print logo

Wer haftet für Datenverlust im Rechenzentrum?

Timo Schutt | 31.03.2015

Kaum ein größeres Unternehmen, das nicht die Dienstleistungen von externen Rechenzentren in Anspruch nimmt, haben doch die wenigsten Firmen unternehmenseigene Rechenzentren. Doch: Wer haftet, wenn im Rechenzentrum, Kundendaten unwiederbringlich gelöscht werden?

Diese Frage hatte das Landgericht Duisburg in einem Urteil aus dem Juli 2014 zu beantworten. Konkret ging es dort um das Hosting einer Webseite. Rechtlich ist aber kein Unterschied zum reinen Hosting von Kundendaten ohne Onlinebezug.

Ein Unternehmen hatte eine Webseite erstellen lassen und eine Werbeagentur mit dem Hosting beauftragt. Die Agentur wiederum beauftragte einen Subunternehmer für das Hosting und den Betrieb des Webservers. Ein Standardprozess. Im Rechenzentrum des Subunternehmers kam es dann zum Datenverlust. Keiner der Beteiligten verfügte über ein Backup der Webseite (was natürlich auch von dem Unternehmen selbst nicht unbedingt schlau war). Jedenfalls ging es in dem Verfahren darum, ob die Werbeagentur für den Datenverlust bei „ihrem“ Subunternehmer, dem Rechenzentrum, dem Unternehmen gegenüber haftet.

Das Gericht bejaht das eindeutig. Ein Hosting-Provider sei immer verpflichtet, ein Backup der Kundendaten anzufertigen, auch wenn dies nicht ausdrücklich im Vertrag geregelt sei. Selbst, wenn also der Kunde selbst keine Datensicherung durchgeführt hat, muss der Hosting-Provider den Schaden aus dem Datenverlust alleine tragen. Es gibt also kein Mitverschulden des Kunden. Da hier der Betreiber des Rechenzentrums so genannter Erfüllungsgehilfe der Agentur war haftet also im Ergebnis die Werbeagentur für den Datenverlust.

Was bedeutet das konkret? Die Werbeagentur muss die komplette Neuprogrammierung des gesamten Webauftritts bezahlen und auch nachweisliche Umsatzeinbußen, entgangenen Gewinn etc. des Unternehmens ersetzen. Das kann richtig teuer werden.

(Landgericht Duisburg, Urteil vom 25.07.2014, Aktenzeichen 22 O 102/12)

Unsere Meinung und Tipps

Die Gerichte sind in ständiger Rechtsprechung der Meinung, dass tägliche Backups zum Standard gehören. Schäden, die dadurch entstehen, dass der Standard nicht eingehalten wird, sind grundsätzlich zu ersetzen. Erstaunlich ist es daher, dass das Gericht hier dem Kunden kein Mitverschulden zugerechnet hat.

Der Hosting-Provider wiederum hätte sich durch eine vertragliche Regelung oder AGB absichern sollen, nach welcher der Kunde zur regelmäßigen, evtl. täglichen Datensicherung verpflichtet wird. Das wäre eine enorme Haftungserleichterung für das Rechenzentrum gewesen.

Für die Geschäftsleitung besteht übrigens ein nicht unerhebliches weiteres Problem: Die regelmäßige Datensicherung gehört zu ihrer Pflicht auf ordentliche Unternehmensführung. Stichwort: Compliance. Das heißt, dass der Geschäftsführer oder Vorstand auch persönlich für solche Schäden haften kann. Er hat dann ein so genanntes Organisationsverschulden an der Backe, da er sein Unternehmen nicht korrekt gegen solche Risiken abgesichert hat.

Egal, in welcher Rolle Sie sich befinden: Wir sichern Sie gerne rechtlich ab, bevor ein solcher Prozess ins Haus steht.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht