Mehrstufiges Sicherheitskonzept ist zumutbar
Je nach Gefahrgeneigtheit der unternehmerischen Tätigkeit kann darüber hinaus ein mehrstufiges Sicherheitskonzept erforderlich und zumutbar sein. Dazu können die konservative Vergabe von Zugriffsberechtigungen an eigene Mitarbeiter, die regelmäßige Überprüfung von Dateien mittels Hash-Vergleich gegen nachträgliche Manipulationen und die Überprüfung von Dateien durch unterschiedliche Antiviren-Lösungen vor der Distribution gehören.
Ein Sicherheitskonzept für die Unternehmens-IT sollte schriftlich festgehalten, tunlichst befolgt und die Einhaltung unter den Mitarbeitern streng kontrolliert werden, denn es liegt nahe eine Beweislastumkehr zugunsten der Geschädigten vorzunehmen. Eine solche Beweislastumkehr ist bereits seit Langem im Bereich der Produzentenhaftung üblich. Sie soll einer regelmäßig vorliegenden Beweisnot vorbeugen, da die Geschädigten die unternehmensinternen Abläufe nicht einsehen können und daher auch keine belastenden Informationen darlegen können. Bei einer Beweislastumkehr obliegt es daher dem Schädiger zu beweisen, dass er alle notwendigen und zumutbaren organisatorischen und technischen Vorkehrungen zur Vermeidung der aus seinem Herrschaftsbereich stammenden Schäden getroffen hat. Dabei kann ein gut dokumentiertes Sicherheitskonzept behilflich sein.
Materieller Schaden
Steht fest, dass der Schädiger seine Verkehrspflicht schuldhaft verletzt hat, so ist als letzter Punkt noch die Höhe des Schadensersatzes zu ermitteln. Dazu muss ein materieller Schaden entstanden sein. Unter einem Schaden sind alle unfreiwilligen Vermögenseinbußen zu verstehen, die kausal durch das schädigende Ereignis entstanden sind. Darunter fallen nicht nur die durch den Virus unbrauchbar gemachten Dateien, sondern auch etwaige Reparaturkosten des Computers und Gewinnausfälle.
Fällt dem Geschädigten eine Mitschuld an der Entstehung oder der Höhe des Schadens zur Last, ist die Schadensersatzsumme allerdings zu kürzen. Beispielsweise dann, wenn der Geschädigte seinerseits keinen Virenscanner installiert hatte oder seine Antivirenlösung veraltet ist. Dann kommt eine Kürzung des Schadensersatzes um bis zu 100 Prozent in Betracht.
Auch eine Obliegenheit des Geschädigten zur regelmäßigen Sicherung besonders wertvoller Daten auf CD-ROM ist denkbar, denn es ist allgemein bekannt, dass digitale Daten aus vielfältigen und unvorhersehbaren Gründen unbrauchbar werden können. Wird ein Virus trotz aktueller Virenschutzlösung nicht erkannt und richtet das Virus trotz regelmäßiger Sicherungen einen Schaden an, so wird eine Mitschuld des Geschädigten regelmäßig abzulehnen und die Schadensersatzsumme in voller Höhe zuzusprechen sein.
Dazwischen sind vielfältige Abstufungen denkbar, deren Beurteilung vom jeweiligen Einzelfall abhängt. (oe)