Risiko Programmierung: Wer haftet für Sicherheitslücken?
Kostenfreie Beseitigung und Schadensumfang
Wenn ein Mangel bei der Programmierung der Software vorliegt, so legt das Gesetz dem Auftragnehmer und Verkäufer die Kostentragung für die Nacherfüllungsarbeiten auf. Der Auftragnehmer hat die zum Zwecke der Nacherfüllung erforderlichen Aufwendungen, insbesondere Transport-, Wege-, Arbeits- und Materialkosten zu tragen.
Aus Sicht des Gesetzgebers ist diese Kostentragungspflicht denklogisch, da der Auftragnehmer und Verkäufer seine Pflicht zur Lieferung einer mangelfreien Programmierung nicht nachgekommen ist und so "bestraft" wird.
Bei Sicherheitslücken, die als Serienfehler auftreten oder konstruktionsbedingt sind, kann sowohl den Hersteller als auch den Auftragnehmer eine Hinweispflicht oder weitergehend eine öffentliche Hinweispflicht auf Updates oder gar eine Rückrufpflicht treffen. Allerdings legt das BGB keine genaueren rechtlichen Voraussetzungen fest. Das Gesetz fordert nur eine Rücksichtnahme auf Rechtsgüter und Interessen der anderen Vertragspartei, aus der sich entsprechende Pflichten ergeben.
Schadensumfang
Häufig lässt der Auftraggeber und Kunde eingetretene Schäden an Datenbeständen, Software oder Hardware von eigenen fest angestellten Mitarbeitern beseitigen. Dann kann er anteilige Arbeitslöhne nicht als Schaden einfordern. Es handelt sich bei diesen Kosten um so genannte "Sowieso-Kosten". Der Arbeitnehmer des Kunden hätte auch ohne den konkreten Arbeitsanfall auf der Gehaltsliste des Auftraggebers gestanden. Der Kunde hätte ihn sowieso bezahlen müssen. Anders ist die Situation zu beurteilen, wenn ein Mitarbeiter durch die Arbeiten zur Schadensbeseitigung für einen längeren Zeitraum seinen eigentlichen Aufgaben nicht nachkommen kann und beispielsweise der Arbeitgeber externe Kapazitäten zu kaufen muss, um den internen Ausfall zu kompensieren.
Daneben können als Schadensposition die weiteren Schäden vom Kunden eingefordert werden, die eintreten, weil die Sicherheitslücke das Computersystem oder gar die Produktion des Unternehmens stillgelegt hat.