Neue Regulierung: Softwaremangel oder Change Request?
Wenn ein Gesetz neue Anforderungen an Dokumentation, Protokollierung, Datenzugriff oder Resilienz stellt, folgt häufig dieselbe Auseinandersetzung: Der Kunde hält die Anpassung für geschuldete Mängelbeseitigung. Der Anbieter behandelt sie als kostenpflichtigen Change Request.
Eine allgemeine Antwort gibt es nicht. Weder macht eine neue regulatorische Anforderung vorhandene Software automatisch mangelhaft, noch ist jede Anpassung automatisch eine neue, gesondert zu vergütende Leistung. Entscheidend sind der konkrete Vertragstyp, die wirksam vereinbarten Leistungen und Zwecke, die Auslegung des Vertrags sowie die ergänzend anwendbaren gesetzlichen Regeln. Der Vertrag ist der Ausgangspunkt, aber nicht in jedem Fall die einzige Rechtsquelle für den geschuldeten Leistungsumfang.[5]
Vier Ebenen müssen getrennt werden
1. Regulatorische Verantwortung
Regelwerke wie DORA weisen die aufsichtsrechtliche Verantwortung primär dem regulierten Unternehmen zu. Nach Art. 28 Abs. 1 Buchst. a DORA bleibt das Finanzunternehmen auch beim Fremdbezug von IKT-Dienstleistungen vollständig verantwortlich.[1]
Das beantwortet noch nicht, welche Leistung der Anbieter schuldet. Aufsichtsrechtliche Verantwortung und zivilrechtlicher Leistungsumfang sind zwei unterschiedliche Fragen.
2. Vertraglich geschuldeter Zweck
Maßgeblich ist, welche Beschaffenheit und welcher Verwendungszweck vereinbart wurden. Wurde eine Software ausdrücklich als DORA-konform, GoBD-geeignet oder für einen regulierten Prozess verkauft, kann die regulatorische Eignung Teil der geschuldeten Leistung sein. Wurde nur eine klar begrenzte Funktion zugesagt, spricht eine neue zusätzliche Funktion eher für eine Vertragsänderung.
3. Laufende Pflege und Updates
Wartungs- und Pflegeverträge unterscheiden sich erheblich. Manche umfassen nur Fehlerbehebung und Sicherheitsupdates. Andere versprechen Rechtsanpassung, fortlaufende Compliance oder Funktionspflege. Begriffe wie „Updates“ oder „gesetzliche Anpassungen“ sollten deshalb nicht ohne Definition verwendet werden.
4. Neue Funktion oder Wiederherstellung der Vertragsmäßigkeit
Von einem Mangel ist zunächst nur auszugehen, wenn die Software zu dem für den jeweiligen Vertragstyp maßgeblichen Zeitpunkt – etwa bei Gefahrübergang oder Abnahme – nicht die geschuldete Beschaffenheit oder Eignung aufweist. Eine bereits zu diesem Zeitpunkt fehlende vereinbarte Eigenschaft ist anders zu bewerten als eine erst Jahre später entstehende regulatorische Anforderung. Eine spätere Rechtsänderung begründet regelmäßig nur dann eine Anpassungspflicht, wenn der Vertrag eine fortlaufende Rechts-, Pflege-, Update- oder Erhaltungspflicht enthält oder sich eine solche im konkreten Dauerschuldverhältnis aus den anwendbaren gesetzlichen Regeln ergibt. Ebenso macht es einen Unterschied, ob nur ein Parameter oder Bericht anzupassen ist oder ob eine neue Archivierungs-, Audit- oder Exit-Architektur entwickelt werden muss.[5]
Was DORA tatsächlich regelt
Art. 30 DORA verlangt konkrete Vertragsinhalte für IKT-Dienstleistungen, darunter Leistungsbeschreibung, Service Levels, Incident-Unterstützung, Datenrückgabe und Kündigungsregelungen. Bei Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen kommen insbesondere Audit- und Exit-Regelungen hinzu.[1]
DORA legt jedoch nicht pauschal fest, dass sämtliche künftigen regulatorisch veranlassten Entwicklungsleistungen kostenlos zu erbringen sind. Art. 30 Abs. 2 Buchst. f verlangt bei Incident-Unterstützung sogar ausdrücklich eine Vereinbarung, ob sie ohne zusätzliche Kosten oder zu vorab festzusetzenden Kosten erfolgt.[1]
Nach Art. 30 Abs. 4 erwägen Finanzunternehmen und IKT-Drittdienstleister bei der Aushandlung behördlich entwickelte Standardvertragsklauseln. Das ist keine automatische Änderung bestehender Verträge. Ob ein Altvertrag angepasst werden muss, hängt von seinem Inhalt, seiner Auslegung und den aufsichtsrechtlich erforderlichen Vertragsrechten ab; BaFin hat in ihrer Praxisinformation auf möglichen Nachverhandlungsbedarf hingewiesen.[2]
Verbraucherrecht ist nicht ohne Weiteres auf B2B übertragbar
Die §§ 327 ff. BGB enthalten besondere Regeln für Verbraucherverträge über digitale Produkte. § 327f BGB verlangt für den maßgeblichen Zeitraum vertragskonforme Aktualisierungen einschließlich Sicherheitsaktualisierungen.[3][4] Diese Vorschriften regeln primär Verträge mit Verbrauchern. Gesetzlich geregelte Rückgriffs- oder Lieferkettenfolgen, insbesondere nach § 327u BGB, bleiben unberührt; ein allgemeines B2B-Update-Regime lässt sich aus §§ 327 ff. BGB jedoch nicht ableiten.
Das bedeutet nicht, dass es im B2B-Bereich keine Aktualisierungs- oder Mängelpflichten gibt. Sie ergeben sich aber aus Vertragstyp, Leistungsbeschreibung, Beschaffenheitsvereinbarung, Pflegevertrag und den allgemeinen Regeln, nicht aus einer undifferenzierten Übertragung des digitalen Verbraucherrechts.
Eine belastbare Entscheidungsmatrix
Eine Anpassung spricht eher für Mängelbeseitigung oder bereits geschuldete Pflege, wenn:
- die regulatorische Eigenschaft ausdrücklich zugesagt wurde,
- der vereinbarte Verwendungszweck ohne Anpassung nicht erreicht wird,
- der Anbieter fortlaufende Rechts- oder Compliance-Anpassung übernommen hat,
- eine bereits vorhandene Funktion die vereinbarten Anforderungen nicht erfüllt,
- der Pflegeumfang solche Änderungen eindeutig einschließt.
Eine Anpassung spricht eher für Change Request oder Nachverhandlung, wenn:
- das Regelwerk erst nach Vertragsschluss neue Anforderungen geschaffen hat,
- eine neue Funktion oder erhebliche Systemänderung benötigt wird,
- keine fortlaufende Rechtsanpassung vereinbart wurde,
- der ursprüngliche Verwendungszweck auch ohne Erweiterung erfüllt bleibt,
- neue Audit-, Export-, Datenportabilitäts- oder Exit-Leistungen hinzukommen,
- Umfang, Mitwirkung, Haftung und Kosten neu festgelegt werden müssen.
Diese Matrix ersetzt keine juristische Subsumtion. Sie verhindert aber, dass eine der Parteien Regulierung als pauschales Totschlagargument verwendet.
Was in Verträge gehört
Für regulierungsnahe Software sollten Verträge mindestens klären:
- welche Rechts- und Normenstände bei Vertragsschluss zugrunde liegen,
- ob und in welchem Umfang Rechtsänderungen umfasst sind,
- welche Sicherheits- und Compliance-Eigenschaften zugesagt werden,
- wie Änderungen bewertet, priorisiert und beauftragt werden,
- wer regulatorische Anforderungen fachlich spezifiziert,
- welche Mitwirkungen der Kunde schuldet,
- wie Incident-, Audit- und Behördenunterstützung vergütet wird,
- wie Subunternehmer, Datenstandorte und Exit geregelt sind,
- wann eine Änderung als Mangel, Pflegeleistung oder Change gilt.
Ein pauschaler Satz wie „alle gesetzlichen Anforderungen sind stets einzuhalten“ schafft häufig mehr Streit als Sicherheit. Er lässt offen, welche Gesetze, Rollen, Systeme, Zeitpunkte und Leistungen gemeint sind.
Fazit
Regulierung beschreibt oft das Ziel des beaufsichtigten Unternehmens. Der Vertrag muss daraus eine konkrete Leistung des Anbieters machen. Ob eine Anpassung kostenlos geschuldet, Teil der Pflege oder ein neuer Change ist, entscheidet sich nicht an der Überschrift des Gesetzes, sondern an Leistungsversprechen, Verwendungszweck, Vertragstyp und Änderungsklauseln.
Fachliche Abgrenzung: Die zivilrechtliche Bewertung konkreter Verträge gehört in die Hände qualifizierter Rechtsberatung. Informationssicherheits- und Compliance-Fachleute sollten dafür Anforderungen, Systemwirkung und Kontrollziel präzise beschreiben.
Quellen
[1] Europäisches Parlament und Rat. Verordnung (EU) 2022/2554 vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor, ABl. L 333 vom 27.12.2022, insb. Art. 28 und 30. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32022R2554.
[2] Bundesanstalt für Finanzdienstleistungsaufsicht. DORA für IKT-Drittdienstleister. Präsentation vom 21.02.2024. https://www.bafin.de/SharedDocs/Downloads/DE/Anlage/dl_Praesentation_DORA_IKT_Drittdienstleister.pdf?__blob=publicationFile&v=1.
[3] Bundesrepublik Deutschland. Bürgerliches Gesetzbuch, insbesondere §§ 327f und 327u. https://www.gesetze-im-internet.de/bgb/__327f.html; https://www.gesetze-im-internet.de/bgb/__327u.html.
[4] Europäisches Parlament und Rat. Richtlinie (EU) 2019/770 vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl. L 136 vom 22.05.2019. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019L0770.
[5] Bundesrepublik Deutschland. Bürgerliches Gesetzbuch, insbesondere §§ 133, 157, 307, 313, 434, 446, 535, 633 und 640. https://www.gesetze-im-internet.de/bgb/.