Haftung & Gewährleistung für Software

Wenn Entwickler oder Anbieter von Software ihre Leistungen mangelhaft erbringen, sieht das Gesetz je nach Vertragsart ein bestimmtes Haftungsregime vor. Hierfür wird teils noch der Begriff „Gewährleistung" verwendet, obwohl das Bürgerliche Gesetzbuch (BGB) seit der Schuldrechtsreform im Jahr 2001 diesen Begriff nicht mehr kennt. Wenn in Ihren Verträgen also noch von „Gewährleistung" die Rede ist, wurden diese möglicherweise noch vor dem Hintergrund der alten Rechtslage verfasst.

Bei einer mangelhaften Leistung muss der Anbieter zunächst „Nacherfüllen", d. h. seine Leistung wie geschuldet erbringen, also zum Beispiel den Softwarefehler beheben. Daneben hat der Kunde Minderungsansprüche: der Kunde zahlt weniger als vereinbart oder kann Geld zurückfordern. In bestimmten Fällen kann der Kunde vom Vertrag zurücktreten, etwa wenn eine Nachbesserung endgültig scheitert. Der gesamte Vertrag wird dann rückabgewickelt: Ware und Geld sind zurückzugewähren.

Eine mangelhafte Leistung muss nicht immer der übliche „Bug" oder Software-Fehler sein. Die Haftung kann durch die unterschiedlichsten Leistungsmängel ausgelöst werden:

• Die Software eignet sich nicht für die spezifischen Zwecke des Kunden
• Die Software ist inkompatibel, zu langsam oder nicht zukunftsfähig
• Die Benutzerdokumentation fehlt, ist lückenhaft, veraltet oder unverständlich
• Schnittstellen funktionieren nicht richtig
• Daten aus Altsystemen wurden nicht vollständig oder richtig übernommen
• Die Performance ist unter Last ungenügend
• Die Software verletzt Rechte Dritter
• Bestimmte Funktionen der Software fehlen oder funktionieren nicht richtig
• Die Software ist mit Viren oder Schadprogrammen verseucht
• Vereinbarte Fertigstellungstermine werden nicht eingehalten
• Die Software enthält nicht vereinbarte Programmsperren

Ergänzend zu den oben genannten Ansprüchen auf Nacherfüllung, Minderung und Rücktritt kann der Kunde Schadenersatzansprüche geltend machen.

Beim Schadenersatz muss der Anbieter den Kunden wirtschaftlich so stellen, als hätte der Anbieter ordentlich geleistet. Kann der Kunde etwa wegen eines Problems mit dem Customer Management System (CMS) nicht auf Kundendaten zugreifen und entgehen ihm deshalb Geschäfte, hat der Anbieter dem Kunden den entgangenen Gewinn aus diesen Geschäften zu ersetzen. Eignet sich die Software überhaupt nicht für das Geschäft und muss der Kunde deshalb eine andere, ggf. teurere Software beschaffen, so hat der Anbieter auch diese Mehrkosten zu erstatten.

Eine summenmäßige Beschränkung oder einen Ausschluss von „indirekten" oder „mittelbaren" Schäden kennt das deutsche Schadensersatzrecht nicht. Selbst wenn der Schaden ein Vielfaches des Vertragswertes ausmacht, muss dem Kunden der volle Schaden erstattet werden.

Voraussetzung für einen Schadenersatzanspruch ist jedoch, dass den Anbieter ein Verschulden trifft, er also vorsätzlich oder fahrlässig gehandelt hat. Fahrlässiges Handeln bedeutet, dass eine Sorgfaltspflicht verletzt wurde. Das Verschulden wird aber vom Gesetz „vermutet", der Anbieter kann und muss sich also exkulpieren, das heißt im Streitfall nachweisen, dass er sorgfältig gehandelt hat.

Um den Folgen einer Haftung zu entkommen gibt es eine Reihe von Gestaltungsmöglichkeiten, die im Folgenden beschrieben sind. Hierbei ergeben sich teilweise Unterschiede, je nachdem, ob

• eine Software gegen ein einmaliges Entgelt zur dauerhaften Nutzung überlassen wurde (Kauf),
• Anwendungen als Application Service Providing (ASP), Software as a Service (SaaS) oder sonst zur Nutzung zeitweise bereitgestellt wurden (Miete), oder
• es sich um die individuelle Erstellung oder Anpassung von Software handelt (Werkvertrag).

Auf einige Besonderheiten der verschiedenen Vertragstypen wird im Folgenden gesondert hingewiesen.

Auch für Schäden aufgrund einer schuldhaften Falschberatung können Anbieter haften. In bestimmten Fällen geht die Rechtsprechung von Beratungs- bzw. Aufklärungspflichten des Anbieters aus, etwa dann, wenn ein Kenntnisgefälle zwischen Anbieter und Kunde besteht, wenn der Kunde nach einer Beratung gefragt oder hierauf besonderen Wert gelegt hat und tatsächlich Beratungsleistungen erbracht wurden. In der Rechtsprechung gibt es eine Vielzahl von Entscheidungen zu Beratungsfehlern und verletzten Aufklärungspflichten im IT Bereich.

Das Verzwickte hieran: In Ihren Geschäftsbedingungen, z. B. zum Softwarekauf, können Sie als Anbieter die Haftung für vor Abschluss des Vertrages begangene Beratungsfehler nicht wirksam ausschließen.

Deshalb kann es sinnvoll sein, spezielle AGB für Beratungsleistungen parat zu haben und mit dem Kunden zu vereinbaren, sobald – etwa im Vorfeld eines Projektes – Sie diesen in einem der oben genannten Fälle beraten.

Eine besondere Situation besteht, wenn Sie als Vertragshändler Software vertreiben (Reseller) oder als Systemhaus Software-Komponenten von Drittherstellern in Ihre Produkte integrieren. Sie befinden sich dann in der Mitte der Lieferkette zwischen Software-Hersteller und (End-)Kunden; wie eine Tomate in einem Sandwich.

Dem Kunden gegenüber haften Sie als Vertragspartner für sämtliche Mängel und zwar auch dann, wenn der Mangel auf einem Fehler der Software des Herstellers beruht: Der Kunde kann dann gegen Sie vorgehen, und Sie müssen versuchen beim Hersteller Regress zu nehmen. In AGB unwirksam ist eine Regelung, wonach Ihr Kunde sich statt an Sie direkt an den Hersteller wenden muss.

Das Haftungsrisiko besteht darin, dass Sie als Anbieter vom Kunden in Anspruch genommen werden, ihrerseits aber den Hersteller wegen des Schadens nicht in Regress nehmen können und so auf dem Schaden „sitzen bleiben". Ein bereits erwähnter Fall ist Open Source Software. Die Haftungslücke kann aber auch klaffen, wenn der Vertrag mit dem Hersteller einer anderen Rechtsordnung unterliegt, etwa US Recht, das viel umfassendere Haftungsbeschränkungen erlaubt. Auch können Ihre Ansprüche gegen den Hersteller verjährt sein, während der Kunde diese Ihnen gegenüber noch geltend machen kann.

Dieses Risiko lässt sich oft nicht vollständig ausschalten, jedenfalls nicht in AGB. Dennoch können Sie versuchen, einen gewissen Gleichlauf zwischen Ihren Kundenverträgen und den Verträgen mit dem Hersteller herbeizuführen, etwa in Bezug auf Leistungsbeschreibung, bekannte Fehler oder die Pflicht, bei Fehlermeldungen bestimmte Informationen bereitzustellen oder Tools zu nutzen.

Schließlich können Haftungsrisiken auch mit einer IT-Haftpflicht-Versicherung reduziert werden, die bei Schadenersatzansprüchen von Kunden einspringt. Die normale Betriebshaftpflichtversicherung eignet sich hierfür jedoch nicht: Sie wird den spezifischen Risiken eines IT-Anbieters nicht gerecht, weil relevante Bereiche ausgeschlossen sind, etwa die Haftung für bestimmte „Schäden aus dem Austausch, der Übermittlung und der Bereitstellung elektronischer Daten".

Gegenüber Ihren Kunden können Sie Ihre Haftung in AGB nicht pauschal auf die Deckung durch Ihre IT-Versicherung beschränken. Deshalb ist es wichtig, bei der Versicherung genau auf die Konditionen zu achten.

Die Deckungssumme für Vermögensschäden muss abhängig von Ihrem Geschäftsmodell und dem damit verbundenen Haftungsrisiko ausreichend hoch sein. Die IT-Haftpflicht-Versicherung sollte dabei nicht zwischen Sach- und Vermögensschäden unterscheiden und keine weiteren Einschränkungen in Form von Unterversicherungssummen, etwa für Rechtsverletzungen, enthalten. Wegen der umfassenden gesetzlichen Haftung sollten die Versicherungen zudem nicht die Deckung für Folgeschäden wie Umsatz- und Gewinnausfall oder Datenrekonstruktion einschränken.

Die „Besonderen Bedingungen und Risikobeschreibungen für die Haftpflichtversicherung von IT-Dienstleistern" (BBR IT-D) umfassen deshalb zum Beispiel die Risiken aus dem Betrieb eines Softwarehauses einschließlich typischer Zusatzleistungen und daneben auch Risiken aus der Herstellung von und dem Handel mit Hardware sowie die Risiken aus dem Internet-Providing.