Über Ralph Günther

Als Gründer der exali GmbH verfüge ich über langjährige Erfahrung im Riskmanagement und der Versicherung von IT-Experten, Medienschaffenden und Consultants. Mehr

Zum Versicherungsportal

exali.de - Mein Business bestens versichert

RSS

RSS

Networking

Follow exali on Twitter  

Meta

Diese Seite wird überprüft von der Initiative-S

Teil 2 von 3 aus der Serie „Open Source Software“

„Ich habe derzeit kein Budget, die Webseite zu aktualisieren“. Welcher Programmierer oder Webentwickler hat diesen Satz nicht schon einmal von seinem Kunden gehört.

Doch Webshops und Content-Management-Systeme (CMS) auf Open-Source-Basis, die nicht regelmäßig mit Sicherheits-Updates auf den aktuellen Stand gebracht werden, bergen erhebliche Sicherheitsrisiken. Nachzulesen auch im ersten Teil meiner Serie über Open Source Software.

Wer haftet aber, wenn der Super-Gau eintritt und die Website oder der Onlineshop von Dritten gehackt wird und sensible Kundendaten gestohlen werden? Viele Entwickler von Open Source Software setzen voraus, dass sie in diesem Fall nicht haften, da sie eben nicht explizit für Sicherheitsupdates beauftragt worden sind. Der Kunde wird das in aller Regel jedoch anders sehen. Hätte die Webagentur den Kunden auf die neuen Sicherheitsupdates aufmerksam machen müssen? Und wenn dies geschehen ist, kann er dies letztlich auch nachweisen?Viele Fragen, wenig Antworten und eine schwierige rechtliche Situation. Prinzipiell muss der Ersteller einer Webseite nach dem „Stand der Technik“ arbeiten und die uneingeschränkte Nutzung der Webseite durch den Kunden sicherstellen. Darunter fällt z.B. dass die Webseite keine Rechte Dritter verletzt (z.B. Bildlizenzen), aber auch Aspekte wie die langfristige Funktion und die Sicherheit der Webseite. Letzteres wird der Open-Source-Entwickler aber nur durch Sicherheits-Updates sicherstellen können.

Auf der sicheren Seite: Lösungen in Theorie und Praxis

Für die Lösung der geschilderten Probleme gibt es sicherlich keinen „Königsweg“. Auch die Rechtsprechung ist in diesem Bereich noch nicht gefestigt. Ich selbst kann diese Frage nicht abschließend beantworten. Jedoch möchte ich mit Open-Source-Systemen arbeitende Webagenturen und Webentwickler sensibilisieren, für solche Fälle vorzusorgen. Dazu gibt es mehrere Möglichkeiten:

a) Offene Kommunikation mit dem Kunden

Mein Rat an dieser Stelle: Kommunizieren Sie mit Ihrem Kunden diese Dinge offen und zwar von Beginn an. Sagen Sie dem Kunden, dass er neben den Kosten für das einmalige Aufsetzen des CMS, die Templates etc. auch ein jährliches Budget von xy Euro für Sicherheits-Updates und sonstige Aktualisierungen einkalkulieren muss.

Dies sollten Sie auch im Angebot vermerken. Wenn Sie dann später ein Sicherheits-Update einspielen müssen, können Sie auf den Zusatz im Angebot verweisen.

b) Updateverträge / Serviceverträge mit dem Kunden schließen

Noch besser ist es natürlich, diese Dinge gleich zusammen mit dem Auftrag für die Erstellung des Open-Source-Projekts vertraglich zu regeln z.B. über einen entsprechenden „Updatevertrag“. Dadurch kann der Webentwickler bei Erscheinen eines Sicherheitspatches das System seines Kunden ohne gesonderte Beauftragung updaten. In meiner Schadenpraxis muss ich jedoch regelmäßig feststellen, dass Webagenturen, die auf Basis von Open Source arbeiten, keine Updateverträge mit ihren Kunden schließen. IT-Unternehmen, die hauseigene Systeme entwickeln, setzen Update- und Serviceverträge dagegen meist voraus.

Ich kann einerseits verstehen, dass Freelancer die Kosten für einen spezialisierten Anwalt zur Erstellung von AGB, Projekt- und Serviceverträgen scheuen. Andererseits gehört dies aus meiner Sicht mittlerweile ebenso zum professionellen Arbeiten, wie die dafür notwendige Hard- und Software.

Wer Serviceverträge nicht nur als „notwendiges Übel“, sondern als Chance versteht, kann über die damit verbundenen Servicepauschalen durchaus auch ein monatliches „Grundeinkommen“ generieren. Der Vorteil: Sie können Umsätze nicht nur durch immer neue Aufträge, sondern auch über die bereits abgewickelten Projekte generieren. Nicht zuletzt sind Updates eine gute Gelegenheit, mit dem Kunden wieder in Kontakt zu treten und in diesem Zusammenhang weitere geschäftliche Anknüpfungspunkte zu finden.

In jedem Fall sollten Sie einen Prozess integrieren, in dem Sie alle ihre Kunden, die ein bestimmtes Open Source CMS verwenden, z.B. per Mailing regelmäßig über wichtige Updates informieren. Es empfiehlt sich, diese Kundeninformationen als Nachweis zu dokumentieren.

Ich persönlich halte den Abschluss eines Updatevertrages unumgänglich, um spätere Haftungsstreitigkeiten zu vermeiden.

c) Risiko durch Vermögensschadenhaftpflichtversicherung reduzieren

Doch weder sauberes Arbeiten, die offene Kommunikation mit dem Kunden oder auch vertragliche Vereinbarungen bieten aufgrund der rechtlich schwierigen Situation einen 100%igen Schutz vor Schadenersatzforderungen. Deshalb ist eine Vermögensschadenhaftpflichtversicherung für Webdesign und Webentwicklung eine zentrale Komponente, um die Haftung im Umgang mit Open Source auf ein vertretbares Minimum zu reduzieren. Eine branchenspezifische Versicherung (z.B. media-Haftpflichtversicherung oder IT-Haftpflichtversicherung übernimmt in diesem Zusammenhang zwei wichtige Aufgaben:

  1. Im Rahmen der Schadenabwicklung werden die Verantwortlichkeiten und das Verschulden des Webdesigners/Webentwicklers auf Kosten des Vermögensschadenhaftpflichtversicherers geklärt (so genannter passiver Rechtsschutz).
  2. Eine berechtigte Schadenersatzforderung z.B. für einen Umsatzausfall einer Webseite wird vom Versicherer bis zur Höhe der Versicherungssumme abzüglich der Selbstbeteiligung gezahlt. Versicherungssummen zwischen 250.000 Euro und 1 Million Euro sind durchaus üblich und finanzierbar.

Im dritten und letzten Teil der Serie „Open Source Software“ erfahren Sie, wie ein Rechtsexperte die Haftungssituation in diesem Bereich kommentiert.

Weiterführende Informationen

Eine Antwort auf “Open-Source-Systeme: Haftungsrisiken durch Update-Verträge minimieren”

  1. Ben sagt:

    Ich persönlich finde neben den Updates auch einen Backupvertrag unumgänglich. Viele Hostingpakete haben kein Raid-System enthalten, da kommt man an einem regelmäßigem Datenbank Backup nicht vorbei.

Schreiben Sie einen Kommentar

Wenn Sie einen Kommentar abgeben, speichern wir zu den eingegebenen Daten Ihre IP-Adresse. Weitere Informationen finden sie in unserer Datenschutzerklaerung.

Time limit is exhausted. Please reload CAPTCHA.