Haftungsrisiken in IT-Unternehmen

Rasant fortschreitende technologische Neuerungen haben im Laufe der vergangenen Jahrzehnte zu einer umfassenden Technisierung und letztlich Digitalisierung der Arbeitsbereiche geführt. Längst ist das Informationszeitalter ausgerufen, in dem die Informationstechnologie zum Sesam-öffne-Dich zur globalisierten (Geschäfts-)Welt avanciert ist: Das World Wide Web bildet die Basis für die erfolgreichsten Geschäftsmodelle des 21. Jahrhunderts – als Marktplatz, Kommunikationsplattform und Unterhaltungsmedium. Allein in Deutschland trägt das Internet drei Prozent zur deutschen Wirtschaftsleistung bei. Es entstehen ganze Wirtschaftszweige, wie der E-Commerce mit Wachstumsraten, die deutlich über denen der Old Economy liegen. Während im Jahr 2012 im E-Commerce in Deutschland noch circa 30 Mrd. Euro umgesetzt wurden, waren es 2013 schon circa 46 Mrd. Euro.

So vielfältig die Geschäftsbereiche – angefangen bei der Websitegestaltung über die Planung und Umsetzung von E-Commerce-Systemen und den Internethandel bis hin zu Entwicklung und Vertrieb geeigneter Soft- und Hardware – so schwierig ist oftmals die genaue rechtliche Einordnung von IT-Sachverhalten. Der Bundesgerichtshof (BGH) als höchstgerichtliche Entscheidungsinstanz ist dann gefordert. Entscheidungen des BGH zum IT-Recht gibt es nicht viele. Diese sind dann aber immer richtungsweisend.

Standardsoftware ist eine Sache, urteilt der BGH

Ob es sich bei einer Standardsoftware um eine bewegliche Sache im Sinne des § 90 BGB handelt, ist eine erste Grundlagenfrage, mit der sich die Rechtsprechung zu befassen hatte. In der Entscheidung des BGH, Compiler/Interpreter (BGH NJW 1988, 406), finden sich erste Erwägungen, ob Kaufrecht oder ein anderer Vertragstypus anzuwenden ist. In diesem ersten Urteil sprach der BGH Software die Sacheigenschaft mit folgender Begründung zu: „Kaufgegenstand ist hier ein Datenträger mit dem darin verkörperten Programm, insofern also eine körperliche Sache, die – entsprechend dem vertraglich vorausgesetzten Gebrauch – als Instrument zur Datenverarbeitung dienen soll. Ein Fehler des so verkörperten Programms ähnelt dem Konstruktionsfehler eines (massenhaft hergestellten) technischen Werkzeugs eher als dem Mangel einer Erfindung.“

In seiner Entscheidung vom 14. Juli 1993 (Az.: VIII ZR 147/92) entschied der BGH wiederum, Standardsoftware als bewegliche Sache anzusehen. Gleiches solle gelten, wenn eine Software den speziellen Wünschen des Käufers/Bestellers angepasst und diesem in kauf- oder werkvertraglichen Formen endgültig überlassen werde. Entscheidend ist allein, dass es sich auch in diesem Falle um ein auf einem Datenträger verkörpertes ­Programm und damit um eine körperliche ­Sache (§ 90 BGB) handelt.

Auch wenn die Einordnung von Software als bewegliche Sache auch in neuerer Zeit immer noch und immer wieder umstritten ist, muss spätestens durch die Begründungen des BGH im ASP-Urteil (BGH CR 2007, 75 ff., 76.) die Sacheigenschaft als ständige Rechtsprechung angesehen werden. Eine indirekte Unterstützung für die derzeit herrschende Meinung des BGH findet sich auch im Urteil des Europäischen Gerichtshofs Oracle vs. UsedSoft, nach dem ein Weiterverkauf einer Programmkopie durch den Ersterwerber möglich ist, wenn die Programmkopie ursprünglich vom Rechtsinhaber ohne zeitliche Begrenzung und gegen Zahlung eines Entgelts überlassen wurde. Die damit herrschende Meinung, es handele sich bei Standardsoftware um eine bewegliche Sache im Sinne des § 90 BGB, brachte aber eine für die Haftung von IT-Dienstleistern viel bedeutendere Folgefrage mit sich.

In einem Urteil vom 23. Dezember 2009 (Az.: 20 U 351/09) musste das OLG München sich zur rechtlichen Einordnung von Verträgen über die Erstellung von Individualsoftware äußern. Ausgelöst wurde die hier behandelte Frage durch den im Jahr 2002 eingeführten § 651 BGB. Dieser besagt, dass auf einen Vertrag, „der die Lieferung herzustellender oder zu erzeugender beweglicher Sachen zum Gegenstand hat“, die Vorschriften des Kaufrechts Anwendung finden. In Analogie wurde oftmals ein Urteil des BGH vom 23. Juli 2009 (Az.: VII ZR 151/08) zitiert, welches für den Bereich von Bauverträgen feststellte, dass es sich um Kaufrecht handelt, wenn der Vertrag die Erschaffung eines Bauwerks oder eine Anlage zum Gegenstand hat, denn schließlich ist die Erschaffung einer Software nichts anderes. Der BGH differenzierte hier jedoch zwischen einem Vertrag, dessen Hauptbestandteil die Lieferung einer fertigen Leistung ist und einem Vertrag, in dem die Planungs- und Entwicklungsleistung den Hauptbestandteil ausmacht. Entsprechend entschied das OLG München, dass im vorliegenden Fall der Vertrag jedoch überwiegend die Erstellung und Planung zum Inhalt hatte und deshalb der § 651 nicht greift und somit ein solcher Vertrag ein Werkvertrag bleibt.

In der Folge musste der BGH noch entscheiden, ob ein Vertrag über die Erstellung von Individualsoftware als Dienstvertrag oder als Werkvertrag zu qualifizieren ist. Die Parteien – ein Softwarehaus und ein Auftraggeber – hatten einen „Dienstleistungsvertrag für ein Software System“ geschlossen. Die „Tarnung“ als Dienstvertrag sollte vermutlich die teilweise recht unangenehmen Erfordernisse des Werkvertragsrechts, insbesondere das Abnahmeerfordernis, umgehen. In seinem Urteil vom 25. März 2010 (Az.: VII ZR 224/08) erteilt der BGH diesem Ansinnen eine klare Absage und erklärte das Werkvertragsrecht für anwendbar: „Zutreffend hat das Berufungsgericht die als „Dienstleistungsvertrag für ein P. Software-System” bezeichnete vertragliche Vereinbarung (…) als Werkvertrag qualifiziert. Gegenstand dieses Vertrags war eine umfangreiche Anpassung der P. Software der Bekl. an die Bedürfnisse der Kl. und die Schaffung von Schnittstellen zur CWL.“

Beispiele konkreter Haftungsrisiken für die IT-Branche

Für den Versicherungsschutz für IT-Dienstleister ergeben sich aus dieser Rechtsprechung des BGH einige wichtige Anforderungen:

eine spezielle IT-Haftpflicht sollte auch Garantie- und Gewährleistungsansprüche aus Werkverträgen und im Zweifelsfall auch haftungsverschärfende Regelungen (so genannte vertragliche Haftung) aus den Verträgen mit dem Kunden versichern.

da beim Werkvertrag der Kunde im Falle der Schlechtleistung generell auch die Möglichkeit zum Rücktritt vom Vertrag hat, ist eine zusätzliche Leistungserweiterung zur Abfederung der eigenen Kosten (Eigenschaden) bei einem „Rücktritt des Auftraggebers vom Projekt“ zu empfehlen.

die Abnahme bleibt damit auch unter diesem Aspekt der „magische Zeitpunkt“ für IT-Projekte – die Überschreitung von Deadlines sollte in der IT-Haftpflicht also mitversichert sein.

Die Entscheidungen des BGH bilden die Grundlage für die Frage nach den anwendbaren Vorschriften, wenn es um die ­Haftung von IT-Unternehmen geht. Nicht erst seit dem Programmierfehler beim Online-Antrag für „Obamacare“ ist die fehlerhafte Programmierung oder Implementierung eines IT-Produktes eines der offensichtlichsten Schadenszenarien für IT-Dienstleister. Solche Fehler stören nicht nur den laufenden Betrieb, sondern haben im Ernstfall konkrete Umsatzeinbußen zur Folge, für die der IT-Unternehmer aufkommen muss. Neben den Kosten für ein funktionierendes Ersatzprodukt fallen in diesem Beispiel also auch nicht unerhebliche Folgekosten an. Gleiches gilt für so genannte Beratungs- und Instruktionsfehler, die den Kunden wiederum zu einer unsachgemäßen Handhabung und Pflege seiner Software verleiten, da er das Risiko selber nicht umfänglich einschätzen konnte.

Praxisbeispiele aus der Schadenregulierung sind vielfältig vorhanden:

  • Aufgrund eines Programmierfehlers des für die Datenbanksoftware zuständigen IT-Dienstleisters wurden 9.000 Werbebriefe eines Damenmode-Konzerns falsch versandt.
  • Durch die falsche Konfiguration des Exchange-Servers einer Patentanwaltskanzlei durch einen IT-Dienstleister wurden eine Vielzahl von E-Mails nicht abgerufen und deshalb wichtige Fristen verpasst.
  • Durch einen Fehler bei der Programmierung waren Berechtigungen auf insgesamt 30.000 Ausweisen eines großen deutschen Sportverbands falsch vermerkt. Sie mussten neu produziert und an die Mitglieder verschickt werden.
  • Weil der mit der Programmierung des Online-Shops beauftragte IT-Dienstleister falsche Preise importierte, gab es diverse Parfüme sogar noch unter dem Einkaufspreis.

Nicht minder ernst sind die Risiken, die IT-Freiberufler und IT-Dienstleister tragen, wenn sie etwa Rahmen- und Projektaufträge abschließen und damit vielfältige vertragliche Pflichten in puncto Fristen, Vertraulichkeit und Datenschutz eingehen. Ein besonders spektakuläres Schadenbeispiel aus der Praxis ist der Verstoß gegen Geheimhaltungspflichten auf dem Xing-Profil eines IT-Freiberuflers, auf dem sich Interessenten nicht nur über dessen Skills informieren konnten, sondern auch über wichtige Projektinterna seines Auftraggebers: einem Unternehmen aus der Rüstungsindustrie.

Von Regressansprüchen sind besonders Freelancer betroffen

Oft unterschätzt, doch aufgrund seiner Komplexität besonders prekär, ist daneben das weite Feld des Persönlichkeits-, Urheber- und Markenrechts. Werden Inhalte wie Bilder und Texte nicht ausreichend hinsichtlich ihrer Nutzungs- und Verwertungsrechte geprüft, gehen die an den Seitenbetreiber gerichteten Schadenersatzforderungen letztlich an den Ersteller der Website über. Ein etwas ungewöhnliches Praxisbeispiel ist das eines Geschäftsführers aus Hamburg. Eine rechtswidrige Funktion in der Software „JDownloader2“ seiner Firma ermöglichte es, geschützte Streaming-Videos herunterzuladen – eine Urheberrechtsverletzung. Das LG Hamburg entschied, der Geschäftsführer haftet persönlich als Täter für rechtsverletzende Funktionen in dieser Open-Source-Software seiner Firma.

Immer wieder ein Thema sind außerdem Hackerangriffe oder Cyberkriminalität und die daraus resultierenden Risiken für IT-Dienstleister sowie die Nutzer von IT. Und das nicht erst seit der öffentlichen Diskussion um den NSA-Skandal oder Angriffe auf die IT-Infrastruktur von Unternehmen wie Sony, Barclays oder Target. Dass der globale Anspruch an die IT-Branche zusätzliche Risiken birgt, die in Haftungsfragen rasch an die existenzielle Substanz gehen können, ist offensichtlich. Besonders schwer betroffen von entsprechenden Regressansprüchen sind neben Groß- und Handelsunternehmen vor allem Freelancer, die heute ganz selbstverständlich auf Projektbasis für Unternehmen weltweit im Einsatz sind und sich damit mit unterschiedlichsten Rechtssystemen auseinandersetzen müssen.

Es verlassen sich viele IT-Experten auch heute noch immer darauf, dass sie mit Abschluss eines Dienst- oder Werkvertrages oder aber über eigene AGB das Risiko der beschriebenen Vermögensschäden ausschließen. Die Praxis jedoch spricht eine deutliche, andere Sprache: Schätzungen zufolge sind bis zu 70 Prozent der verwendeten AGB – zumindest teilweise – unwirksam. Auch die Rechtsformen GmbH, UG oder Limited bieten keinen umfassenden Schutz im Regressfall. Im Laufe der letzten Jahre ist eine steigende Tendenz der Rechtsprechung ersichtlich, neben der begrenzten Gesellschaftshaftung auch eine unmittelbare Inanspruchnahme der Geschäftsführer und Gesellschafter zuzulassen, die dann mit ihrem Privatvermögen haften.

Eine konventionelle Betriebshaftpflicht ist für die IT-Branche daher nicht zwangsläufig das Produkt der Stunde. Im Gegenteil: Reine Vermögensschäden sind ohne spezielle Leistungserweiterungen meist nicht versichert. Doch hauptsächlich sind es eben diese Schäden, für die IT-Unternehmer in Haftung genommen werden. Adäquaten wie zeitgemäßen Schutz vor finanziellen Risiken in Haftungsfragen bietet daher nur eine speziell auf die Risiken und Bedürfnisse der IT-Branche zugeschnittene IT-Haftpflichtversicherung, die neben Personen- und Sachschäden vor allem auf dem Gebiet der Vermögensschäden auf die Branche eingestellt ist: Sollte es bei aller Sorgfalt des IT-Dienstleisters dennoch zu einem Fehler kommen, wird die Forderung auf ihre Berechtigung hin geprüft. Die IT-Haftpflichtversicherung prüft im Rahmen ihrer passiven Rechtsschutzversicherung zunächst die Gültigkeit der erhobenen Ansprüche, befriedigt diese oder wehrt sie ab, sofern sie unangemessen sind.

Abgedeckt sein sollten Schadenersatzansprüche ebenso wie außergerichtliche und gerichtliche Kosten im Falle einer entsprechenden Auseinandersetzung. Für den Haftpflichtversicherer sollte dabei unerheblich sein, ob die zum Schadenfall geführten Fehler leicht oder grob fahrlässig verursacht wurden. Regressansprüche gegenüber freien Mitarbeitern sollten im Rahmen der IT-Haftpflicht nicht erhoben werden können.

Weltweit versichert sein sollten alle typischen Tätigkeiten eines Telekommunikations- und IT-Unternehmens, dazu zählen zum Beispiel die Hard- und Software-Herstellung, -Implementierung, -Pflege und ihr Handel, die IT- und TK-Beratung, -Schulung und -Analyse ebenso wie Gutachter- und Sachverständigentätigkeiten. Weiterhin sollten Leistungen wie die Planung, Einrichtung und Organisation von Netzwerken, sämtliche Provider- sowie Internet-, Intranet und Online-Dienstleistungen, die Datenerfassung, ihre Speicherung und Verarbeitung versichert sein.

IT-Haftpflicht nach dem All-Risk-Prinzip aufbauen

Die Aufgaben von IT-Dienstleistern wandeln sich ständig, weshalb es besonders wichtig ist, dass die IT-Haftpflicht nach dem All-Risk-Prinzip aufgebaut ist. Man spricht auch von einer offenen Deckung für alle Tätigkeiten des Berufsbildes.

Für IT-Freiberufler sowie IT- und Telekommunikationsunternehmen bedeutet das, dass allgemeine Haftungsrisiken abgedeckt sind und die einzelnen Risiken nicht in einem finalen Katalog aufgeführt werden müssen. Gerade wenn neue IT-Tätigkeiten nach Versicherungsbeginn ins Portfolio aufgenommen werden, müssen diese der Versicherung nicht mehr mitgeteilt werden, um mögliche Einschränkungen des Versicherungsschutzes auszuschließen. Ein praktischer Vorteil für alle Vielbeschäftigten.

Entscheidend ist, dass der Versicherer auf die inhaltlichen Unterschiede und Besonderheiten der jeweiligen Branche eingeht, um den Versicherungsschutz so passgenau wie möglich zu gestalten. Daneben braucht es Versicherer, die den Dialog mit Maklern suchen, um schnell auf Änderungen im Business der Kunden zu reagieren und Produkte mitzugestalten, die zeitgemäß sind. Sehr wichtig ist zudem ein konstruktiver Austausch mit der Schadenabteilung, um Klarheit in der Schadenregulierung zu erreichen. In den letzten Jahren haben einige Versicherer die IT-Haftpflicht in das Produktportfolio aufgenommen. Neben einigen Generalisten sind dies insbesondere auch Spezialversicherer.

Erschienen in Versicherungswirtschaft 4/2014 und auf http://versicherungswirtschaft-heute.de/maerkte/offene-deckung-fur-haftungsrisiken-der-it/.

Ihr Ansprechpartner

Stephan Lindner Head of Professional Lines +49 (0)89 8908 316 - 58 stephan.lindner@markel.de