| 
Haben Sie einen Fehler gefunden? Bitte benachrichtigen Sie uns per E-Mail. Vielen Dank.
Bei Sicherheitsdienstleistungen und -beratungen erwarten Kunden naturgemäß ein Plus an Sicherheit durch die Dienstleistung selbst. Doch man erwartet auch, dass der Anbieter bei Problemen für ein gewisses Maß an Sicherheit gerade steht, sich also in Bezug auf eigene Fehler nicht aus der Verantwortung stehlen kann.
Auf der anderen Seite sind Sicherheitsdienstleistung und -beratung extrem "gefährlich" für den Anbieter, da er sich bei einem Schaden eventuell einer sehr hohen Haftung ausgesetzt sieht. Davor muss er sich mit entsprechenden Verträgen und allgemeinen Geschäftsbedingungen (AGB) schützen, um nicht wegen des hohen Risikos eines – häufig schwer kalkulierbaren – Schadens bei jedem Auftrag seine Existenz aufs Spiel zu setzen. Zudem dürfte kaum ein Kunde Preise "mit Sicherheitsmarge" bezahlen wollen, die umfassende Rücklagen für eventuelle Haftungsfälle ermöglicht.
Es ist nach deutschem AGB-Recht gar nicht so einfach, die Haftung eines Dienstleisters zu begrenzen, da sie für die so genannten Kardinalpflichten nicht eingeschränkt werden darf. Da der Umfang der Kardinalpflichten im Gesetz nicht geregelt ist, sondern erst im Streitfall von einem Gericht definiert wird, besteht hier immer eine gewisse Rechtsunsicherheit. Diese ist auch durch die Neuregelung des AGB-Rechts durch die Schuldrechtsreform nicht geringer, sondern eher größer geworden. Beim Thema Sicherheit sind AGB somit wenig hilfreich, auch wenn darin die Haftung für leichte Fahrlässigkeit ausgeschlossen wird: Falls auch Kardinalpflichten erfasst sind, ist die ganze Klausel unwirksam – sind sie nicht erfasst, bringt die Klausel für Sicherheitsberatung und -dienstleistung recht wenig.
Ein Auftragnehmer wird daher alle Möglichkeiten nutzen, den Auftraggeber in die Verantwortung mit einzubinden, um einer ansonsten eintretenden fast vollständigen Garantiehaftung zu entgehen. Eine solche ist zwar von Auftraggebern oft gewünscht; die allgemeinen Betriebsrisiken einer IT-Infrastruktur kann einem jedoch kein Dienstleister komplett abnehmen, ohne seine Existenz zu gefährden. Dieser sollte aber den Auftraggeber andererseits auch klar darauf hinweisen, dass es keine 100%ige Sicherheit geben kann.
Bei der Abfassung von Verträgen sollte man sich bemühen, einen fairen Interessenausgleich zu finden. Man könnte zwar versuchen, die entsprechenden Risiken zu versichern und im Rahmen des versicherbaren Betrags und der versicherten Risiken eine Haftung des Auftragnehmers zu vereinbaren. Dabei müssen aber die Versicherungsbedingungen im Dienstleistungsvertrag genau nachgebildet werden, um eine Differenz zwischen eigener Haftung und Versicherungsleistung zu verhindern. Da in Versicherungsklauseln häufig Fußangeln verborgen sind, die den Wert einer solchen Versicherung stark in Zweifel ziehen, sollte man immer angesichts der Höhe der Versicherungsprämie prüfen, ob es für den Auftraggeber nicht sinnvoller ist, das versicherte Risiko selbst zu tragen.
Für das Vertragsverhältnis – und auch für die Versicherbarkeit von Schäden – ist von großer Bedeutung, wie lange die Ansprüche durchgesetzt werden können. Das Verjährungsrecht hat sich durch die Schuldrechtsreform Anfang 2002 grundlegend geändert; dabei sind die meisten Verjährungsfristen einheitlich auf drei Jahre geändert worden. Im Kauf- und Werkvertragsrecht beträgt die Verjährung für Gewährleistungsansprüche seit der Umsetzung der EU-Verbraucherschutzrichtlinie durch die Schuldrechtsreform nun 24 Monate statt vorher 6 Monate. Sie kann zwar gegenüber Unternehmern, also Gewerbetreibenden und Freiberuflern, auf bis zu 12 Monate reduziert werden. Aber auch damit steht der Kunde im B2B-Bereich heute wesentlich besser da als vor 2002.
Wer sich bei laufender Beratung auf Verjährung beruft, muss zudem beweisen, dass der Fehler ausschließlich auf einer Leistung beruht, die bereits mehr als 12 Monate zurückliegt. Bei der Weitergabe von Vorleistungen müssen Anbieter außerdem darauf achten, dass die Verjährung gegenüber dem eigenen Lieferanten nicht früher beginnt als die Haftung gegenüber dem Kunden endet.
Nicht zuletzt wird man sich aber auch aus praktischen Gründen nicht immer auf Verjährung berufen können, wenn noch eine laufende Geschäftsbeziehung besteht: Denn damit setzt man in der Regel diese Geschäftsverbindung insgesamt aufs Spiel.
Weil also kaum Möglichkeiten bestehen, eine Haftung generell und sicher auszuschließen, ist es gerade im Bereich Sicherheit extrem wichtig, eine exakte Leistungsbeschreibung zu vereinbaren, um die genauen Verantwortlichkeiten zwischen den Vertragspartnern festzulegen. Daraus folgen dann auch Regeln für das Verschulden bei Verletzung einzelner Leistungen. Je genauer die Aufgaben verteilt sind, desto weniger Streit gibt es bei Problemen über die Ursachen von Mängeln und Haftungsfällen. Damit dürfte eine exakte Klärung und Festschreibung der vereinbarten Dienstleistung regelmäßig auch im Interesse des Auftraggebers liegen.
Durch Mitwirkungs- und Prüfungspflichten des Auftraggebers lässt sich zudem erreichen, dass schon während der Vertragsdurchführung kontrolliert wird und Fehler ausgeschlossen oder erkannt werden, bevor Schäden entstehen. Wo beispielsweise vertragliche Prüfpflichten mit expliziter schriftlicher Freigabe der Planung durch den Auftraggeber vereinbart sind, kann sich dieser nach Auftragserledigung nicht darauf berufen, er habe "von nichts gewusst" und die Vertragsdurchführung sei mangelhaft – umgekehrt sollte hierdurch auch sichergestellt sein, dass ein Auftrag durch lang anhaltende Missverständnisse "aus dem Ruder läuft".
Teilweise ist der Auftraggeber einer Leistung sogar gesetzlich dazu verpflichtet, die auszuführende Leistung und den Auftragnehmer vorab zu prüfen: Sofern personenbezogene Daten im Auftrag verarbeitet werden (§ 11 BDSG), muss der Auftraggeber prüfen, ob der Dienstleister zur Einhaltung des Datenschutzes in der Lage ist, und er muss den vorgelegten Projektplan vorab auf Datenschutzkompatibilität abklopfen. Gegenüber Dritten haftet bei Datenschutzverletzungen fast immer der Auftraggeber allein. Es ist ihm zwar im Prinzip möglich, im Innenverhältnis seinen Auftragnehmer in Regress zu nehmen; dabei kommt es jedoch auf die genaue vertragliche Ausgestaltung an, da ein solcher Regress im Einzelfall durch AGB ausgeschlossen sein kann.
Besonders heikel sind Erfolgsgarantien bei Reaktionszeiten: Sie sollten nur dann abgegeben werden, wenn ein Erfolg sicher vorhersehbar ist, beispielsweise durch den Austausch von Hardware. Ansonsten empfiehlt es sich, fairerweise nur Zeiten bis zum Arbeitsbeginn zu vereinbaren. Letztlich hilft es auch dem Kunden nicht, wenn er einen "super Service-Level" hat, der aber im Ernstfall nicht umsetzbar ist und anschließend zu (möglicherweise gerichtlichen) Auseinandersetzungen führt.
Bei Überwachungsdienstleistungen ist überdies genau zu regeln, in welchem Umfang und mit welchen Mitteln das beauftragte Monitoring (z. B. von Firewalls, Servern oder Intrusion-Detection-Systemen) erfolgen soll, welche Art von Filtern eingesetzt und wie im Alarmfall reagiert werden soll. Gleichermaßen ist zu regeln, welche Hinweise zu Sicherheitsrisiken zu beachten und wann Aktualisierungen oder Konfigurationsänderungen einzuspielen sind.
Besonders sorgfältig sollten die Vertragsparteien auch klären, wem gewerbliche Schutzrechte und Urheberrechte zustehen. Zunächst ist festzulegen, ob die Nutzungsrechte ausschließlich dem Auftraggeber zustehen sollen oder ob der Auftragnehmer das Recht erhält, das Arbeitsergebnis auch anderweitig zu nutzen oder er sich sogar alle Urheberrechte vorbehält. Das Recht der Einsichtnahme in den Quelltext muss dann ebenso geregelt werden wie die Sicherung der Nutzungs- und Bearbeitungsrechte für den Fall der Insolvenz oder Geschäftsaufgabe des Rechteinhabers.
Ebenso wichtig ist es, eine genaue Dokumentation über sicherheitsrelevante Konfigurationsänderungen, Beratungsergebnisse oder sonstige wesentliche Schritte anzufertigen, um anschließenden Streit über Verantwortlichkeiten zu vermeiden. Dies sollte zeitnah geschehen und jeweils von beiden Parteien gegengezeichnet werden.
Sofern ein Dienstleister nicht ausdrücklich die Verpflichtung übernommen hat, selbst ein Backup zu erstellen, ist übrigens der Auftraggeber dafür verantwortlich, dass seine Datenbestände in angemessenen Abständen gesichert werden. Die Klage eines Reisebüros wegen Wiederherstellung nicht gesicherter Datenbestände hat das Oberlandesgericht Hamm in einer Entscheidung vom Dezember 2003 mit der Begründung zurückgewiesen, es sei Sache des Reisebüros gewesen, für eine angemessene Datensicherung zu sorgen.
Eventuell kann es für den Auftraggeber sogar sinnvoll sein, freiwillig den Dienstleister von einer Haftung in kritischen Situationen freizustellen, um bessere Arbeitsergebnisse in Notfällen oder Stresssituationen zu erhalten. Dies mag am Beispiel von Richtlinien an den Auftragnehmer für das Patch-Management oder die Vorgehensweise in Krisen deutlich werden, die dazu dienen die Prioritäten des Auftraggebers festzuhalten. Wer sich hier mit äußerster Härte konfrontiert sieht, wird solche Richtlinien vermutlich peinlich genau, aber womöglich auch schmerzhaft langsam befolgen. Wo trotz Beachtung von Richtlinien bei leichter Fahrlässigkeit ein Schaden entstehen kann, da mag es durchaus auch für den Auftraggeber besser sein, dem Dienstleister die Haftung hierfür abzunehmen, damit dieser nicht aus Angst vor Regress notwendige Entscheidungen hinauszögert oder verhindert.
Im Bankenbereich zeigt sich der Erfolg einer offeneren Haftungsphilosophie deutlich: Während sich deutsche Banken gerne bis zu den Zähnen mit Sicherheiten eindecken, um ja keinen Schaden zu erleiden, haben internationale Kreditkartengesellschaften mit einer weitgehenden Freistellung des Kunden geworben. Wo der Einzelne im Schadensfall nichts zu befürchten hat, wird er sein Zahlungsmittel freimütiger einsetzen – und ihr Geschäft machen die Finanzinstitute ja letztlich über den Umsatz beziehungsweise das Disagio.
Sicherheitsdienstleister sollten sich gründliche Gedanken über die vertragliche Absicherung ihrer Leistung machen, da hierzu die üblichen Haftungsklauseln in allgemeinen Geschäftsbedingungen wenig taugen. Doch auch Kunden solcher Dienstleistungen ist zu empfehlen, auf einer genauen Leistungsbeschreibung zu bestehen, da damit Zweifeln am Leistungsumfang und an der Verantwortlichkeit des Dienstleisters begegnet werden kann. Ohne genaue vertragliche Regelung von Sicherheitsdienstleistungen ist gerade in diesem Bereich Streit vorprogrammiert.
Ulrich Emmert ist Seniorpartner der Kanzlei esb Rechtsanwälte, Stuttgart, und Lehrbeauftragter an der Hochschule für Wirtschaft und Umwelt in Nürtingen.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2005#5, Seite 33
|