Vertragsabschluss und Vertragsmanagement für IT- Unternehmen
Worum geht es? IT- Unternehmen haben oft spezielle Anforderungen im Hinblick auf den Abschluss und die Änderung von Verträgen. Nachfolgend geht es um die speziellen Anforderungen von IT- Systemhäusern (Teil 1) und IT- Software- Unternehmen (Teil 2) beim Abschluss und bei der Änderung von Verträgen.
Fallgestaltung 1: Das IT- Systemhaus hat viele Kunden. Die Kunden wollen eine Vielzahl von unterschiedlichen Leistungen beziehen, sie kaufen oder mieten Produkte, wie Laptops etc., und lassen diese warten. Zugleich sollen Leistungen über die Cloud erbracht werden, wie Helpdesk, Monitoring, Patch Management, etc.
Wie lassen sich diese Verträge unter Berücksichtigung rechtlicher Anforderungen am besten abschließen und ändern?
- Welche rechtliche Anforderungen gibt es?
1.) Einmal die des Datenschutzes: Support oder Remote Access oder entsprechende Leistungen lassen sich nicht erbringen, ohne dass zwischen dem Kunden und dem IT- Unternehmen ein Vertrag nach Art. 28 III DSGVO – der Auftragsverarbeitungsvertrag (Abkürzung AVV) abgeschlossen wird. Das ist zwingend. Sofern zwischen den Mitarbeitern oder Endkunden des Kunden und den Mitarbeitern des IT- Unternehmens personenbezogene Daten verarbeitet werden (hier: per Mail, etc. ausgetauscht werden), müssen Verträge zur Auftragsverarbeitung zwischen den Unternehmen abgeschlossen werden. Das Gesetz sagt, dass ohne bestehende AVV keine Verarbeitung personenbezogener Daten stattfinden kann und darf. Die Vereinbarung muss in Text- oder Schriftform abgeschlossen werden. Das bedeutet: Man braucht (leider) den umfangreichen Vertrag AVV samt der Anlagen und eine Unterschrift des Kunden unter das Original oder in Textform. Ich erkläre an andere Stelle, was Textform ist.
2.) Zweitens braucht man AGB (Allgemeine Geschäftsbedingungen). Die Einbeziehung von AGB in einen Vertrag ist kein zwingendes Erfordernis, vor allem, weil ab dem 1.1.2022 in den §§327a. ff BGB spezielle Regelungen für den Sektor IT- Produkte (Digitale Produkte) und IT- Dienstleistungen eingefügt werden, die sich speziell auf das IT- Recht beziehen. Aber diese Regelungen dienen dem Verbraucherschutz in einer Weise, die man bestimmt nicht für den Bereich des BTB anwenden möchte. Ergo braucht man AGB. AGB sind Standardregelungen, die von dem Inhalt der eigentlich anwendbaren Gesetze abweichen und mit dem jeweiligen Vertragspartner nicht im Einzelnen ausverhandelt werden. AGB sind einzelne Regelungen (die Gewährleistung beträgt 12 Monate anstelle der 24 Monate, die von Gesetz her gelten) und eben ganze Dokumente wie EULAs. AGB werden im kaufmännischen Verkehr einbezogen, in dem man den Vertragspartner während der Vertragsverhandlungen bis spätestens zu dem Zeitpunkt des Abschlusses des Vertrags auf die Geltung der AGB hinweist, also durch den Hinweis zu verstehen gibt, dass man auf der Grundlage eigener AGBs arbeiten will.
3.) IT Security Dokumentation. Auch diese Dokumentation ist kein Muss. Ein zentraler Grund besteht, der im Art 32 DSGVO gut beschrieben wird: Die eingesetzte Technik muss dem angestrebten Zweck entsprechen und bestehende Risiken müssen bekannt sein und im Verhältnis zu den Kosten und der Technik bewusst eingegangen werden. Fragen nach dem bestehenden Haftungsrisiko lassen sich nur gut beantworten, wenn man weiß welche konkreten Risiken bei dem konkreten Kunden bestehen. Das BGB besagt, dass kostenpflichtige Leistungen immer so zu erbringen sind, dass der Kunde nicht geschädigt wird. Den Grundsatz, dass eine Minderung von Risiken mit erhöhten Kosten einhergehen, Sicherheit also Geld kostet, kennt das Gesetz nicht. Deshalb macht es aus der Sichtweise des IT Unternehmens immer Sinn, mit dem Kunden über Risiken zu sprechen und dann vielleicht dem Kunden auch den Rat zu geben, dass die technischen Maßnahmen nicht dem ermittelten Risiko entsprechen. Denn dieser dokumentierte Rat mindert das Haftungsrisiko des IT Unternehmens erheblich. Und zweitens verlangen immer Haftpflichtversicherungen, dass sich der Kunde belegbar mit IT Risiken auseinander gesetzt hat, also nachweislich die Risiken ermittelt und darüber nachgedacht hat, wie diese Risiken gemindert werden können. Der Kunde braucht diese Dokumentation also auch.
- Spannungsfeld Jura und Vertrieb
Der Vertrieb möchte schnell seine Unterschrift, ich möchte gerne lange AGB und umfassende Beratung. So lässt sich das Spannungsfeld etwas polemisch beschreiben. Im nächsten Blog gebe ich Lösungsvorschläge.
