In vorangegangenen Beiträgen für den SOLCOM Newsletter hatte Rechtsanwalt Markus Timm bereits Fragen zur IT-Sicherheit erläutert. Diesmal wendet er sich dem Problemgebiet der Schlechtleistung zu, da trotz ggf. sorgfältiger Arbeit die vereinbarte Leistung einen oder mehrere Mängel aufweisen kann.Hier bewegen sich viele Freelancer oftmals unbewusst auf einem rechtlich für sie unsicheren und mitunter existenziell gefährdenden Gebiet. Was es zu beachten gilt, erläutert RA Timm anhand von praktischen Beispielen aus der IT-Projektarbeit.
1. Vertragliche Grundlagen
Da es für die Frage, wie mit Mängel umgangen wird, die in Abwicklung einer Vertragsbeziehung entstehen, auf die Natur des Vertragsverhältnisses ankommt, sollen zunächst die verschieden Vertragstypen vorgestellt werden, die dem IT-Freelancer in seiner Praxis begegnen können.
a. Vertragsschluss
Im Hintergrund einer jeden Geschäftsbeziehung eines IT-Dienstleisters zu einem Unternehmen sowie zu einer Privatperson, für die er seine Leistung erbringen möchte, schwebt ein Vertrag mit Rechten und Pflichten. Dabei ist unerheblich, ob der Vertrag schriftlich oder lediglich mündlich geschlossen worden ist. Auch muss der Vertragsschluss nicht ausdrücklich erfolgen.
Folgende Situation ist aus dem täglichen Leben gegriffen:
Der IT-Freelancer hat einen Auftrag zur Wartung einer bestimmten Software in einem Unternehmen. Während er die Wartung vornimmt, fällt ihm auf, dass sich auf den Rechnern mehrere Trojaner befinden. Deren Entschärfung gehört nicht zu seinem Auftrag. Als er den Geschäftsführer darauf hinweist, bittet dieser ihn, die Trojaner aus seinem Netzwerk zu entfernen, was der IT-Freelancer gewissenhaft erledigt. Nach einem Monat entsteht dem Unternehmen eine hoher wirtschaftlicher Schaden durch neue Trojaner. Der Geschäftsführer möchte den Schaden von dem IT-Freelancer ersetzt erhalten.
Es stellt sich die Frage, ob und wie eine Vertragsbeziehung mit dem Unternehmen begründet worden ist. Der Wartungsvertrag ist nicht einschlägig, da hierin Wartungsleistungen, das Installieren von Updates, das Beseitigen von Fehlern, etc. enthalten ist (was Gegenstand eines solchen Vertrags ist, sollte stets klar und abschließend vertraglich geregelt werden). Das Angebot ist in der Aufforderung des Geschäftsführers zu sehen, die Trojaner aus dem Netzwerk zu entfernen. Die Annahme erfolgt durch die Aufnahme der Tätigkeit. Damit ist bereits ein neuer Vertrag geschlossen.
b. Vertragstyp
Dass ein Vertrag geschlossen worden ist, steht nun fest. In einem 2. Schritt stellt sich sodann die Frage, um welche Art eines Vertrages es sich handelt. Dies bestimmt sich nach dem jeweiligen Leistungsgegenstand. Es muss freilich immer im Einzelfall geschaut werden, was zwischen den Parteien vereinbart worden ist. Die folgenden Beispiele sollen ein Gespür vermitteln, welche Grundleistung welchem Grundvertragstypen zugeordnet werden kann.
b.a. Kaufvertrag
Nur selten wird sich es sich bei IT-Leistungen eines Freelancers um einen reinen Kaufvertrag handeln. Es wäre an den Verkauf von Hard- und Software ohne jegliche Installations- oder Schulungsdienstleistungen zu denken.
b.b. Werkvertrag
Schon häufiger kommen Werkverträge vor. Hierbei schuldet der IT-Freelancer die Herstellung eines versprochenen Werkes. Im Juristendeutsch spricht man vom so genannten Erfolg, der erreicht werden muss. Damit kann man den Werkvertrag inhaltlich vom Dienstvertrag abgrenzen, bei dem gerade kein Erfolg sondern nur ein Bemühen geschuldet wird (s. u.). Als Beispiele für einen Werkvertrag kann z. B. die Erstellung einer ganz bestimmten Software (Abgrenzung zum Kaufvertrag, welcher bei Standartsoftware Anwendung findet), das Einrichten einer EDV-Anlage und das Reparieren von Softwarefehlern genannt werden. Allen diesen Beispielen ist eigen, dass es dem Vertragspartner gerade darauf ankommt, dass ein bestimmter Erfolg – zum Beispiel eine individuell abgestimmte Software oder eine funktionsfähige EDV-Anlage – erreicht wird. Sollte der Erfolg nicht eingetreten sein, werden die Rechte wegen eines Mangels geltend gemacht werden können.
In dem Beispielsfall ist vereinbart, dass die Trojaner aus dem Netzwerk entfernt werden. Hierbei handelt es sich um einen Erfolg, so dass hier das Werkvertragsrecht Anwendung findet.
b.c. Dienstvertrag
Dem Dienstvertrag liegen Leistungen zugrunde, wie die Beratung eines Unternehmens z. B. in IT-Compliance-Fragen, die Pflege von Software und Service-Dienstleistungen. Der IT-Freelancer schuldet die Erbringung von Diensten und nicht das Erreichen eines Erfolgs. Dies ergibt sich z. T. schon aus der Natur der Sache: Eine Beratung hatte keinen erreichbaren Erfolg zum Gegenstand. Außer, dass z. B. der Geschäftsführer einer GmbH nach einer Beratung wissen sollte, was er in seinem Unternehmen umsetzen lassen muss, damit es im Hinblick auf die IT sicher ist. Dies ist jedoch nicht der Schwerpunkt der Leistung, da die Aufnahmefähigkeit des Geschäftsführers nicht in den Risikobereich des IT-Freelancers fallen kann. Geschuldet ist also „lediglich“ die kompetente Beratung.
b.d. Mietvertrag
Der Mietvertrag kommt in Bereichen wie IT-Outsourcing, dem Vermieten von Softwarelizenzen, etc. zum Tragen. Er nimmt regelmäßig aber nur einen vergleichsweise unbedeutenden Teil im Gegensatz zu den vorbenannten Vertragstypen ein, weshalb hier keine weitergehenden Ausführungen erfolgen sollen.
b.e. Typengemischte Verträge
In der Praxis kommt eigentlich keiner der o. g. Verträge in Reinform vor. Meist enthält eine Vertragsbeziehung Elemente mehrere Vertragstypen. So kann ein Pflegevertrag neben dienstvertraglichen Elementen auch einen werkvertraglichen Erfolg beinhalten. Das Outsourcen von IT kann z. B. neben dem dienstvertraglichen Schwerpunkt auch den Kauf neuer Hardware bzw. das Anmieten neuer Software beinhalten.
Das bedeutet, dass der Leistungsgegenstand, in dem Probleme auftreten, identifiziert und nach den Vertragstyp bestimmt werden muss. Erst dann kann in einem 3. Schritt bestimmt werden, welche Rechte und Pflichten die Parteien haben (so genannten Gewährleistungsrecht).
c. Gewährleistung
Das Gewährleistungsrecht beschäftigt sich mit Problemen bei der Erbringung von vertraglichen Leistungen. Die Regeln für die Gewährleistung für die vorbezeichneten Vertragstypten finden sich im Bürgerlichen Gesetzbuch. Hier wird z. B. geregelt, welche Rechte dem Käufer bei einem mangelhaften Kaufgegenstand zustehen.
Wenn also der Leistungsgegenstand identifiziert und der entsprechende Vertragstyp gefunden worden ist, kann nun das Gesetz zur Rate gezogen werden. Das bedeutet für den Beispielsfall, dass der Geschäftsführer in den §§ 631ff. BGB nachsehen muss, ob er einen Anspruch gegen den IT-Freelancer hat. Dann wird er sehr bald feststellen, dass jeder Anspruch einen Mangel voraussetzt. Natürlich ist ein Mangel beim Werkvertrag etwas anderes als bei einem Kauf- oder Miet- oder Dienstvertrag. Der Geschäftsführer wird leer ausgehen, wenn nicht zwischen den Parteien vereinbart war, dass der IT-Freelancer durch seinen Eingriff auch Angriffe von Trojaner für die Zukunft verhindern solle (das wäre ohnehin ein äußerst riskantes Versprechen). Der Beweis hierfür wird dem Unternehmen nicht gelingen, so dass der IT-Freelancer keine Gefahr läuft, in Anspruch genommen zu werden.
2. Haftung des IT-Freelancers
Eine Haftung des Erbringers von IT-Dienstleistungen kommt nach dem Vorgesagten grundsätzlich nur in Betracht, wenn er mangelhaft gearbeitet hat. Ist das aber nachweislich der Fall, dann können mitunter enorme Forderungen ins Haus stehen. Wenn z. B. im Rahmen einer IT-Compliance-Beratung die Erfordernisse des § 9 BDSG zur Zugangskontrolle nicht beachtet werden, dem Unternehmen durch Inanspruchnahme von Dritten Schäden in erheblicher Höhe entstehen, wird sich der Geschäftsführer an den IT-Freelancer halten, um Regress zu nehmen. Hier wäre im Vorfeld an eine vertragliche Haftungsbegrenzung zu denken. Besonders ärgerlich ist es aber dann, wenn der Unternehmer Schadensersatz begehrt für eine mangelhafte Leistung, die gar nicht geschuldet war.
Hierzu folgendes Beispiel:
Unternehmen A hat zwei unternehmensinterne Netzwerke (Na und Nb). Freelancer B wird mit der Erstellung einer den Sicherheitsanforderungen genügenden IT für das Netzwerk Na beauftragt. Ein schriftlicher Vertrag wird nicht geschlossen. Der Freelancer erledigt den Job ordnungsgemäß. In der nächsten Woche wird das Netzwerk Nb attackiert und bricht zusammen. Den hierdurch entstehenden Schaden verlangt das Unternehmen vom Freelancer B.
Der Fall scheint klar zu sein. B hat alles richtig gemacht und A geht leer aus. B sollte ja nicht das Netzwerk Nb sicher machen. Dem B steht nach entsprechendem Telefonat eine Klage über die Zahlung von 100.000 € ins Haus. In der Klageschrift erfährt B dann, dass mehrere Zeugen dafür benannt wurden, dass mündlich vereinbart war, dass B sämtliche Netzwerke „sicher“ machen sollte. Seine einzige Chance besteht jetzt darin, die Glaubwürdigkeit der Zeugen in der mündlichen Verhandlung zu erschüttern. Ein mitunter schwieriges Unterfangen.
3. Verträge fixieren
Das Beispiel macht deutlich, wie wichtig es ist, sämtliche Leistungspunkte in einem schriftlichen Vertrag zu fixieren. Die Mühe und die Kosten für den Aufwand in dieser Phase sind gering im Vergleich zu den Kosten, die entstehen, wenn es bereits „zu spät“ ist.