![[Aufmachergrafik: heller, corporate design]](images/08-3-006-0.jpg)
Vertrauen ist gut, Vertrag ist besser! Rechtliche Fallstricke bei Managed-Security-Services Vertrauen ist gut, Vertrag ist besser! Rechtliche Fallstricke bei Managed-Security-ServicesIT-Security bietet sich aufgrund seiner Komplexität für Auslagerungen besonders an: Die anfallenden Sicherheits-Aufgaben sind breit gestreut und reichen von einfachen Security-Updates der Betriebssysteme und Applikationen über Beratungsleistungen und Hardware-Wartung bis hin zur kontinuierlichen Überwachung von Systemen sowie Notfall-Support. Die Ziele der Fremdvergabe sind anderen Outsourcing-Projekten ähnlich: Kosten reduzieren, Abläufe vereinfachen, zeitintensive Schulungen und hochspezialisierte Tätigkeiten vermeiden, Verfügbarkeit steigern...
Managed-Security ist jedoch für die Geschäftsprozesse gleichzeitig besonders heikel: Fehler können die Arbeit in einem ganzen Unternehmen oder einer Verwaltung blockieren und zu Wettbewerbsnachteilen führen, sensitive Daten können verloren gehen oder an Dritte gelangen; bei falschem Umgang mit gesetzlich geschützten Daten besteht sogar ein Strafbarkeitsrisiko. Umso wichtiger ist daher eine sorgsame vertragliche Ausgestaltung und Absicherung von Managed-Security-Services (MSS).
Unabhängig von rechtlichen Regelungen sollte die Zusammenarbeit mit einem Outsourcing- oder MSS-Partner nur infrage kommen, wenn zwischen Unternehmen und Anbieter ein Vertrauensverhältnis besteht. Dies lässt sich zwar nicht in Verträge fassen, die Phase der Vertragsverhandlungen und Gespräche über den Leistungsumfang kann aber dazu dienen, Vertrauen zu schaffen oder bei dessen Ausbleiben die Zusammenarbeit nochmals kritisch zu hinterfragen. Aufhänger für die Vertrauensbildung können unter anderem die folgenden Fragen sein:
Diese Liste ließe sich noch lange fortsetzen, nicht zuletzt unter Beachtung konkreter technischer Aspekte aus dem Umfeld der angefragten Dienstleistungen. Nur zufrieden stellende Antworten, klare Strategien und Prozesse beim Anbieter schaffen das nötige Vertrauen.
----------Anfang Textkasten----------
Schon seit zehn Jahren verpflichtet das Gesetz zur Kontrolle und Transparenz in Unternehmen (KonTraG) den Vorstand einer Aktiengesellschaft, geeignete Maßnahmen zu treffen, damit Entwicklungen, welche den Fortbestand des Unternehmens gefährden, früh erkannt werden (§ 91 II AktG). Darüber hinaus besteht Einigkeit, dass die konkrete Risikomanagement-Pflicht im Aktiengesetz lediglich eine gesetzliche Verdeutlichung der allgemeinen Leistungsaufgabe und Gesamtverantwortung des Vorstands darstellt, die prinzipiell schon vor der ausdrücklichen Ausformulierung im Gesetz bestanden hat. Nach dem Willen des Gesetzgebers soll dies auch Ausstrahlungswirkung auf die Tätigkeit von Geschäftsführern anderer Gesellschaftsformen entfalten, insbesondere auch bei der GmbH.
Kurz gesagt: Risiko-Management ist Pflicht jedes Vorstands oder Geschäftsführers! Darunter fallen alle erforderlichen systematischen Maßnahmen zur rechtzeitigen Erkennung, Bewertung und Bewältigung potenzieller Risiken. Es ist also nicht ausreichend, ein Controlling-System einzurichten, das ständig die Einhaltung der Ziele eines bereits laufenden Projekts überprüft und nachgelagert korrigierend eingreift. Erforderlich ist vielmehr ein vorausschauendes Handeln, eine Prognoseentscheidung, die künftigen Problemen vor ihrem Eintreten begegnet.
Aufgrund der damit verbundenen Fallstricke und Gefahren gehören auch Managed-Security-Services zu den Aufgaben der Unternehmensführer. Identifiziert und bewertet werden müssen in diesem Zusammenhang vor allem potenziell nachhaltig wirkende negative Faktoren: Der Verlust von Unternehmensressourcen ist mittelfristig irreversibel, da durch ein Outsourcing abgebaute Kapazitäten oft nur mit erheblich höherem finanziellen und zeitlichen Investitionsaufwand wieder bereitgestellt werden können. Ferner ist eine Auslagerung häufig mit dem Verlust von Entscheidungsspielräumen verbunden, wodurch stets das Risiko einer technologischen Abhängigkeit vom Managed-Security-Anbieter besteht. Das kann zur Folge haben, dass wichtige Änderungen oder notwendige Umstrukturierungen im Unternehmen möglicherweise weniger flexibel in der IT-Sicherheitsstruktur abgebildet werden können und darunter der unternehmensinterne Workflow leidet.
Diese und andere in Betracht kommende Risiken gilt es stets gegenüber den Vorteilen abzuwiegen, erkannte Gefahren zu minimieren. Dazu können das kritische Hinterfragen der Vertrauenswürdigkeit des Managed-Security-Dienstleisters anhand von Referenzen gehören oder auch die Absicherung besonderer Risiken durch ein Versicherungsunternehmen.
Da Risiko-Management Chefsache ist und Managed-Security-Fragen potenziell besonders gefahrkritisch sind, ist auch Managed-Security grundsätzlich Chefsache! Diese Verantwortung ist prinzipiell nicht delegierbar – wesentliche Entscheidungen können daher weder auf eigene Angestellte oder den Aufsichtsrat, noch auf externe Dritte abgewälzt werden.
----------Ende Textkasten----------
Bevor alle Beteiligten in die Niederungen der Detailregelungen hinabsteigen, sind Vorarbeiten notwendig. Die erste Frage klingt banal, ist aber entscheidend: Für welche Bereiche der IT-Security soll der Vertrag über Managed-Security gelten? Nur mit einer hinreichend konkreten Antwort kann man als potenzieller MSS-Nutzer aus technischer und kaufmännischer Sicht eine Aufstellung erarbeiten, welche Risiken mit der Nutzung der Dienstleistungen verbunden sind.
Diese Risikoanalyse, die auch extreme Situationen erfassen muss, bildet dann eine Checkliste, anhand derer man am Schluss der Vertragsverhandlungen prüfen kann, ob alle Risiken umfassend behandelt oder zumindest aus rechtlicher, kaufmännischer und technischer Sicht betrachtet und bewertet wurden. Nur wenn dies der Fall ist, liegt ein guter Vertrag über Managed-Security-Services vor! Wichtig ist, bei der Risikoanalyse nicht die rechtlichen Risiken in den Vordergrund zu stellen.
Denn der typische "Knackpunkt" jedes EDV-Vertrags ist nicht die Haftung oder die Gewährleistung, sondern der Leistungsumfang. Hier werden in der Praxis die meisten Grundlagen für Auseinandersetzungen und Eskalationen im Vertragsverlauf gelegt. Wenn beispielsweise in einem MSS-Vertrag ein Teil der Leistung lediglich als "Firewall-Management-Service" beschrieben wird und der Anbieter ergänzend ausführt, dass Experten für die Systemintegrität sorgen, lässt sich schon erahnen, wie schnell bei Störungen oder unbefriedigenden Leistungen Streit entstehen kann: Der Auftraggeber erwartet typischerweise einen umfassenden Service, maximale Verfügbarkeit und volle Systemintegrität, der Anbieter will hingegen vielleicht nur die beim Unternehmen vorhandene Firewall mit all ihren Komponenten "besser als bisher" managen, ohne dabei Zusatzleistungen zu erbringen.
Viele Verträge haben hier Schwachpunkte! Oft wird ein "policykonformer" Betrieb vereinbart, ohne dass die Policies bewertet und zum Vertrag in Bezug gebracht werden. Oder es soll ein Monitoring erfolgen, aber es ist nicht geregelt, wie mit den Ergebnissen konkret umzugehen ist. Daher lautet die dringendste Empfehlung im Bereich der Leistungsbeschreibung, die Inhalte und Aufgaben des Anbieters präzise in den Vertrag aufzunehmen. Dies vermeidet Unsicherheiten und hilft bei Unstimmigkeiten über den Leistungsumfang zur Klärung.
Ähnliches gilt auch für die Mitwirkungspflichten: Im Vertrag sollte präzise beschrieben sein, welche Voraussetzungen und welches Personal mit welcher Qualifikation beim beauftragenden Unternehmen notwendig ist, damit der Anbieter seine Leistungen im vollen Umfang erbringen kann.
Für alle EDV-Verträge inklusive MSS gelten rechtlich die Vorgaben des Bürgerlichen Gesetzbuches (BGB): Jeder EDV-Vertrag wird zur rechtlichen Beurteilung auf die "Grundvertragstypen" des BGB zurückgeführt: Kauf, Miete, Dienst- und Werkvertrag. Welcher Typ anzuwenden ist, wird anhand des konkreten vertraglichen Leistungsspektrums beurteilt – unabhängig von der Einordnung durch die Vertragsparteien. Wird nur ein "Bemühen" geschuldet, dann liegt ein Dienstvertrag vor. Wenn ein Erfolg, beispielsweise eine erfolgreiche Fehlerbeseitigung, vereinbart ist, dann ist Werkvertragsrecht anzuwenden.
Bei Managed-Security-Services sollte ein Unternehmen möglichst einen Werkvertrag vereinbaren. Hierzu sind konkrete Verabredungen notwendig, welche Erfolge die Leistungen des Anbieters im Bereich IT-Security haben sollen – andernfalls entstehen neue Risiken.
Zur Verdeutlichung: Wird nur das "Bemühen" um ein Content-Filtering oder den Betrieb eines VPN vertraglich geschuldet, so bedeutet der Misserfolg keine Verletzung der vertraglichen Pflichten. Der aus Arbeitszeugnissen bekannte Satz "war stets bemüht, den Anforderungen gerecht zu werden" lässt sich dann auf die vereinbarten Managed-Security-Services übertragen – für viele Auftraggeber ist das zu unsicher. Auf der anderen Seite wird der Anbieter aber auch nicht bei allen Unwägbarkeiten der EDV garantieren können, dass die IT-Infrastruktur stets und immer vollumfänglich funktioniert. Wo von 24 x 7 und 100 % Verfügbarkeit Abstriche gemacht werden müssen, entstehen aber Risiken beim Auftraggeber, die zumindest zu bewerten und vertraglich zu berücksichtigen sind.
Leistet ein Partner schlecht und entsteht dadurch ein Schaden, kann beim Auftraggeber das Bedürfnis bestehen, sich beim Dienstleister schadlos zu halten. Grundsätzlich hat der Dienstleister für alle Schäden aufzukommen, die dadurch entstehen, dass er selbst oder seine Angestellten nicht mit der erforderlichen Sorgfalt gearbeitet haben; wobei bei vorliegenden Fehlern zunächst Fahrlässigkeit vermutet wird. Der Dienstleister hat also nachzuweisen, dass er sorgfältig gearbeitet hat und der Fehler unvermeidlich war.
Die eigentliche rechtliche Problematik ist für die Vertragsparteien meist weniger offensichtlich: Sie liegt wiederum in der Frage, welche Leistungen und Erfolge seitens des Dienstleisters überhaupt geschuldet sind. Es ist dringend anzuraten, entsprechende Service-Level-Agreements (SLAs) so präzise wie möglich zu fassen. Das ist keine inhaltslose juristische Förmelei oder Ausdruck von Misstrauen, sondern dient der Rechtssicherheit beider Vertragspartner! Es sollte wenigstens festgehalten werden, in welchem Umfang zu leisten ist, welche Reaktionszeiten einzuhalten sind und wie noch tolerable Fehler- oder Ausfallquoten aussehen.
Schwierigkeiten kann auch die Bezifferung des eingetretenen Schadens bereiten: So lässt sich beispielsweise der Vermögensverlust durch einen mehrstündigen Systemausfall, der eine bestimmte Anzahl von Mitarbeitern mit verschiedenen Pflichten, Aufgaben, Projekten und Gehältern betroffen hat, häufig nur schwer errechnen und nachweisen. Abhilfe schaffen pauschalierte Schadensersatzsummen. So könnte man beispielsweise pro betroffenem inaktiven Arbeitsplatz und Stunde einen bestimmten Schadensersatz vereinbaren; die Summe könnte je nach Fehlertyp differieren und dem Dienstleister der Nachweis gestattet werden, dass der tatsächlich eingetretene Schaden geringer ist als die Pauschale.
Einige MSS-Bestandteile sind unter datenschutzrechtlichen Gesichtspunkten nicht unproblematisch. Da Leistungsumfang, Terminologie und technische Umsetzung der verschiedenen Anbieter uneinheitlich sind, lässt sich an dieser Stelle lediglich eine generalisierende Übersicht geben. In der Praxis kommt es stets auf eine Einzelfallbetrachtung an, die insbesondere die organisatorischen und technischen Gegebenheiten berücksichtigt. Häufig zu findende Angebote mit Datenschutzproblematik sind Managed Firewalls und VPNs, Datensicherungsleistungen, Security-Monitoring oder Log-Management. All diese Angebote haben gemein, dass notwendig oder jedenfalls potenziell Nutzereingaben abgefangen, gespeichert und teils technisch, teils manuell ausgewertet werden.
Das einschlägige Datenschutzrecht ist im Wesentlichen im Bundesdatenschutzgesetz (BDSG) und im Telekommunikationsgesetz (TKG) geregelt und bezweckt den Schutz der Persönlichkeit des Einzelnen beim Umgang mit seinen personenbezogenen Daten, sprich: Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmbaren Person (§ 3 I BDSG). Solche Daten dürfen praktisch nur dann erhoben, gespeichert oder übermittelt werden, wenn der Betroffene schriftlich eingewilligt hat. Noch höhere Anforderungen sind zu stellen, wenn "besondere Arten personenbezogener Daten" (§ 3 IX BDSG) berührt sind, insbesondere Gesundheitsdaten, politische und religiöse Überzeugungen sowie philosophische Ansichten.
Bei der Überwachung eines Internetzugangs per (Managed) Firewall ist es sicherheitstechnisch und organisatorisch sinnvoll, blockierte und freigegebene Verbindungen zu speichern und die Daten anschließend zur Verbesserung der Funktionalität oder zur Identifizierung von "schwarzen Schafen" und potenziellen Risiken innerhalb des Unternehmens zu verwenden.
Gerade wenn eine private Internetnutzung am Arbeitsplatz erlaubt oder geduldet ist, können sich daraus jedoch weitreichende Probleme ergeben: Sucht beispielsweise ein Angestellter im Internet nach Selbsthilfegruppen für eine bestimmte Krankheit oder informiert er sich in Internetforen über weltanschauliche Themen, dann könnten diese Daten und die personale Zuordnung über die IP-Adresse des Rechners im Hintergrund protokolliert werden und dem Arbeitgeber oder externen Dienstleister zur Verfügung stehen. Hierzu wäre aber in jedem Fall eine deutlich gestaltete schriftliche Einwilligungserklärung der Angestellten erforderlich, die auf die Art und Weise der Datenerhebung hinweist und darauf, dass möglicherweise auch besondere Arten personenbezogener Daten erfasst werden könnten.
Wegen des Grundsatzes der Datensparsamkeit (vgl. § 3a BDSG), wonach nur so wenige persönliche Daten zu erheben sind, wie unbedingt erforderlich, muss zudem geprüft werden, ob für den Zweck der Logfile-Speicherung auch anonymisierte Daten ausreichend sind (vgl. <kes> 2000#5, S. 6) – dies wird für lediglich statistische Auswertungen regelmäßig der Fall sein. Vergleichbare Probleme existieren beim Security-Monitoring und dem Logfile-Management interner Netzwerkaktivitäten.
Für das Übermitteln der Daten an einen Dienstleister oder eine Systemwartung, bei der Zugriffe auf personenbezogene Daten nicht auszuschließen sind, ist ferner erforderlich, dass sich der Auftraggeber von der besonderen Eignung und der technischen Organisation des externen Dienstleisters überzeugt (§ 11 BDSG). Dazu gehört auch, dass ein unbefugter Zugriff auf die gespeicherten Daten effektiv verhindert wird. Außerdem sollten die Daten gegen unbefugten Zugriff, verbotene Weitergabe und eigenmächtige Änderungen geschützt sein (vgl. Anlage zu § 9 S. 1 BDSG); dies kann beispielsweise durch Signaturen und Verschlüsselung erfolgen.
Wer personenbezogene Daten speichert, ist dem Betroffenen gegenüber grundsätzlich zur kostenlosen schriftlichen Auskunft über Inhalt der Daten und Zweck der Speicherung verpflichtet (§ 34 BDSG). Werden solche Daten im Rahmen von Managed-Security-Services zu externen Dienstleistern ausgelagert oder gesichert, so können diese Anbieter ebenfalls zur Auskunft verpflichtet sein. Verweigert die speichernde Stelle die Auskunft über bestimmte Bereiche wegen technischer Schwierigkeiten oder unzumutbarer Zeitbelastung, ist diese Weigerung rechtswidrig (Gola/Schomerus, § 34 Rn. 5 BDSG). Folglich ist es Sache der speichernden Stelle, die technischen und organisatorischen Voraussetzungen für eine umfassende Auskunft gegenüber dem Betroffenen zu erteilen. Auch dies kann im Rahmen von Managed-Security-Dienstleistungen eine erhebliche organisatorische Hürde darstellen.
Weitergehende praktische Schwierigkeiten bereitet auch Datensicherung und Fernwartung durch externe Dienstleister: Hierbei sind regelmäßig nicht nur die Daten der eigenen Mitarbeiter betroffen, sondern auch die von Kunden, Geschäftspartnern und sonstigen Kontakten, über die Informationen auf Firmensystemen abgelegt sind. Eine nachträgliche Einwilligungserklärung der Betroffenen, die eine Übermittlung oder die Kenntnisnahme durch Dritte einschließt, wird in der Praxis nicht einzuholen sein. Auf eine Einwilligung kann jedoch nur ausnahmsweise verzichtet werden, wenn kein Grund zur Annahme besteht, dass der Betroffene mit einer Übermittlung nicht einverstanden wäre (vgl. § 28 I S. 1 Nr. 2 BDSG); ein solches Urteil ist aber gerade bei größeren Datenbeständen pauschal nicht möglich und daher in der Praxis kaum anwendbar.
Wenn es sogar noch um sensitive Daten wie digitale Krankenakten, Mandantendaten von Anwälten, Datenbanken von Steuerberatern oder sonstige Informationen mit einem Geheimhaltungsinteresse geht, ist grundsätzlich davon auszugehen, dass eine besondere schriftliche Einwilligung notwendig ist (Gola/Schomerus, BDSG, § 28, Rn. 9).
Entstehen bei einer externen Datensicherung personenbezogener Daten durch Fehler des externen Dienstleisters Schäden, so kann auch der Auftraggeber dem Betroffenen zum Schadensersatz verpflichtet sein. Denn obwohl die Daten nicht mehr in seinem Hoheitsbereich gespeichert sind, ist dieser dennoch für die Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich (§§ 11 I, 7 BDSG) .
Das BDSG fordert, dass Anbieter von Managed-Security-Services überwacht werden. Wörtlich heißt es in § 11 Abs. 2 BDSG: "Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen." Dies ist nur möglich, wenn entsprechende Kontrollbefugnisse vertraglich vereinbart sind. Hier wird ein Auftraggeber überlegen müssen, welche Überwachung notwendig ist, um den gesetzlichen Anforderungen zu genügen und gleichzeitig eigene Risiken möglichst gering zu halten. Dies kann bis zu einem Auditrecht gehen, das die Möglichkeit eröffnet, unangekündigt beim Anbieter der Managed-Security-Services vor Ort zu prüfen. Nach vorliegenden Erfahrungen sind solche Auditrechte in bestimmten Branchen (z. B. im Bankenbereich) üblich, in anderen Branchen nahezu völlig unbekannt. Hier setzen sich viele Auftraggeber unnötigen Risiken aus!
Der fehlerhafte Umgang mit personenbezogenen Daten kann zudem auch schwerwiegende strafrechtliche Folgen nach sich ziehen. Das BDSG kennt einen umfangreichen Bußgeldkatalog und Strafvorschriften (§§ 43, 44 BDSG). Bereits das fahrlässige (!) unbefugte Erheben oder Übermitteln von personenbezogenen Daten kann demnach mit einem Bußgeld von bis zu 250 000 € belegt werden.
Wer unbefugt Daten aus einer nichtöffentlichen Datenübermittlung speichert, kann wegen des Abfangens von Daten (§ 202b StGB) mit bis zu zwei Jahren Haft bestraft werden. Das Einverständnis der Betroffenen, das durch eine wirksame Einwilligungserklärung (s. o.) eingeholt werden kann, wirkt dabei jedoch tatbestandsausschließend (Weidemann in: von Heintschel-Heinegg, Beck'scher Online-Kommentar, §202b, Rn. 11; § 202a, Rn. 18; Gröseling/Höfinger, MMR 2007, 549, 553).
Vorsicht ist zudem vor der Verletzung von Privatgeheimnissen (§ 203 StGB) geboten: Fremde Geheimnisse könnten beispielsweise im Zuge von MSS "offenbart" werden, wenn man digitale Rechtsanwalts- oder Arztakten ohne die erforderliche Einwilligung an einen externen Dienstleister übermittelt oder dieser auch nur Zugriff auf die Daten erhält. Hier liegt der Strafrahmen bei Geldstrafe oder einer Freiheitsstrafe von bis zu einem Jahr. Ist die IT-Security noch in das Unternehmen integriert, also nicht outgesourced, und der IT-Verantwortliche erhält von den Geheimnissen Kenntnis, so läge hingegen kein Offenbaren vor und es wäre keine Strafbarkeit nach § 203 StGB begründet (Lackner/Kühl, StGB, § 203, Rn. 11b, 17).
Will man eine Geheimnisverletzung im Zuge von MSS und IT-Outsourcing ausschließen, müssen die an den Dienstleister übermittelten Daten für diesen unkenntlich beziehungsweise bei Wartungsmaßnahmen eine Kenntnisnahme ausgeschlossen sein, was sich vor allem durch zuverlässige Verschlüsselung erreichen lässt (vgl. Weidemann in: von Heintschel-Heinegg, Beck'scher Online-Kommentar, § 203, Rn. 31; Cierniak in: Münchener Kommentar zum StGB, § 203 StGB, Rn. 48).
Der Hardwareverkauf durch einen Dienstleister ist prinzipiell nicht anders zu beurteilen als jeder andere Sachkauf auch: Der Verkäufer hat daher die Geräte in mangelfreiem Zustand zu liefern. Da ein MSS-Dienstleister den Kunden üblicherweise bezüglich des Einsatzes der Hardware berät, liegt ein Sachmangel jedenfalls dann vor, wenn sich das Gerät nicht zur für den Vertrag vorausgesetzten Verwendung eignet (vgl. § 434 I S. 2 Nr. 1 BGB). Ein Sachmangel kann aber auch dann bestehen, wenn die vereinbarte Montage durch den Verkäufer fehlerhaft ausgeführt worden ist (§ 434 II S. 1 BGB). Ist das Gerät mangelhaft, kann der Käufer Nacherfüllung verlangen, also die Lieferung eines neuen Geräts oder die Reparatur der defekten Hardware.
Tritt wegen eines Hardwaredefekts ein Schaden ein, zum Beispiel wenn ein vom Dienstleister erworbener Server ausfällt und daher Angestellte nicht arbeiten können, kann Schadenersatz geboten sein. Das ist jedenfalls dann möglich, wenn der Verkäufer den Mangel verschuldet hat, zum Beispiel durch fehlerhafte Erstmontage. Ist der Mangel nicht durch den Verkäufer verschuldet, kann er dennoch schadensersatzpflichtig sein, wenn er seiner Nacherfüllungspflicht auch nach einer Mahnung schuldhaft nicht nachkommt (§§ 437 Nr. 1, 439 I, 280 I, III, 286 I BGB). Da in der Praxis häufig unklar ist, ob ein Defekt vom Verkäufer verschuldet ist oder nicht, sollte man in jedem Fall mahnen und den Anbieter von Managed-Security dadurch in Verzug setzen.
Ohne gesonderte Abreden oder Haltbarkeitsgarantien (§ 443 BGB) verjähren allerdings Gewährleistungsrechte des Käufers aus dem Kaufvertrag zwei Jahre nach Übergabe der Kaufsache (§§ 438 I Nr. 3, 446 S. 1 BGB). Schadensersatzansprüche und Nacherfüllungsverlangen müssen daher in dieser Zeit geltend gemacht werden.
Bei der Überlassung von IT-Security-Software sind verschiedene Konstellationen denkbar, wobei sich die Rechte und Pflichten der Parteien nach der Überlassungsform richten. Überlässt ein Dienstleister eine bereits existierende Software auf Dauer einem Kunden, so stellt sich der Vertragstyp als kaufähnlich dar – mit der Folge, dass die kaufrechtliche Systematik Anwendung findet. Dabei ist es unerheblich, ob der Kaufvertrag als solcher gekennzeichnet ist oder unter der Bezeichnung "Lizenzvertrag" oder "Überlassungsvertrag" firmiert. Maßgeblich sind der von den Parteien intendierte Vertragszweck und die Parteiinteressen.
Die Folge ist, dass bei einer dauerhaften Softwareüberlassung im Rahmen eines Managed-Security-Vertrags bei Mängeln grundsätzlich die gleichen Rechte des Käufers bestehen wie beim Hardwarekauf, nämlich Nacherfüllung und Schadensersatz. Diese Rechte laufen allerdings in der Praxis regelmäßig leer, wenn der Dienstleister die Software nicht selbst programmiert hat, sondern dieser nur als Verkäufer agiert, also ihm selbst eine Nachbesserung schon dadurch unmöglich ist, dass er nicht an den Quellcode herankommt. In solchen Fällen kann der Käufer lediglich den Kaufpreis mindern oder vom Vertrag zurücktreten (§ 437 Nr. 2, 3, §§ 441, 323, 326 V BGB).
Im Falle von Individualsoftware, die eigens für den Kunden erstellt wurde, liegt ein Werkvertrag (§§ 631 ff. BGB) vor, wobei dieselben Rechte wie bei dauerhafter Überlassung zum Tragen kommen. Ein relevanter Unterschied besteht jedoch darin, dass der Kunde einen Mangel nach erfolgloser Aufforderung des Herstellers unter Fristsetzung auf dessen Kosten von einem Drittanbieter beseitigen lassen kann (§ 637 BGB). Hier gelten allerdings die Einschränkungen des Urheberrechts, das keine Dekompilierung der Software erlaubt (vgl. § 69e I UrhG).
Bei einer zeitlich begrenzten Nutzungsbefugnis stellt sich der Vertrag hingegen als mietähnlich dar (vgl. §§ 535 ff. BGB). Auch ein "Mieter" hat ein Recht auf mangelfreie Überlassung der Software. Für die Zeit, in der die Software mangelhaft und daher nicht nutzbar ist, ist er gesetzlich von seiner Zahlungspflicht befreit (§ 536 I S. 1 BGB). Ist der Dienstleister mit seiner Mangelbeseitigungspflicht im Verzug, so kann der Kunde zudem Schadensersatz verlangen (§ 536 BGB) oder den Mangel im Rahmen des urheberrechtlich Zulässigen selbst beseitigen (§ 536a BGB). In besonderen Fällen kommt auch eine außerordentliche Kündigung in Betracht (§ 543 BGB).
Verträge über Managed-Security-Services sind in vielen Bereichen wie sonstige EDV-Verträge zu behandeln. Besonderes Augenmerk sollte man bei der Vertragsgestaltung auf die Leistungsbeschreibung und die Mitwirkungspflichten legen: Hier sind detaillierte und präzise Regelungen notwendig. Es empfiehlt sich auch, über pauschalierte Schadensersatzbeträge nachzudenken. Datenschutzrechtlich stellen Managed-Security-Services nicht selten besondere Anforderungen; kritisch ist vor allem der Umgang mit personenbezogenen Daten ohne Einwilligung der Betroffenen.
Thomas Feil ist Rechtsanwalt sowie Fachanwalt für Informationstechnologierecht und Arbeitsrecht in Hannover (![[externer Link]](../../images/link.gif)
www.recht-freundlich.de). Dipl.-Jur. Alexander Fiedler ist Mitarbeiter am Institut für Rechtsinformatik der Universität Hannover ( www.iri.uni-hannover.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2008#3, Seite 6
tag:kes.info,2007:lp:2008-3-A
| 