Ein Systembetreiber verpflichtet sich, den Zugang zu den Systemen oder der Website des Kunden sicherzustellen. Dabei kann er wegen der Offenheit des Netzes weder einen absolut störungsfreien Datentransport gewährleisten noch dafür garantieren, dass die Verbindung zum System stets funktioniert. Nur ausnahmsweise statuieren Zugangs- und Dienstleistungsverträge eine Garantie über die Datengeschwindigkeit und die Verfügbarkeit, insbesondere die Störungsfreiheit des Zuganges und der Datenübermittlung. Resultiert ein Schaden als Folge eines Systemausfalls, mangelhafter Datensicherung oder Vernachlässigung des sachgemässen Unterhalts der Anlagen und EDV-Systeme, hängt die Haftung des Systembetreibers einerseits davon ab, ob die schadensverursachende Komponente des Systems (Server, Software, privates respektive öffentliches Netzwerk) seiner Einflusssphäre zuzuordnen ist und welche Leistungen vertraglich vereinbart wurden. Der Systembetreiber haftet grundsätzlich für verschuldete Organisations-, Wartungs- und Überwachungsfehler.
Haftungsfreizeichnungen
Mit dem Ziel, das Risiko in ihrem Einflussbereich zu reduzieren, beschränken sich Systembetreiber regelmässig darauf, die Haftung für fehlende Verfügbarkeit von Systemen oder einwandfreien und geschützten Datentransport vollständig auszuschliessen. Haftungsfreizeichnungen sind im vertraglichen Verhältnis zwar grundsätzlich zulässig, unterliegen aber den Grundsätzen der gültigen Übernahme von Allgemeinen Geschäftsbedingungen (AGB) und auch den allgemeinen Schranken der Artikel 100/101 OR. Die Haftung für leichte Fahrlässigkeit, Zufall und höhere Gewalt darf wegbedungen werden, nicht jedoch im Voraus auch die Haftung für rechtswidrige Absicht und grobe Fahrlässigkeit. Ebenfalls kann die Haftung für vertragliche Hauptleistungspflichten, für zugesicherte Eigenschaften oder Leistungen sowie die typischen allgemeinen Sorgfaltspflichten (wie die Pflicht zur Sicherung der eigenen Anlage und der Daten) nicht ausgeschlossen werden. Statt sich mit einer umfassenden Haftungsfreizeichnung in trügerischer Sicherheit zu wiegen, empfiehlt sich dem Systembetreiber zur erfolgreichen Minimierung seines Haftungsrisikos die Berücksichtigung folgender Punkte:
1. Technische Massnahmen
Der Systembetreiber hat alle ihm zumutbaren, dem Stand der Technik entsprechenden Massnahmen bei Wahl, Installation, Wartung und Absicherung des Systems zu treffen. Im Rahmen des vertraglichen Anspruchs auf einen ordentlichen Zugang zum Netz muss die vertraglich vereinbarte oder eine minimale Durchschnittsgeschwindigkeit gewährleistet werden. Um den Ausfall seines Systems im Fall von Störungen möglichst einzudämmen respektive schnell beheben zu können, muss der Systembetreiber also genügend Netzwerk- und Serverkapazitäten und ein wirksames Support- und Wartungssystem zur Verfügung stellen. Zu den nötigen und zumutbaren Schutzmassnahmen gehören auch das Verfügbarmachen von Reserveeinheiten, die Umleitung des Datenstroms und die Schaffung von Redundanzen. Der Anbieter von
E-Mail-Diensten verpflichtet sich, die nötigen und geeigneten Sicherungsmassnahmen innerhalb seines Verantwortungsbereichs vorzunehmen, damit die E-Mails im Briefkasten des Kunden geschützt und während der vertraglich vereinbarten Zeit verbleiben.
2. Ständige Überprüfung der Systemressourcen
Systemverträge sind in der Regel auf längere Dauer angelegt. Die Systemsicherheit und die Belastungen, denen ein System ausgesetzt ist, ändern jedoch ständig. Es ist deshalb entscheidend, dass der Systembetreiber die Systemsicherheit und –leistungsfähigkeit laufend überprüft und für die den Systemressourcen entsprechende Vertragsrealität oder umgekehrt sorgt.
3. Information über
bestehende Risiken
Soweit die Verfügbarkeit und Datensicherheiten im System nicht sichergestellt werden können, trifft den Systembetreiber die Pflicht zur Vornahme einer detaillierten Risikoanalyse. Er ist gehalten, seinen Kunden über die bestehenden Risiken aufzuklären.
4. Klare vertragliche Definition
des Leistungsgegenstandes
Entscheidend ist, dass die technischen Systeme den in den Allgemeinen Geschäftsbedingungen oder Service Level Agreements vereinbarten Leistungsbeschreibungen entsprechen. Es empfiehlt sich deshalb, die einzelnen Leistungen im Vertrag detailliert festzuhalten und die Systemverfügbarkeit in Prozenten zu beziffern. Insbesondere sind Leistungseinschränkungen wie Reaktions-, Wartungs- und Ausfallzeiten klar und deutlich zu regeln.
5. Zuständigkeits- und Verantwortungsbereiche des Kunden
Wie der Systembetreiber keine Gewähr für ausserhalb seiner Einflusssphäre liegende Systemkomponenten übernehmen kann, sollte er vertraglich auch die Verantwortlichkeit für seinem Kunden gewährte Zugriffs- und Administrationsrechte klar abgrenzen.
Der Autor
Michael Vonmoos (Bild), Rechtsanwalt und Notar, ist Mitinhaber der Firma LAWTANK GmbH (www.lawtank.ch) in Fribourg und als Partner der
Anwaltskanzlei SchaerPartners in Bern/Biel (www.schaer-partners.ch) im Bereich des Informatik- und Immaterialgüterrechts tätig.
