Agile Software-Projekte und Vertragsrecht

Es ist ja schön, wenn Software-Projekte mit zeitgemäßen, agilen Methoden wie Scrum oder Lean Startup durchgeführt werden. Aber wie soll man das im deutschen Vertragsrecht mit seiner Einteilung in Werkvertrag und Dienstvertrag angemessen abbilden? Was soll im Vertrag stehen, wenn das Endprodukt beim Abschluss noch gar nicht klar ist?

Schließlich gibt es im agilen Umfeld keine lange Pflichten- und Lastenhefte. Es geht ja darum,  für neue oder unbekannte Aufgaben neue, noch nicht bekannte Lösungen zu finden und den genauen Bedarf im Prozess selbst zu ermitteln. Trotzdem sollen zwischen Auftraggeber und Software-Dienstleister solide rechtliche Verhältnisse herrschen.

Diesen Fragen widmet sich Björn Schotte, Geschäftsführer des Webentwicklers Mayflower, in einem zweistündigen Webinar. Er skizziert  aus der Perspektive des Software-Dienstleisters mehrere Vertragsmodelle für agile Projekte, die sein Unternehmen auch tatsächlich verwendet.

Seine Grundthese: Die rechtlichen Rahmenbedingungen müssen auf beiden Seiten eines agilen Projektes kooperatives Verhalten erwirken. Nicht-kooperatives Verhalten wird sanktioniert. Der Auftraggeber kann unter bestimmten Bedingungen die Zusammenarbeit beenden oder etwa Zahlungen für einzelne User Stories verweigern. Der Dienstleister kann unter bestimmten Umständen die Zusammenarbeit als Dienstvertrag (T&M) fortführen.

Die Formalisierung einer kooperativen Grundeinstellung ergibt auch aus meiner Sicht als Versicherungsexperte viel Sinn: Kooperation und Vertrauen vermindern schlicht das Risiko und damit die Kosten des Risikomanagements. Wenn es gelingt, etwas so schwer Greifbares wie Kooperationsbereitschaft in ein greifbares, überzeugendes Vertragswerk zu gießen, sinken die Versicherungskosten für das Software-Projekt.

Denn natürlich kann man auch Software-Projekte separat versichern, also zum Beispiel

  • Honorar-Ausfälle durch außerordentliche Vertragskündigung bzw. Rücktritt,
  • anfallende Vertragsstrafen und
  • eine Nachhaftung des Dienstleisters.

Das macht – neben zeitgemäßen Verträgen – den Schutz von Auftraggeber und Dienstleister komplett.  Wenn Sie mehr wissen wollen:  Fragen Sie mich – dafür bin ich ja da, als Versicherungsmakler und Rechtsanwalt.

Interner oder externer Datenschutzbeauftragter? Auch Risiken und Haftung zählen

Ob ein interner oder externer Datenschutzbeauftragter für ein IT-Unternehmen die bessere Wahl ist, hängt nicht nur von den direkten Kosten ab. Wichtig sind auch die Auswirkungen auf das Unternehmensrisiko und mögliche Haftungsgesichtspunkte.

Haftung beim Datenschutz

Für IT-Unternehmen ist es besonders „leicht”, gegen Datenschutzbestimmungen zu verstoßen. Mit personenbezogenen Daten zu arbeiten ist für sie ja Alltag. Dafür genügt es schon, wenn sie für ein anderes Unternehmen eine Datenbank mit dessen Kunden-, Bestell- oder Personaldaten anlegen oder pflegen. Prompt ergibt sich eine ganze Reihe von Rechtspflichten (aus dem Bundesdatenschutzgesetzes BDSG , aber auch aus anderen Gesetzen wie dem  TKG oder dem TMG) und damit eine Menge Stolperfallen.

Die Liste der Details, auf die das Unternehmen beim Datenschutz  achten muss, reicht …

  • von der formellen, schriftlich fixierten Beauftragung  bei Datenverarbeitung im Auftrag des Kunden …
  •  über die Bestellung eines kompetenten  internen oder externen Datenschutzbeauftragten (Pflicht spätestens ab 10 Personen, die  mit personenbezogenen Daten zu tun haben einschließlich freier Mitarbeiter, Praktikanten etc.) sowie …
  • umfangreichen Dokumentationspflichten (interner und externer Verfahrensnachweis) bis hin zu …
  • Auskunfts- und Belehrungspflichten gegenüber Dritten.

Für die Einhaltung der Datenschutzvorschriften ist die Geschäftsführung verantwortlich. Diese Verantwortung lässt sich auch nicht einfach delegieren, bei einem Datenschutzverstoß muss sich der Geschäftsführer oder der Vorstand zumindest ein Organisationsverschulden anrechnen lassen.

Wann haftet ein externer Datenschutzbeauftragter?

Schon aus Haftungsgesichtspunkten ist es oft sinnvoll, einen externen Datenschutzbeauftragen zu engagieren. Dieser haftet grundsätzlich einmal dafür, dass er seine Funktion ordentlich erfüllt –  egal ob es sich um einen Rechtsanwalt handelt oder ob man einen spezialisierten Dienstleister wie etwa den TÜV oder das IITR nutzt. Natürlich kommt es auf die Vertragsgestaltung an, ein kompletter Haftungsausschluss oder die pauschale Beschränkung auf eine bestimmte Summe  ist für externe Datenschutzbeauftragte nach gängiger Rechtsansicht jedoch nicht möglich.

Deshalb brauchen externe Datenschutzbeauftragte auch unbedingt eine Versicherung ihrer beruflichen Vermögensschadenshaftpflicht. Von einem externen Datenschutzbeauftragten sollten Sie sich deshalb auf jeden Fall eine Versicherungsbestätigung vorlegen lassen, als Nachweis einer angemessenen Vermögensschadenhaftpflichtversicherung. Handelt es sich um einen  Rechtsanwalt, dann ist er zwar ohnehin pflichtversichert, aber seine  anwaltliche Berufshaftpflichtversicherung deckt nicht von vornherein mögliche Schäden aus der Tätigkeit als externer Datenschutzbeauftragter ab. Dafür ist eine Erweiterung der Police oder eine Zusatzversicherung notwendig. Das gilt natürlich auch für andere Berufe.

Allerdings kann ein  Unternehmen, das einen externen Datenschutzbeauftragten bestellt, die Haftung nicht einfach an diesen „weitergeben”. Kommt es zu einem Datenschutzverstoß, ist dennoch die Unternehmensleitung die Adresse für den Geschädigten. Muss das Unternehmen aber z. B. Schadenersatz leisten, kann es seinerseits den externen Datenschutzbeauftragen in Anspruch nehmen, falls dieser durch seine Tätigkeit den Verstoß hätte verhindern können und müssen.

Im Gegensatz zu einem internen Mitarbeiter, der als Arbeitnehmer nur beschränkt haftet, muss ein externer Beauftragter nicht etwa grob fahrlässig oder vorsätzlich gehandelt haben, um zu haften – einfaches Verschulden reicht grundsätzlich. Deshalb ist der Versicherungsnachweis wichtig. Er stellt sicher, dass die  die Ansprüche des Unternehmens im Falle eines Falles nicht ins Leere gehen.

Hat die Geschäftleitung jedoch einen unversicherten Datenschutzbeauftragten unter Vertrag genommen und gehen Regressansprüche finanziell ins Leere, muss der Geschäftsführer bzw. Inhaber unter Umständen sogar damit rechnen, dass ihm das als Auswahlverschulden zur Last gelegt und daraus seine eigene persönliche Haftung abgeleitet wird.

Unternehmensrisiken verringern

Eine Anmerkung aus der Sicht des Versicherungsmaklers und Versicherungsexperten: Die Haftung des externen Datenschutzbeauftragten reduziert  das Risiko von Unternehmen und Geschäftsführung und damit den Versicherungsbedarf. Solche Haftungsaspekte sind für das Unternehmen selbst wichtig, sie fallen aber auch für mich als Versicherungsmakler ins Gewicht, wenn ich die Unternehmensrisiken begutachte.

Wie man sieht, ist  betrifft die Arbeit eines Versicherungsmakler nicht nur den Versicherungsabschluss. Meine Kunden und Mandanten erhalten gleichzeitig auch wichtige Anhaltspunkte für ihre Geschäftsentscheidungen.

Noch zwei Anmerkungen:

  •  Ein externer Datenschutzbeauftragter ist selbst aus Sicht des Personalwesens oft die sinnvollere Alternative. Ein interner Datenschutzbeauftragter ist im Rahmen dieser Tätigkeit von Weisungen unabhängig, hat Anspruch auf fortlaufende Weiterbildungen und genießt einen besonderen Kündigungsschutz – das kann zu Konflikten führen.
  • Immer wieder kommen Geschäftsführer auf die Idee, sich selbst zum Datenschutzbeauftragten zu bestellen oder dafür den Steuerberater zu nehmen, aber das  funktioniert nicht. Der Beauftragte darf nach gängiger Rechtsmeinung nicht in einem grundsätzlichen Interessenkonflikt zu seiner sonstigen Tätigkeit für das Unternehmen stehen.