Der Datenverlust ist insbesondere in Unternehmen ein häufig auftretendes Problem, das enorme betriebs- und volkswirtschaftliche Schäden verursacht. Nicht selten stehen Betriebe wegen eines Datenverlusts vor dem Ruin. Entweder weil die Rekonstruktion der Dateien zeit- und kostenintensiv ist oder weil ohne die nötigen Daten eine Weiterarbeit unmöglich ist und das Unternehmen rein faktisch handlungsunfähig wird. Aus juristischer Sicht stellt sich die Frage, welcher schadensersatzrechtliche Wert digitalen Daten zukommt, denn verschuldet ein Mitarbeiter oder externer Dienstleister einen Datenverlust, hat das geschädigte Unternehmen ein Interesse daran, den Schaden ersetzt zu bekommen.
Aktuelle Entscheidung des BGH
Eine aktuelle Entscheidung des BGH führt vor Augen, wie unterschiedlich der Wert von Dateien eingeschätzt wird. Hintergrund ist ein seit 1997 andauernder Rechtsstreit, in dem der Inhaber eines Ingenieurbüros Schadensersatz für den Verlust von Daten verlangt. Den Grund für den Datenverlust soll die Installation eines Computerspiels auf einem Firmencomputer durch den damals zwölfjährigen Sohn eines Angestellten gewesen sein. Während der Kläger Schadensersatz von über 622.000 Euro verlangt, sprach ihm das Landgericht rund 500.000 Euro zu. Das Oberlandesgericht setzte dagegen den Schadensersatz für den Datenverlust auf 0 Euro fest. Der Bundesgerichtshof hat sich nicht abschließend festgelegt, sondern den Fall zurück an das Oberlandesgericht verwiesen, das sich nun weiter mit der Frage nach der Höhe des Schadensersatzes befassen muss.
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.
Dateien haben keinen Materialwert
Warum fällt es eigentlich so schwer, den Wert von Computerdateien in Geld auszudrücken? Im Unterschied zu körperlichen Gegenständen haben Dateien von sich aus keinerlei Materialwert. Sie sind meist entweder magnetisch auf einer Festplatte oder optisch auf CD oder DVD gespeichert. Man kann sie nicht anfassen und ohne die Hilfe eines Computers auch nicht sehen. Schwieriger noch, Daten sind oft Unikate und nicht wiederzubeschaffen. Man denke nur an Urlaubs- oder Hochzeitsfotos. Gleiches kann aber auch für technische Zeichnungen, Gutachten oder Manuskripte gelten, soweit diese in identischer Form auch mit viel Zeitaufwand nicht mehr herzustellen sind.
Wiederherstellungsanspruch
Das deutsche Schadensersatzrecht unterscheidet zwischen der Wiederherstellung und der Schadenskompensation. Im Grundsatz geht das deutsche Schadensersatzrecht davon aus, dass der Schädiger einen Schaden im Wege der Wiederherstellung, der sogenannten Naturalrestitution, zu ersetzen hat. Dazu muss er entweder die Schäden selbst beseitigen oder aber den zur Wiederherstellung notwendigen Geldbetrag entrichten (§ 249 BGB). Das wäre beispielsweise der Betrag, der gegenüber einem Datenrettungsunternehmen gezahlt werden müsste, um die verlorenen Dateien wieder lesbar zu machen.