Der Fall
Eine Arztpraxis zieht innerhalb Dresdens um. Das Umzugsunternehmen transportiert u.a. zwei Server mit Patientendaten, zehn Büro-PCs, Patientenakten (ca. 3.500 Akten in 28 Archivkartons) und medizintechnisches Gerät (Ultraschall, EKG, Autoklav). Beim Umzug wird ein Server beim Tragen fallen gelassen (Hardwareschaden 8.200 EUR, Datenverlust ungewiss), ein Archivkarton rutscht ab und öffnet sich im Treppenhaus (ca. 80 Patientenakten sichtbar, Passanten anwesend), der Autoklav wird verzogen (Reparatur 4.500 EUR). Plus: Praxis steht drei Tage länger still als geplant (Ausfall 12.000 EUR).
Kundenfrage
"Bei der Praxis geht es nicht nur um Hardware – wer haftet, wenn Patientendaten auf der Straße landen?"
Rechtliche Einordnung
Gewerblicher Umzug fällt grundsätzlich auch unter § 451 HGB, sofern Umzugsvertrag mit Nebenleistungen. Die Besonderheiten:
Datenschutz DSGVO: Der Umzugsunternehmer wird bei Transport personenbezogener Daten zum Auftragsverarbeiter im Sinne Art. 28 DSGVO. Ohne schriftlichen Auftragsverarbeitungsvertrag (AVV) verletzen beide Parteien die DSGVO – Bußgeld bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes möglich. Bei Datenschutzpanne (offengelegte Patientenakte) droht Meldepflicht innerhalb 72 Stunden an die Aufsichtsbehörde (Art. 33 DSGVO), ggf. Betroffenen-Information (Art. 34 DSGVO). Betroffene können Schadensersatz nach Art. 82 DSGVO geltend machen (immaterielle Schäden bereits ab 500–1.500 EUR pro Betroffenem).
Berufsrechtliche Schweigepflicht: § 203 StGB (Heilberufe, Anwälte, Steuerberater) kann bei Offenlegung verletzt sein. Strafrechtliche Konsequenzen für den Praxisinhaber, nicht für den Spediteur – es sei denn, dieser war eingebunden als "Gehilfe" (§ 203 Abs. 4 StGB).
Betriebsunterbrechung: § 451 HGB ersetzt nur den Sachschaden. Betriebsausfälle (verlorene Umsätze) sind Folgeschäden und grundsätzlich nicht vom Frachtführer zu ersetzen – es sei denn, qualifiziertes Verschulden (§ 435 HGB). Dafür braucht es eine separate Betriebsunterbrechungs-Deckung.
IT-Spezifik: Server und Festplatten sind mechanisch empfindlich. OLG Frankfurt (5 U 193/11) hat bei einem Server-Umzug ohne Spezialverpackung und ohne Dokumentation einen Pflichtverstoß angenommen. Auch hier: Wertdeklaration und Spezialhandling essenziell.
Versicherungsseite: Separate Elektronikversicherung, Cyber-Deckung (für DSGVO-Schäden) und Betriebsunterbrechungsversicherung für den Umzugszeitraum dringend empfehlenswert.
Praktische Lehren für Kunden
- Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO mit dem Umzugsunternehmen abschließen – Muster im Internet oder über Berufsverband.
- Datenträger (Server, Backup-Medien, Akten) möglichst selbst transportieren – persönliche Verantwortung, keine Auftragsverarbeitung.
- Wenn Spediteur transportiert: Versiegelte Transportbehälter, GPS-Tracking, unterbrechungsfreie Stromversorgung für empfindliche Hardware.
- Technisch-organisatorische Maßnahmen (TOM) für den Umzug dokumentieren: Zugangskontrolle, Transportweg, Empfangsquittung.
- Cyber-Versicherung und DSGVO-Rechtsschutz vor dem Umzug prüfen; viele Policen haben Ausschlüsse für "transportbedingte" Datenlecks.
- Betriebsunterbrechungsversicherung mit Umzugsklausel abschließen (Deckung Ausfall während und nach Umzug).
- Backup unmittelbar vor Umzug; Datenträger auf zwei Wegen transportieren (Server + externes Backup getrennt).
- Schadenmeldung DSGVO: 72 Stunden Frist – vorbereitete Meldevorlage und Zuständigkeit klären (Datenschutzbeauftragter).
Verweise
- /Umzugsversicherung
- /Haftung-Umzuege
- /Umzugsversicherung/faq/umzugsversicherung-privat-oder-firma
- /Transportwiki/gesetze/hgb-435-qualifiziertes-verschulden