Glatteis für Anbieter
In der Rechtspraxis werden die Hersteller und Reseller zusehends für die beworbenen Eigenschaften ihrer Produkte haftbar gemacht.
Artikel erschienen in IT Reseller 2004/11
Artikel erschienen in IT Reseller 2004/11
Mit der steigenden Aggressivität von Computer-Viren und der Zunahme von Hackerangriffen ist auch das Angebot von Security-Lösungen enorm gestiegen. Dabei versprechen die Anbieter regelmässig einen umfassenden Schutz rund um die Uhr.
Mit dem unermesslichen Glauben an ihr eigenes Produkt begeben sie sich auf rechtliches Glatteis. Nach dem altrömischen Grundsatz «Pacta sunt servanda» wird der Anbieter von Security-Lösungen bei der Vertragserfüllung an seinen Versprechen gemessen.
Wenn sich der Virus oder der Hacker trotzdem durchs Sicherheitsnetz frisst, nützt auch ein Haftungsausschluss nichts, wenn der Hersteller oder der Reseller unsorgfältig gearbeitet oder sogar eventualvorsätzlich gehandelt habt.
Haftung
Bei der Haftung für Security-Software ist zwischen der Haftung aus Vertrag und der Haftung aus unerlaubter Handlung (der ausservertraglichen Haftung) zu unterscheiden.
Die Haftung aus Vertrag umfasst die Sachgewährleistung, die landläufig auch «Garantie» genannt wird, und die Rechtsgewährleistung, mit der der Anbieter garantiert, dass er Inhaber der von ihm übertragenen Rechte (z.B. Lizenz) ist.
Grundlage der Haftung aus unerlaubter Handlung ist ein widerrechtliches Verhalten, also ein Verhalten, das gegen ein Gesetz verstösst. Für die Erfüllung dieses Tatbestandes kommen ganz verschiedene Delikte in Frage, wobei die Spannbreite von fährlässiger Tötung (z.B. fehlerhafte Software in Flugzeugen oder Autos) bis zur Datenbeschädigung reicht; letzteres ist jedoch nur erfüllt, wenn die Tat vorsätzlich oder eventualvorsätzlich geschieht (bewusstes Inkaufnehmen von grossen Risiken).
Mit dem unermesslichen Glauben an ihr eigenes Produkt begeben sie sich auf rechtliches Glatteis. Nach dem altrömischen Grundsatz «Pacta sunt servanda» wird der Anbieter von Security-Lösungen bei der Vertragserfüllung an seinen Versprechen gemessen.
Wenn sich der Virus oder der Hacker trotzdem durchs Sicherheitsnetz frisst, nützt auch ein Haftungsausschluss nichts, wenn der Hersteller oder der Reseller unsorgfältig gearbeitet oder sogar eventualvorsätzlich gehandelt habt.
Haftung
Bei der Haftung für Security-Software ist zwischen der Haftung aus Vertrag und der Haftung aus unerlaubter Handlung (der ausservertraglichen Haftung) zu unterscheiden.
Die Haftung aus Vertrag umfasst die Sachgewährleistung, die landläufig auch «Garantie» genannt wird, und die Rechtsgewährleistung, mit der der Anbieter garantiert, dass er Inhaber der von ihm übertragenen Rechte (z.B. Lizenz) ist.
Grundlage der Haftung aus unerlaubter Handlung ist ein widerrechtliches Verhalten, also ein Verhalten, das gegen ein Gesetz verstösst. Für die Erfüllung dieses Tatbestandes kommen ganz verschiedene Delikte in Frage, wobei die Spannbreite von fährlässiger Tötung (z.B. fehlerhafte Software in Flugzeugen oder Autos) bis zur Datenbeschädigung reicht; letzteres ist jedoch nur erfüllt, wenn die Tat vorsätzlich oder eventualvorsätzlich geschieht (bewusstes Inkaufnehmen von grossen Risiken).
Kaskadenhaftung aus Vertrag
Die Haftung für Software, die über einen Reseller vertrieben wird, erfolgt im Rahmen der Sach- bzw. Rechtsgewährleistung – vorbehältlich einer anderen Vereinbarung – kaskadenartig (vgl. Grafik). Ein Vertrag besteht ursprünglich zwischen dem Hersteller und dem Reseller und in der Folge zwischen dem Reseller und dem Endkunden. Der Reseller haftet gegenüber dem Kunden und der Hersteller gegenüber dem Reseller.Deliktische Haftung
Bei der Haftung aus unerlaubter Handlung (auch deliktische Haftung genannt) kann der Endkunde sowohl auf den Reseller, als auch direkt auf den Hersteller greifen, wobei immer nur derjenige haftet, der effektiv Verursacher des Schadens ist (vgl. Grafik).Dabei kann es sich aber auch um eine Kausalhaftung handeln, bei der der haftpflichtige Verursacher jedoch nicht unbedingt schuldig ist. Denkbar ist im Bereich der Informatik als Kausalhaftung die sogenannte Geschäftsherrenhaftung, d.h. die Haftung des Arbeitgebers für seine Arbeitnehmer (z.B. angestellte Programmierer), die Produktehaftung und die Haftung aus der Verletzung von Datenschutzvorschriften.
Produktehaftpflicht
Die Produktehaftpflicht sorgt in der Praxis regelmässig für Unbehagen, weil sie zwar in aller Munde, jedoch oftmals unklar ist.Auch Software fällt unter die Produktehaftpflicht. Der Hersteller, der Importeur und, wenn diese nicht eruierbar sind, jeder Anbieter, haften bei Schäden über 900 Franken, wenn ein fehlerhaftes Produkt dazu führt, dass eine Person getötet oder verletzt wird oder eine Sache einer Privatperson beschädigt oder zerstört wird.
Im Bereich der Security-Software dürfte eine Haftung für Personenschäden eher unwahrscheinlich sein. Wahrscheinlicher ist die Haftung für Sachschäden bei Privatpersonen. Diese Frage könnte sich z.B. stellen, wenn ein Virus einen privaten PC zerstört, obwohl er gemäss der Garantie des Herstellers oder des Anbieters von der Firewall hätte abgefangen oder von der Antivirus-Software hätte erkannt werden müssen. Dabei könnte die Haftung nicht nur beim direkten Einsatz der Software, sondern auch beim indirekten Einsatz über einen Access-Provider greifen.
Wird die Software dagegen für Unternehmen eingesetzt, gibt es für Sachschäden keine Produktehaftpflicht. In diesem Fall kommt die allgemeine Haftpflicht zum tragen.
Werbung ist bindend
Vermehrt gehen Gerichte dazu über, Reseller für die Werbung der Hersteller haftbar zu machen. So haftet ein Reseller für die Eigenschaften einer Antivirus-Software oder einer Firewall, die der Hersteller in seiner Werbung anpreist.Da die totale Sicherheit, obwohl sie regelmässig propagiert wird, auch in der Informatik nicht existiert, ist für die Anbieter von Interesse, wie sie ihr Risiko zumindest minimieren können. Aus rechtlicher Sicht gibt es dafür verschiedene Möglichkeiten, wobei die Gründung einer Handelsgesellschaft, der Ausschluss der Haftung und die Versicherung des Restrisikos im Vordergrund stehen.
Gründung einer Gesellschaft
Bereits schon mit einem minimalen Einsatz von 20’000 Franken für eine GmbH, 100’000 Franken für eine AG kann das Risiko für Anbieter von Security-Software erheblich reduziert werden, denn diese Gesellschaften haften, ausser in den seltenen Fällen des sogenannten Durchgriffs, lediglich mit dem Gesellschaftsvermögen.Das Privatvermögen des Unternehmers oder des Managements bleibt unbehelligt. Begünstigt wird diese Möglichkeit dadurch, dass das Gesellschaftskapital auch mit Sachwerten (z.B. Büroeinrichtung, PC, Auto) liberiert werden kann.
Ausschluss der Haftung
Die Haftung aus Vertrag bzw. die Rechts- und Sachgewährleistung ist dispositiv und kann darum vollkommen ausgeschlossen werden. Allerdings ist zu bedenken, dass ein vollkommener oder weitgehender Ausschluss der vertraglichen Haftung möglicherweise bei potentiellen Kunden einen schlechten Eindruck erweckt.Aus der Haftung für Zusicherungen der Herstellers von Eigenschaften einer Software, die effektiv nicht vorhanden sind, kann sich der Reseller nur dann befreien, wenn er im Rahmen der unmittelbaren Vereinbarung mit seinem Kunden jene explizit als nicht gegeben oder nicht genügend gegeben deklariert.
Nicht ausgeschlossen werden kann in jedem Fall die Haftung für rechtswidrige Absicht und für grobe Fahrlässigkeit (grobe Verletzung von Sorgfaltspflichten). Auch der Ausschluss der Produktehaftpflicht ist nicht möglich.
Nach dem Prinzip «Nützt’s nüt, so schad’s nüt» empfiehlt sich für die Praxis, die eigene Haftung auszuschliessen, «soweit es Gesetz und Rechtsprechung» zulassen und soweit natürlich ein entsprechender Ausschluss von den Kunden überhaupt akzeptiert wird.
Versicherung des Restrisikos
Trotz verschiedener Möglichkeiten der rechtlichen Minimierung des Haftungsrisikos bleibt ein Restrisiko. Dieses Risiko kann allfällig durch eine Versicherung gedeckt werden. Dabei ist zu beachten, dass gewöhnliche Betriebsversicherungen für die Deckung der Risiken von Informatikunternehmen in der Regel nicht genügen. Dafür sind spezielle, teilweise individuelle Informatikversicherungen abzuschliessen. Dabei muss der Versicherungsnehmer detailliert prüfen, ob seine Risiken damit effektiv gedeckt sind.Aktives Risk-Management
«Augen zu, Ohren zu» ist sicherlich kein guter Rat für den Umgang mit rechtlichen Risiken im Zusammenhang mit dem Angebot von Security-Lösungen im IT-Bereich. Im Gegenteil ist ein aktives Riskmanagement dringend notwendig. Dafür kann dieser Artikel Anstösse liefern. Für eine detaillierte Analyse der Risikolage und der zu treffenden Massnahmen sind darüber hinaus im IT-Recht spezialisierte Rechtsanwälte beizuziehen.Der Autor
Ueli Grüter, LL.M., ist Rechtsanwalt und Partner bei Grüter Schneider & Partner (www.gsplaw.ch) und Dr. Schneider & Partner AG (www.schneider-ipr.ch) in Zürich und Luzern und Dozent für Kommunikations- und Technologierecht an der Fachhochschule Zentralschweiz und deren Institut für Sichere Softwaresysteme (www.fhz.ch, www.hta.fhz.ch/isis).
Artikel kommentieren
