Viele Service-Provider schludern

Viele IT-Dienstleister nehmen es in der Praxis mit einem sorgfältigen Umgang mit den ihnen anvertrauten oder für den Kunden erzeugten Daten jedoch nicht allzu genau. Entweder ist bereits die IT-Infrastruktur nicht auf eine ausreichende »virtuelle Datentrennung« ausgerichtet, oder es wird zumindest im Rahmen der Datensicherung nicht zwischen Daten verschiedener Kunden unterschieden – alle landen auf dem gleichen Backup-Tape.Anhand der zuvor dargestellten Pflichten zeigt sich, wozu ein solches Verhalten führen kann: Der Dienstleister kann unter Umständen gar nicht gewährleisten, dass Kunden nur auf ihre eigenen, nicht aber auf Daten anderer Kunden zugreifen können. Wenn er Daten »vermischt« archiviert oder sichert, kann er dem Kunden die Archive oder Sicherungen nach Vertragsende entweder gar nicht oder nur gemeinsam mit Daten anderer Kunden herausgeben. Und er kann nach Vertragsende Daten des Kunden nicht oder nur mit unverhältnismäßigem Aufwand löschen. Welche Sanktionen ein solches Fehlverhalten nach sich zieht, hängt vom einzelnen Verstoß und dem »rechtlichen Wert« der einzelnen Daten ab. Generell verletzt der Dienstleister vertragliche Pflichten gegenüber seinem Kunden. Da Verstöße gegen die Datentrennung regelmäßig als zumindest fahrlässige Verletzungen der vertraglichen Sorgfaltspflicht einzustufen sind, muss der Dienstleister sämtliche Vermögensschäden ersetzen, die seinem Kunden entstehen – soweit diese nicht vertraglich ausgeschlossen sind. In Allgemeinen Geschäftsbedingungen (AGB) sollte ein solcher Ausschluss jedoch kaum möglich sein, da die Pflichten zum korrekten Umgang mit den Daten meistens als so wesentlich einzustufen sind, dass sie sich nicht in AGB ausschließen lassen.