Ganz kurz der Bericht über eine jüngere Entscheidung des Hanseatischen Oberlandesgerichts. Das IT Unternehmen hatte es übernommen, Daten „in der Cloud“ d.h. auf eigenen oder anderen technischen Systemen zu speichern. Diese Daten gingen endgültig verloren, ein Backup existiert offensichtlich nicht. Der Verlust geschah, als die Daten in einen anderen Account geschoben wurden. Dabei wurden die Daten entgültig gelöscht, den sie waren zuvor nicht als schreibgeschützt gekennzeichnet und es gab keine Redundanz. Auch eine Kontrolle darüber, ob eine redudante Datensicherung bestand, ist nicht erfolgt.
Das Gericht sah – und die Entscheidung ist rechtsverbindlich – in diesem Verhalten des Angestellten des IT Unternehmens einen Akt grober Fahrlässigkeit. Zu der Terminologie: Einfache Fahrlässigkeit liegt vor, wenn „die im Verkehr erforderliche erforderliche Sorgfalt nicht angewendet wurde“. Man hat also nicht richtig aufgepasst. Grobe Fahrlässig liegt vor, wenn ein wesentlicher, gravierender Fehler gemacht worden ist, den üblicherweise Menschen in einer solchen Situation nicht begehen, weil das Risiko ganz klar erkennbar ist. Beliebtes Beispiel aus der Ausbildung der Juristen: Man fährt auf der Autobahn. Das Handy fällt in den Fußraum vor den Beifahrersitzt. Bei Tempo 160 bückt sich der Fahrer in den Beifahrerraum, sieht nicht nach vorne und es kommt zu einem schweren Unfall. Das Problem bei Feststellung der groben Fahrlässigkeit ist das Versicherung. Manche Versicherungen zahlen in diesen Fällen nicht.
Moral der Geschichte: Wer es gewerbsmäßig übernimmt, die Daten eines anderen zu sichern, muß durch ausreichende technische und organisatorische Mittel sicherstellen, daß kein endgültiger Datenverlust eintritt. Das gilt gerade auch für personenbezogene Daten und ist in diesen Fällen auch zu dokumentieren. Neben dem Thema Schadensersatz durch den Kunden kommen in Zukunft bei einer Speicherung personenbezogener Daten auch noch ggf. Ordnungsmittel und der Schadensersatz der betroffenen Personen dazu.
Ich empfinde an diesen Stellen die DSGVO als wirklich gut, die die Menschen nahezu zwingt, sich mit dem Thema „Verfügbarkeit von Daten“ auseinander zu setzen. Achten Sie als IT Unternehmen auch unbedingt darauf, auf den Art 32 DSGVO zu achten, nach dessen Inhalt die Einhaltung der Vorschriften durch den Auftragsverarbeiter und den Verantwortlichen zu gewährleisten ist (und nicht etwa nur durch das IT Unternehmen, wie es in vielen aktuellen AVs jetzt zu lesen ist). Sie können regeln, daß der Kunde außerdem noch die Daten sichern muß. Wenn diese Rechtsprechung Schule macht, müssen Sie das Bestehen einer Risikoanalyse und das Bestehen der angemessenen technischen und organisatorischen Maßnahmen nachweisen können. Es handelt sich um einen Datenschutzvorfall, der der Behörde gemeldet werden muß.
Achten Sie als Kunde darauf, daß angemessene Maßnahmen wirklich bestehen und kontrollieren Sie das Bestehen der Maßnahmen. Formularmäßige Abwälzungen von Risiken nützen Ihnen in diesen Fällen nicht, weil Sie als Verantwortlicher nach der DSGVO selbst das Bestehen von Maßnahmen nachweisen und dokumentieren müssen.