Vertragsgrundlage und Gesetzesregelung entscheidend
Zunächst ist zu unterscheiden zwischen gesetzlicher und vertraglicher Haftung. Im ersten Fall wird auf Gesetzesgrundlage der tatsächlich entstandene Schaden ersetzt. Im zweiten Fall vereinbart der IT-Dienstleister mit dem Kunden individuell den Haftungsumfang.
Grundsätzlich ist der Geschäftsführer eines Unternehmens mit der Sicherung der Daten betraut und diese Aufgabe ist auch nicht delegierbar. Das bedeutet, dass den Auftraggeber im Fall eines Datenverlustes mindestens eine Teilschuld trifft. Außerdem ist der Auftraggeber dazu verpflichtet, den IT-Dienstleister regelmäßig zu überprüfen. In wieweit sich die Schuldhaftigkeit zwischen Unternehmen und Dienstleister aufteilt, ist von Fall zu Fall unterschiedlich.
Vorsicht bei Klauseln im Vertrag
Für den Dienstleister können je nach vertraglicher Vereinbarung im Schadenfall immense Kosten entstehen. Er sollte daher die Details gründlich lesen und verstehen. Sieht der Vertrag eine Haftungsverschärfung vor, muss der Dienstleister beispielsweise im Schadenfall zahlen – auch dann, wenn es dafür keine gesetzliche Vorlage gibt. Vorsicht ist auch geboten bei der Klausel, die eine Haftung trotz Schuldlosigkeit vorsieht. Die liegt beispielsweise bei höherer Gewalt vor: Die Internetverbindung ist gestört und es sind deswegen bestimmte Prozesse oder Absprachen nicht möglich.
Auftraggeber und IT-Dienstleister können auch eine pauschale Schadenssumme festsetzen, die im Schadenfall vom Auftragnehmer zu zahlen ist. Schadenspauschalen in Verträgen sollen dem Gläubiger den Nachweis seines Schadens erleichtern, wenn der IT-Dienstleister eine Pflichtverletzung begangen hat. Auch lassen sich damit Auseinandersetzungen über die Schadenshöhe vermeiden. Die Pauschalierung von Schadensersatz ist jedoch nicht zulässig, wenn der Auftraggeber damit das Ziel verfolgt, unbegründete Ansprüche geltend zu machen, insbesondere einen überhöhten Schadensersatz zu verlangen.
Bei der Haftungsfreistellung ist es wiederum so, dass der Auftragnehmer für alle Schadenfälle im Umfang des Auftrags haftet – auch wenn sie von dritten Parteien verursacht wurden.
Darüber hinaus ist zu beachten, dass nicht unbedingt ein Schaden eintreten muss, damit das Unternehmen beziehungsweise der Dienstleister haftbar gemacht werden. Entsprechen die Datensicherungs- und Datensicherheitsmaßnahmen nicht den gesetzlichen Vorschriften, kann das ebenfalls zu hohen Strafen führen.
Haftungsbeschränkung für IT-Dienstleister
Der IT-Dienstleister hat jedoch die Möglichkeit, in eingeschränktem Umfang Klauseln im Vertrag unterzubringen, die seine Haftung beschränken. Dies ist marktüblich und notwendig, um das Risiko eines Projektes vernünftig kalkulieren zu können – denn ohne einschränkende Klausel haftet der IT-Dienstleister in unbegrenzter Höhe.
Haftungsbeschränkungen gelten freilich nicht für Kardinalspflichten wie die reibungslose Backup-Erstellung oder grob fahrlässiges Verhalten. Es ist allerdings möglich, die Haftung auf vorhersehbare Schäden zu beschränken sowie die Schadensumme auf den Aufwand der Datenwiederbeschaffung zu reduzieren. Auch die Haftung bei höherer Gewalt kann der Auftragnehmer vertraglich ausschließen.