Schadensumfang
Häufig lässt der Auftraggeber und Kunde eingetretene Schäden an Datenbeständen, Software oder Hardware von eigenen festangestellten Mitarbeitern beseitigen. Dann kann er anteilige Arbeitslöhne nicht als Schaden einfordern. Es handelt sich bei diesen Kosten um so genannte "Sowieso-Kosten". Der Arbeitnehmer des Kunden hätte auch ohne den konkreten Arbeitsanfall auf der Gehaltsliste des Auftraggebers gestanden. Der Kunde hätte ihn sowieso bezahlen müssen. Anders ist die Situation zu beurteilen, wenn ein Mitarbeiter durch die Arbeiten zur Schadensbeseitigung für einen längeren Zeitraum seinen eigentlichen Aufgaben nicht nachkommen kann und beispielsweise der Arbeitgeber externe Kapazitäten zu kaufen muss, um den internen Ausfall zu kompensieren.
Daneben können als Schadensposition die weiteren Schäden vom Kunden eingefordert werden, die eintreten, weil die Sicherheitslücke das Computersystem oder gar die Produktion des Unternehmens stillgelegt hat.
Haftungsausschlüsse in Verträgen
Aus Sicht des Anbieters und Auftragnehmers sollte eine Haftung insbesondere durch eine genaue Beschreibung des Fehlerbegriffs in den Verträgen reduziert werden. Ein Fehler ist eine für Käufer nachteilige Abweichung der Ist-Beschaffenheit von der Soll-Beschaffenheit der Kaufsache. Die Definition der Soll- Beschaffenheit richtet sich vorrangig nach den vertraglichen Vereinbarungen.
Soweit Verträge oder Vertragsregelungen gegenüber Kunden häufiger genutzt werden, fallen diese unter die gesetzlichen Regelungen zu den Allgemeinen Geschäftsbedingungen. Wenn Allgemeine Geschäftsbedingungen vorliegen, sind Haftungsausschlüsse für Sicherheitslücken nur in sehr engen Grenzen möglich. In individuell ausgehandelten Verträgen sind dagegen die Spielräume größer.
Zusammenfassend ist einem Auftragnehmer und Programmierer zu empfehlen, insbesondere Wert auf die vertraglichen Festlegungen zur Fehlerdefinition zu legen.
Daneben sollten die Möglichkeiten der vertraglichen Haftungsreduzierungen genutzt werden.