Nach meinem Konzept gibt es vier Säulen, um die Haftungsrisiken in einem IT-Unternehmen zu mindern: Juristische Maßnahmen, Versicherungen und faktische und technische Maßnahme. Dieser Blog zielt darauf, eine Entscheidungshilfe für die eine Frage zu sein, die der Jurist genau nicht beantworten kann: Will ich als Geschäftsführer diesen Vertrag mit diesem Kunden und diesen Risiken abschließen oder nicht? Es ist die Aufgabe der Geschäftsführer, diese Frage zu beantworten. Der Jurist soll über die Hintergründe beraten und das soll dieser Blog auf abstraktem Niveau leisten.
Vorab: Dieser Beitrag spiegelt mein Beratungsansatz wieder. Es mag andere Wege geben, aber dieser hier hat sich für mich als gut vertretbar herausgestellt.
I. Erste Frage: Welches Risiko besteht überhaupt
Nach der Rechtsprechung haftet der Unternehmen für die aus einem Vertrag erwachsenen Risiken immer in dem Umfang, der dem Haftungsrisiko entspricht, das dem Unternehmen zum Zeitpunkt der Eingehung des Vertrags ersichtlich war. Falls Sie die Frage nach dem Haftungsrisiko Ihres Kunden nicht richtig beantworten können: Kunden, die eine Software für die Personalbuchhaltung einsetzen haben das Risiko, das am Ende des Monats die Gehälter nicht richtig überwiesen werden und in der Folge Lastschriften platzen, Mieten nicht bezahlt werden etc. Kunden, deren Software den Versand von Waren steuern, haben das Problem, daß im Falle von Fehlfunktionen Transporte neu bezahlt werden müssen, Waren nicht rechtzeitig geliefert werden und in der Folge Poenalen entstehen etc. Man braucht ein wenig Fantasie und Branchenkenntnisse, um zu erkennen, welche Risiken welcher Vertrag verursacht. In jedem Fall aber lautet der beste Rat:
1.) Die richtige Vorgehensweise in einem Haftungskonzept besteht darin, den Kunden selbst nach dem Umfang des Haftungsrisiko zu fragen. Der Kunde selbst ist derjenige, der am besten weiß was geschieht, wenn die IT-Produkte oder Leistungen nicht richtig oder überhaupt nicht funktionieren. Also sollte / muß man ihn fragen, wenn man das Haftungsrisiko selbst nicht richtig einschätzen kann.
2.) Meist besteht auf Seiten der IT Scheu, über das Thema Haftung zu sprechen. Ein möglicher Einstieg für ein solches Gespräch wäre eine Regelung aus dem Datenschutzrecht. Der Kunde hat im Rahmen seiner Verpflichtung aus dem § 9 BDSG auch die Frage zu beantworten, wie personenbezogene Daten gegen unbeabsichtigte Löschung gesichert werden. Betreibern von Internetseiten erlegt das IT-Sicherheitsgesetz jetzt bestimmte Pflichten auf, die man im Gespräch sehr gut mit dem Thema Haftung verbinden kann.
II. Zweite Maßnahme: Gesprächsprotokoll
Ausgehend von diesen Gedanken sollte der Kunde gut und ausführlich über das Thema Datensicherung und Datensicherheit beraten werden. Ihm sollte klar gemacht werden, daß Software wie auch Hardware hochkomplexe technische Produkte sind, die sich aufgrund der raschen Innovationszyklen schnell ändern. Es kommt eben nicht nur auf die Datensicherung an. Technische Changes können zu Fehlfunktionen führen, die nicht immer sofort bemerkt werden.
1.) Verfügbarkeit
Es sollte darüber gesprochen werden, welche Verfügbarkeiten für die technischen Lösungen vom Kunden verlangt werden und welche Maßnahmen ergriffen werden, um die Funktionsweise dieser technischen Maßnahmen nicht nur bei der Einführung, sondern auch im Betrieb des technischen Systems zu überprüfen und zu gewährleisten.
2.) Qualitätssicherungsmaßnahmen
Technische Changes können die Funktionsweise der technischen Systeme grundlegend beeinflußen. Beinahe jede normale Fabrikationsanlage muß – wenn technische Changes vorgenommen werden – auch wieder in einem Test ihre Funktionsfähigkeit beweisen. Bei IT-Anlagen ist das häufig nicht der Fall. Auch hierüber ist mit dem Kunden in Abhängigkeit zum Haftungsrisiko zu sprechen.
3.) Protokoll
Ich bin mir völlig darüber im Klaren, daß die meisten Kunden größtmögliche Sicherheit zu minimalen Preisen verlangen. Ich bin mir aber auch im Klaren, daß die IT-ler den Kunden nicht in allen Fällen auf die Risiken der IT hinweisen. Aus juristischer Sicht ist ein Protokoll Gold wert, wenn es nachweist, daß der Kunde über Risiken informiert wurde und sich in Kenntnis der Risiko für eine „billige“ Lösung entschieden hat, wenn auch eine „angemessene“ Lösung hätte realisiert werden können. Das Konzept, das der Gesetzgeber für den Schutz personenbezogener Daten verlangt, geht in die richtige Richtung, weil Auftraggeber wie Auftragnehmer dazu gezwungen werden, sich mit dem Thema der Haftung zu befassen. Jedenfalls läuft der ITler bei Fehlen eines solchen Protokolls immer Gefahr deshalb in die Haftung zu geraten, weil er den Kunden über die Haftungsrisiken nicht richtig aufgeklärt hat.
Teil 2 des Blogs
II. Juristische- und versicherungsrechtliche Maßnahmen
1.) Juristische Maßnahmen
2.) Versicherungsrechtliche Maßnahmen
3.) Konsequenzen für die Praxis
III. Technische und monetäre Maßnahmen
IV. Die entscheidende, unternehmerische Frage
