Daten sind weg. Kundendaten, Buchhaltung, Konstruktionszeichnungen, E-Mail-Archive – was gestern noch selbstverständlich verfügbar war, ist nach einem Serverausfall, einem fehlgeschlagenen Update oder einem Cyberangriff plötzlich nicht mehr da. Die unmittelbare Frage lautet: Wie bekommen wir die Daten zurück? Aber kurz danach kommt die zweite Frage: Wer ist dafür verantwortlich? Die Antwort darauf ist selten einfach, denn bei Datenverlust im Unternehmen kommen mehrere Haftungsebenen ins Spiel. Ein IT-Sachverständiger kann klären, was technisch passiert ist, wer welche Pflichten verletzt hat und welcher Schaden tatsächlich entstanden ist.
Warum die Haftungsfrage bei Datenverlust so komplex ist
Bei einem Wasserschaden in der Lagerhalle ist die Haftungskette in der Regel überschaubar: Der Installateur hat ein Rohr fehlerhaft montiert, das Rohr ist gebrochen, das Wasser hat die Ware beschädigt. Bei Datenverlust ist die Situation grundlegend anders, weil regelmäßig mehrere Verantwortungsebenen zusammenwirken.
Das Unternehmen selbst hat eine Pflicht zur Datensicherung. Die Geschäftsführung trägt die Organisationsverantwortung für die IT-Sicherheit. Der externe IT-Dienstleister hat möglicherweise einen Wartungsvertrag, der Backup-Management einschließt. Der Softwarehersteller hat vielleicht ein fehlerhaftes Update ausgeliefert. Und der Mitarbeiter, der den falschen Knopf gedrückt hat, handelte möglicherweise ohne ausreichende Schulung.
In der Praxis stellt sich daher nicht die Frage „Wer ist schuld?“, sondern: „Wer hat welche Pflicht verletzt, und in welchem Umfang hat diese Pflichtverletzung zum Schaden beigetragen?“ Genau diese Frage beantwortet ein IT-Sachverständiger.
Die vier Haftungsebenen bei Datenverlust
Bei einem Datenverlust im Unternehmen sind typischerweise vier Ebenen zu prüfen, die jeweils eigene rechtliche Grundlagen und Anforderungen haben.
Ebene 1: Die Geschäftsführerhaftung
Die Geschäftsführung ist für die Organisation der IT-Sicherheit im Unternehmen verantwortlich. Das ergibt sich aus der allgemeinen Sorgfaltspflicht nach § 25 GmbHG in Österreich (bzw. § 43 GmbHG in Deutschland) und wird durch die DSGVO konkretisiert. Art. 32 DSGVO verlangt vom Verantwortlichen, technische und organisatorische Maßnahmen zu treffen, die ein dem Risiko angemessenes Schutzniveau gewährleisten. Dazu gehört ausdrücklich die Fähigkeit, die Verfügbarkeit personenbezogener Daten rasch wiederherzustellen.
In der Praxis bedeutet das: Die Geschäftsführung muss nicht selbst Backups konfigurieren. Aber sie muss sicherstellen, dass ein angemessenes Datensicherungskonzept existiert, dass es umgesetzt wird und dass seine Funktionsfähigkeit regelmäßig geprüft wird. Das OLG Dresden hat 2021 erstmals einen Geschäftsführer als eigenständigen datenschutzrechtlichen Verantwortlichen im Sinne der DSGVO eingestuft und persönlich haftbar gemacht. Das Urteil hat Signalwirkung.
Der Sachverständige prüft in diesem Zusammenhang, ob ein dokumentiertes Datensicherungskonzept existierte, ob die Umsetzung regelmäßig kontrolliert wurde, ob die gewählten Maßnahmen dem Stand der Technik und dem Risiko angemessen waren und ob Wiederherstellungstests durchgeführt wurden. Wenn die Geschäftsführung die IT-Verantwortung an einen internen IT-Leiter oder an einen externen Dienstleister delegiert hat, prüft der Sachverständige zusätzlich, ob die Delegation sachgerecht erfolgte und ob die Kontrollpflichten eingehalten wurden. Denn delegieren entlastet von der Ausführung, nicht von der Überwachung.
Ebene 2: Die Haftung des IT-Dienstleisters
In den meisten kleinen und mittleren Unternehmen wird die IT ganz oder teilweise von einem externen Dienstleister betreut. Der Leistungsumfang reicht von der reinen Hardware-Wartung bis zum vollständigen Managed-Service, der auch Backup, Monitoring und Sicherheitsmanagement umfasst. Die Haftung des Dienstleisters richtet sich nach dem Vertrag und der tatsächlich übernommenen Verantwortung.
Die häufigsten Streitpunkte in der Praxis betreffen das Backup-Management. Der Vertrag sieht regelmäßige Backups vor, aber der Dienstleister hat die Sicherungen nicht überwacht und den Ausfall des Backup-Systems nicht bemerkt. Oder die Backups wurden erstellt, aber nie auf Wiederherstellbarkeit getestet, und im Schadensfall stellt sich heraus, dass die Sicherungen unvollständig oder korrupt sind. Oder der Dienstleister hat ein Systemupdate eingespielt, das zum Datenverlust geführt hat, ohne vorher eine Sicherung zu erstellen.
Der Sachverständige prüft den Vertrag und die tatsächliche Leistungserbringung. Was genau war der Dienstleister schuldig? Was hat er tatsächlich getan? Wo liegt die Abweichung? Dabei ist zu beachten, dass sich IT-Dienstleister in ihren AGB häufig von der Haftung für Datenverluste freizuzeichnen versuchen. Die Rechtsprechung setzt solchen Haftungsausschlüssen jedoch enge Grenzen: Wenn die Datensicherung zum Kernbereich der vertraglichen Leistung gehört, handelt es sich um eine Kardinalpflicht, deren Verletzung nicht wirksam ausgeschlossen werden kann.
Ebene 3: Das Mitverschulden des Unternehmens
Selbst wenn der IT-Dienstleister eine Pflicht verletzt hat, wird die Haftung regelmäßig um ein Mitverschulden des Unternehmens gekürzt. Der BGH hat bereits früh klargestellt, dass die regelmäßige Datensicherung zu den grundlegenden Pflichten eines jeden Unternehmens gehört. Wer keine eigenen Sicherungen vorhält, muss sich ein erhebliches Mitverschulden anrechnen lassen.
In einem bekannten Fall verurteilte das Landgericht Frankfurt einen IT-Dienstleister und dessen Sohn zum Ersatz von 70 Prozent des Schadens, der durch die Zerstörung von Daten auf einem Betriebsrechner entstanden war. Die restlichen 30 Prozent wurden dem geschädigten Ingenieurbüro als Mitverschulden angelastet, weil es keine eigene Datensicherung vorgenommen hatte. Der bezifferte Schaden lag bei 350.000 Euro.
Der Sachverständige dokumentiert, welche Datensicherungsmaßnahmen das Unternehmen selbst getroffen hat, ob diese Maßnahmen dem Stand der Technik entsprachen und ob der Schaden bei einer angemessenen eigenen Datensicherung vermeidbar gewesen wäre. Das Ergebnis dieser Prüfung bestimmt die Mitverschuldensquote, die den Schadenersatzanspruch gegen den IT-Dienstleister reduziert.
Ebene 4: Die DSGVO-Haftung bei personenbezogenen Daten
Wenn der Datenverlust personenbezogene Daten betrifft, kommt eine zusätzliche Haftungsebene ins Spiel. Art. 82 DSGVO gewährt jeder Person, der durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist, einen Schadenersatzanspruch gegen den Verantwortlichen. In Österreich können zudem Verwaltungsstrafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden.
Sind mehrere Verantwortliche oder Auftragsverarbeiter an der Datenverarbeitung beteiligt, haftet nach Art. 82 Abs. 4 DSGVO jeder einzelne für den gesamten Schaden als Gesamtschuldner. Das Unternehmen kann sich nicht darauf berufen, dass sein IT-Dienstleister die Sicherung hätte durchführen sollen. Die betroffene Person kann sich an beide wenden. Im Innenverhältnis können Unternehmen und Dienstleister dann Regress nehmen.
Der Sachverständige stellt fest, welche personenbezogenen Daten vom Verlust betroffen sind, ob die Daten endgültig verloren oder wiederherstellbar sind, ob eine Meldepflicht an die Datenschutzbehörde besteht (Art. 33 DSGVO: innerhalb von 72 Stunden) und ob die betroffenen Personen benachrichtigt werden müssen (Art. 34 DSGVO). Diese Feststellungen bilden die Grundlage für die rechtliche Beurteilung durch den Anwalt und für die Kommunikation mit der Datenschutzbehörde.
Was der Sachverständige technisch untersucht
Die Haftungsprüfung steht und fällt mit der technischen Analyse. Der Sachverständige untersucht drei Bereiche.
Die Ursache des Datenverlusts. War es ein Hardwaredefekt, ein Softwarefehler, menschliches Versagen, ein Cyberangriff oder eine Kombination? Die Ursache bestimmt, wer potenziell haftet. Ein Hardwaredefekt trifft den Hersteller (Produkthaftung) oder den Dienstleister (wenn er die Überwachung versäumt hat). Ein Softwarefehler nach einem Update trifft den, der das Update ohne Sicherung eingespielt hat. Menschliches Versagen führt zur Frage, ob der Mitarbeiter ausreichend geschult und die Systeme angemessen gegen Fehlbedienung geschützt waren.
Den Zustand der Datensicherung. Der Sachverständige analysiert das Backup-Konzept und seine tatsächliche Umsetzung: Welche Systeme und Datenbestände waren in die Sicherung eingeschlossen? In welchen Intervallen wurde gesichert? Wurden die Sicherungen an einem getrennten Ort aufbewahrt? Wurden Wiederherstellungstests durchgeführt, und wenn ja, wann zuletzt? Welche Daten sind trotz Backup verloren, und warum? Diese Analyse zeigt, ob der Datenverlust bei einer funktionierenden Datensicherung vermeidbar gewesen wäre und wo die Schwachstelle lag.
Den eingetretenen Schaden. Der Sachverständige dokumentiert den Umfang des Datenverlusts: Welche Daten sind betroffen, welche sind unwiederbringlich verloren, welche können aus Backups, aus Fremdsystemen oder aus anderen Quellen rekonstruiert werden? Er beziffert den Wiederherstellungsaufwand und die Kosten, die durch den Verlust entstehen, etwa durch Betriebsunterbrechung, Neuerstellung verlorener Daten oder Folgeschäden gegenüber Kunden.
Typische Konstellationen aus der Praxis
Drei Konstellationen kommen in meiner Erfahrung als Sachverständiger besonders häufig vor.
Das vergessene Backup-Monitoring. Der IT-Dienstleister hat ein automatisiertes Backup eingerichtet, das über Monate fehlerfrei lief. Dann schlägt eine Sicherung fehl, weil der Speicherplatz erschöpft ist. Die Fehlermeldung wird nicht bemerkt, weil kein aktives Monitoring eingerichtet ist. Wochen später tritt ein Serverdefekt ein, und die letzte funktionsfähige Sicherung ist zwei Monate alt. Der Sachverständige prüft, ob das Monitoring vertraglich geschuldet war, ob der Dienstleister die Fehlermeldung hätte bemerken müssen und welcher Datenverlust auf die Monitoring-Lücke zurückzuführen ist. Der Schaden umfasst nur die Daten, die seit dem letzten erfolgreichen Backup entstanden sind, nicht den gesamten Datenbestand.
Das Update ohne Sicherung. Der IT-Dienstleister spielt ein größeres Softwareupdate auf dem Produktivserver ein, ohne vorher ein vollständiges Backup zu erstellen. Das Update schlägt fehl und korrumpiert die Datenbank. Teile der Daten sind nicht wiederherstellbar. Hier liegt die Pflichtverletzung in der Regel klar beim Dienstleister: Vor jedem Eingriff in ein Produktivsystem gehört eine Sicherung zum Fachstandard. Das Mitverschulden des Unternehmens kann dennoch relevant sein, wenn es keine eigene, vom Dienstleister unabhängige Sicherungskopie vorhielt.
Der unbemerkte Ransomware-Befall. Ransomware verschlüsselt die Daten des Unternehmens. Die vorhandenen Backups sind ebenfalls verschlüsselt, weil sie im selben Netzwerk lagen. Der IT-Dienstleister hatte eine getrennte Aufbewahrung empfohlen, das Unternehmen hatte aus Kostengründen darauf verzichtet. Hier liegt möglicherweise ein Mitverschulden des Unternehmens vor, weil es die Empfehlung des Dienstleisters ignoriert hat. Entscheidend ist, ob die Empfehlung dokumentiert wurde und ob das Unternehmen über das Risiko aufgeklärt wurde.
Warum ein Gutachten vor der Haftungsdiskussion stehen sollte
Die Haftungsfrage wird häufig zu früh und auf zu schmaler Grundlage diskutiert. Der IT-Dienstleister sagt, das Unternehmen habe keine ordentliche Sicherung gehabt. Das Unternehmen sagt, der Dienstleister hätte das Backup überwachen müssen. Beide Seiten argumentieren aus ihrer Perspektive, ohne den technischen Sachverhalt vollständig geklärt zu haben.
Ein Gutachten schafft die objektive Grundlage, auf der eine faire Haftungsverteilung möglich wird. Es beantwortet die Fragen, die ein Gericht, eine Versicherung oder ein Mediator braucht: Was genau ist passiert? Wer hatte welche Pflichten? Welche Pflichten wurden verletzt? Welcher Schaden ist durch welche Pflichtverletzung verursacht worden? Und welcher Schaden wäre bei pflichtgemäßem Verhalten aller Beteiligten vermeidbar gewesen?
Diese Fragen lassen sich nur durch eine technische Untersuchung beantworten, nicht durch juristische Argumente allein. Deshalb steht das Gutachten vor der Haftungsdiskussion und nicht danach.
Was Sie jetzt tun sollten
Wenn Ihr Unternehmen einen Datenverlust erlitten hat: Sichern Sie den aktuellen Zustand, bevor Sie mit der Wiederherstellung beginnen. Ein späteres Gutachten basiert auf den Spuren, die jetzt noch vorhanden sind. Wenn Sie sich in einer Haftungsauseinandersetzung mit Ihrem IT-Dienstleister befinden: Ein unabhängiges Gutachten klärt die technischen Fakten und schafft eine faire Verhandlungsgrundlage. Wenn Sie präventiv handeln wollen: Lassen Sie Ihr Datensicherungskonzept prüfen, bevor der Schadensfall eintritt.
Als allgemein beeideter und gerichtlich zertifizierter IT-Sachverständiger unterstütze ich Unternehmen, Anwälte und Versicherungen bei der Klärung von Datenverlust-Fällen. Kontaktieren Sie mich für ein unverbindliches Erstgespräch.