Kostenlose Hotline: 0800 100 41 04
Schnellkontakt
captcha
Zur Startseite
Home
Anwaelte
Newsletter
Kontaktformular
Impressum
Datenschutz

IT-Sicherheit und Wartungsvertrag

24. September 2011 von RA Thomas Feil

Klare Vereinbarungen

Es sollte eigentlich eine Selbstverständlichkeit sein, in IT-Wartungsverträgen neben dem Leistungsumfang auch klare Absprachen zu Haftungsfragen zu treffen. Oft wird bei Vertragsverhandlungen indes nicht an Schadensfälle gedacht oder der Auftraggeber gibt sich mit einer mündlichen Zusicherung des Vertragspartners zufrieden, man werde sich schon irgendwie einigen können. Keine Regelungen zu treffen kann aber nicht nur strategische, sondern auch rechtliche Nachteile mit sich bringen.

Denn einerseits passen die allgemeinen gesetzlichen Regelungen zum Schadensersatz häufig nicht auf die konkreten Bedürfnisse eines speziellen IT-Wartungsvertrags und andererseits sind die gesetzlichen Regelungen undurchsichtig und für den rechtlichen Laien nur schwer zu durchschauen. Das kann zur Folge haben, dass sich ein Vertragspartner aus Unwissenheit nicht an die gesetzlichen Haftungsregelungen gebunden fühlt und daher Schadensersatzforderungen häufiger als notwendig auf dem Rechtsweg durchgesetzt werden müssen. Viele schwierige Situationen lassen sich durch klare vertragliche Absprachen vermeiden. Dazu sei hier ausdrücklich auf den ersten Teil des Beitrags „ und “ verwiesen.

Leistungsumfang und Pflichtverletzung

Sofern IT-Wartungsverträge nicht als Garantieverträge ausgestaltet sind, kann der Dienstleister grundsätzlich nur dann haftbar gemacht werden, wenn er wenigstens eine fahrlässige Pflichtverletzung begangen hat (vgl. § 280 Abs. 1 BGB). Eine Pflicht kann nur derjenige verletzen, dem vorher durch Vertrag eine solche auferlegt worden ist. Aus der Leistungsbeschreibung des Wartungsvertrags muss also im Schadensfall stets ermittelt werden, in welchem Umfang der Dienstleister überhaupt verpflichtet war.

Steht fest, dass der Dienstleister objektiv einer Pflicht aus dem Schuldverhältnis nicht nachgekommen ist, muss anschließend die Schuldfrage geklärt werden. Hat der Dienstleister nämlich bei seiner Arbeit die im Verkehr erforderliche Sorgfalt beachtet, bleibt der Geschädigte auf seinem Schaden sitzen. Allerdings wird eine Unachtsamkeit des externen Dienstleisters gesetzlich bis zum Beweis des Gegenteils vermutet, so dass es grundsätzlich ihm obliegt nachzuweisen, dass er die Pflichtverletzung nicht zu vertreten hat (§ 280 Abs. 1 S. 2 BGB).

Die Crux mit dem Schaden

Im Rahmen eines IT-Wartungsvertrags kann ein Schadensersatz nur dann gefordert werden, wenn tatsächlich auch ein Schaden entstanden ist. Ein Schaden wird definiert als „unfreiwillige Vermögenseinbuße“, dessen Höhe juristisch mittels der sogenannten Differenzhypothese ermittelt wird. Dazu wird die Differenz zwischen der Vermögenslage des Geschädigten nach dem schädigenden Ereignis und der hypothetischen Vermögenslage ohne das schädigende Ereignis gebildet.

Gerade im IT-Bereich kann sich die Berechnung im Einzelfall aber als sehr komplex herausstellen, denn bereits kleinere Zwischenfälle können weitreichende Folgen haben. Beispielsweise kann der Ausfall eines zentralen Servers bewirken, dass unzählige Mitarbeiter nicht mehr auf ihre Daten zugreifen können und sich deshalb verschiedene Aufträge verzögern und einige von ihnen endgültig nicht abgewickelt werden können. Möglicherweise entstehen darüber hinaus auch Vertragspartnern weitere Schäden, die berücksichtigt werden müssen.

Die Höhe des Schadens muss grundsätzlich der Geschädigte beweisen (Oetker in: Münchener Kommentar zum BGB, § 249, Rn. 440f.). Doch wie das Beispiel des Serverausfalls zeigt, kann es bereits diffizil sein, überhaupt einmal die Auswirkungen eines Zwischenfalls zu ermitteln, von einer genauen Schadensberechnung ganz zu schweigen.

Bei IT-Wartungsleistungen bietet es sich an, solchen Rechen- und Beweisschwierigkeiten mit pauschalisierten Schadensersatzsummen vorzubeugen, die sich an typischerweise entstehenden Schäden orientieren. Es könnte beispielsweise festgelegt werden, dass für jeden Tag, um den sich eine bestimmte Wartungsleistung oder Fehlerbehebung verzögert, eine gewisse Summe zu zahlen ist. Der genaue pauschalisierte Schadensersatzbetrag muss allerdings vorher vertraglich festgelegt worden sein, da es sonst bei dem Grundsatz bleibt, dass der Geschädigte den entstandenen Schaden zu beweisen hat. Eine solche Vereinbarung hat auch gleichzeitig den Vorteil, dass implizit dem Vertragspartner vermittelt wird, welchen Stellenwert und welche finanzielle Bedeutung die korrekte Ausführung der Wartungsleistungen für den Auftraggeber hat.  Sollte der dem Auftraggeber entstandene Schaden im Einzelfall höher liegen, steht es ihm aber auch bei pauschalisierten Schadenssummen weiterhin frei, einen erhöhten Schaden nachzuweisen. Der pauschalisierte Schadensersatz gilt nämlich nur als Mindestschaden (vgl. §§ 341 Abs. 1, 340 Abs. 2 S. 1 BGB).

In besonders kritischen Bereichen, beispielsweise wenn durch Fehler ein Imageverlust des Auftraggebers in der Öffentlichkeit droht, besteht regelmäßig ein besonderes Interesse daran, dass die IT-Wartungsleistungen pünktlich oder besonders gewissenhaft erbracht werden. Hier kann der pauschalisierte Schadensersatz vertraglich so hoch angesetzt werden, dass er den typischerweise eintretenden Schaden deutlich überschreitet und dadurch einen Strafcharakter bekommt. Unproblematisch möglich ist das im kaufmännischen Bereich, also bei GmbHs, Aktiengesellschaften und jedem sonstigen Handelsgewerbe, denn ein Kaufmann kann eine Vertragsstrafe nicht mit dem Argument herabsetzen lassen, dass die Strafe unverhältnismäßig hoch sei (§ 348 HGB). Dagegen können Vertragsstrafen außerhalb des kaufmännischen Bereichs  einer Verhältnismäßigkeitsüberprüfung unterzogen werden und gegebenenfalls gemindert werden (§ 343 BGB).

Gewährleistungsrechte

Der Schadensersatz schützt das Integritätsinteresse, will also einen Vermögensverlust kompensieren. Dagegen kommt den Gewährleistungsrechten die vorrangige Aufgabe zu, das Äquivalenzinteresse zu schützen. Gewährleistungsrechte zielen damit darauf ab, dass ein Auftraggeber eine Gegenleistung in der vereinbarten Qualität bekommt. Ob dem Auftraggeber bei einer Schlechtleistung Gewährleistungsrechte zustehen, richtet sich danach, wie der maßgebliche IT- ausgestaltet ist. Wird in der Leistungsbeschreibung ein Erfolg versprochen, hat der regelmäßig den Charakter eines Werkvertrags und dem Auftraggeber stehen damit grundsätzlich Gewährleistungsrechte zu. Schuldet der Auftragnehmer dagegen lediglich ernstliches Bemühen, hat der zumeist einen dienstvertraglichen Charakter und dem Auftraggeber stehen dann keine Gewährleistungsrechte zu.

Dass diese Unterscheidung nicht lediglich von akademischem Interesse ist, zeigt folgendes Beispiel: hat der Auftragnehmer bei einer Serverwartung einen Fehler nur unzureichend behoben, wird er bei einem dienstvertraglichen Charakter des Wartungsvertrags einen zweiten Fehlerbehebungsversuch regelmäßig erneut in Rechnung stellen. Demgegenüber hat der Dienstleister bei einem IT-Wartungsvertrag mit werkvertraglicher Prägung die bereits beim ersten Versuch geschuldete Reparatur kostenlos nachzuholen (§ 635 BGB) und bei unberechtigter Weigerung kann der Auftraggeber die Reparatur nach Fristsetzung regelmäßig auf Kosten des Auftragnehmers von einem Dritten durchführen lassen (§ 637 BGB).

Datenschutzrechtliche Implikationen

Datenschutz wird in der Praxis oft vernachlässigt. Teilweise liegt dies an der Nachlässigkeit der Verantwortlichen und oft auch schlicht an rechtlicher Unkenntnis. Ein fehlerhafter Umgang mit personenbezogenen Daten wird gemäß dem Bundesdatenschutzgesetz (BDSG) mit einem umfangreichen Bußgeldkatalog und Strafvorschriften geahndet (§§ 43, 44 BDSG).

In besonderem Maße betroffen sind Ärzte, Wirtschaftsprüfer, Anwälte, Amtsträger und verschiedene Versicherungen sowie Abrechnungsstellen, denn bei ihnen ist das Offenbaren eines fremden Geheimnisses mit Freiheitsentzug von bis zu einem Jahr unter Strafe gestellt (§ 203 StGB). Dabei werden unter einem Geheimnis solche Tatsachen verstanden, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und an denen ein sachlich begründetes Geheimhaltungsinteresse besteht. Schon das Bestehen eines Vertragsverhältnisses kann unter Umständen als Geheimnis angesehen werden und muss in solchen Fällen vertraulich behandelt werden (Heghmanns/Niehaus, NStZ 2008, 57, 58).

Oftmals wird von den Verantwortlichen übersehen, dass ein Offenbaren bereits darin liegen kann, dass ein externer Dienstleister bei seinen Wartungsaufgaben Zugriff auf relevante Datensätze eingeräumt bekommt und dadurch ohne Weiteres eine Kenntnisnahme des Geheimnisses möglich ist (BGH NJW 1995, 2915, 2916). Das ist insoweit bemerkenswert, als dies gegenüber beim Auftraggeber angestellten Arbeitnehmern anders beurteilt wird, denn zwischen dem Geheimnisträger und dessen Arbeitnehmern besteht eine Funktionseinheit. Demgegenüber liegt bei IT-Wartungsverträgen keine Funktionseinheit vor, da es gerade dem Zweck des der Beauftragung externer Dienstleister im Rahmen von, einzelne Aufgaben außerhalb des eigenen Unternehmens wahrnehmen zu lassen (LG Bonn NJW 1995, 2419, 2420). An dieser rechtlichen Beurteilung würde sich auch dann nichts ändern, wenn der Dienstleister seinerseits vertraglich zur Geheimhaltung verpflichtet wäre (vgl. Weidemann in: von Heintschel-Heinegg, Beck’scher Online-Kommentar, § 203, Rn. 32).

Teilweise wird allerdings vertreten, dass bei der Kenntnisnahme von Geheimnissen durch sogenannte „berufsmäßig tätige Gehilfen“ eine Strafbarkeit des primär Schweigepflichtigen nicht begründet wird, was im Einzelfall auch Auswirkungen auf IT-Wartungsverträge haben kann. In Rechtsprechung und Literatur ist bisher indes ungeklärt, unter welchen Voraussetzungen ein externer IT-Dienstleister berufsmäßig tätiger Gehilfen ist. Um eine Kenntnisnahme Dritter auszuschließen und den Straftatbestand zu umgehen, ist es daher Auftraggebern von IT-Wartungsleistungen in jedem Fall dringend angeraten, die maßgeblichen Daten unkenntlich zu machen oder einen zuverlässigen Verschlüsselungsmechanismus einzusetzen (Cierniak in: Münchener Kommentar zum StGB, § 203 StGB, Rn. 48).

Copy the code below to your web site.
x 

Tags: , ,


Hinterlasse eine Antwort













email facebook rss