Juristische Fallstricke und Lösungen

Wartungsvertrag und IT-Sicherheit

29.07.2014
Von 
Rechtsanwalt seit 1994 Fachanwalt für Informationstechnologierecht und Arbeitsrecht Datenschutzbeauftragter TÜV Tätigkeitsschwerpunkte: IT-Recht Arbeitsrecht Vergaberecht

Gewährleistungsrechte

Der Schadensersatz schützt das Integritätsinteresse, will also einen Vermögensverlust kompensieren. Dagegen kommt den Gewährleistungsrechten die vorrangige Aufgabe zu, das Äquivalenzinteresse zu schützen. Gewährleistungsrechte zielen damit darauf ab, dass ein Auftraggeber eine Gegenleistung in der vereinbarten Qualität bekommt.

Ob dem Auftraggeber bei einer Schlechtleistung Gewährleistungsrechte zustehen, richtet sich danach, wie der maßgebliche IT-Wartungsvertrag ausgestaltet ist. Wird in der Leistungsbeschreibung ein Erfolg versprochen, hat der Wartungsvertrag regelmäßig den Charakter eines Werkvertrags. Dem Auftraggeber stehen damit grundsätzlich Gewährleistungsrechte zu.

Schuldet der Auftragnehmer dagegen lediglich ernstliches Bemühen, hat der Wartungsvertrag zumeist einen dienstvertraglichen Charakter und dem Auftraggeber stehen dann keine Gewährleistungsrechte zu. Dass diese Unterscheidung nicht lediglich von akademischem Interesse ist, zeigt folgendes Beispiel:

Hat der Auftragnehmer bei einer Serverwartung einen Fehler nur unzureichend behoben, wird er bei einem dienstvertraglichen Charakter des Wartungsvertrags einen zweiten Fehlerbehebungsversuch regelmäßig erneut in Rechnung stellen. Demgegenüber hat der Dienstleister bei einem IT-Wartungsvertrag mit werkvertraglicher Prägung die bereits beim ersten Versuch geschuldete Reparatur kostenlos nachzuholen (§ 635 BGB) und bei unberechtigter Weigerung kann der Auftraggeber die Reparatur nach Fristsetzung regelmäßig auf Kosten des Auftragnehmers von einem Dritten durchführen lassen (§ 637 BGB).

Datenschutzrechtliche Implikationen

Datenschutz wird in der Praxis oft vernachlässigt. Teilweise liegt dies an der Nachlässigkeit der Verantwortlichen und oft auch schlicht an rechtlicher Unkenntnis. Ein fehlerhafter Umgang mit personenbezogenen Daten wird gemäß dem Bundesdatenschutzgesetz (BDSG) mit einem umfangreichen Bußgeldkatalog und Strafvorschriften geahndet (§§ 43, 44 BDSG).

In besonderem Maße betroffen sind Ärzte, Wirtschaftsprüfer, Anwälte, Amtsträger und verschiedene Versicherungen sowie Abrechnungsstellen, denn bei ihnen ist das Offenbaren eines fremden Geheimnisses mit Freiheitsentzug von bis zu einem Jahr unter Strafe gestellt (§ 203 StGB). Dabei werden unter einem Geheimnis solche Tatsachen verstanden, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und an denen ein sachlich begründetes Geheimhaltungsinteresse besteht. Schon das Bestehen eines Vertragsverhältnisses kann unter Umständen als Geheimnis angesehen werden und muss in solchen Fällen vertraulich behandelt werden (Heghmanns/Niehaus, NStZ 2008, 57, 58).

Dienstleister gelangen an Geheimnisse

Oftmals wird von den Verantwortlichen übersehen, dass ein Offenbaren bereits darin liegen kann, dass ein externer Dienstleister bei seinen Wartungsaufgaben Zugriff auf relevante Datensätze eingeräumt bekommt und dadurch ohne Weiteres eine Kenntnisnahme des Geheimnisses möglich ist (BGH NJW 1995, 2915, 2916). Das ist insoweit bemerkenswert, als dies gegenüber beim Auftraggeber angestellten Arbeitnehmern anders beurteilt wird, denn zwischen dem Geheimnisträger und dessen Arbeitnehmern besteht eine Funktionseinheit.

Demgegenüber liegt bei IT-Wartungsverträgen keine Funktionseinheit vor, da es gerade dem Zweck der Beauftragung externer Dienstleister entspricht, einzelne Aufgaben außerhalb des eigenen Unternehmens wahrnehmen zu lassen (LG Bonn NJW 1995, 2419, 2420). An dieser rechtlichen Beurteilung würde sich auch dann nichts ändern, wenn der Dienstleister seinerseits vertraglich zur Geheimhaltung verpflichtet wäre (vgl. Weidemann in: von Heintschel-Heinegg, Beck’scher Online-Kommentar, § 203, Rn. 32).

Teilweise wird allerdings vertreten, dass bei der Kenntnisnahme von Geheimnissen durch sogenannte "berufsmäßig tätige Gehilfen" eine Strafbarkeit des primär Schweigepflichtigen nicht begründet wird, was im Einzelfall auch Auswirkungen auf IT-Wartungsverträge haben kann. In Rechtsprechung und Literatur ist bisher indes ungeklärt, unter welchen Voraussetzungen ein externer IT-Dienstleister berufsmäßig tätiger Gehilfen ist. Um eine Kenntnisnahme Dritter auszuschließen und den Straftatbestand zu umgehen, ist es daher Auftraggebern von IT-Wartungsleistungen in jedem Fall dringend angeraten, die maßgeblichen Daten unkenntlich zu machen oder einen zuverlässigen Verschlüsselungsmechanismus einzusetzen (Cierniak in: Münchener Kommentar zum StGB, § 203 StGB, Rn. 48). (oe)