IT-Sicherheit und Wartungsverträge

Eine professionelle und effiziente Betreuung der unternehmenseigenen IT-Systeme erfordert spezialisierte Mitarbeiter, welche über die nötige Kompetenz verfügen und sich stetig fortbilden. Dies ist zeit- und kostenintensiv. Immer häufiger ist zu beobachten, dass sich Unternehmen mit der Pflege der eigenen Computersysteme überfordert fühlen und externe Dienstleister mit der Wartung der Unternehmens-IT beauftragen, verbunden mit der Hoffnung, sich künftig besser auf die eigene Kernkompetenzen konzentrieren zu können. Faktisch gibt das Unternehmen durch den Abschluss eines Wartungsvertrags ein Stück Autonomie aus der Hand, denn wenn eigene Mitarbeiter nicht mehr selbst die Computersysteme betreuen, geht über kurz oder lang Know-How verloren und es besteht eine Abhängigkeit vom Dienstleister.

Dabei ist die Integrität der IT-Systeme für viele Firmen von existenzieller Bedeutung. Fehler in der IT können ein ganzes Unternehmen blockieren und zu massiven Vermögenseinbußen führen. Deshalb gilt es, die zahlreichen Fallstricke und Unwägbarkeiten bei der Ausgestaltung und beim  Abschluss eines Wartungsvertrags zu erkennen und zu beachten.

Leistungsumfang

Der Inhalt von Wartungsverträgen richtet sich nach den individuellen Bedürfnissen der Auftraggeber und variiert daher von Fall zu Fall stark. Der Serviceumfang reicht von einfachen fallbezogenen Beratungsleistungen über Datensicherheitslösungen und Notfallsupport, bis hin zu „rundum-sorglos-Paketen“.

Vor dem Vertragsabschluss sind wichtige Vorüberlegungen zu treffen, welche den genauen Leistungsumfang betreffen. Dies klingt zwar banal, ist aber eine entscheidende Kernfrage. Der Leistungsumfang muss so präzise wie möglich definiert und abgesteckt werden, um etwaigen späteren Meinungsverschiedenheiten zwischen den Vertragspartnern vorzubeugen. Gerade weil die Anforderungen an erheblich divergieren und es keinen fest umrissenen Leistungsumfang gibt, sind Missverständnisse ohne genaue vorherige vertragliche Abreden leider viel zu häufig vorprogrammiert. So versuchen Anbieter gerne Angeboten vielversprechende Namen zu geben, wobei erst bei näherer Betrachtung auffällt, dass die Leistungsbeschreibung nebulös und unklar ist. Heißt ein Produkt beispielsweise „Sicherheitspaket“, ist damit noch längst nicht gesagt, ob lediglich eine Firewall installiert wird, eine Antiviruslösung eingerichtet wird oder aber ein Notfallservice im Schadensfall infizierte Systeme von Viren befreit. Daher ist dringend eine schriftlich festzuhaltende Konkretisierung geboten, damit der Auftraggeber nicht Gefahr läuft, im Ernstfall hilflos dazustehen. Hier haben zahlreiche Verträge Schwachpunkte oder sind zu lückenhaft.

Hinzu kommt, dass Wartungsverträge als solche im Gesetz nicht typisiert sind. Je nach konkreter Ausgestaltung versteckt sich hinter einem ein Werkvertrag (§ 631 BGB), ein Dienstleistungsvertrag (§ 611 BGB) oder ein Garantievertrag (§§311 Abs. 1, 241 Abs. 1 BGB). Diese Vertragstypen unterscheiden sich durch ihren intendierten Zweck und beeinflussen damit auch den Leistungsumfang. Während bei einem Garantievertrag der Dienstleister für die Funktionsfähigkeit der Computersysteme garantiert, also verschuldensunabhängig haften will und der Vertrag demnach wie eine Mischung aus Service- und Schadensversicherungsvertrag ausgestaltet sein wird, verspricht der Dienstleister bei einem Werkvertrag immerhin noch einen konkreten Leistungserfolg, nämlich regelmäßig die Erhaltung oder Wiederherstellung eines fehlerfreien Zustands. Bei einem Dienstleistungsvertrag, der für den Auftraggeber schwächsten Form des Wartungsvertrags, schuldet der Auftragnehmer lediglich ernstliches Bemühen, einen möglichst fehlerfreien Zustand zu erhalten oder wiederherzustellen. Ein Beispiel: Hat der Dienstleister bei einem Dienstvertrag zwar mehrere Reparaturversuche unternommen aber kein konkretes Ergebnis erzielt, hat er seine Pflicht dennoch erfüllt. Bei einem Werkvertrag dagegen wäre diese Leistung mangelhaft (§ 633 Abs. 2 BGB) und kann Gewährleistungsrechte auslösen (§ 634 BGB). Dazu gehört auch das Recht, die Wartung auf Kosten des Auftragnehmers von einem anderen Anbieter durchführen zu lassen (§ 637 BGB).

Garantieverträge geben dem Kunden zwar die meisten Rechte, kommen in der Praxis aber so gut wie nicht vor. Bei der Wahl seiner Formulierungen im Wartungsvertrag sollte ein Auftraggeber stets darauf achten, dass ein konkreter Leistungserfolg geschuldet und nicht lediglich pflichtgemäßes Bemühen vereinbart wird, denn so schlägt sich ein werkvertraglicher Charakter im Wartungsvertrag nieder, was die Rechtsposition des Auftraggebers erheblich stärkt.

Gerade wenn größere Dienstleister mit der IT-Wartung betraut werden, kann es zudem ratsam sein, sich generell oder in bestimmten schwierigeren Situationen Personal mit einer gewissen Qualifikation zu sichern. So macht es Sinn, einen zentralen Firmenserver, dessen Funktionsfähigkeit überragende Wichtigkeit für das gesamte Unternehmen zukommt, nicht von einem Auszubildenden, sondern eher von einem Techniker oder ausgebildeten Informatiker warten und reparieren zu lassen.

Reaktionszeiten

Neben dem Leistungsspektrum, das der Wartungsvertrag abdecken soll, ist der Leistungszeitpunkt eine zentrale Kernfrage, die oft vernachlässigt wird. Auch hier sollte man sich nicht mit schwammigen Ausführungen abspeisen und von schillernden Bezeichnungen blenden lassen. Wer eine „Vorzugsbehandlung“ oder einen „Premium-Support“ bestellt, hat noch längst keine Gewissheit darüber, wie lange die Fehlerbeseitigung letztlich dauert. Auch eine Vertragsklausel, welche die Arbeitsaufnahme binnen 24 Stunden verspricht, mag zwar das Gewissen des Auftraggebers beruhigen, ist aber leider effektiv wertlos. Damit weiß der Auftraggeber zwar, wann der Dienstleister mit der Bearbeitung beginnt, über die Dauer der Bearbeitung ist damit aber noch nichts vereinbart worden. Etwas besser ist es, eine Bearbeitungsdauer von beispielsweise „durchschnittlich 3 Tagen“ zu vereinbaren. Zwar bleibt dem Dienstleister immer noch genügend Spielraum, die Leistungen im Einzelfall verzögern zu können, jedoch ist wenigstens ein grundsätzlicher Rahmen abgesteckt. Am sichersten ist es, wenn neben einer durchschnittlichen Bearbeitungsdauer auch noch eine Bearbeitungshöchstdauer zugesichert wird.

Wird bezüglich der Bearbeitungszeit nichts vereinbart, so muss diese durch Auslegung ermittelt werden (§§ 157, 133 BGB). Anhaltspunkte können sich aus den Formulierungen, dem Preis und dem Zweck des Vertrags ergeben. Zielt beispielsweise ein Serverwartungsvertrag darauf ab, die Arbeitsfähigkeit eines ganzen Unternehmens zu sichern, dürfte eine Reaktionszeit von 10 Werktagen zu lang bemessen sein. Wo aber die genaue Grenze liegt, ist einzelfallabhängig. Im Zweifel müssen solche Fragen gerichtlich geklärt werden. Das kostet Zeit und Geld und letztlich ist damit niemandem geholfen, weil das Problem mit Sicherheit schon vorher gelöst worden ist. Um solchen Schwierigkeiten vorzubeugen, ist es unbedingt ratsam, die Bearbeitungszeit schon vorab festzulegen.

Risikoanalyse

Anhand des genauen Leistungsumfangs und der Reaktionszeit kann anschließend eine betriebswirtschaftliche Rentabilitätsprüfung durchgeführt werden. Mindestens genauso wichtig wie die reine Kostenrechnung ist jedoch eine genaue Risikoanalyse. Diese verfolgt keinen Selbstzweck, sondern ist sogar gesetzlich vorgeschrieben. Bereits seit über 10 Jahren verpflichtet das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) den Vorstand von Aktiengesellschaften und auch Geschäftsführer anderer Gesellschaftsformen, wie der GmbH, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“ (§ 91 Abs. 2 AktG). Daher sollten Vorstand oder Geschäftsführer vor dem Abschluss eines IT-Wartungsvertrags die Risiken eruieren, bewerten und durch Notfallplanungen minimieren, denn durch die Inanspruchnahme von Wartungsleistungen externer Dienstleister können bei fehlerhafter Planung Situationen eintreten, die ernste Folgen für das Unternehmen haben können. Unabhängig von der rechtlichen Sichtweise ist es aber ohnehin für die Geschäftsleitung von Vorteil zu wissen, wie groß die Risiken beim Auslagern von Wartungsleistungen sind.

 
1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen