Schadensersatz für Datenverlust

Der Datenverlust ist insbesondere in Unternehmen ein häufig auftretendes Problem, das enorme betriebs- und volkswirtschaftliche Schäden verursacht. Nicht selten stehen Betriebe wegen eines Datenverlusts vor dem Ruin. Entweder weil die Rekonstruktion der Dateien zeit- und kostenintensiv ist oder weil ohne die nötigen Daten eine Weiterarbeit unmöglich ist und das Unternehmen rein faktisch handlungsunfähig wird. Aus juristischer Sicht stellt sich die Frage, welcher schadensersatzrechtliche Wert digitalen Daten zukommt, denn verschuldet ein Mitarbeiter oder externer Dienstleister einen Datenverlust, hat das geschädigte Unternehmen ein Interesse daran, den Schaden ersetzt zu bekommen.

Aktuelle Entscheidung des BGH

Eine aktuelle Entscheidung des BGH führt vor Augen, wie unterschiedlich der Wert von Dateien eingeschätzt wird. Hintergrund ist ein seit 1997 andauernder Rechtsstreit, in dem der Inhaber eines Ingenieurbüros Schadensersatz für den Verlust von Daten verlangt. Den Grund für den Datenverlust soll die Installation eines Computerspiels auf einem Firmencomputer durch den damals zwölfjährigen Sohn eines Angestellten gewesen sein. Während der Kläger Schadensersatz von über 622.000 Euro verlangt, sprach ihm das Landgericht rund 500.000 Euro zu. Das Oberlandesgericht setzte dagegen den Schadensersatz für den Datenverlust auf 0 Euro fest. Der Bundesgerichtshof hat sich nicht abschließend festgelegt, sondern den Fall zurück an das Oberlandesgericht verwiesen, das sich nun weiter mit der Frage nach der Höhe des Schadensersatzes befassen muss.

So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen.

1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen.

2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen.

3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden.

4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam.

5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen.

6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen.

7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden.

8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor.

9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich.

10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.

Dateien haben keinen Materialwert

Warum fällt es eigentlich so schwer, den Wert von Computerdateien in Geld auszudrücken? Im Unterschied zu körperlichen Gegenständen haben Dateien von sich aus keinerlei Materialwert. Sie sind meist entweder magnetisch auf einer Festplatte oder optisch auf CD oder DVD gespeichert. Man kann sie nicht anfassen und ohne die Hilfe eines Computers auch nicht sehen. Schwieriger noch, Daten sind oft Unikate und nicht wiederzubeschaffen. Man denke nur an Urlaubs- oder Hochzeitsfotos. Gleiches kann aber auch für technische Zeichnungen, Gutachten oder Manuskripte gelten, soweit diese in identischer Form auch mit viel Zeitaufwand nicht mehr herzustellen sind.

Wiederherstellungsanspruch

Das deutsche Schadensersatzrecht unterscheidet zwischen der Wiederherstellung und der Schadenskompensation. Im Grundsatz geht das deutsche Schadensersatzrecht davon aus, dass der Schädiger einen Schaden im Wege der Wiederherstellung, der sogenannten Naturalrestitution, zu ersetzen hat. Dazu muss er entweder die Schäden selbst beseitigen oder aber den zur Wiederherstellung notwendigen Geldbetrag entrichten (§ 249 BGB). Das wäre beispielsweise der Betrag, der gegenüber einem Datenrettungsunternehmen gezahlt werden müsste, um die verlorenen Dateien wieder lesbar zu machen.

Wiederherstellung unmöglich

Sofern die Dateien jedoch unwiderruflich verloren sind, führt die Naturalrestitution in eine Sackgasse. Denn wenn es niemandem möglich ist, die Daten in identischer Form von der Festplatte wiederherzustellen, ist auch kein dazu erforderlicher Geldbetrag geschuldet.

Das bedeutet aber nicht, dass der Schädiger automatisch von seiner Ersatzpflicht frei wird. Vielmehr schuldet er dann Schadenskompensation in Geld wegen der Unmöglichkeit der Wiederherstellung, § 251 Abs. 1 BGB. Der Umfang einer solchen Schadenskompensation errechnet sich nach der sogenannten Differenzhypothese. Dazu wird der Unterschied zwischen der Vermögenslage des Geschädigten nach Eintritt des schädigenden Ereignisses und der hypothetischen Vermögenslage ohne das schädigende Ereignis ermittelt. Danach entspricht der ersatzfähige Schaden den Arbeitskosten, die aufgewendet werden müssen, um die verloren gegangenen und nicht eins-zu-eins wiederherstellbaren Daten aus dem Kopf zu rekonstruieren sowie den durch gestörte Betriebsabläufe verursachten personellen und zeitlichen Mehraufwendungen. Ferner ist auch der entgangene Gewinn ein ersatzfähiger Schaden.

Verlust privater Dateien

Die Art der Schadenskompensation zeigt, dass lediglich Folgeschäden und Gewinnausfälle ersatzfähig sind, was zur ernüchternden Erkenntnis führt, dass den verlorenen Daten selbst wohl kein monetärer Wert zukommt. Diese Feststellung ist keine juristisch-begriffliche Kleinigkeit, sondern hat durchaus praktische Relevanz, wenn es um private Daten geht, wie beispielsweise die schon erwähnten digitalen Hochzeitsfotos. Sind diese unwiederbringlich im Daten-Nirvana verloren, mag dies für die Betroffenen sehr ärgerlich sein, wird dadurch aber dennoch nicht zu einem materiellen Schaden, mit der Folge, dass Private bei einem Datenverlust meist leer ausgehen.

Pflicht zur Datensicherung

Doch selbst wenn feststeht, dass durch die Vernichtung von Dateien nachweislich hohe Schäden eingetreten sind, bedeutet dies nicht, dass der Betroffene sie ersetzt bekommt. Denn wer es versäumt, regelmäßige Datensicherungen anzufertigen, trägt zumindest eine Mitschuld. Insbesondere unternehmenswichtige Daten sollten in Zweit- oder Drittkopie vorliegen. Wird dies versäumt, kann der Geschädigte im Einzelfall den Schaden sogar gänzlich allein tragen müssen.

Kontakt:

Der Autor Thomas Feil ist Rechtsanwalt, Fachanwalt für IT-Recht und Lehrbeauftragter an der Fachhochschule Hannover. Tel.: 0511 473906-01, E-Mail: feil@recht-freundlich.de, Internet: www.recht-freundlich.de