Die Pflicht zur Datensicherung ist eine allgemeine Pflicht, die der Unternehmensführung obliegt. Sie wird einerseits aus dem Gesetz, genau aus dem § 91 Akt.2 AktG abgeleitet. Der § 91 Abs.2 AktG normiert nach seinem Wortlaut nur Pflichten, die die Führung von Aktiengesellschaften betreffen. Aber nach der herrschenden Ansicht sind die Prinzipien, die aus dieser Norm abgeleitet werden, für jede Unternehmensform anwendbar, gleich ob GmbH oder Personengesellschaft. Die Führung eines Unternehmens haftet also im Grundsatz immer nach den Grundsätzen, die für die Führung einer Aktiengesellschaft gelten.

Man wird nicht umhin können, die Pflicht zur Datensicherung als eine Kardinalpflicht, also als eine der wesentlichen Pflichten der Unternehmensführung anzusehen. Normale Unternehmen sind von der IT etwa so abhängig wie von dem Zustand der Immobilie, in denen das Unternehmen beheimatet ist. Verlorene Daten bedeuten verlorenes Geld. § 91 Abs.2 AktG beinhaltet den Grundsatz, geeignete Maßnahmen zu treffen, um Entwicklungen zu erkennen und wirksam begegnen zu können, die dem Unternehmen gefährlich werden können. Konkrete Handlungspflichten können aus dem § 91 Abs. 2 AktG nicht abgeleitet werden. Anders der § 9 BDSG, der jedenfalls für personenbezogene Daten ausdrückliche Verpflichtungen normiert (siehe Anlage zum § 9 BDSG).

Daneben sind einige Gerichte der Ansicht, daß die Pflicht zur Datensicherung dem Auftraggeber allgemein obliegt. Sofern der Auftraggeber die Daten nicht regelmäßig sichert, trifft ihn immer ein Mitverschulden nach § 254 BGB, wenn es tatsächlich zu einem Schadensfall kommt. 

Die Pflicht zur Datensicherung kann aber stets aus dem jeweiligen Vertrag folgen, wenn der entsprechende Regelungen beinhaltet.  Namentlich in den Mitwirkungspflichten, die dem Auftraggeber vertraglich auferlegt werden können,  wird dem Auftraggeber die Pflicht zur Datensicherung auferlegt werden können.

Die vertraglichen Regelungen sollten in jedem Fall Regelungen beinhalten, die Pflicht, Daten der IT zu sichern, diese Daten so zu lagern, daß sie nicht geschädigt werden können und die Pflicht, die Daten richtig wieder herzustellen.  Kaum ein Kunde weiß, wie er die Daten so sichern kann, daß er im Falle eines Datenverlustes sofort wieder mit den gesicherten Daten arbeiten kann. Was der Unterschied zwischen einem Raid 1 und einem Raid 5 ist, weiß kaum ein Kunde. Daß der Kunde nur mit einer quasi gespiegelten Hardwarelandschaft sofort wieder mit den gesicherten Daten weiterarbeiten kann, ist den meisten Kunden unbekannt. Hier können Sie helfen.