Risiko Programmierung: Wer haftet für Sicherheitslücken?

Zeitnahe Beseitigung

Aufgrund der rechtlichen Einordnung einer Individual-Programmierung zu den kaufrechtlichen Regelungen des BGB, wird nachfolgend ausschließlich auf die kaufvertraglichen Mängelbeseitigungsrechte Bezug genommen. Wenn die erstellte Website nicht den vertraglichen Anforderungen entspricht oder Sicherheitslücken nach dem Stand der Technik nicht hätten auftreten dürfen, liegt ein Mangel der Programmierung vor.

Als erstes Recht steht dem Käufer und Kunden ein Nacherfüllungsanspruch zu. In § 439 Abs. 1 BGB kann der Käufer nach seiner Wahl die Beseitigung des Mangels oder die Lieferung einer mangelfreien Sache verlangen. Im Gesetz ist nicht festgelegt, wie schnell eine Nacherfüllung erfolgen soll. Allerdings wird generell von einer zeitnahen Beseitigung des Mangels ausgegangen. Es empfiehlt sich aber für den Programmierer aus anderen Gründen, auftretende Mängel unverzüglich zu beseitigen.

Wenn die Beseitigung eines Mangels eine unangemessen lange Zeit in Anspruch nimmt, hat der Auftraggeber die Möglichkeit, vom Vertrag zurückzutreten und damit das Vertragsverhältnis aufzulösen. Daneben besteht für die Zeit der Nacherfüllung und Mängelbeseitigung eine Schadensersatzpflicht.

Am Beispiel eines beim Auftraggeber aufgrund einer Sicherheitslücke eindringenden Virus bedeutet dies, je länger die Sicherheitslücke besteht und die Viren tätig werden, je höher wird die Schadensersatzpflicht. In der Praxis wird der Kunde darüber hinaus eine Nachfrist setzen, innerhalb derer er eine entsprechende Mängelbeseitigung erwartet. Dann ist seitens des Auftragnehmers bekannt, innerhalb welcher Zeit der Kunde ein Tätigwerden fordert.