BSI-Warnung vor Kaspersky-Software ist kein Mangel

Streit um Kaspersky-Projekte für 830.000 Euro

Peter Marwan lotet kontinuierlich aus, welche Chancen neue Technologien in den Bereichen IT-Security, Cloud, Netzwerk und Rechenzentren dem ITK-Channel bieten. Themen rund um Einhaltung von Richtlinien und Gesetzen bei der Nutzung der neuen Angebote durch Reseller oder Kunden greift er ebenfalls gerne auf. Da durch die Entwicklung der vergangenen Jahre lukrative Nischen für europäische Anbieter entstanden sind, die im IT-Channel noch wenig bekannt sind, gilt ihnen ein besonderes Augenmerk.
Vor dem Landgericht München I ging es um eine Rückzahlung aus vorzeitig beendeten Verträgen über Kaspersky-Software. Vor Gericht trafen sich ein Dienstleister und ein Distributor.
 
  • Die Ausgangslage vor der BSI-Warnung
  • Wie die Verträge gekündigt wurden
  • Der Schaden für den Dienstleister
Nach Auffassung des Landgerichts München ist eine Warnung des BSI keine Mangel im Sinne des Gewährleistungsrechts. Ist allerdings die Nutzung der Software aufgrund von Sanktionen rechtlich unzulässig, kann die Geschäftsgrundlage wegfallen und muss gezahlte Miete teilweise erstattet werden.
Nach Auffassung des Landgerichts München ist eine Warnung des BSI keine Mangel im Sinne des Gewährleistungsrechts. Ist allerdings die Nutzung der Software aufgrund von Sanktionen rechtlich unzulässig, kann die Geschäftsgrundlage wegfallen und muss gezahlte Miete teilweise erstattet werden.
Foto: MIND AND I - shutterstock.com

Vor dem Landgericht München I ging jetzt ein Verfahren um zwei zu einem ungünstigen Zeitpunkt abgeschlossene Security-Software-Projekte zu Ende. Torpediert wurden beide durch die Warnung des BSI vor Kaspersky-Software und die nachfolgenden Sanktionen gegen russische Firmen. Allerdings waren sich Dienstleister und Distributor darüber uneinig, ob und wann eine außerordentliche Kündigung der Verträge zulässig war und welche Rückzahlungen deshalb fällig werden.

Die Ausgangslage vor der BSI-Warnung

Ein Dienstleister hatte Ende 2021 beziehungsweise Anfang 2022 erfolgreich an zwei europaweiten Ausschreibungsverfahren teilgenommen. Er bot bei beiden Endpoint-Protection-Produkte von Kaspersky als On-Premises-Lösungen an. Im Hinblick darauf schloss er zwei Verträge mit einem Distributor ab.

Die Auftragsbestätigung an den Dienstleister ging am 15. Februar 2022 mit Startdatum zum 21. Februar 2022 für eine Laufzeit von 24 Monaten zu einem Preis von insgesamt 408.289 (brutto) raus. Der Endkunde erhielt seine Auftragsbestätigung am 2. März 2022 mit Startdatum zum 3. März 2022.

Jeweils bei Vertragsschluss wurde der Preis für die gesamte Vertragslaufzeit brutto bezahlt. Am 22. Februar 2022 beziehungsweise am 10. März 2022 schloss der Dienstleister mit seinen Kunden Wartungsverträge ab. Das Gesamtvolumen der Deals lag bei knapp 560.000 respektive gut 270.000 Euro - insgesamt also rund 830.000 Euro.

Wie die Verträge gekündigt wurden

Nicht einmal eine Woche später - am 15. März 2022 - veröffentlichte das Bundesamt für Sicherheit in der Informationstechnik (BSI) seine Warnung vor Software von Kaspersky. Der Dienstleister wollte daraufhin eine außerordentliche Kündigung der Verträge erreichen. Mit seinen Kunden schloss er am 29. September 2022 einen Vergleich. Dadurch wurden die Verträge mit sofortiger Wirkung aufgehoben. Es wurden anteilige Lizenzgebühren bis zum 10. Oktober 2022 in Höhe von 41.141,72 Euro bezahlt.

Am 6. Oktober 2022 kündigte der Dienstleister die Verträge mit dem Distributor mit Wirkung zum 10. Oktober 2022. Zugleich forderte er die Rückzahlung des Anteiles des jeweils gezahlten Entgelts, der nach seiner Berechnung auf die nach dem Kündigungsdatum liegende Zeit entfällt (385.246,71 Euro netto). Im Rahmen von zwei Aufhebungsvereinbarungen erhielt der Dienstleister insgesamt 262.698,77 Euro. Davon entfielen rund 163.000 Euro auf die Lizenzgebühren bis zum 10. Oktober 2022.

Der Schaden für den Dienstleister

Allerdings waren die Beratungsleistungen und die Implementierungskosten über die gesamte Vertragsdauer kalkuliert. Aufgrund der vorzeitigen Kündigungen blieb der Dienstleister auf diesen Kosten sitzen. Dazu kommen "nicht unbedeutende Anwaltskosten im Zusammenhang mit der Verhandlung und Erstellung der Aufhebungsverträge mit den öffentlichen Auftraggebern".

Das Recht zur außerordentlichen Kündigung leitete der Dienstleister daraus ab, dass die Warnung des BSI einen Mangel begründe. "Zudem läge eine Zweckstörung vor, weil die Leistungen vom Endkunden nicht mehr in Anspruch genommen werden könnten", heißt es im Urteil des LG München weiter. Auch diese Zweckstörung stelle ebenfalls einen wichtigen Grund zur Kündigung dar. Zudem habe die "Störung der Geschäftsgrundlage" ihm ebenfalls ein Recht zur Kündigung gegeben. Deshalb wollte er 458.443,59 (brutto) nebst Zinsen haben.

Weder Sachmangel noch technischer Mangel

Diesen Anspruch lehnte das Gericht ab. Einem Sachmangel sah es in der BSI-Warnung nicht. Auch läge kein technischer Mangel der Software vor. "Die BSI-Warnung und die Sicherheitsbedenken beziehen sich nicht auf einen technischen Fehler der vertragsgegenständlichen Software, also nicht auf deren Beschaffenheit im eigentlichen Sinne", führt das Gericht aus.

"In der Warnung ist ausgeführt, dass alle Virenschutzprogramme über weitreichende Systemberechtigungen verfügen und systembedingt eine dauerhafte verschlüsselte und nicht prüfbare Verbindung zu Servern des Herstellers unterhalten. Es liegt daher keine spezielle Sicherheitslücke der streitgegenständlichen Software vor, sondern es besteht nur der Verdacht, dass durch den Ukrainekrieg Russland diese grundsätzlich bei allen Virenschutzprogrammen bestehende Eingriffsmöglichkeit in IT-Systeme für Aufklärungs- oder Sabotageaktionen nutzt."

Keine unmittelbare Notwendigkeit zum Austausch

Durch diese äußeren Umstände werde aber "die Tauglichkeit zum vertragsgemäßen Gebrauch nicht beeinträchtigt". Auch sei durch die Warnung der Gebrauch der Software nicht verboten wurde. Auch eine "konkrete Gefahr für einen unberechtigten Datenzugriff durch Russland", sah das Gericht nicht, weil zuvor noch kein Angriff über die Software erfolgt sei.

Weiter führt das Gericht aus: "Zu berücksichtigen ist insbesondere auch, dass das BSI zwar den Austausch empfiehlt, aber stets zuvor eine individuelle Bewertung und Abwägung für notwendig hält. Daraus ergibt sich, dass das BSI davon ausgeht, dass die individuelle Analyse auch ergeben könnte, dass eine Weiterverwendung von K. möglich ist."

Die im April 2022 erlassene Sanktionsverordnung untersagte nur die Nutzung durch öffentliche Unternehmen über bestimmten Grenzwerten. Dass die Parteien im Vertrag die Endkunden benannt haben, hilft dem Dienstleister nicht. Das Gericht sagt dazu: "Selbst wenn hier nur die Weitervermietung an die benannten Endkunden erlaubt war, ergibt sich hieraus nicht, dass die Beklagte eine unbedingte Einstandspflicht auch für den Fall einer hoheitlichen Untersagung übernehmen wollte."

Der Distributor habe vielmehr weder einen Einfluss auf diese Umstände gehabt, noch habe er die Gewähr dafür übernommen, dass der Dienstleister die Produkte in jedem Fall an die Endkunden weitervertreiben kann. Immerhin hatte der Dienstleister einen Anspruch auf Rückzahlung von gut 103.000 Euro (zuzüglich Zinsen) der aufgrund der Vertragsanpassung zu viel bezahlten Miete.

Mehr zum Thema

Folgen der BSI-Warnung für Kaspersky-Kunden und Händler

Kritik am BSI wegen Warnung vor Kaspersky

Kaspersky steht Partnern Rede und Antwort

BSI durfte vor Kaspersky-Produkten warnen

Zur Startseite