Haftung bei Datenverlust durch Dienstleister und Quote des Unternehmens

Der Fall

In einer ärztlichen Gemeinschaftspraxis kam es auf dem Server zu einem Virenbefall, der durch eine Neuformatierung der Serverplatten durch einen IT-Dienstleister beseitigt werden sollte. Der Server war mit einer zweiten Festplatte versehen, auf der automatisch Datensicherungen der Hauptfestplatte erfolgten. Zusätzlich wurden täglich auf einem Datenband Sicherungen erstellt.

Der IT-Dienstleister sollte nach der von ihm empfohlenen Neuformatierung die Praxissoftware neu aufspielen und die Daten aus einer vorherigen Bandsicherung zurückspielen. Vor der Formatierung hatte er jedoch weder eine Datensicherung durchgeführt, noch überprüft, ob die vorherigen Bandsicherungen überhaupt erfolgreich waren. Nach Aufspielen der Praxissoftware wurde festgestellt, dass auf den Bandsicherungen keine Serverdaten gespeichert waren. Mit Hilfe einer Spezialfirma konnten auf den formatierten Serverplatten zu erheblichen Kosten die Daten teilweise wiederhergestellt werden, es blieb jedoch bei einer Differenz an Daten. Die Gemeinschaftspraxis bezifferte den Schaden auf mindestens 20.032,63 EUR.

Die Entscheidung

  1. Ein IT-Fachunternehmen ist aus vertraglicher Nebenpflicht verpflichtet, vor der Formatierung von Serverplatten im Zusammenhang mit einer Virenbekämpfung auf eine Datensicherung durch den Serverbetreiber hinzuwirken und zu prüfen, ob die Datensicherung erfolgreich war bzw. sonstige funktionsfähige Datensicherungen vorliegen. Wird diese Pflicht durch das IT-Fachunternehmen verletzt, so haftet das IT-Fachunternehmen regelmäßig mit einem Drittel des Schadens, der dem Serverbetreiber entsteht. Dieser trägt zwei Drittel des Schadens.
  2. Der Betreiber des Servers kann gegen des IT-Fachunternehmen sowohl einen vertraglichen als auch einen deliktischen Ersatzanspruch geltend machen. Es stellt eine Verletzung der vertraglichen Sorgfaltspflichten dar, wenn durch die Formatierung der Festplatten der Datenverlust unmittelbar zielgerichtet herbeigeführt wird, ohne zuvor eine Datensicherung herzustellen bzw. die Rücksicherungsmöglichkeit auf früheren Sicherungsbändern zu prüfen. Zwar war nach dem konkreten Auftrag nicht die Datensicherung sondern die Virenbekämpfung Gegenstand des Vertrages, dennoch muss das Fachunternehmen beim Betreiber des Servers darauf hinwirken, dass vor der Vernichtung der Daten durch Formatierung der Festplatten eine Sicherung hergestellt bzw. die Rücksicherungsmöglichkeit geprüft wird. Unterbleibt dies, stellt dies eine offensichtliche Fehlberatung durch das Fachunternehmen dar.
  3. Der Serverbetreiber selbst muss sich jedoch ein eigenes Verschulden am Entstehen des Schadens zurechnen lassen, welches im vorliegenden Fall mit zwei Dritteln zu bemessen ist. Der Serverbetreiber hatte selbst die Verantwortung, regelmäßige Datensicherungen durchzuführen und sicherzustellen, dass eine Rücksicherung möglich ist. Darin, dass der Serverbetreiber die Rücksicherungsmöglichkeit in der Vergangenheit nicht überprüft hat, hat das Unternehmen gegen eigene Sorgfaltspflichten verstoßen und erheblich zum Schaden beigetragen, da ansonsten eine Rücksicherung der durch die Formatierung gelöschten Daten ohne Zweifel möglich gewesen wäre.
    (redaktionell bearbeitet).

Konsequenzen

  • Ein Unternehmen darf sich nicht grundsätzlich darauf verlassen, dass einmal eingerichtete Datensicherungen von Servern auch tatsächlich funktionieren oder bei Einsatz durch einen IT-Dienstleister automatisch derartige Sicherungen angefertigt oder überprüft werden. Es ist die eigene Verantwortung des Unternehmens, die Funktionsfähigkeit des Datensicherungssystems regelmäßig zu überprüfen und so sicherzustellen, dass die Daten jederzeit bei einem Datenverlust zurückgesichert werden können.
  • Umgekehrt ist es jedoch auch die Pflicht des IT-Dienstleisters, vor gravierenden Eingriffen in einen Server sicherzustellen, dass eine Datensicherung vorliegt, die bei einem Datenverlust auch rückgesichert werden kann.
  • Die Haftungsverteilung von einem Drittel zu Lasten des IT-Dienstleisters der auf eine Sicherung nicht hinwirkt und die Rücksicherung nicht überprüft hat, sowie zwei Drittel für das Unternehmen, das in der Vergangenheit die Sicherungen nicht überprüft hat, ist eine Einzelfallentscheidung, erscheint jedoch sachgerecht. Etwas anderes kann dann gelten, wenn der Vertrag mit dem IT-Dienstleister gerade als eine vertragliche Hauptleistungspflicht vorsieht, dass der Dienstleister regelmäßig und insbesondere vor konkreten Einsätzen am Server eine Sicherung herzustellen bzw. die Rücksicherungsmöglichkeit zu prüfen hat. In diesem Fall würde der IT-Dienstleister die vertragliche Hauptleistungspflicht verletzen und voll für einen Schaden haften müssen. Insoweit kann Unternehmen nur empfohle werden, in die Verträge mit ihren IT-Dienstleistern entsprechende Pflichten ausdrücklich aufzunehmen.