Einen 100prozentigen Schutz vor Sicherheitslücken kann eine Programmierung nicht bieten. In den Verträgen werden trotz dieses Risikos die Sicherheitsanforderungen häufig nicht näher definiert. Der nachfolgende Beitrag soll aufzeigen, welche Haftungsregelungen für Sicherheitslücken bei der Programmierung von Websites bestehen.
Was ist ein Fehler?
Wenn Programmierer und Juristen von einem Softwarefehler sprechen, gehen sie von zwei unterschiedlichen Begriffen aus. Bei der rechtlichen Beurteilung der Frage, ob ein Fehler vorliegt, wird nicht auf den Fehlerbegriff der Informatik abgestellt. Es gibt unabhängig von der Informatik einen juristischen Fehlerbegriff. Für die Sichtweise der Juristen ist es beispielsweise unerheblich, ob das Programm an sich laufen könnte und insofern isoliert betrachtet funktionsfähig wäre. Dies steht einem "juristischen" Mangel nicht entgegen.
Das Bürgerliche Gesetzbuch (BGB) fordert für Kaufverträge in § 433 Absatz 1, dass eine Kaufsache frei von Sachmängeln zu sein hat. Dabei differenziert das Gesetz nicht zwischen erheblichen und unerheblichen Mängeln. Aus Sicht des Gesetzgebers hat ein Verkäufer eine fehlerfreie Programmierung oder ein fehlerfreies Programm zu liefern. Auch für Werkverträge stellt der Gesetzgeber in § 633 BGB die Forderung auf, dass das zu erstellende Werk frei von Sach- und Rechtsmängeln sein muss.
Ohne genauere vertragliche Angaben wird bei der Programmierung von Websites erwartet werden können, dass wie bei jedem anderen technischen Produkt der Stand der Technik eingehalten wird. Wird dieser Stand der Technik unterschritten, so liegt ein haftungsbegründeter Sicherheitsmangel vor.
Je nach Umfang der Beauftragung können Firewalls und Scan-Programme gegen zum Zeitpunkt der Programmerstellung gängige und bekannte Viren zum Stand der Technik zählen. Allerdings müssen Firewalls nicht unüberwindlich sein.
Es empfiehlt sich, auf absehbare Sicherheitslücken oder beispielsweise den Einsatz von offenen Protokollen vertraglich hinzuweisen oder in den vertraglichen Regelungen die geschuldeten Schutzmaßnahmen konkret zu beschreiben.