Backups und Disaster Recovery sind wichtige Bestandteile der Cybersicherheit. Weil sie jedoch aufwendig sind und viel Expertise erfordern, greifen Unternehmen zunehmend auf spezialisierte Dienstleister zurück. Angebote für Backup-as-a-Service (BaaS) oder Disaster-Recovery-as-a-Service (DRaaS) erfreuen sich daher aktuell großer Beliebtheit. Doch wie ist eigentlich die Rechtslage, wenn der beauftragte Dienstleister im Fall des Falles nicht in der Lage ist, die Daten und Systeme wiederherzustellen? Diese Frage hatte das Landgericht Heilbronn in einem Urteil vom 28. Januar 2021 (Az. Es 2 O 238/17) zu beantworten. Lesen Sie im Folgenden unsere Anmerkungen zur Entscheidung mit praktischen Tipps für Verantwortliche.
Sachverhalt
Zwischen der Klägerin und der Beklagten bestand ein Datensicherungsvertrag, der eine “pro aktive 24/7 Überwachung des Systems” umfassen sollte. Nach einem Datenverlust bei der Klägerin stellte sich jedoch heraus, dass wegen eines technischen Fehlers über mehrere Monate keine externe Datensicherung durchgeführt worden war. Über ein internes Backup der Klägerin konnte jedoch zumindest ein Teil der Daten wiederhergestellt werden. Für die vollständige Wiederherstellung der Daten musste die Klägerin jedoch über 550 Arbeitsstunden aufwenden und verlangte dafür von der Beklagten einen Schadensersatz im Umfang von etwa 15.000 Euro.
Entscheidung des Gerichts
Das LG Heilbronn hat den Schaden leicht gekürzt, der Klägerin im Ergebnis jedoch einen Betrag von etwa 12.000 Euro zugesprochen. In seiner Begründung führt das Gericht zunächst aus, dass der abgeschlossene Datensicherungsvertrag zwar kein Werkvertrag sei, wie von der Klägerin vorgetragen, sondern ein Dienstvertrag. Obwohl ein konkreter Erfolg damit nicht geschuldet sei, habe die Beklagte jedoch eine Pflicht aus dem Vertrag verletzt und sich damit schadensersatzpflichtig gemacht. Geschuldet sei nämlich, wie in den technischen Details zum Vertrag angegeben, eine “pro aktive 24/7 Überwachung des Systems”. Die Beklagte sei daher verpflichtet gewesen, das Backup-System umfassend zu überwachen und der Klägerin etwaige Probleme mitzuteilen, habe dies jedoch pflichtwidrig unterlassen. Der Schaden der Klägerin besteht allerdings nicht direkt in den Personalkosten, sondern im Wert der Daten selbst. Dieser kann nach Ansicht des Gerichts jedoch über die zur Wiederherstellung aufgewendeten Arbeitsstunden geschätzt werden. Für Daten, die der Ausbildung einer Beschäftigten zuzuschreiben seien, könne die Klägerin jedoch keinen Schadensersatz verlangen, da der Schaden der Beschäftigten persönlich und nicht dem Unternehmen entstanden sei.
Bewertung und Tipps für die Praxis
Die Entscheidung des LG Heilbronn unterstreicht, wie wichtig es sowohl für den Auftraggeber als auch den Auftragnehmer von Datensicherungen, aber auch von anderen IT-Dienstleistungen, ist, den Vertragsgegenstand eindeutig und transparent zu regeln. Anderenfalls kann sich der Auftraggeber nämlich nicht darauf verlassen, dass er die gewünschte Leistung tatsächlich erhält, und kann bei Verstößen keinen Schadensersatz geltend machen. Insbesondere wenn ein konkreter Erfolg geschuldet sein soll, ist zu empfehlen, dies explizit im Vertrag aufzunehmen. Transparente und eindeutige Regelungen zur geschuldeten Leistung sind jedoch auch für den Auftragnehmer wichtig. Wer beispielsweise ein 24/7‑Monitoring für Datensicherungen verspricht, muss dieses auch leisten können.
zurück