Risiko Programmierung: Wer haftet für Sicherheitslücken?
Wer muss was beweisen?
Je nach Umfang der Beauftragung können Firewalls und Scan-Programme gegen zum Zeitpunkt der Programmerstellung gängige und bekannte Viren zum Stand der Technik zählen. Allerdings müssen Firewalls nicht unüberwindlich sein.
Es empfiehlt sich, auf absehbare Sicherheitslücken oder beispielsweise den Einsatz von offenen Protokollen vertraglich hinzuweisen oder in den vertraglichen Regelungen die geschuldeten Schutzmaßnahmen konkret zu beschreiben.
Die Beweislast für eine Sicherheitslücke hat der Käufer oder Auftraggeber (Ausnahme: Der Käufer ist ein Verbraucher und kein Unternehmen). Bei einem Kaufvertrag kommen ergänzend die kaufmännischen Untersuchungs- und Rügeobligenheiten für den Handelskauf hinzu. § 377 Abs. 1 HGB fordert von einem kaufmännischen Käufer, dass dieser die gelieferte Sache unverzüglich auf Mängel untersucht und entdeckte Mängel unverzüglich gegenüber dem Verkäufer rügt. Wird die Untersuchung und Rüge unterlassen, gilt die Ware als genehmigt. Der Käufer verliert damit seine Gewährleistungsrechte.
Die Anwendung des Kaufrechts auf die Programmierung von Websites erscheint für Nicht-Juristen ungewohnt und vielleicht sogar abwegig. Allerdings hat der Gesetzgeber durch die Schuldrechtsreform eine wichtige Änderung in § 651 BGB vorgenommen. Nach den Regelungen dieser Vorschrift ist das Kaufrecht bei der Lieferung herzustellender beweglicher Sachen anzuwenden.
Zurzeit wird in der juristischen Diskussion überwiegend die Auffassung vertreten, dass Software eine Sache ist. Bei der individuellen Programmierung für Kunden wird eine herzustellende bewegliche Sache geliefert. Dann ist das Kaufrecht mit den speziellen Gewährleistungsregelungen anzuwenden. Gerichtsurteile zu diesem Thema liegen noch nicht vor und sind auch von oberinstanzlichen Gerichten nicht kurzfristig zu erwarten. Diese rechtliche Einordnung ist vielen Kunden und Auftraggebern ebenfalls nicht geläufig. So lässt sich insbesondere der Verweis auf die kaufmännischen Untersuchungs- und Rügepflichten in Auseinandersetzungen aus Sicht des Auftragnehmers positiv verwenden.