Der BGH hat eine Grundsatzentscheidung zur Berechnung von Schadensersatzansprüchen für Verlust von Datenbeständen auf Betriebsrechnern getätigt. Deutsche Unternehmen erleiden im Fall von Datenverlusten, abhängig von der Anzahl der vernichteten oder gelöschten Datensätze Schäden in sechs- bis siebenstelliger Höhe, so das Ergebnis einer Studie der Computerwoche. Der Durchschnitt wird hier bei ca. 2,4 Mio. € pro Unternehmen gesehen. Gem. der Studie kostet ein verlorener Datensatz das Unternehmen €112,-. Weitere hinzu kommen €36,- für die Entdeckung und die interne Aufarbeitung sowie für Umsatzeinbußen, verursacht durch den Verlust und €40,- für die Reaktionen gegenüber den Betroffenen. Der BGH hat vorliegend im Urteil vom 09.12.2008 VI ZR 173/07 seine Stellung zu der Art und Weise der Berechnung der Höhe des ersatzfähigen Schadens bezogen.
Hintergrund: Der Inhaber eines Ingenieurbüros für Steuerungsanlagen im Industriebereich hat gegen einen freien Mitarbeiter und dessen 12-Jährigen Sohn auf Ersatz der durch einen Datenverlust entstandenen Kosten geklagt, weil der Sohn des Mitarbeiters, der diesen mit zur Arbeit begleitet hatte, versuchte auf einem Betriebscomputer ein Computerspiel zu installieren. Kurze Zeit später stellte das Unternehmen fest, dass der auf der Festplatte des Systems befindliche Datenbestand größtenteils zerstört, bzw. unbrauchbar geworden war. Im ersten Prozess wurde ein Urteil gegen den Sohn des Mitarbeiters und vertretend gegen ihn selbst ausgesprochen, was diesen dazu verpflichtete 70% der entstandenen Schäden zu ersetzen.
Der geltend gemachte Betrag belief sich auf 70% von €495.000 sowie auf 70% der Kosten einer neuen Festplatte.
Der Mitarbeiter ging in Berufung gegen das Urteil des Landgerichts. Das Berufungsgericht setzte den Ersatzanspruch auf ausschließlich die Kosten des Erwerbs einer neuen Festplatte i.H.v. €322,- herab. Hiergegen legte der Unternehmer eine Revision vor dem BGH ein.
Der BGH gab der Revision statt und hob das Urteil des Berufungsgerichts auf.
Begründung des BGH:
Das Berufungsgericht, hier das OLG Frankfurt a.M. (Urteil vom 30.05.2007 Az.: 18 U 134/05), verneinte in seinem Beschluss jegliche Art von ersatzfähigem Schaden i.S.d. §§ 249 II, 251 II BGB aus dem Datenverlust. Der BGH rügte jedoch diesen Beschluss vor allem in zwei Überlegungen:
- Im Falle eines Datenverlusts gibt es zwei Möglichkeiten einen ersatzfähigen Schaden zu bestimmen. Zum einen anhand der Wiederherstellungskosten gem. §249 II BGB, falls es sich bei den verlorenen Daten um solche handelt, die noch irgendwo im Unternehmen vorhanden sind und nur aus noch vorhanden Akten, Papieraufzeichnungen, Datensicherungen, etc. reproduziert werden müssen und zum anderen anhand des Wertes der Daten, falls es sich um solche handelt, die nicht einfach wiederhergestellt werden können, sondern neu geschaffen werden müssen und als Unikate anzusehen sind. Hierbei ist gem. §251 I BGB eine Wiederherstellung unmöglich und es kommt ausschließlich eine Schadensersatz im Sinne eines Wertersatzes in Frage.
- Ferner hielt der BGH die Bewertung der Vermögenseinbuße des Unternehmers auf Grund des Datenverlusts mit „Null“ für nicht richtig. Es sei falsch den Wert eines Datenbestands ausschließlich daran zu messen, wie hoch die wirklichen Kosten des Geschädigten bislang gewesen sind um die Daten zu rekonstruieren, so der BGH. Kosten für eine Datenrekonstruktion müssen auch dann i.S.d. §§249 II, 252 I BGB berücksichtigt werden, wenn die Arbeit der Rekonstruktion nicht durch Dritte ausgeführt wird, sondern durch die eigenen Mitarbeiter. Auch dann, wenn die Mitarbeiter für die zusätzlich anfallenden Leistungen nicht vergütet werden. Jegliche andere Definition des Schadensbegriffs in solch einem Fall wäre ungerechtfertigt, da es nicht dem Schädiger zu Gute kommen darf, dass ein Mehraufwand an Arbeit für den Geschädigten entsteht.
Zudem führte der BGH an, dass der Schädiger immer dann selbst Beweispflichtig sei, wenn er im Rahmen des §251 II BGB behauptet, dass ihm ein Ersatz der Kosten für die Wiederherstellung der Daten, auf Grund unverhältnismäßiger Kosten im Vergleich zu m Wert der Sache nicht zuzumuten wäre. Selbiges gelte im Rahmen des §251 I, wenn der Schädiger einen Einwand der Unmöglichkeit gegen eine Ersatzforderung des Geschädigten erhebe.Links:Urteil auf bundesgerichtshof.de
Wichtig für den IT-Unternehmer:
Der Entscheidung des BGH kommt ein enormer Praxiswert zu. Wie bereits oben erwähnt, gibt es diverse Sachverhalte aus denen ein Schadensersatzanspruch eines Unternehmers für Datenverluste eine wichtige Rolle spielt. Solche Konstellationen ergeben sich häufig auf Grund von Mängeln in der IT von Hard- und Softwareherstellern, Lieferanten und Dienstleistern. Auch die eigenen Mitarbeiter können oftmals Gegner solcher Ansprüche werden. Auch ein Unternehmen selbst kann auf Grund von datenschutzrechtlichen Haftungsansprüchen für die Kosten eines Datenverlusts in Anspruch genommen werden, wenn es diesen zu vertreten hat.
Vor allem ist hier aber auch an eine Haftung der Geschäftsführung im Rahmen der IT-Compliance zu denken.
Nach Angaben des BGH ist eine genaue Bemessung der Schadenshöhe oftmals schwierig. Diese kann z.B. nur anhand von vorherig aufgewendetem Arbeitseinsatz für die Wiederherstellung von Daten ermittelt werden. Als weiteres Bemessungskriterium kommt der Schaden hinzu, der auf Grund der durch den Datenverlust aufgetretenen Behinderungen der Arbeitsprozesse entstanden ist. Somit empfiehlt es sich Datenwiederherstellungsprozesse gut zu dokumentieren und ggf. eine Übersicht zu schaffen, welche Daten für welche Arbeitsprozesse am stärksten benötigt werden, damit man im Falle eines Verlusts den Schaden bemessen kann und weiß welche Ansprüche einem zustehen.
Abgesehen von der Auseinandersetzung mit der Frage was für Schadensersatzansprüche man als Geschädigter hat, ist es unumgänglich solche Vorfälle z.B. durch technisch geeignete und fundierte, regelmäßige Datensicherung zu verhindern. Auch Zugangs- und Zugriffskontrollen zu Servern und Datenspeichermedien sollten bei der Planung der IT mitberücksichtigt werden. Es empfiehlt sich zudem, die Datenstrukturen eines Unternehmens auf rechtliche Sicherheit zu überprüfen. Für weitere Umsetzungsvorschläge zur Datensicherheit und rechtliche Unterstützung im Falle eines Schadensfalls, stehen unsere Anwälte gerne jederzeit zur Verfügung.