IT-Dienstleister: Haftungsausschluss für Datenverlust in AGB kaum möglich
Da die beim Verlust von Daten entstehenden Schadenssummen für Unternehmen enorme Höhen erreichen können, muss über die Möglichkeit einer vertraglichen Haftungsfreistellung nachgedacht werden. Dies ist insbesondere für Dienstleister im IT-Bereich relevant, da deren Arbeit oftmals direkt den Zugriff auf Datenbestände ermöglicht. Oftmals wird im Rahmen von EDV-Leistungen die Geltung von Allgemeinen Geschäftsbedingungen (AGB) vereinbart. In diesen befinden sich oftmals auch Haftungsausschluss-Vereinbarungen oder Haftungsbeschränkungen.
Im Zusammenhang mit der Verletzung von Datenbeständen muss aber darauf aufmerksam gemacht werden, dass es sich bei IT-Leistungen, die beispielsweise die Einrichtung von Programmen betreffen, die auch Datensicherungsroutinen enthalten um Kardinalpflichten handelt, von welcher eine Haftungsfreistellung nicht möglich ist, da der Vertrag in seinem Kern ansonsten entwertet werden würde. Ein Haftungsausschluss für eine fehlerhafte oder sonst ungenügende Datensicherung wird damit regelmäßig unwirksam sein. Denn angesichts der Wichtigkeit einer zuverlässigen Datensicherung wird man meist davon ausgehen können, dass die fehlerfreie Sicherstellung derselben im Rahmen von IT-Leistungen vertragswesentlich ist.
- So schützen Sie Ihre Daten
Meistens sind es eigene Mitarbeiter oder Beschäftige von Partnerfirmen, die unternehmenskritische Daten mitgehen lassen. So können Sie sich davor schützen. - 1. Regeln für E-Mail-Kommunikation definieren:
Den Mitarbeitern muss klar sein, dass sie keine unternehmenskritischen Informationen über Web-Mail-Services oder andere ungesicherte Kanäle übertragen dürfen. Bei Bedarf sollten Unternehmen eine Data-Loss-Prevention-Lösung einsetzen. - 2. Datenverschlüsselung einsetzen:
Insbesondere Daten auf mobilen Rechnern und mobilen Speichermedien sollten grundsätzlich verschlüsselt werden, weil diese Geräte häufiger abhanden kommen. - 3. Starke Passwörter verwenden:
Die Zugangs-Codes zu Arbeitsplatzrechnern und Firmennetz sollten mindestens acht Zeichen sowie Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen wie $ oder % enthalten. Alle 45 bis 60 Tage sollten die Passwörter gewechselt werden. - 4. Regelmäßig Sicherheits-Audits durchführen:
Schwachstellen werden oft nur dann offenbar, wenn die internen IT-Sicherheitsmaßnahmen überprüft werden. Weil IT-Administratoren ungern selbst auf Lücken verweisen, sind externe Anbieter ratsam. - 5. IT-Sicherheits-Regelwerk erstellen und pflegen:
Wenn definiert wird, wer wann Zugang zu welchen Netzwerk-Segmenten, Anwendungen und Daten hat, lässt sich der Zugriff auf kritische Informationen, wie etwa Entwicklungsunterlagen, steuern, überwachen und nachvollziehen. - 6. Vertrauenswürdigkeit von Partnern prüfen:
Häufig benötigen Partner oder Lieferanten für ihre Dienste sensiblen Daten (Callcenter arbeitet mit Adressdaten). Im Zweifel sollten die externen Partner Sicherheitszertifizierungen etwa nach ISO 27000 nachweisen. - 7. System-Management konsequent umsetzen:
Benutzer-Accounts von Usern und Administratoren müssen sorgfältig gepflegt werden. Verlassen Mitarbeiter das Unternehmen, müssen Zugriffsrechte gelöscht werden. - 8. Auch Systemverwalter überwachen:
Geltende Compliance-Regeln und Datenschutzgesetze schreiben auch die Kontrolle des Administrators vor. - 9. Spezielle Sicherheitssysteme nutzen:
Data-Loss-Prevention-Systeme (DLP), Datenverschlüsselung sowie Lösungen, die den Zugang zu Daten und Systemen kontrollieren (Identity- und Access-Management), sind hilfreich. - 10. Die Gebäudesicherheit nicht vergessen:
Der Schutz vor Datenklau beginnt schon beim Zugang zum Firmengelände oder zu bestimmten Abteilungen. Lieferanten oder externe Mitarbeiter sollte nicht ohne Aufsicht in Abteilungen mit IT-Arbeitsplätze arbeiten.
Allerdings muss es als AGB-rechtlich zulässig erachtet werden, die Haftung bei Datenverlust auf den Aufwand zu beschränken, der notwendig ist, um anhand vorhandener Sicherungskopien die verlorenen Daten auf der Anlage des Nutzers wiederherzustellen. Die Wirksamkeit einer solchen Klausel, die normalerweise mit einer Verpflichtung des Kunden zur eigenständigen Datensicherung verbunden sein wird, ergibt sich wiederum aus dem Rechtsgedanken des § 254 BGB (vgl. dazu das bereits oben erwähnte). Insofern ist zu dieser Haftungsbeschränkung zu raten.