Nach Daten-GAU ins Gefängnis
Datensicherung ist mehr als nur ein technisches Problem.
Der Gesetzgeber verlangt von Unternehmen, sorgfältig mit ihren Daten umzugehen. Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, allgemein »KonTraG« genannt, verpflichtet über eine entsprechende Regelung in Paragraf 91 Absatz 2 des Aktiengesetzes Vorstände von Aktiengesellschaften, interne Kontrollsysteme zur Frühwarnung zu etablieren. Darüber hinaus müssen sie bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters walten lassen und haften ansonsten persönlich für entstandene Schäden.
Aber nicht nur Aktiengesellschaften sind betroffen. Durch entsprechende Verweisungen gelten diese Anforderungen auch für GmbHs und ihre Geschäftsführer. Weitere gesetzliche Vorgaben finden sich unter anderem im Datenschutzrecht. Das Bundesdatenschutzgesetz (BDSG) regelt im Rahmen einer Anlage zu Paragraf 9 einen vergleichsweise ausführlichen Katalog an Maßnahmen, die bei der Verarbeitung personenbezogener Daten zu beachten sind. Einer der Punkte betrifft die Pflicht »zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle)«.
Die sichere Archivierung von Daten ist aber nicht zuletzt auch eine Pflicht, die sich aus dem Handelsgesetzbuch und der Abgabenordnung ableitet: Die handelsrechtlichen Aufbewahrungspflichten für Geschäftskorrespondenz etwa beziehen sich selbstverständlich auch auf geschäftliche E-Mails. Abgesehen von der Regelung im BDSG hat sich der Gesetzgeber aber in der Regel nicht die Mühe gemacht, den konkreten Umfang der Handlungspflichten im Gesetz zu regeln. Die Geschäftsführer und Vorstände müssen also selbst entscheiden, welche Sorgfaltsmaßstäbe im Hinblick auf Datensicherung gelten. Hierbei spielten nicht zuletzt auch der Wert und die Bedeutung der betroffenen Daten eine Rolle: Ein Online-Shop mit umfangreichem Angebot und einem lange gewachsenen Kundenstamm wird mehr Aufwand bei der Datensicherung betreiben müssen als eine KFZ-Werkstatt, die lediglich eine kleine Kundendatenbank und vielleicht die Lagerverwaltung über ihre Computer betreibt.
Haftungsrisiken beim Datenverlust
Die Gerichte kennen das Thema Datensicherung bereits seit langem. Schon 1997 hat das Amtsgericht in Kassel entschieden, dass ein Computernutzer, der es unterlässt, seinen Datenbestand regelmäßig zu sichern, auf eigene Verantwortung handelt und keinen Schadenersatz von seinem Computerhändler verlangen kann (Urteil vom 22. Oktober 1997, Az: 423 C 1747/97).
Darüber hinaus finden sich besonders im Arbeitsrecht Urteile, die sich konkret auf unterlassene Datensicherung beziehen. Das Kammergericht Berlin (2. Zivilsenat, Urteil vom 27. September 2004, Az: 2 U 191/02) hat beispielsweise entschieden, dass eine fristlose Kündigung eines Vorstands gerechtfertigt ist, wenn dieser für eine veraltete Datensicherung und -verarbeitung verantwortlich ist. Das Gericht argumentierte, dass die vom Vorstand getroffenen Maßnahmen ausweislich eines Berichts einer Wirtschaftsprüfungsgesellschaft nicht den gesetzlichen Anforderungen an ein Risikofrüherkennungssystem in Ansehung des »Paragrafen 91 Absatz 2 AktG, 25a KWG« entsprochen hätten. Somit lag eine Pflichtverletzung des Vorstandes vor, die eine fristlose Kündigung rechtfertigt.
Aber nicht nur die Anwender selbst sind vom Thema Datensicherung betroffen. Auch die Dienstanbieter müssen ein sorgfältiges und regelmäßiges Backup der ihnen anvertrauten Daten vornehmen. Hier findet sogar eine Beweislastumkehr zum Nachteil des IT-Dienstleisters statt. Dieser muss in der Regel seinerseits beweisen, dass er seine Pflicht zur sorgfältigen Datensicherung erfüllt hat. Diese Umkehr der Beweislast hat das Oberlandesgericht Hamm (Urteil vom 10. Mai 1999, Az: 13 U 95/98) sogar noch ausgeweitet. In dem dort entschiedenen Streitfall bestand Uneinigkeit über die Frage, ob eine nicht funktionierende Datensicherung auf einer fehlerhaften Installation beruhte oder auf die Fehlbedienung durch die Benutzer zurückzuführen war. Grundsätzlich gilt: Steht fest, dass eine Prüfung der Funktionsfähigkeit der Datensicherung unterblieben ist, haftet der Anbieter immer. Die Richter am Oberlandgericht Hamm haben darüber hinaus entschieden: Die Beweislastumkehr zum Nachteil des EDV-Anbieters findet auch dann statt, wenn infolge einer mangelhaften Beweismittelsicherung des EDV-Anbieters nicht mehr feststellbar ist, ob eine solche Prüfung stattgefunden hat (im Anschluss an BGH, 2. Juli 1996, X ZR 64/94, NJW 1996, 2924).
Praxisrat
Entscheidend ist bei der Datensicherung nicht nur, dass sie tatsächlich vorgenommen wird. Darüber hinaus muss auch im Zweifelsfall vor einem Gericht bewiesen werden können, dass Backups angefertigt wurden. Hierbei stellen Zeugenaussagen der damit beauftragten Systemadministratoren das denkbar schlechteste Beweismittel dar. Wesentlich aussagekräftiger sind sorgfältig geführte und archivierte Backup-Protokolle, aus denen sich zweifelsfrei ergibt, in welchen Intervallen welche Daten gesichert wurden.
Noch ein letzter Hinweis am Schluss: Eine sorgfältige Datensicherung endet nicht damit, die bespielten Backup-Medien in einen feuerfesten Tresor zu sperren. Zu einer ordnungsgemäßen Datensicherung gehört es auch, dass die Vollständigkeit und vor allem die Wiederherstellbarkeit der gesicherten Daten überprüft wird. Das Landgericht Stuttgart (38. Kammer für Handelssachen, Urteil vom 30. Januar 2002, Az: 38 O 149/00 KfH) hat diesbezüglich bereits entschieden, dass dies insbesondere nach jeder wesentlichen Hardware- oder Softwareänderung erforderlich ist. Damit hat es einen IT-Dienstleister zu Schadensersatz verurteilt, weil es im Rahmen von Wartungsarbeiten zu Datenverlusten kam. Es bietet sich also an, bei der Datensicherung von Zeit zu Zeit den Ernstfall zu proben.
