Wahrscheinlich sollte man sich nicht nur um das richtige Tool, sondern frühzeitig auch um die entsprechende vertragliche Ausgestaltung Gedanken machen. Was gilt es generell zu beachten?
Laurent Meister: Die Angebote der Anbieter und gute Vertriebler verleiten Unternehmen häufig dazu, davon auszugehen, dass das Tool für die eigenen Prozesse perfekt passt und schnell implementiert werden kann. Doch die Tücke steckt häufig im Detail. Deshalb sollte die Implementierung von Tools rechtlich begleitet werden. Keinesfalls sollten die Verträge der Anbieter ohne weitere juristische Prüfung einfach durchgewunken werden. Dabei gilt es natürlich auch, die unterschiedlichen Konstellationen zu beachten. Wird der Softwareanbieter damit beauftragt, ein eigenes Tool für das Unternehmen zu entwickeln bzw. Software auf Unternehmensbedürfnisse anzupassen oder wird lediglich bestehende Software eines Drittanbieters eingekauft? Gerade bei Entwicklungs- und Implementierungsprojekten können die avisierte Dauer und die Kosten schnell aus dem Ruder laufen. Hier ist es wichtig, wirksame Mechanismen im Vertrag vorzusehen, die solche Risiken abfedern. Auch sollte seit Einführung der DSGVO die Datenschutzkonformität der Tools beachtet werden.
Wie sollte man bei der Planung des Einsatzes eines bestimmten Tools vorgehen?
Dr. Björn Schallock: Zunächst gilt es, den Markt der möglichen Anbieter zu sondieren; oft gibt es auch branchenspezifische Lösungen. Diese können vorzugswürdig sein, weil damit der Implementierungsaufwand verringert wird. Das schont personelle und nicht zuletzt auch finanzielle Ressourcen des Unternehmens.
Cloudbasierte Lösungen (und damit gemietete Software) haben den Vorteil der geringeren, überwiegend laufenden Kosten, während bei einer gekauften Lizenz höhere Einmalkosten für die Anschaffung anfallen.
Neben dem funktionalen Umfang und der Kompatibilität des Tools mit eigenen Systemen und Prozessen sollte auch die Erfahrung des Anbieters sowie das eingesetzte Personal berücksichtigt werden. Vorhandene Branchenerfahrung kann bei der Kommunikation und Umsetzung des Projekts hilfreich sein.
Wie läuft dann die Anschaffung des „auserkorenen“ Tools?
Laurent Meister: Bevor das Projektteam an die Arbeit geht, sollte unbedingt der geplante Leistungsumfang erarbeitet, bepreist und für den Vertrag festgehalten werden. Dies geschieht oft in Workshops mit dem Anbieter, die man auch gesondert vorab beauftragen kann, ohne sich schon festzulegen. Manchmal ist das auch ganz praktisch, um den Anbieter und seine Arbeitsweise erst einmal kennenzulernen und zu prüfen. Sodann sollte der endgültige Vertrag mit rechtlicher Unterstützung verhandelt und abgeschlossen werden.
Dies gilt auch - oder vielleicht sogar ganz besonders -, wenn man sich mit dem Anbieter auf eine agile Projektumsetzung einigt. Häufig will man mit einer agilen Umsetzung „lästige“ Vorfragen und Detailplanungen umgehen und lieber direkt in die Umsetzung starten. Doch auch bei der agilen Umsetzung sind klare Vorgaben, was die Methodik und Konfliktlösung angeht, wichtig. Nur so können häufig schnell auftretende Missstimmungen beseitigt werden. Dies gilt insb., wenn es sich um das erste agile Projekt auf Seiten des Kunden handelt.
Tool ist nicht gleich Tool und Softwarenutzung ist nicht gleich Softwarenutzung. Welche Vertragstypen haben sich in hinsichtlich der Nutzung von Software am Markt herausgebildet; was ist typischerweise zu regeln?
Laurent Meister: Nicht nur bei der Ausgestaltung des Implementierungsprojekts, sondern auch bei der Nutzung der Software gibt es zahlreiche Varianten. Diese werden meist über den Umfang der Nutzungsrechte und deren Vergütung geregelt. Bei Software, die man im eigenen Unternehmen installiert, haben sich neben den klassischen Einzelplatzlizenzen, die für einen einzelnen PC lizenziert werden, insb. Named-User-Lizenzen, die für einen konkreten Nutzer lizenziert werden, und Floating- oder Concurrent-Lizenzen etabliert. Letztere werden meist unternehmensweit für eine bestimmte Anzahl von Nutzern lizenziert und von wechselnden Nutzern genutzt.
Handelt es sich um eine Software, die nicht lokal auf dem Einzelcomputer installiert wird, so haben Cloud- oder „as a Service“ Dienste die bisherigen Outsourcing- und Application-Service-Providing-Modelle weitestgehend abgelöst. Auch spielt im Rahmen der Entwicklung und Nutzung von Software das Thema Open Source Software eine Rolle. Hier wird Software kostenlos unter einer „freien“ Lizenz bereitgestellt. Doch gerade für den kommerziellen Einsatz stecken bei den häufig idealistisch geprägten Lizenzen die Tücken im Detail.
Welche der vorgenannten Möglichkeiten der Softwarenutzung sind gegenwärtig der Klassiker und Ihrer Erfahrung nach am meisten im Einsatz?
Dr. Björn Schallock: Der Trend geht in den letzten Jahren verstärkt zu SaaS-Modellen, also lediglich gemieteter Software. Dabei wird zumeist die gesamte technische Bereitstellung „outgesourced“ und Software mitsamt der Kundendaten z. B. in einem Rechenzentrum bzw. einer Cloud für den Kunden gehostet. Damit einhergehend erleben wir auch den Trend, dass komplexe Großsysteme, die im Rahmen komplexer Outsourcing-Verträge ausgelagert werden, immer häufiger durch eine Vielzahl kleinerer Spezialanwendungen abgelöst werden. Diese laufen meist in der Cloud mit Schnittstellen zu den anderen Systemen. Dies bietet den Vorteil, dass nicht alles in einer Anwendung integriert werden muss, sondern sich die einzelnen Hersteller auf ihre Kernkompetenz konzentrieren können. Auch lässt sich ein einzelnes kleines Tool schneller ablösen als das einheitliche ERP-System zum Beispiel.
Gesetzt dem Fall, der Nutzer entdeckt Mängel an der beschafften Software, etwa fehlende Programmfunktionen oder fehlende Leistungsfähigkeit - was nun? Wofür haftet der Softwareentwickler?
Dr. Björn Schallock: Das hängt wiederum sehr vom abgeschlossenen Vertrag ab - und genau deshalb ist die vertragsrechtliche Begleitung eines solchen Projektes von so großer Wichtigkeit. Oft enthalten die von den Anbietern verwendeten Vertragsmuster Regelungen zu deren Gunsten, also etwa kurze Verjährungsfristen für Mängel, schwammig formulierte Funktionszusagen oder Leistungsangaben und weitgehende Haftungsausschlüsse. Das ist dann misslich für die Durchsetzung der eigenen Ansprüche und kann dazu führen, dass der Kunde am Ende auf dem Schaden sitzen bleibt.
In solchen Situationen hört man häufig von Mandanten den abgedroschenen Satz „Hinterher ist man häufig klüger“. Sicher kann man mit einem gut formulierten Vertrag bestimmte Vorkehrungen für den „worst case“ schaffen, doch in den meisten Fällen wird man sich am Ende gar nicht darum streiten, ob dem Kunden ein Schadensersatzanspruch in einer bestimmten Höhe zusteht, sondern schon viel früher darüber streiten, wurde überhaupt etwas geliefert, was nicht der vereinbarten Beschaffenheit entspricht oder sich für den geplanten Zweck eignet. In diesen Fällen sieht man regelmäßig, dass es nicht nur darauf ankommt, dass der Vertrag gewisse Regelungen und Mechanismen enthält, sondern dass auch inhaltlich bzw. funktional den Parteien klar ist, was am Ende die Software kann bzw. können soll. Hier braucht es also am Ende eine Verzahnung aus Vertrag und Leistungsbeschreibung.
Worauf sollte bei Verträgen über die Entwicklung von Individualsoftware oder Anpassungsprojekten von Standardsoftware unbedingt geachtet werden?
Dr. Björn Schallock: Wichtig und nach unserer Erfahrung oft vernachlässigt werden Regelungen zur Kostenplanung und -deckelung zugunsten des Kunden. Dadurch werden Softwareprojekte finanziell vielfach zu dem berühmten Fass ohne Boden. Das Risiko lässt sich durch gute Beratung im Vorfeld und durch vertragliche Maßnahmen allerdings eindämmen.
Auch die verlässliche zeitliche Umsetzung ist ein Problem, da Anbieter gerne mit unverbindlichen Zeitplänen arbeiten möchten. Das muss man nicht akzeptieren.
Unter dem Strich geht es um die Schaffung möglichst klarer Vertragspflichten, was in Bezug auf die fachliche Umsetzung zumeist mit mehr Aufwand zu Beginn verbunden ist, wenn alle Beteiligten am liebsten loslegen wollen, obwohl nicht einmal die Mindestvorgaben klar sind. Da lohnt es sich etwas mehr Zeit in die Detailplanung zu stecken und am Ende mehr Rechtssicherheit zu erreichen.
Es wurde eben ja schon erwähnt, dass heute viel häufiger verschiedene Tools eingesetzt werden, die über Schnittstellen miteinander verbunden sind. Worauf ist zu achten, wenn etwa Schnittstellen zu anderen Systemen eingerichtet werden?
Laurent Meister: Schnittstellen sind eine großartige Möglichkeit, Daten aus einem System in einem anderen System weiterzuverarbeiten. Jeder Anbieter kann sich dabei auf seine Kernkompetenz konzentrieren. Die Herausforderung stellt dabei häufig die Schnittstelle dar, insb. wenn sie nicht über ein standardisiertes Verfahren oder Format erfolgt.
Hier müssen die Anbieter sich also zunächst über das Verfahren und das Format des Datenaustauschs einigen. Das kann individuell tatsächlich durch gemeinsame Entwicklungen erfolgen oder dadurch, dass sich der Anbieter des importierenden Tools auf das Datenformat einstellt, das das andere Programm ohnehin ausgibt.
Am Ende ist für den Kunden immer heikel, was passiert, wenn die Übertragung über die Schnittstelle nicht mehr funktioniert. Auf welcher Seite ist der Fehler aufgetreten und ist die Schnittstelle zu einem konkreten Tool überhaupt vertraglich geschuldet? Ändert sich etwa das Format oder Verfahren durch ein Update des einen Tools, funktionieren beide Tools für sich genommen fehlerfrei. Die eingesetzten Versionen sind nur nicht zueinander kompatibel. Hier muss daher vertraglich mit mindestens einem der Anbieter geregelt werden, dass er für die notwendige Kompatibilität verantwortlich ist, und entsprechende Änderungen auch im Rahmen von Update-Zyklen zu berücksichtigen sind. Ansonsten kann es auch hier passieren, dass der Kunde am Ende im Regen steht, weil keiner der Anbieter die funktionierende Anbindung zwischen den vom Kunden genutzten Versionen schuldet.
Stichwort Datenschutz. Wie lassen sich die Nutzung von Tools und datenschutzrechtliche Anforderungen miteinander vereinbaren und was ist dabei rechtlich zu beachten?
Laurent Meister: Spätestens seit Einführung der DSGVO können wir jedem Unternehmen empfehlen, Datenschutzfragen von Beginn an mit zu berücksichtigen. Das gilt im Übrigen sowohl auf Anbieter- als auch auf Kundenseite. Viele Anbieter sind sich noch nicht im Klaren darüber, dass Software mit Einführung der DSGVO-Anforderungen an die Sicherheit aber auch an die technische Ausgestaltung, etwa im Bereich Privacy-by-Design bzw. Privacy-by-Default, erfüllen muss. Ist dies nicht der Fall, kann sich der Kunde schnell darauf berufen, dass die gekaufte Software mangelhaft ist, weil sie den gesetzlichen Anforderungen nicht entspricht.
Bei der Nutzung von Cloud-Lösungen oder ausgelagerten Lösungen spielt der Datenschutz natürlich eine zentrale Rolle abhängig davon, ob die Daten dabei im Ausland verarbeitet werden. Hier reicht es häufig schon aus, dass das Support-Personal des Anbieters in den USA oder Indien sitzt und Zugriff auf die Daten erhält. Auch in diesen Fällen liegt ein Drittstaattransfer vor, bei den die gesteigerten Anforderungen nach dem Schrems-II Urteil des EuGH eingehalten werden müssen. Andernfalls könnten die Aufsichtsbehörden die Nutzung des Cloud-Dienstes untersagen und Bußgelder verhängen. Gerade mit Blick auf die USA und England ist die Entwicklung in den kommenden Jahren sicher sehr dynamisch, so dass man diese Anforderungen stets im Blick haben und ggf. schnell reagieren muss. Auch das ein Punkt, den man bei der Auswahl des Tools und des Anbieters berücksichtigen sollte.
Hinweis: Hier geht es zur Studie zur Digitalisierung der Steuerfunktion in mittelständischen Unternehmen.
