Back­ups und Dis­as­ter Reco­very: Wann haf­ten Dienstleister?

Back­ups und Dis­as­ter Reco­very sind wich­ti­ge Bestand­tei­le der Cyber­si­cher­heit. Weil sie jedoch auf­wen­dig sind und viel Exper­ti­se erfor­dern, grei­fen Unter­neh­men zuneh­mend auf spe­zia­li­sier­te Dienst­leis­ter zurück. Ange­bo­te für Backup-as-a-Service (BaaS) oder Disaster-Recovery-as-a-Service (DRaaS) erfreu­en sich daher aktu­ell gro­ßer Beliebt­heit. Doch wie ist eigent­lich die Rechts­la­ge, wenn der beauf­trag­te Dienst­leis­ter im Fall des Fal­les nicht in der Lage ist, die Daten und Sys­te­me wie­der­her­zu­stel­len? Die­se Fra­ge hat­te das Land­ge­richt Heil­bronn in einem Urteil vom 28. Janu­ar 2021 (Az. Es 2 O 238/17) zu beant­wor­ten. Lesen Sie im Fol­gen­den unse­re Anmer­kun­gen zur Ent­schei­dung mit prak­ti­schen Tipps für Verantwortliche.

Sach­ver­halt

Zwi­schen der Klä­ge­rin und der Beklag­ten bestand ein Daten­si­che­rungs­ver­trag, der eine “pro akti­ve 24/7 Über­wa­chung des Sys­tems” umfas­sen soll­te. Nach einem Daten­ver­lust bei der Klä­ge­rin stell­te sich jedoch her­aus, dass wegen eines tech­ni­schen Feh­lers über meh­re­re Mona­te kei­ne exter­ne Daten­si­che­rung durch­ge­führt wor­den war. Über ein inter­nes Back­up der Klä­ge­rin konn­te jedoch zumin­dest ein Teil der Daten wie­der­her­ge­stellt wer­den. Für die voll­stän­di­ge Wie­der­her­stel­lung der Daten muss­te die Klä­ge­rin jedoch über 550 Arbeits­stun­den auf­wen­den und ver­lang­te dafür von der Beklag­ten einen Scha­dens­er­satz im Umfang von etwa 15.000 Euro.

Ent­schei­dung des Gerichts

Das LG Heil­bronn hat den Scha­den leicht gekürzt, der Klä­ge­rin im Ergeb­nis jedoch einen Betrag von etwa 12.000 Euro zuge­spro­chen. In sei­ner Begrün­dung führt das Gericht zunächst aus, dass der abge­schlos­se­ne Daten­si­che­rungs­ver­trag zwar kein Werk­ver­trag sei, wie von der Klä­ge­rin vor­ge­tra­gen, son­dern ein Dienst­ver­trag. Obwohl ein kon­kre­ter Erfolg damit nicht geschul­det sei, habe die Beklag­te jedoch eine Pflicht aus dem Ver­trag ver­letzt und sich damit scha­dens­er­satz­pflich­tig gemacht. Geschul­det sei näm­lich, wie in den tech­ni­schen Details zum Ver­trag ange­ge­ben, eine “pro akti­ve 24/7 Über­wa­chung des Sys­tems”. Die Beklag­te sei daher ver­pflich­tet gewe­sen, das Backup-System umfas­send zu über­wa­chen und der Klä­ge­rin etwa­ige Pro­ble­me mit­zu­tei­len, habe dies jedoch pflicht­wid­rig unter­las­sen. Der Scha­den der Klä­ge­rin besteht aller­dings nicht direkt in den Per­so­nal­kos­ten, son­dern im Wert der Daten selbst. Die­ser kann nach Ansicht des Gerichts jedoch über die zur Wie­der­her­stel­lung auf­ge­wen­de­ten Arbeits­stun­den geschätzt wer­den. Für Daten, die der Aus­bil­dung einer Beschäf­tig­ten zuzu­schrei­ben sei­en, kön­ne die Klä­ge­rin jedoch kei­nen Scha­dens­er­satz ver­lan­gen, da der Scha­den der Beschäf­tig­ten per­sön­lich und nicht dem Unter­neh­men ent­stan­den sei.

Bewer­tung und Tipps für die Praxis

Die Ent­schei­dung des LG Heil­bronn unter­streicht, wie wich­tig es sowohl für den Auf­trag­ge­ber als auch den Auf­trag­neh­mer von Daten­si­che­run­gen, aber auch von ande­ren IT-Dienstleistungen, ist, den Ver­trags­ge­gen­stand ein­deu­tig und trans­pa­rent zu regeln. Ande­ren­falls kann sich der Auf­trag­ge­ber näm­lich nicht dar­auf ver­las­sen, dass er die gewünsch­te Leis­tung tat­säch­lich erhält, und kann bei Ver­stö­ßen kei­nen Scha­dens­er­satz gel­tend machen. Ins­be­son­de­re wenn ein kon­kre­ter Erfolg geschul­det sein soll, ist zu emp­feh­len, dies expli­zit im Ver­trag auf­zu­neh­men. Trans­pa­ren­te und ein­deu­ti­ge Rege­lun­gen zur geschul­de­ten Leis­tung sind jedoch auch für den Auf­trag­neh­mer wich­tig. Wer bei­spiels­wei­se ein 24/7‑Monitoring für Daten­si­che­run­gen ver­spricht, muss die­ses auch leis­ten können.