Gewährleistungsrechte
Der Schadensersatz schützt das Integritätsinteresse, will also einen Vermögensverlust kompensieren. Dagegen kommt den Gewährleistungsrechten die vorrangige Aufgabe zu, das Äquivalenzinteresse zu schützen. Gewährleistungsrechte zielen damit darauf ab, dass ein Auftraggeber eine Gegenleistung in der vereinbarten Qualität bekommt.
Ob dem Auftraggeber bei einer Schlechtleistung Gewährleistungsrechte zustehen, richtet sich danach, wie der maßgebliche IT-Wartungsvertrag ausgestaltet ist. Wird in der Leistungsbeschreibung ein Erfolg versprochen, hat der Wartungsvertrag regelmäßig den Charakter eines Werkvertrags. Dem Auftraggeber stehen damit grundsätzlich Gewährleistungsrechte zu.
Schuldet der Auftragnehmer dagegen lediglich ernstliches Bemühen, hat der Wartungsvertrag zumeist einen dienstvertraglichen Charakter und dem Auftraggeber stehen dann keine Gewährleistungsrechte zu. Dass diese Unterscheidung nicht lediglich von akademischem Interesse ist, zeigt folgendes Beispiel:
Hat der Auftragnehmer bei einer Serverwartung einen Fehler nur unzureichend behoben, wird er bei einem dienstvertraglichen Charakter des Wartungsvertrags einen zweiten Fehlerbehebungsversuch regelmäßig erneut in Rechnung stellen. Demgegenüber hat der Dienstleister bei einem IT-Wartungsvertrag mit werkvertraglicher Prägung die bereits beim ersten Versuch geschuldete Reparatur kostenlos nachzuholen (§ 635 BGB) und bei unberechtigter Weigerung kann der Auftraggeber die Reparatur nach Fristsetzung regelmäßig auf Kosten des Auftragnehmers von einem Dritten durchführen lassen (§ 637 BGB).
Datenschutzrechtliche Implikationen
Datenschutz wird in der Praxis oft vernachlässigt. Teilweise liegt dies an der Nachlässigkeit der Verantwortlichen und oft auch schlicht an rechtlicher Unkenntnis. Ein fehlerhafter Umgang mit personenbezogenen Daten wird gemäß dem Bundesdatenschutzgesetz (BDSG) mit einem umfangreichen Bußgeldkatalog und Strafvorschriften geahndet (§§ 43, 44 BDSG).
In besonderem Maße betroffen sind Ärzte, Wirtschaftsprüfer, Anwälte, Amtsträger und verschiedene Versicherungen sowie Abrechnungsstellen, denn bei ihnen ist das Offenbaren eines fremden Geheimnisses mit Freiheitsentzug von bis zu einem Jahr unter Strafe gestellt (§ 203 StGB). Dabei werden unter einem Geheimnis solche Tatsachen verstanden, die sich auf den Betroffenen beziehen, nur einem begrenzten Personenkreis bekannt sind und an denen ein sachlich begründetes Geheimhaltungsinteresse besteht. Schon das Bestehen eines Vertragsverhältnisses kann unter Umständen als Geheimnis angesehen werden und muss in solchen Fällen vertraulich behandelt werden (Heghmanns/Niehaus, NStZ 2008, 57, 58).
Dienstleister gelangen an Geheimnisse
Oftmals wird von den Verantwortlichen übersehen, dass ein Offenbaren bereits darin liegen kann, dass ein externer Dienstleister bei seinen Wartungsaufgaben Zugriff auf relevante Datensätze eingeräumt bekommt und dadurch ohne Weiteres eine Kenntnisnahme des Geheimnisses möglich ist (BGH NJW 1995, 2915, 2916). Das ist insoweit bemerkenswert, als dies gegenüber beim Auftraggeber angestellten Arbeitnehmern anders beurteilt wird, denn zwischen dem Geheimnisträger und dessen Arbeitnehmern besteht eine Funktionseinheit.
Demgegenüber liegt bei IT-Wartungsverträgen keine Funktionseinheit vor, da es gerade dem Zweck der Beauftragung externer Dienstleister entspricht, einzelne Aufgaben außerhalb des eigenen Unternehmens wahrnehmen zu lassen (LG Bonn NJW 1995, 2419, 2420). An dieser rechtlichen Beurteilung würde sich auch dann nichts ändern, wenn der Dienstleister seinerseits vertraglich zur Geheimhaltung verpflichtet wäre (vgl. Weidemann in: von Heintschel-Heinegg, Beck’scher Online-Kommentar, § 203, Rn. 32).
Teilweise wird allerdings vertreten, dass bei der Kenntnisnahme von Geheimnissen durch sogenannte "berufsmäßig tätige Gehilfen" eine Strafbarkeit des primär Schweigepflichtigen nicht begründet wird, was im Einzelfall auch Auswirkungen auf IT-Wartungsverträge haben kann. In Rechtsprechung und Literatur ist bisher indes ungeklärt, unter welchen Voraussetzungen ein externer IT-Dienstleister berufsmäßig tätiger Gehilfen ist. Um eine Kenntnisnahme Dritter auszuschließen und den Straftatbestand zu umgehen, ist es daher Auftraggebern von IT-Wartungsleistungen in jedem Fall dringend angeraten, die maßgeblichen Daten unkenntlich zu machen oder einen zuverlässigen Verschlüsselungsmechanismus einzusetzen (Cierniak in: Münchener Kommentar zum StGB, § 203 StGB, Rn. 48). (oe)
- 1. Der Kreuzzügler
Er weiß, wie IT organisiert gehört, und zögert nicht, im Dienste dieser guten Sache selbst tätig zu werden. Um das zu illustrieren, lässt Tynan einen Softwareentwickler namens Jon Heirmerl zu Wort kommen. Heirmerl kannte einen Netzwerkadministrator, der ständig durch die Büros schlich. Entdeckte er irgendwo einen verwaisten PC, dessen Nutzer sich nicht ausgeloggt hatte, löschte er sämtliche Dateien. Eines Tages flog der Admin auf – ein direkter Kollege von Heirmerl erwischte ihn an seinem Rechner. Der Übeltäter gab sofort alles zu, zeigte sich aber uneinsichtig – er habe den Leuten doch nur "eine Lektion erteilen" wollen, beteuerte er. Glaubt man Heirmerl, revanchierte sich sein Kollege mit einer sehr handfesten Lektion – er schlug den Netzwerkadministrator ins Gesicht. Seitdem war es vorbei mit dessen Kreuzzügen. Tynans Vorschlag für ein sanfteres Gegenmittel: Bestimmte Aufgaben sollten unbedingt mindestens zwei Personen verantworten. Das verhindert Alleingänge. - 2. Der Gemischtwarenhändler
Mancher IT-Manager glaubt, Administratoren seien damit ausgelastet, Server am Laufen zu halten und Endanwender glücklich zu machen (oder zumindest ruhig zu halten). Das gilt jedoch offenbar nicht für alle Admins. Mancher betätigt sich nebenbei – im Unternehmen während der Arbeitszeit – per Internet als Händler. Das Portfolio reicht von Satellitenschüsseln bis zu Tarot-Karten. Winn Schwartau vom Sicherheitsanbieter Mobile Active Defense berichtet von einem Systemadministrator, der von seinem Arbeitsplatz aus eine gebührenpflichtige Porno-Seite betrieb. Seine Einschätzung: Diese Administratoren werden zu selten überwacht. Gegenmittel: Zugangs- und Netzwerkmanagement-Tools installieren. - 3. Der Voyeur
Nach Darstellung von itworldcanada.com haben relativ viele Systemadministratoren entweder zu wenig Arbeit oder zu viel Neugier. Das kontern sie, indem sie auf den Bildschirmen der Belegschaft herumschnüffeln. Josh Stephens vom Anbieter Solarwinds erzählt von einem eigenen Erlebnis. Seine Firma vertreibt Netzwerkmanagement-Software. Stephens wollte 30 Führungskräften eines Interessenten demonstrieren, wie die Tools arbeiten. "Demonstrationsobjekt" war ein zufällig ausgewählter Angestellter. Der allerdings stellte gerade seinen Lebenslauf bei Monster.com ein. Danach fing er an, World of Warcraft zu spielen – vor aller Augen. Ihm habe das echt leid getan für den Mann, beteuert Stephens. Seines Wissens wurde der Mitarbeiter entlassen. Ob er selbst die Firma als Kunden gewinnen konnte, verschweigt er allerdings. Als Präventionsmaßnahme empfiehlt itworldcanada, privilegierte Administratoren psychologischen Checks zu unterziehen. Was beispielsweise Justizbehörden für ihre Bewerber und Angestellten anwenden, könne Sicherheitsexperten in Unternehmen als Beispiel dienen. - 4. Der Spion
Diebstahl von Firmengeheimnissen und geistigem Eigentum zählen heutzutage zu den größten Risiken für ein Unternehmen. IT-Administratoren stellen eine echte Gefahr dar, weil sie auf so viele Daten zugreifen können. Dagegen sind auch kaum Vorsichtsmaßnahmen zu treffen. Natürlich kann und soll jedes Unternehmen Mitarbeiter zur Verschwiegenheit verpflichten. Gegen Admins mit krimineller Energie dürfte das allerdings nicht allzu viel nützen. - 5. Der Rächer
Sie ändern heimlich Passwörter und sagen niemandem etwas davon. Sie schleusen Viren ein. Oder sie hacken die Systeme der Kunden ihres eigenen Unternehmens. Keine Rache sei so furchtbar wie die eines Administrators, der sich ungerecht behandelt fühlt, versichert Dan Tynan. Ungerecht behandelt kann heißen: Der Bonus ist zu klein, die Arbeit wird nicht gewürdigt – oder der Admin wird gekündigt. Zumindest im letzten Fall kann das Unternehmen gewisse Vorsorgemaßnahmen treffen. Laut Studien der Carnegie Mellon University passiert der Großteil interner Datenschäden in den zehn letzten Arbeitstagen eines bereits gekündigten Mitarbeiters. Das heißt: Muss jemand entlassen werden, sollte er von dem Moment an von wichtigen Systemen ausgeschlossen bleiben. - Kennen Sie auch solche Mitarbeiter?
In vielen mittelständischen Firmen gibt es unangenehme IT-Administratoren. Typen, die heimlich Dateien von Kollegen löschen oder Firmengeheimnisse verhökern. Dan Tynan hat auf unserer Schwesterpublikation itworldcanada.com von fünf Typen berichtet, die IT-Verantwortliche zur Weißglut bringen können. Lesen Sie selbst!