfolgern, dass derjenige der fremde Datenträger schuldhaft beschädigt dem Eigentümer den Wert des Datenträgers sowie der Daten ersetzen muss. In einem solchen Fall muss zwischen dem Wert der Hardware und dem Wert der Daten differenziert werden.

Im ersten Fall muss der Wert der Hardware ohne die Daten ersetzt werden. Der § 249 Abs. 2 BGB dazu lautet: „Ist wegen […] Beschädigung einer Sache Schadenersatz zu leisten, so kann der Gläubiger statt der Herstellung den dazu erforderlichen Geldbetrag verlangen […].“ Mit dem Geldbetrag lässt sich die Hardware oder gleichwertige Hardware wiederbeschaffen, aber die Daten nicht wiederherstellen. Die Wiederherstellung der Daten wird separat bewertet. Der § 249 Abs. 1 BGB greift im Kontext der Datenwiederherstellung (speziell: Datenrettung) nur bedingt, da sich der ursprüngliche Zustand vor der Beschädigung (abhängig vom Umfang der Beschädigung) nur in den seltensten Fällen ohne Einbußen rekonstruieren lässt.

Bei der Wiederherstellung der Daten ist zu unterscheiden ob es sich um den nachweisbaren Aufwand bei der Rücksicherung der Daten von verschiedenen Backupsystemen handelt, eine Auf- oder Nacharbeitung durch die Digitalisierung von bestehenden Datenbeständen (z. B. Papierakten) statt finden muss oder gar eine kostenintensive professionelle Datenrettung erforderlich ist. Hinzu kommt, dass dem Betroffenen eine erhebliche Mitschuld (§ 254 BGB) am Datenverlust attestiert werden kann sofern keine zusätzliche Datensicherung vorliegt. Je nach Einzelfall könnte die Entscheidung sogar eine Mitschuld zu einhundert Prozent an dem Datenverlust unterstellen, so dass kein finanzieller Schadensersatz für die Datenwiederherstellung zugesprochen wird.

Interessant hierbei ist, wie auch in der Argumentationsführung im Versicherungswesen (s. o.), dass das Vorhandensein einer Datensicherung unbedingt vorausgesetzt wird - ein aktuelles Backup gilt seit jeher als einer der Grundsätze in der Datenverarbeitung. Weiterhin lässt sich der „Wiederbeschaffungswert“ der Daten oft auch nur schwer einschätzen oder beziffern, da bei diversen Datenbeständen gar nicht deutlich wird, ob diese jemals wieder verwendet oder benötigt werden.

Haften IT-Dienstleister und EDV-Systemhäuser für Datenverluste

Gerade im unternehmerischen Bereich kann Datenverlust – je nach Umfang – das Äquivalent zu einem ausgebrannten Firmensitz bedeuten. Datenbestände sind heutzutage Kapital und Essenz fast aller unternehmerischen Tätigkeitsfelder. Durch die nahezu komplette Umstellung auf elektronische und digitale Datenverarbeitung kommt der Speicherung und Sicherung der Daten eine besondere Bedeutung zu. Abhängig vom Umfang eines Datenverlusts kann der wirtschaftliche Schaden für einen Betrieb potenziell enorme Schadenssummen herauf beschwören.

Vor allem Unternehmen, die nicht auf eine interne EDV-Abteilung setzen, konsultieren für die Belange der Informationstechnologie freiberufliche IT-Dienstleister oder Systemhäuser für die Einrichtung, Installation und Kontrolle der firmeneigenen IT-Anlagen und Netzwerke. Interessant hierbei ist, dass viele Dienstleister und Systemhäuser umfangreiche Klauseln für Haftungsausschlüsse und – beschränkungen im Zusammenhang mit Datenverlust in ihren Allgemeinen Geschäftsbedingungen aufführen, die im Zuge eines wie auch immer gearteten Datenverlustszenarios greifen sollen. Im Konsens der herrschenden Rechtssprechung ist zu berücksichtigen, dass grundsätzlich vorausgesetzt wird, dass der Unternehmer selbstständig für die gesetzlich erforderlichen und regelmäßigen inkrementellen und vollständigen Sicherung seiner Datenbestände in die Verantwortung zu nehmen ist.

Der BGH machte 1996 (BGH, X zR 64/94) deutlich: „Datensicherung ist eine allgemeine Selbstverständlichkeit“. Eine ähnliche Selbstverständlichkeit sowie Notwendigkeit der Datensicherung setzte auch das Landgericht Kleve im Jahr 1990 voraus (LG Kleve, 3 O 356/89) voraus. In ähnlicher Deutlichkeit findet sich dies auch im Urteil (OLG Karlsruhe, 10 U 123/95) des Oberlandesgerichts Karlsruhe wieder. Begründungsauszüge hierfür lauten unter anderem: „Eine Datensicherung ist bei jedem Betrieb einer Computeranlage ein Muß, sie ist absolut unverzichtbar und das oberste Gebot der Datenverarbeitung.“ Demzufolge ist eine Mitschuld, durch Versäumnisse in der Datensicherung, für den Geschädigten als beinahe festgelegt zu betrachten. Die Beschränkung der Haftung der schädigenden Person oder Firma gegenüber dem Geschädigten bezieht sich demnach im weitesten Sinne auf eben jene Schäden, die durch entsprechende Datensicherungen im angemessenen Umfang nicht hätten verhindert werden können (§ 254 BGB).

Im Verlauf meiner Recherche einiger Allgemeiner Geschäftsbedingungen bin ich über verschiedene vorformulierte Haftungsausschluss- und Haftungsbeschränkungsklauseln, seitens der Dienstleister, zum Thema Datenverlust gestoßen. Diese sind teils fragwürdig und nach Auslegung des § 309 BGB überwiegend unwirksam und bestimmte Haftungsausschlüsse verstoßen gegen entsprechende Klauselverbote. Ein Ausschluss oder eine Begrenzung der Haftung bei grob fahrlässigem Verhalten bei sonstigen Schäden verstößt gegen Verbote der Haftungsfreizeichnung/-ausschlüsse.

Diese Unzulässigkeit erstreckt sich aufgrund des Verbots der Haftungsbegrenzung auch auf mittelbare Haftungsausschlüsse mit Beschränkungen auf Maximalbeträge oder nur gewisse Schäden - bespielsweise unvorhersehbare Schäden. Es ist also gar nicht möglich, die Haftung für nachweislich verursachte Schäden beziehungsweise schuldhaft verursachte Beschädigungen (Datenverlust) kategorisch auszuschließen. Im Kontext der Leistung zur Einrichtung einer Datensicherungsroutine würde ein derartiger Haftungsausschluss die Kardinalspflichten des geschlossenen Vertrags aushebeln können und den Vertragszweck gefährden. Dies träfe allerdings nur dann zu, sofern ein Ausschluss für fahrlässiges Verhalten zulässig ist. Die Haftung für Kardinalspflichten des Vertrags kann allerdings auch bei leichter Fahrlässigkeit nicht ausgeschlossen werden.

Demnach haftet ein IT-Dienstleister sehr wohl, jedoch unter der Voraussetzung, dass die erforderliche Sorgfaltspflicht in erheblich schwerem Maß verletzt worden ist. Dieser Umstand ist allerdings gesetzlich nicht klar definiert und wird von Fall zu Fall neu abgeschätzt. Dementsprechend sind die Grenzen zwischen Fahrlässigkeit und grober Fahrlässigkeit durchaus fließender Natur. Dies bedeutet dass einem IT-Dienstleister, der bei der Übertragung bestehender Software auf neue Hardware oder bei einer Umstellung des Systems eine bereits bestehende automatisierte Anwendung zur Datensicherung nicht auf ihre reibungslose Anwendung und Funktionalität prüft, durchaus Nachlässigkeit zur Last gelegt werden kann.

Bei derartigen Vertragsleistungen im Zusammenhang mit Computern und EDV ist eine einwandfrei funktionierende Datenspeicherung und -sicherung als vertragswesentlich zu betrachten und demnach als Kardinalspflicht einzustufen. Klauseln die eine Haftung bei Datenverlust ausschließen sollen sind hierbei unwirksam, da die Erfüllung und Einhaltung der Kardinalspflichten einen wesentlichen Vertragsbestandteil für die Vertragserfüllung darstellt. Gleiches gilt für eine Beschränkung zur Haftung auf den alleinigen Wert des Datenträgers. Der Wert der Daten übersteigt den Wert der zumeist „günstigen“ Hardware im Regelfall um ein Vielfaches – aus diesem Grund erscheint die Haftungsbeschränkung in dieser Art und Weise nicht sachgerecht.

Als Resümee ergibt sich daraus, dass ein IT- Dienstleister durchaus für Datenverluste seines Kunden zur Haftung heran gezogen werden kann. Allerdings resultieren durch eine Vielzahl von Faktoren und Eventualitäten eklatante Unterschiede im Ausmaß der tatsächlichen Haftung denen durch die Gesetzgebung zwar die identische Grundlage vorliegt, die Urteile der Gerichte im Klagefall aber dennoch abweichend ausfallen können: Indem zum Beispiel dem Betroffenen eine Teilschuld aufgrund mangelhafter Datensicherung zufallen kann. Somit bleibt abschließend noch die Frage, in welcher Form die Haftung zu Buche schlägt und ob einem IT-Dienstleister tatsächlich der horrende Schadensersatz für einen vollständigen Datenverlust sowie die „Wiederbeschaffung“ der Daten aufgebürdet werden kann? Der Bundesgerichtshof legte schon 1996 fest, dass die Datensicherung eine allgemein bekannte Selbstverständlichkeit sei. Die Haftung bei Datenverlust ist demnach viel eher auf den Aufwand zu beschränken, der für die Wiederherstellung der verlorenen Daten notwendig ist. Wie bei der Haftung zur schuldhaften Beschädigung bereits angemerkt, kann sich die Festlegung durchaus schwierig gestalten. Mehr dazu kann dem nachfolgenden Abschnitt zum Schadensersatz entnommen werden.

Wie berechnet sich der Schadenersatz bei Datenverlust?

Im Dezember 2008 hat der BGH zum Aktenzeichen VI ZR 173/07 (PDF ansehen) eine Entscheidung hinsichtlich der Berechnung (Schadensersatz) getroffen. Das Thema wurde in diversen Kanzleiblogs umfassend beleuchtet und aufgearbeitet.

In dem genannten Fall handelte es sich um ein Ingenieursbüro, welches sich mit der Planung von Steuerungsanlagen im Industrieumfeld befasste. Der IT-Dienstleister, der für das Ingenieursbüro tätig war, brachte seinen damals 12 Jahre alten Sohn mit zur Arbeit. In einem unbeaufsichtigten Moment versuchte dieser ein Computerspiel auf einem der Bürorechner zu installieren und beschädigte in diesem Zuge die Datenbestände der Festplatte sowie die Festplatte selbst. Eine eigene Datensicherung durch das geschädigte Ingenieursbüro lag nicht vor.

Das Landgericht Frankfurt verurteilte Vater und Sohn im vorhergehenden Prozess dazu, dem Ingenieursbüro 70 % der entstandenen Schäden an Hard- und Software zu ersetzen. Die ausbleibenden 30 % wurden dem Ingenieursbüro als Mitverschulden durch Versäumnisse in der Datensicherung angelastet. Das Ingenieursbüro bezifferte den Schaden auf rund 350.000,00 € und in dem Umfang erging das Urteil zu Lasten der beklagten Personen. Das Oberlandesgericht Frankfurt kassierte die Entscheidung in der Berufungsinstanz und sprach dem Geschädigten nur den Schadenersatz für die defekte Festplatte, im Wert von rund 350,00 €, zu.

Die dazugehörige Begründung umfasste, dass die Wiederherstellung der Daten nur im Rahmen eines unverhältnismäßigen Aufwands durchführbar und unter Berücksichtung auf den Wert der Daten nicht zumutbar sei (§ 251 Absatz 2 Satz 1 BGB). Die Bemessung des Wiederbeschaffungswerts der Daten beziehe sich ausschließlich auf die Anstrengungen, die das Ingenieursbüro im Zuge der Wiederherstellung der Daten unternommen habe. Da das Ingenieursbüro zielführende Informationen zu dem Sachverhalt sowie zu eventuellen nachfolgend erforderlichen Kosten schuldig blieb, konnte keine Schätzung der zu zahlenden Entschädigung vorgenommen werden.

Der Bundesgerichtshof hob das Urteil des OLG Frankfurt auf. Nach Auffassung des BGH wäre eine Wiederherstellung der Daten als Naturalrestitution durchaus denkbar, unter der Voraussetzung, dass diese in anderer Form existieren (beispielsweise in Form von Ausdrucken) die eine Reproduzierbarkeit erlauben. In anderen Szenarien könnten Wiederherstellungskosten auch nicht als Reparaturkosten geltend gemacht werden (§ 249 Satz 2 BGB), da bei schöpferischen Leistungen eine Neuerstellung keine Wiederherstellung im schadensrechtlichen Sinn darstellt. In einem derartigen Fall könnte das Ingenieursbüro nur einen Anspruch auf Wertersatz nach § 251 Absatz 1 BGB geltend machen.

Aus dem Urteil ergibt sich eine enorme Haftbarkeit für das verschuldete Herbeiführen von Datenverlust nach dem zivilrechtlichen Schadensersatzsystem. Allerdings ergaben sich hieraus keine wegweisenden Neuerungen in der Rechtssprechung. Aufgrund des hohen Haftungsrisikos im IT-Bereich ergibt sich demnach auch die Notwendigkeit einer IT-Haftpflichtversicherung, über deren Leistungen Forderungen zu Schadenersatz und Schadenregulierung abgegolten werden. Über den passiven Rechtsschutz kann der Versicherte zudem auch die Kosten für die Abwehr eines unbegründeten Vorwurfs übernehmen lassen; darunter fallen Anwälte, Gutachter, Zeugen oder auch Reisekosten. Der passive Rechtsschutz deckt hierbei nur die Abwehr fremder Ansprüche, jedoch nicht die Durchsetzung eigener Ansprüche.

 

 

 

 

24h-Service 98% Erfolgsrate
iso 9001 siegel grau https://www.allianz-fuer-cybersicherheit.de
DI (FH) Markus Häfele
Geschäftsführer
(040) 54887560 info@attingo.de WhatsApp Live-Chat Diagnose-Anfrage

Attingo-Magazin

Pressemeldungen & Aktuelles
Attingo in der Presse
Messetermine und Konferenzen
Blog
Stichwortverzeichnis
FAQ - Häufig gestellte Fragen
Fallstudien: Datenrettung