Software-Aktualisierungen in Folge rechtlicher Vorschriften: Wer trägt die Kosten?
Rechtliche und aufsichtsrechtliche Vorschriften ändern sich ständig, sie werden erneuert und erweitert. Erhebliche Auswirkungen hat dies überall dort, wo diese Anforderungen in Software umgesetzt werden. Das ist vor allem bei betriebswirtschaftlichen Anwendungen der Fall: etwa in der Buchhaltung, im Rechnungswesen, bei Steuerberatern und Rechtsanwälten, bei Banken- und Versicherungen.
Einig sind sich Nutzer und Softwareanbieter in der Regel darüber, dass die Programme angepasst werden müssen. Doch wer trägt die Aufwände dafür - vor allem dann, wenn die Kosten ausufern? Ein prominentes Beispiel hierfür ist die Umsetzung der Datenschutzgrundverordnung (DSGVO), die aufgrund ihrer Tragweite nicht mehr einfach durch die pauschalen Vergütungen im Rahmen einer Software-Aktualisierung abgedeckt werden kann.
Ein weites Feld rechtlicher Anforderungen
Neben den Gesetzesänderungen geht es dabei auch um Vorgaben der Aufsichtsbehörden (bei Banken und Versicherungen sind dies etwa die Rundschreiben der BaFin), Verwaltungsrichtlinien und Gerichtsentscheidungen. Anbieter und Anwender haben hier unterschiedliche Interessen: Während Softwareanbieter um enge Definitionen und einen klar definierten Projektumfang bemüht sind, wird Anwendern an möglichst offenen Formulierungen gelegen sein, um eine große Zahl von Fällen abzudecken. Dieses Spannungsverhältnis wird man nicht allein über eine Definition lösen können, da selbst in Details einer gesetzlichen Regelung enorme Anpassungsaufwände stecken können. In den vertraglichen Regelungen ist zu diesem Thema mehr als eine Definition notwendig.
Umsetzung durch Change Management
Da beide Vertragspartner in der Regel ein Interesse daran haben, neue Anforderungen in die Software einfließen zu lassen, kann die praktische Umsetzung im Rahmen eines Change Management-Prozesses erfolgen. Dieser Prozess beinhaltet die Ermittlung und Analyse, Erfassung, Dokumentation, Genehmigung und Überwachung der rechtlichen Änderungen oder Neuerungen. Er stellt sicher, dass diese geplant, effizient, kostengünstig und mit einem für beide Vertragspartner kalkulierbarem Risiko ausgeführt werden.
Ob Miete oder Kauf: die Gebrauchstauglichkeit zählt
Beim Cloud Computing mietet ein Anwender in der Regel die Software. Der Anbieter muss also die Gebrauchstauglichkeit während der gesamten Vertragsdauer erhalten und Maßnahmen treffen, die dem Mieter den vertragsgemäßen Gebrauch ermöglichen. Dazu zählen insbesondere die Instandhaltung und Instandsetzung der Software. Dies verpflichtet den Vermieter, den vertragsgemäßen Zustand zu erhalten und Mängel zu beheben. Er muss also auch die Nutzung an Gesetzesänderungen anpassen, wenn andernfalls die Software wertlos und damit nicht mehr vertragsgemäß wäre.
Bei Cloud Computing-Lösungen wie Application Service Providing (ASP) und Software as a Service (SaaS) gilt diese Verpflichtung zur Erhaltung der Gebrauchstauglichkeit nicht nur für die Software, sondern für die gesamte Infrastruktur, die dem Anwender die Nutzung der Software ermöglicht. Für den Softwareanbieter sind damit nicht nur die rechtlichen Anforderungen an den fachlichen Anwendungsbereich relevant, sondern auch diejenigen, die die für den Betrieb der Anwendung notwendigen Komponenten betreffen, z.B. die IT-Sicherheit.
Auch beim Kauf von Software hat ein Kunde das Interesse, seine Investition in die Software abzusichern. Dazu schließt er in der Regel einen Pflegevertrag. Verpflichtet dieser den Softwareanbieter nicht nur zur Beseitigung von Mängeln, sondern auch zur Erhaltung der Betriebsbereitschaft und Gebrauchstauglichkeit der Software, ist der Anbieter verpflichtet, die Software an Änderungen der Rechtslage während der Laufzeit anzupassen. Insoweit entsprechen die Verpflichtungen aus dem Pflegevertrag häufig denjenigen bei einer Vermietung der Software.
Rechtliche Anforderungen managen
Um die Interessen von Anbieter und Anwender zusammenzubringen, bietet es sich an, einen gemeinsamen Prozess zu etablieren. Ein solcher Prozess sollte das Ermitteln und Managen der Anforderungen umfassen und die folgenden Schritte enthalten:
• Etablieren eines Regulatory Inventory: Damit können gesetzliche, aufsichtsbehördliche oder andere relevante Anforderungen aufgeteilt, die rechtlichen Anforderungen umgesetzt und mit allen betroffenen Kunden des Softwareanbieters koordiniert werden.
• Kontinuierliches Monitoring der jeweils relevanten rechtlichen Anforderungen und ihrer Aktualisierungen: damit lassen sich betroffene Kunden auf festgelegten Informationswegen regelmäßig informieren, zum Beispiel auch über einen Newsletter zu aktuellen Entwicklungen.
• Interne Analyse und Bewertung jeder neuen oder geänderten rechtlichen Anforderung.
• Organisation und Planung eines fachlichen Austausches in den entsprechenden Kundengremien des Softwareanbieters zur weiteren Bewertung der neuen oder geänderten Anforderung sowie zur Schätzung des Umsetzungsaufwands.
• Ermittlung des Gesamtaufwandes für die Umsetzung der neuen oder geänderten gesetzlichen Anforderung.
Steht danach fest, was für einen Anwender oder einen Kreis von Anwendern relevant ist, werden die Details spezifiziert. Hier gelten die gleichen Prinzipien wie für normale fachliche oder funktionale Anforderungen. Die Grundlage bildet eine konsistente und qualitätsgesicherte Spezifikation der Anforderungen, idealerweise ergänzt um Abnahmekriterien und Testfälle. Entsprechende Formulierungsvorschläge finden Sie in meinem Aufsatz „Software-Aktualisierungen in Folge aufsichtsrechtlicher und gesetzlicher Neuerungen und Anpassungen“, Computer und Recht 2020, S. 565-570.
Risiken gerecht verteilen
Das legitime Interesse des Anwenders ist es, die finanziellen Auswirkungen von rechtlichen Änderungen möglichst zu begrenzen. Ein Softwareanbieter hingegen wird bemüht sein, seine Aufwände für die Aktualisierungen möglichst gut vertraglich abzusichern. Angesichts der Komplexität der Umsetzung rechtlicher Änderungen ist es sinnvoll, einen gemeinsamen Prozess von Anbietern und Anwendern zu etablieren, in dem beide Seiten ihre Interessen einbringen können. Wir beraten Anwender und Softwareanbieter bei der Vertragsgestaltung und helfen ihnen dabei, den Prozess der Aktualisierung zu managen, die relevanten Themen zu identifizieren und vertraglich zu regeln.
Michaela Witzel, LL.M. Fordham University, School of Law, NYC, Fachanwältin für IT-Recht
witzel@web-partner.de