 |
|
|
|
||||||||||||||||||||||
|
|||||||||||||||||||||||||
 |
|||||||||||||||||||||||||
|
|
|
IT-Recht / IT-Projektverträge Spezialisierte Rechtsberatung durch Rechtsanwalt Dr. Frank A. Koch, Verfasser des (nach Amazon-Beurteilung) “Top Nachschlagewerks” “IT-Projektrecht “, Wiss. Springer-Verlag Rechtsanwalt Dr. Frank A. Koch Maximilianstr. 54 D-80538 München Tel: 089/ 221 330 089/221 339 Fax: 089/ 227 673 E-Mail: koch@anwaltskanzlei-koch.de
Sind vertragliche Verbote der Übertragung von Client-Lizenzen wirksam und was kann der Kunde tun ? Die wichtigsten Urteile des Bundesgerichtshofs (BGH) zum IT-Recht Entwickerrechte an Apps Gestaltung rechtssicherer Computerverträge Verträge über Managed Services Typische Fehler in Verträgen über Web Services
Aktuelle Informationen EuGH: Funktionalität eines Computerprogramms und Programmiersprache sind nicht urheberrechtlich geschützt OLG Karlsruhe: Zulässiges AGB-Verbot der Aufspaltung von Client-Access-Lizenzen Neue Standards für Rechnernetzwerke Schadensersatzpflicht bei Verletzung der Lizenzbestimmungen für Open Source-Software . Vertrieb “gebrauchter” Softwarelizenzen; vorlage durch den BGH an den EuGH Neue Nutzungsbeschränkung bei online zu nutzender Software Angriffe im Netz - das Risiko wächst. Handy-Viren - ein neues Risiko CIOs müssen IT gegen “Stuxnet” und Nachfolger absichern. Kein Verkauf von Gebrauchtsoftware nach US-Recht Bundesgerichtshof: ”Internet-System-Vertrag” ist Werkvertrag Haftung eines leitenden Angestellten als “Compliance Officer”
Checklisten und Übersichten Entwicklerrechte an Apps Gestaltung rechtssicherer Computerverträge Verträge über Managed IT-Services Typische Fehler in Verträgen über Web Services Neue Standards für Rechnernetzwerke
AKTUELL EuGH: Funktionalität eines Computerprogramms und Programmiersprache sind nicht urheberrechtlich geschützt. Der Europäische Gerichtshof (EuGH) hat die Grenzen des Urheberrechts an Software abgesteckt: Wie ein Programm funktioniert, darf vom rechtmäßigen Erwerber eines Programmexemplars untersucht werden. Jedoch ist der Erwerber nicht berechtigt, schöpferisch gestaltete Teile eines Benutzerhandbuchs vervielfältigen (EuGH, Urt.v. 2.5.2012 - C-406/10, Pressemitteilung, auf http://curia.europa.eu/jcms/upload/docs/application /pdf/2012-05/cp120053de.pdf - SAS-System, mit Verweis am Textende auf den Volltext des Urteils). Das Recht eines rechtmäßigen Erwerbers einer Programmkopie (“Vervielfältigungsexemplar”), das Funktionieren des Programms zu beobachten , untersuchen oder testen, um dem Programm zugrundeliegende Ideen und Grundsätze zu ermitteln, ist im deutschen Recht in § 69 d Abs. 3 UrhG geregelt. Diese Regelung ist praktisch wortgleich aus der EG-Richtlinie 91/250/EWG, Art. 5 Abs. 3 übernommen, auf deren Grundlage der EuGH gemeinschaftseinheitlich zu entscheiden hatte. Das Gericht stellt im Einklang mit der Richtlinie klar, dass Ideen und Grundsätze der Programmlogik und -algorithmen nicht urheberrechtlich schutzfähig sind, ebensowenig die Programmiersprache. und ein verwendetes Dateiformat, die beide keine schutzfähige Ausdrucksform des jeweiligen Programms darstellen. Soweit das Beobachten des Funktionierens zulässig ist, bedarf der Berechtigte nicht der Zustimmung oder Lizenzerteilung durch den Softwareanbieter. In diesem Rahmen darf der Berechtigte auch das Programm laden und ablaufenlassen. Das Untersuchen muss nicht auf dokumentierte Funktionen beschränkt sein, sondern ist durch den Berechtigten bezüglich der gesamten Funktionalität zulässig. Der Berechtigte darf aber nicht Teile des Benutzerhandbuchs vervielfältigen, wenn dieses als solches ein (nach EG-Richtlinie 2001/29/EG) urheberrechtlich geschütztes Werk darstellt. Hierfür müssen gerade diese Teile eine eigene geistige Schöpfung darstellen. Eine bloße Auflistung von Schlüsselwörtern, Befehlen, Befehlskombinationen, Optionen, Voreinstellungen etc. ist keine ausreichende geistige Schöpfung. Vielmehr müssen diese Informationen in einer schöpferischen Weise dargestellt sein. Für die Praxis seien zwei Punkte ergänzt: Obwohl vom Gericht nicht ausdrücklich angesprochen, wird das Recht zur Funktionsbeobachtung auch dann zu bejahen sein, wenn das Programm nicht auf Datenträger, sondern online erworben wird. Außerdem gelten die Grundsätze zum Urheberrechtsschutz von Begleitdokumenten grundsätzlich auch für Software-Entwicklungsdokumentationen sowie auch dann, wenn diese Unterlagen selbst online ausgeliefert werden. Sind vertragliche Verbote der Übertragung von Client-Lizenzen wirksam und was kann der Kunde tun ? OLG Karlsruhe: Zulässiges AGB-Verbot der Aufspaltung von Client-Access-Lizenzen Das OLG Karlsruhe hat ein Verbot in AGB für wirksam erklärt, Teile eines Pakets von Client Access-Lizenzen auf Dritte zu übertragen. Dem Gericht zufolge (und im Einklang mit der überwiegenden Rechtsprechung) ist der Ersterwerber einer Client-Server (CS)-Software nicht berechtigt, einem Folgeerwerber eine Kopie der CS-Software zu überlassen (damit dieser einen Teil der Client-Access-Lizenzen nutzen kann) und gleichzeitig die CS-Software auf seinem System weiter zu nutzen. Die Übertragung wäre nur bezüglich der Gesamtsoftware zulässig; der Ersterwerber müsste dann jede weitere Nutzung beenden. Ein Vervielfältigen mit dem Zweck der Weiterübertragung (und gleichzeitigen Weiternutzung ist dem Gericht zufolge unwirksam, das sich insoweit ausdrücklich auf die Entscheidung des BGH GRUR 2011, 418 -UsedSoft bezieht). Die Aufspaltung der Client Access-Lizenzen in zwei Pakete für den Erst- und den Folgeerwerber stellt eine unzulässige inhaltliche Abänderung des dem Ersterwerber eingeräumten Nutzungsrechts dar. Ein einheitlich definiertes Leistungspaket darf nicht einseitig aufgeschnürt werden. Das Aufspaltungsverbot wirkt dem BGH (UsedSoft) zufolge dinglich, also gegenüber jedermann. OLG Karlsruhe, Urt.v.27.7.2011 - 6 U 18/10, http://lrbw,juris.de/cgi-bin/laender_Rechtsprechung/document.py?Gericht=bw&Art=en&Datum=2011&Sort=12290&nr=14612&pos=1&anz=609 www.jurpc.de/rechtspr/20110129.htm Auch das LG Frankfurt a.M, Urt.v.27.4.2011 - 2-O 60 428/10 hat die Wirksamkeit eines formularvertraglichen Übertragungsverbots bestätigt. Gibt der Erwerber selbsterstellte Datenträger weiter, kann er dem Folgeerwerber keine Nutzungsrechte einräumen und macht er sich schadensersatzpflichtig www.jurpc.de/rechtspr/20110111.htm Was bedeutet das für die Vertragspraxis ? Die Rechtsprechung bestätigt Schritt für Schritt die strengen urheberrechtlichen Maßstäbe, die auch an die Weiterveräußerung von “gebrauchter” Software zu legen sind. Der Folgeerwerber kann nur dann ein Nutzungsrecht erwerben, wenn ihm die vollständige Software auf Datenträger übergeben wird und der bisherige Nutzer die Nutzung der Software ganz aufgibt. Nutzt er Teile des Client.Lizenzpakets weiter, kann der Folgenutzer nicht “rechtmäßiger Erwerber” i.S.v. § 69 d I UrhG werden. Der Anbieter kann vielmehr Unterlassungsansprüche bereits beim ersten Laden der Software gegen den Folgeerwerber durchsetzen. Deutlich erhöht wird dieses Risiko des Folgeerwerbers dadurch, dass das unberechtigte Vervielfältigen (beim Laden) sogar strafbar ist (§ 106 I UrhG). Gleiches gilt für den unberechtigt weiterveräußernden vorherigen Nutzer. Abgesehen hiervon kann der Folgeerwerber auch keine Gewährleistung oder sonstigen Support vom Anbieter erwarten, wodurch der wirtschaftliche Wert der Software schnell sinken kann. Was können Nutzer tun ? Eine baldige Änderung der Rechtsprechung ist nicht zu erwarten. Will sich der Nutzer die Möglichkeit erhalten, nicht benötigte Client-Lizenzen an andere Nutzer weiterzuveräußern, so muss er dies bereits im Lizenzvertrag mit dem Anbieter ausdrücklich vereinbaren und Weiterübertragungsverbote ausschließen. Es ist wirtschaftlich sinnvoll, nur diejenige Anzahl von Client-Lizenzen zu nutzen, die man tatsächlich benötigt.Dies sollte in den Vertragsverhandlungen deutlich gemacht werden. Im nächsten Schritt ist dann vertraglich genau festzulegen, in welchem Umfang der Nutzer und ein Folgenutzer Client-Lizenzen zeitgleich nutzen dürfen, welche Unterstützung und Gewährleistung der Anbieter weiter leistet, ob der Folgeererwerber die Bedingungen des Lizenzvertrags anerkennen muss und ob auch eine Online-Überlassung von Programmcodes oder auch nur von Zugriffscodes zulässig ist. Notwendig ist eine entsprechend differenzierte Vertragsgestaltung bereits beim Ersterwerb. Auch Anbieter werden meist ein wirtschaftliches Interesse an einer vertraglichen Lösung haben, da der Ersterwerber faktisch einen Teil des Marketing übernimmt und der Anbieter beim Support und möglichen Nutzungsausweitung des Folgeerwerbers Umsatz generieren kann. koch@anwaltskanzlei-koch.de
Neue Standards für Rechnernetzwerke 23 IT-Unternehmen haben die Open Networking Foundation (www.opennetworkingfoundation.org) gegründet, um die unterschiedlichen Netze (Kabel, Mobil, Firmenkommunikation und Finanztransaktionen) zu standardisieren und hierdurch den Datenfluss zu verbessern. Quelle: www.heise.de/tr/artikel/Startschuss-fuer-ein-neues-Internet-1218929.html Die Einführung solcher neuen Standards hat für laufende und neu geplante Vernetzungsprojekte auch vertragsrechtlich erhebliche Bedeutung:
Die Verletzung der Lizenzbestimmungen für Open Source-Software kann schadensersatzpflichtig machen. Das LG Bochum, Urt.v.20.1.2011 - I-8 O 293/09 entschied, dass beim Vertrieb der Software “WISO Mein Büro 2009” das beigefügte, unter die GNU Lesser Public License (LGPL) gestellte zusätzliche Programm FreeadhocUDF rechtswidrig ohne das Quellformat und den Lizenztext mitvertrieben wurde. Nur bei Einhaltung der LGPL hätte dieses Programm kostenfrei vertrieben werden dürfen. www.ifross.org am 10.2.2011
Der BGH legt dem EuGH Fragen zur Zulässigkeit des Vertriebs “gebrauchter” Softwarelizenzen vor (Pressemitteilung Nr. 21/2011). Der BGH, Beschluss v. 3.2.2011 - I ZR 129/08, Oracle./.UsedSoft (Vorinstanz OLG München CR 2008, 551) fragt insbesondere, ob der Erwerber einer “gebrauchten” Lizenz “rechtmäßiger Erwerber” (i.S.v. § 69 d Abs. 1 UrhG) ist, der ohne Zustimmung des Anbieters das Programm im Rahmen der bestimmungsgemäßen Benutzung vervielfältigen darf. Es könne sich auch die weitere Frage stellen, ob sich das Verbreitungsrecht des Rechtsinhabers erschöpft, wenn ein Computerprogramm mit Zustimmung des Anbieters online in den Verkehr gebracht wird. Hinweis: Der Beschluss ist bereits als solcher bemerkenswert. Das Gericht fragt nicht, ob beim online erfolgenden Download eine Erschöpfung des national begrenzten Verbreitungsrechts im Analogieschluss angenommen werden, sondern legt diese Frage dem EuGH vor. Dies ist zu begrüßen, da bisher die gemeinschaftsrechtliche Dimension in dieser Frage in der Diskussion kaum behandelt wurde. Nähme man nämlich nur nach deutschen Recht eine Erschöpfung des Verbreitungsrechts bei Online-Vertrieb an, könnte dies dazu führen, dass jeder Mitgliedsstaat seine eigene Rechtsprechung in dieser Frage entwickelt und eine gemeinschaftsweit einheitliche Werkverwertung gefährdet wäre. Umstritten ist insbesondere die zweite Frage. Das Verbreitungsrecht i.S.d. Urheberrechts setzt nämlich voraus, dass das Vervielfältigungsstück auf dem gesamten Vertriebsweg als Stück verkörpert bleibt (etwa beim Versenden von Datenträgern). Nur dann kann sich das Verbreitungsrecht “erschöpfen” und der Erwerber zur Weiterveräußerung berechtigt sein. Bei der Online-Übermittlung wird aber kein Werkstück verschickt, sondern ein Bitstream übertragen. Erst der Empfänger erstellt dann selbst auf seinem Rechner eine Kopie des Programms. Der Folgeerwerber erstellt sich seine Kopie auf seinem Rechner und vervielfältigt sie auf diesen beim Installieren selbst. Der Umstand, dass der BGH überhaupt diese Frage stellt, ist zumindest ein Indiz dafür, dass er also eine Erschöpfung des Verbreitungsrechts auch dann für möglich erhält, wenn der Vertrieb online erfolgt. Ob der EuGH dieser Überlegung folgt, ist offen und eher zu bezweifeln. Art. 4 Abs. 2 der Richtlinie 2001/29/EG sieht nämlich eine Erschöpfung des Verbreitungsrecht nur insoweit vor, als das Programmexemplar auf einem Datenträger verkörpert ist. Eine ausdehnende Auslegung dieses Erschöpfungsgrundsatzes durch seine analoge Anwendung auf Online-Übermittlungen scheitert schon daran, dass keine für die Analogiebildung erforderliche Regelungslücke besteht. Der Richtliniengeber hat nämlich das öffentliche Zugänglichmachen von Werken ausdrücklich in Art. 3 der Richtlinie geregelt und hier keine Erschöpfung des Verbreitungsrechts vorgesehen, sondern umgekehrt ein Erschöpfen des Zugänglichmachungsrechts ausgeschlossen. Den Mitgliedsstaaten wurde aber freigestellt, im nationalen Geltungsbereich eine Regelung einzuführen, die das Verbreitungsrecht einschränkt oder ausschließt, - jedoch nur bezogen auf Fälle, in denen Schrankenbestimmungen eingreifen, etwa bei einem Vervielfältigen zu privaten oder unterrichtsbezogenen Zwecken. Art.5 Abs. 5 der Richtlinie stellt aber klar, dass solche Ausnahmen und Beschränkungen nur für bestimmte Sonderfälle gesetzlich geregelt werden dürfen. Erwägungsgrund 40 Satz 3 der Richtlinie weist darauf hin, dass eine Erschöpfung des Verbreitungsrechts generell für den Download von Werken nicht in Betracht kommen kann. Und Erwägungsgrund 29 stellt fest, dass sich bei Online-Diensten die Frage einer Erschöpfung des Verbreitungsrechts nicht stellt (Satz 1) und dies auch für Vervielfältigungsstücke gilt, die der Nutzer mit Zustimmung desv Anbieters (mittels Download) erstellt. Die Richtlinie erlaubt also keine generelle Freistellung der Online-Übermittlung eines Computerprogramms vom Verbreitungsrecht. Beim Download auf dem Empfängerrechner abgespeicherte Kopien dürfen also weder auf Datenträger weiterüberlassen noch gar selbst wieder online zugänglich gemacht werden. Ein Punkt wird außerdem meist weniger beachtet: Im zu entscheidenden Fall wird das Fortbestehen von Verträgen zur Wartung (sprich: Pflege) der Software behauptet. Erfolgt hier ein automatisches Updating für registrierte Kunden des Anbieters, kann die (nachfolgend referierte) Half Life2-Entscheidung vom 11.2.2010 einschlägig sein. Der Zweiterwerber erwirbt dann zwar ein Programmexemplar, aber keinen Anspruch auf Registierung und Wartung. Der Anbieter kann jedenfalls nach dem Half Life2-Ansatz sogar eine automatische Registrierung bei jedem Programmstart technisch implementieren. Der Zweiterwerber kann dann das Programm ohne Registrierung nicht einmal starten.
Neue Nutzungsbeschränkung bei online zu nutzender Software Der BGH (Urt.v.11.2.2010 - I ZR 178/08, NJW 2010, 2661- Half-Life 2) hat festgestellt, dass eine Online-Gaming-Software, die auf Datenträger erworben wird, zwar auf diesem Originaldatenträger weiterveräußert werden darf (nicht eine Sicherungskopie !). Doch hat der Zweiterwerber keinen Anspruch gegen den Anbieter der Software, ein Benutzerkonto eingerichtet zu erhalten, das zur Online-Nutzung nach der technischen Auslegung des Programms nötig ist. Das gilt keineswegs nur für Gaming-Software, sondern für alle Applikationen, die online von Providern verwaltet werden. Folge ist freilich, dass das Programmexemplar für Folgeerwerber faktisch nicht nutzbar ist. Da der weiterveräußernde Ersterwerber seinen Vertrag gegenüber dem Zweiterwerber demzufolge nicht erfüllen kann, ist er sogar schadensersatzpflichtig. In dieser Entscheidung wurde bereits ein Ansatz gesehen, für online zu nutzende Software zu einer dauerhaft personengebundenen Software-Lizenzierung zu kommen (Rössel, ITRB 2010, 223). Der Ersterwerber darf zwar das Programmexemplar als solches weiterveräußern, aber dem Zweiterwerber keine Nutzungsrechte weiterübertragen - auch wenn er das Programm selbst auf seinem Rechner löscht. Dies bedeutet wirtschaftlich, dass jede online erfolgende Nutzung von Software - bei Cloud Computing der Regelfall - diese Software i.E. unverkäuflich macht. Die Frage, ob Gebrauchtsoftware weiterveräußert werden darf, stellt sich in diesen Fällen faktisch nicht mehr. Wenn das Programm mit einer Online-Anbindung und Registrierung beim Anbieter verknüpft ist, sind die Rechte zu seiner Nutzung nicht mehr übertragbar. Das kann bereits bei einem automatisiert online durchgeführten Update-Service der Fall sein. Anwender müssen damit rechnen, dass jede Weiterveräußerung der Software nunmehr über diese Schiene angegriffen werden kann. Diese BGH-Rechtsprechung macht eine Überprüfung bestehender und erst recht geplanter Verträge über die Weiterveräußerung von Gebrauchtsoftware dringend erforderlich. RA Dr. Koch, 24.1.2011
Angriffe im Netz - das Risiko wächst. Die Angriffe aus dem Netz auf von Wikileaks beauftragte Provider, die ihre Dienstleistungen für Wikileaks einseitig beendet haben, zeigen deutlich, dass unzureichende Absicherung betrieblicher IT-Systeme schnell die wirtschaftliche Existenz nicht nur des Auftraggebers, sondern auch des Dienstleisters bedrohen kann. Beide Seiten müssen analysieren, mit welchen Bedrohungen voraussichtlich zu rechnen ist, welche Sicherheitsvorkehrungen der Auftraggeber treffen muss und welches Haftungsrisiko noch für den Dienstleister steuerbar ist. Der Auftraggeber muss bereits das Ergebnis dieser Risikoanalyse unbedingt dokumentieren, ebenso aber die getroffenen Sicherheitsmaßnahmen und die Durchführung regelmäßiger Kontrollen, ob die implementierten Sicherheitsvorkehrungen laufend aktuell gehalten werden (etwa durch rasches Reagieren auf neue Viren durch Installation der neuesten Updates der Antiviren-Software). Mit dieser Maßnahmendokumentation muss der CIO nachweisen können, dass die erforderlichen und möglichen Maßnahmen rechtzeitig getroffen wurden. Freilich wird man selten vollständige Sicherheit erreichen können (ohne gleich offline zu gehen). Aber selbst gegen Angriffe, denen ein IT-Systembetreiber scheinbar hilflos ausgeliefert ist (etwa dedicated distributed denial-of-service[ddos]-Attacken), kann zumindest teilweise vorgebeugt werden, so etwa durch das Beobachten des Netzverkehrs und schnelles Einleiten von Gegenmaßnahmen (wie sie im BSI-Grundschutzhandbuch beschrieben sind. Für jedes Intranet und jede Webpräsenz muss ein individuelles Risikoprofil erstellt werden. Schematische Lösungen greifen meist zu kurz. Auch scheinbare bloße Details können entscheidende Bedeutung erlangen. So darf, wie das Beispiel Wikileak zeigt, nicht einzelnen Mitarbeitern oder Mitarbeitergruppen der zeitlich und/oder quantitativ unbeschränkte Zugriff auf Dateien möglich sein. Lese- und erst recht Download-Rechte müssen gezielt und begrenzt vergeben und deren Einhaltung laufend kontrolliert und dokumentiert werden, ebenso scheiternde Zugriffsversuche. RA Dr.Koch www.anwaltskanzlei-koch.info . Handy-Viren - ein neues Risiko Zunehmend werden auch Smartphones von Viren “befallen”. Diese Gefahr ist (wegen der Uneinheitlichkeit der Betriebssysteme) zwar noch nicht so groß wie bei PCs, aber sie wächst. Meist werden die Viren über SMS oder E-Mail verbreitet. Ein Betriebssystem scheint besonders gefährdet: Von 500 Viren etwa 450 für Symbian (Nokia) geschrieben [1]. Die Viren können die Systemfunktionen beeinträchtigen - oder auch überwachen, etwa durch unbemerktes Einschalten des Handy und Mithören in einer Konferenz. Rechtlich sind (mindestens) zwei Punkte zu beachten: (a) Der IT-Sicherheitsbeauftragte muss (schon um Haftung aus seinen Compliance-Pflichten zu verhindern) im Unternehmen auch alle diejenigen Mobiltelefone in seine Sicherheitsanalyse einbeziehen, für die Zugriffsrechte auf Systemrechnern des Unternehmens eingerichtet sind. Verhindert werden muss, dass die Schadprogramme vom Handy auf die Unternehmens-IT übertragen werden kann. Ergänzend muss für solche Handys ein Verbot (u.U. durch Betriebsvereinbarung) gelten, irgendwelche Fremdprogramme herunterzuladen, da diese Downloads nicht durch Virenscanner oder Firewalls allein verhindert werden können. Zugriffe von Mobiltelefonen sollten unbedingt automatisiert protokolliert werden, um einen Virenangriff beweisen zu können. (b) Das unbefugte Ausspähen von Daten, Lesen fremder E-Mails oder Einschleusen von Schadprogrammen ist auch für Handys strafbar. Die Daten, Mails, Fotos etc. sind nicht deshalb weniger geschützt, weil sie nur auf Mobiltelefonen abgespeichert sind. Mögliche strafbare Handlungen sind etwa Datenveränderung (§ 303 a StGB) oder Computersabotage (§ 303 b I Nr. 1 StGB). [1] Deutschlandfunk - Computer und Kommunikation vom 9.10.2010 (www.dradio.de/dlf/sendungen/computer/1292469) und (www.dradio.de/dlf/sendungen/computer/1292400)
UPDATE 6.10.2010, 29.11.2010 und 19.2.2011 zu “Stuxnet” Nach aktuellen Zahlen sind in Großbritannien 1.038 Industrieanlagen betroffen und in den USA 2.913 [1]. Das Schadensrisiko erhöht sich durch den Umstand, dass der komplette Stuxnet-Code noch nicht vollständig entschlüsselt ist ([1], S. 3). Man weiß also nicht, was das eigentliche Angriffsziel ist, wie der Angriff konkret ausgeführt wird und wie der Code gegen seine Entfernung geschützt sein könnte. Immerhin kann er jede angegriffene Anlage identifizieren und alle 5 Sekunden deren Parameter checken ([1], S. 3). Für möglich gehalten wird, dass auch Stromversorgungsnetze durch Stuxnet angegriffen werden könnten [2], u:u. durch andere als die Stuxnet-Urheber. Sandro Gaycken hat geschrieben, hier sei erstmals eine Cyberwaffe an der ganzen Welt getestet worden, die in der nächsten Generation wahrscheinlich Industrien und Infrastukturen ganzer Länder lahmlegen könne. “Darauf ist niemand vorbereitet” [3]. Hinzu kommt, dass Teile des Stuxnet-Codes mittlerweile online zugreifbar und auf anderen Systemen zu Sabotage-Zwecken einsetztbar sind [4]. Aus rechtlicher Sicht ist die Situation beunruhigend: Für Geschädigte ist weder klar, wer der Schädiger ist, noch kann gesagt werden, welche Schäden durch noch verborgene Codefunktionen drohen können. Umgekehrt müssen aber Anlagenbetreiber, die Stuxnet in ihren Systemen finden, alle Zulieferer, verbundenen Unternehmen und Kunden informieren, wenn sich die Malware in der Supply Chain auch auf deren Systeme übertragen könnte. Der Schaden ist bereits dann immens, wenn nur die möglicherweise betroffenen Unternehmen in ihren Systemen personal- und zeitaufwendig auf die Suche nach dem Schadprogramm gehen müssen. Mindestens notwendig ist eine laufende Aktualisierung der Sicherheitssoftware, um nicht nur Stuxnet zu finden, sondern auch von Hackern erstellte und veränderte Kopien zu finden. Versäumnisse der Betreiber können sie haftbar machen. [1] http://en.wikipedia.org/wiki/Stuxnet. (Version 5.10.2010) [2] Liam O’Murchu im Spiegel-Interview www.spiegel.de/netzwelt/web/0,1518,721323,00.html [3] in der Zeit Nr. 31 v. 25.11.2010, S. 31. [4] Computer und Kommunikation 19.2.2011, www.dradio.de/dlf/meldungen/computer/1392525/
CIOs müssen IT gegen “Stuxnet” und Nachfolger absichern. Der Computervirus “Stuxnet” ist eines der komplexesten bisher entwickelten Schadprogramme. Diese Malware greift die speicherprogrammierbare Steuerung von Industrieanlagen an. Er verbreitete sich über bis dahin unbekannt Sicherheitslücken in Windows [1]. Der Wurm Stuxnet kann seinen Schöpfern über eine Peer-to-peer-Netzwerkfunktion Fernzugriff auf das angegriffene (Siemens-)System verschaffen, seine Manipulationen verschleiern und sich automatisch für neue Versionen der angegriffenen Software aktualisieren [2] . In der Presse wird dieser Virusangriff überwiegend als Beginn eines möglichen Cyberwar zwischen Staaten angesehen. CIOs dürfen sich aber nicht damit beruhigen. Es geht nicht bloß um den Angriff auf eine Anlage in einem bestimmten Staat. Vom Virus befallen sind vielmehr weltweit 14 Anlagen auch in den USA und in Großbritannien [1]. Jeder Betreiber einer solchen Anlage ist angreifbar. Außerdem wird befürchtet, dass der Angriffsvektor zwar ziemlich komplex ist, aber leicht kopiert und “umgebaut” werden kann [2]. CIOs sind deshalb im Rahmen ihrer Compliance-Pflicht und -Haftung (!) gehalten zu prüfen, ob die von ihnen getroffenen Abwehrmaßnahmen auf dem neuesten Stand sind und außerdem rechtzeitig eine Gefährdungsanalyse erstellen. Gefährdet sein können auch Produktionssteuerungen und ERP-Systeme mit Online-Anbindung. Überprüfungen und Analysen müssen schon aus Beweisgründen (und gegenüber Kreditgebern) dokumentiert werden [1] heise security, Meldung v.16.9.2010 (www.heise.de/security/Stuxnet-Wurm-kann-Industrieanlagen-steuern-1080584.html). [2] www.dradio.de/dlf/sendungen/computer/1286988.
Kein Verkauf von Gebrauchtsoftware nach US-Recht Ein US-Berufungsgericht hat am 10.09.2010 festgestellt, dass ein Lizenzgeber den Weiterverkauf von “gebrauchter” Software auschließen darf. Dieses Urteil hat grundsätzliche Bedeutung: Erstens gilt es auch für in Deutschland genutzte Software,wenn diese nach US-Recht lizenziert wurde. Zweitens ist es auf alle urheberrechtlich geschützten Werke anwendbar, also auch auf Musikwerke oder Filme. Jede Weiterveräußerung solcher Werke etwa über eBay ist nach dieser Entscheidung unzulässig. Das gilt sogar für Angebote aus Deutschland zum Weitererwerb über eBay, wenn der Versand der Werkkopie auch in die USA angeboten wird. Die US-Entscheidung ist in einem Punkt strenger als etwa das deutsche Recht. Nach deutschem Recht darf der Anwender ein kaufweise erworbenes Programmexemplar weiterveräußern, allerdings nur das erworbene Exemplar selbst, nicht hiervon erstellte Kopien. Dieses Weiterverbreitungsrecht darf nicht vom Anbieter in seinen Lizenzbedingungen wesentlich eingeschränkt werden, da es als “erschöpft” gilt. Wenn der Anwender kaufweise erwirbt, darf sein Eigentumsrecht an der Programmkopie (jedenfalls in Formularverträgen) nicht abbedungen werden. Nach US-Recht können nach Auffassung des erwähnten Berufungsgerichts Lizenzgeber die Möglichkeit zulässiger Weiterveräußerung derart restriktiv regeln, dass der Erwerber nicht mehr als Eigentümer (“owner”) gilt, sondern nur als Lizenznehmer (“licensee”). Dann ist er auch nicht zur Weiterveräußerung berechtigt und verletzen Anwender, die von ihm zweiterwerben, spätestens mit dem ersten Laden des Programms das Urheberrecht, da sie nicht berechtigte Nutzer sind. Ergänzend sei angemerkt, dass der Erschöpfungsgrundsatz (in de USA “first sale doctrine”) ohnehin nicht greift, wenn das Programm- oder sonstige Werkexemplar online vom Erwerber heruntergeladen wird. Er darf die erstellte Kopie weder auf Datenträger weiterveräußern noch selbst wieder online zugänglich machen. Hauptargument hierfür ist, dass der Anwender nicht ein vom Anbieter auf Datenträger in den Verkehr gebrachtes Werkstück erwirbt, sondern eine Kopie selbst erstellt. Hier kann sich eine “Update-Falle” für den Anwender auftun: Das erste Exemplar einer Software erwirbt er auf Datenträger oder vorinstalliert auf dem Rechner. Das Update lädt er aber online herunter. Die derart “upgedatete” Software hat er nicht verkörpert auf Datenträger erworben. Folge ist, dass er sie auch nicht mehr separat oder mit der Hardware weiterveräußern darf. Das gilt z.B. für Apple-”Apps” und auch für auf das iPad heruntergeladene Inhalte etwa der Medien.
Bundesgerichtshof: ”Internet-System-Vertrag” ist Werkvertrag Der BGH (Urt.v.4.3.2010 - III ZR 79/09 hat einen Vertrag über die Erstellung einer Web-Präsenz als Werkvertrag eingestuft. Damit schuldet der Anbieter eine Leistung, die der bestellende Kunde erst nach Prüfung als im wesentlichen vertragsrecht abzunehmen braucht. Erst dann ist (mangels abweichender Vereinbarung) die Vergütung geschuldet und beginnt der Zeitraum der Mängelhaftung. Ist damit aber gesagt, dass der BGH eine Entscheidung auch zur vieldiskutierten Frage getroffen hat, ob auch bei Lieferung (trotz § 651 BGB) Werkvertragsrecht anstatt Kaufrecht anwendbar sein kann ? Dies kann dem Urteil nicht entnommen werden. Zum einen ließ der BGH diese Frage offen (Textziff. 21), zum anderen hatte der Anbieter die erstellte Software nicht dem Kunden geliefert, sondern vereinbarungsgemäß auf dem anbietereigenem Host-Rechnern installiert und administriert. Für derartige Fälle ohne Anlieferung war bisher schon und ist auch weiterhin Werkvertragsrecht problemlos anwendbar. Jedoch hat der BGH (Urt.v.23.7.2009 - VII ZR 151/08, CR 2009, 637, Randziff. 25) bereits deutlich gemacht, dass Werkvertragsrecht anwendbar ist und nicht Kaufrecht (über § 651 BGB), wenn etwa Planungsleistungen den Schwerpunkt des Vertrags bilden. (s. bereits Koch, Computer-Vertragsrecht, 7.Aufl., S. 471). Ein wesentlicher Unterschied: Ist Werkvertragsrecht anwendbar, wird die Vergütung erst mit Abnahme (§ 640 BGB) fällig (§ 641 BGB).
Haftung eines leitenden Angestellten als “Compliance Officer” Der Leiter einer Revisionsabteilung kann aus der Verletzung einer Garantenpflicht (§ 13 I StGB) haftbar und sogar strafbar sein. Dies hat der BGH, Urt.v. 17.7.2009 - 5 StR 394/08, CR 2009, 699 für eine falsche Gebührenberechnung im öffentlichen Bereich geprüft. Als Compliance Officer kann dem Leiter die Pflicht obliegen, Rechtsverstöße zu verhindern. Eine solche Pflicht ist allgemeiner gesehen Teil einer übernommenen Überwachungs- und Schutzpflicht. Auf dieser rechtlichen Grundlage kann mit der gleichen Begründung dann auch die Haftung eines Chief Information Officers (CIO) zu bejahen sein, zu dessen Aufgaben das Herstellen und laufende Überwachen etwa der Angriffsabsicherung betrieblicher IT-Systeme gehört. Eine solche Haftung kommt in Betracht, wenn der CIO eine ihm erkennbare Nutzung des IT-Systems durch Mitarbeiter duldet, durch die Dritten Angriffslücken im System eröffnet werden. ___________________________________________________________ _
Checklisten und Übersichten Apps, kleine Programme für iPhone und andere Mobilgeräte, sind mittlerweile für eine Vielzahl von Anwendungen verfügbar. Kaum beachtet werden bisher die Rechte der Entwickler dieser Apps, besonders die Urheberrechte. Einzelne Kurzaufsätze im Web gehen zwar auf Rechtsfragen zu Apps ein, behandeln aber wesentlich nur allgemeines IT-Projektrecht, kaum hingegen Urheberrechte an eigenentwickelten Apps. Deshalb hierzu einige Hinweise: Nicht alle Apps sind urheberrechtlich schutzfähig ! Urheberrechtliche Nutzungsrechte kann man als Entwickler Dritten nur einräumen, wenn die jeweilige App durch das Urheberrecht geschützt wird (§ 65 a ff UrhG). Ein solcher Schutz besteht keineswegs “automatisch” für jede App. Nicht schutzfähig sind etwa übernommene Standardelemente, z.B. einheitlich formatierte Zeit- und/oder Datumsangaben oder eine “QWERTY”-Tastatur für den Touch-Screen). Das kann auch gelten, wenn man eine Standardbenutzeroberfläche mit dem Interface Builder “zusammenklickt”. Oft verwendeter HTML(5)/XML-Code ist außerdem nach der Rechtsprechung nicht als Computerprogramm schutzfähig, soweit es sich hier nur um Dokumentformatfestlegungen handelt. Möglich ist aber ein Schutz als “technisch-wissenschaftliche Darstellung” (§ 2 Abs. 1 Nr. 7 UrhG), der sich allerdings nicht auf den Code bezieht, sondern auf die Benutzeroberfläche. Ist US-Recht anwendbar ? Betreiber von App-Stores wollen die Erstellung und Nutzung von Apps oft ausschließlich US-Recht - und damit auch US-Urheberrecht - unterstellen (so etwa das “iPhone Developer Programm License Agreement” (Stand 22.1.2010) . Dies begegnet Bedenken. Zwar können allgemein Vertragspartner ein ausländisches Recht als anwendbares Recht im Vertrag vereinbaren. In Formularverträgen gilt dies aber nur eingeschränkt. Wird die App für deutsche Anwender entwickelt und deshalb nur in Deutschland abgerufen, kann die Verweisung auf US-Recht im Entwicklerformularvertrag eine überraschende und deshalb unwirksame Klausel (§ 305 c Abs. 1 BGB) darstellen. Erhöhter Schutz besteht, wenn der Entwickler die App nur “bei Gelegenheit” erstellt, also weder gewerblich noch beruflich selbständig, sondern als “Verbraucher” (§ 13 BGB); hier findet deutsches AGB-Recht bei der Prüfung des App-Entwicklungs- und auch -Nutzungsvertrags Anwendung (Art. 29 a EG BGB). Was gilt bei Beteiligung mehrerer Entwickler ? Haben mehrere Entwickler eine urheberrechtlich schutzfähige App erstellt, gelten sie als Miturheber (§ 8 Abs. 1 UrhG). Sie bilden eine Gesamthandsgemeinschaft (Gesellschaft des bürgerlichen Rechts, §§ 705 ff BGB). Haben die Entwickler hingegen eigenständig erstellte Programme nur zur einer Anwendung und gemeinsamen Verwertung verbunden, gelten sie als Urheber verbundener Werke (§ 9 UrhG) und bilden nicht bezüglich der Erstellung, sondern njur der Verwertung eine BGB-Gesellschaft. Unter Miturhebern sind erzielte Erlöse nach dem Umfang der Mitwirkung der jeweils mitarbeitenden Entwickler zu verteilen (§ 8 Abs. 3 UrhG). In beiden Fällen kann jeder Entwickler (ohne Zustimmung der anderen) gegen rechtsverletzende Dritte vorgehen. Kann es Open-Source-Apps geben ? Grundsätzlich ja. Jeder ist berechtigt, von sich aus Apps zu entwickeln. Er ist nicht verpflichtet, für diese Vergütung zu verlangen. Eine ganz andere Frage ist aber, ob App-Shop-Betreiber diese Apps dann auch vertreiben müssen. Grundsätzlich besteht keine Verpflichtung der Betreiber, über solche OS-Apps Verträge abzuschließen. Auch kann die Nutzung von anbieterseitigen SDK für OS-Apps eine Verletzung der Nutzungsbedingungen für solche SDK darstellen. Es gibt aber Entwicklungsumgebungen unter der GPLv3 (z.B. Sensatouch, c’t 2010/Heft 16, S. 101), auf deren Grundlage Apps ohne Verletzung von Urheberrechten entwickelt werden können. Dürfen “Privatkopien” von Apps vergütungsfrei erstellt werden ? Vervielfältigungen zum privaten Gebrauch dürfen grundsätzlich erstellt werden (53 Abs. 1 UrhG). Das gilt jedoch nicht, wenn die Kopievorlege für die App offensichtlich rechtswidrig erstellt oder rechtswidrig öffentlich zugänglich gemacht wurde. Das ist etwa der Fall, wenn die App grundsätzlich nur gegen Vergütung angeboten wird und ein Nutzer dennoch eine Quelle im Netz findet, die sie kostenfrei zugänglich macht. Von Open-Source-Apps dürfen beliebig Kopien erstellt werden.
Gestaltung rechtssicherer Computerverträge Die Gestaltung von Beschaffungsverträgen für Systeme oder Software und für IT-Projekte bedarf deshalb spezialisierter IT-rechtlicher Beratung, die auch die jeweiligen technischen Besonderheiten des IT-Projekts aus langjähriger Beratungspraxis zu beurteilen weiß und durch Publikationen belegt mit aktuellen Problemstellungen vertraut ist. In der anwaltlichen Beratungspraxis sind bei der Gestaltung und Durchführung von Verträgen über Computerleistungen meist folgende Regelungspunkte besonders wichtig, - aber erfahrungsgemäß meist unzureichend geregelt: Welche Leistungen sind geschuldet ? Oft werden Leistungen nur unvollständig aufgelistet, etwa hinsichtlich Datenträgern, Einweisungen, Installation oder Dokumentationen. Beide Vertragspartner müssen an klaren Regelungen interessiert sein. Der Kunde muss darlegen und beweisen können, welche Leistungen er aus dem Vertrag beanspruchen kann, der Anbieter hingegen, dass diese Leistungen erbracht sind und mehr nicht geschuldet ist. Welche Rechte hat der Kunde bei Leistungsmängeln? Generell kann der Kunde Mängelbeseitigung verlangen und bei deren Scheitern vom Vertrag zurücktreten. Außerdem kann er (auch im weiterbestehenden Vertrag) nachgewiesene Schäden ersetzt verlangen. Nicht klar vereinbart ist aber meist, ob und ggf. wann der Kunde mit einem Mängelbeseitigungs-Update rechnen kann und wie eine Mängelbeseitigung konkret durchgeführt wird - ob also der Anbieter vor Ort tätig wird, der Kunde ein Update herunterladen muss und ob (was selten klar angesprochen wird) beim Updating die bisherige Fassung des Programms “überschrieben”, d.h. gelöscht wird, womit alle kundenspezifischen Anpassungen verloren sein können. Wie sind die Nutzungsrechte des Kunden an Software konkret ausgestaltet ? Der Anwender macht sich nicht immer klar, wie vielfältig mittlerweise Nutzungsrechte ausgestaltet sein können, wodurch das Risiko steigt, die Grenzen dieser Nutzungsrechte zu überschreiten. So muss etwa geklärt werden, ob Nutzungsrechte fest an Arbeitsplätze geknüpft oder als “Floating Licenses” auf andere Arbeitsplätze übertragbar sind. Auch müssen Kunden prüfen, ob sie Updates (wie bei Betriebssystemen üblich) online erhalten. Die aktuell installierte Fassung ist dann nicht mehr mit der erworbenen Fassung identisch und darf weder separat noch mit der Rechner weiterveräußert werden. Die angesprochenen Punkte führen besonders häufig zu Rechtsstreitigkeiten und sollten deshalb möglichst während der Vertragsverhandlungen mithilfe qualifizierter anwaltlicher Beratung klar geregelt werden.
Verträge über Managed IT-Services Der Trend in der Unternehmens-IT geht dahin, die Verwaltung der IT-Infrastruktur immer mehr durch Dienstleister betreuen zu lassen. Man spricht hier von “Managed Services Providern”. Allerdings zeigt sich in der Praxis, dass Rechtsabteilungen und Anwälte hier noch nicht immer in der Praxis ausreichend Erfahrung gesammelt haben, wie Managed Services-Verträge rechtssicher zu gestalten sind. Es gibt kaum Rechtsprechung und keine einschlägigen Kommentare oder Musterverträge. Damit bleibt nur, spezialisierte Rechtsberatung in Anspruch zu nehmen, in der die Vertragsregelungen bezogen auf die Anforderungen des jeweiligen Unternehmens erarbeitet werden. Von zentraler Bedeutung ist hier, welche konkreten Leistungen benötigt werden. Es reicht nicht, einfach nur Muster für Wartungsverträge ein wenig anzupassen. In diesen ist nämlich i.d.R. kein ausreichend spezifiziertes Monitoring und Reporting geregelt, erst recht nicht die Unterstützung bei laufender Steigerung der Effizienz des IT-Einsatzes. Auch muss die Quality of Service in Service Level Agreements für das auftraggebende Unternehmen spezifisch und kontrollfähig vereinbart werden. Den Vertragsparteien muss bewusst sein, dass am Markt verschiedene Dienstleistungstypen angeboten werden. Der Auftraggeber muss hier eine Entscheidung treffen und im Vertrag festlegen. Soll z.B. der Dienstleister die Applikationssoftware selbst erwerben und hosten und der Auftraggeber Remote-Zugriff erhalten (Software as a Service, SaaS) oder soll der Kunde die Software-Lizenz erwerben und die Applikation vom Dienstleister mit individueller Remote-Unterstützung betreuen lassen ? Welche Leistungsform ist kostengünstiger, aber auch für den Auftraggeber effizienter ? Bloßes Vereinbaren von “Hosting” reicht hier nicht, da auch der Managed Services Provider (MSP) die Applikation hosten kann Zu regeln ist weiter, ob und inwieweit der Dienstleister auch die Sicherheit der IT des Auftraggebers zu prüfen und aufrechtzuerhalten hat. Hier können Managed Security Services zu kontraktieren sein. Hier sind die Anforderungen der Normen ISO/IEC 207001 und 27002 zu berücksichtigen, ergänzend ISO/IEC 20000-2, Nr. 6.6. Da vom Dienstleister meist auch Personendaten (der Kunden und Arbeitnehmer) mit verarbeitet werden, muss der Managed-Services-Vertrag Regelungen gemäß den zwingenden Vorgaben aus § 11 BDSG enthalten. Auch hier können keine fertigen Textbausteine übernommen werden, sondern müssen individuell passende Regelungen mit dem Dienstleister verhandelt und vereinbart werden. Reicht es z.B. zur Wahrung des Datenschutzes aus, wenn der Dienstleister den Second Level Support “kostenoptimiert von Indien aus” anbietet ? Zu klären ist weiter, welche Gewährleistung der Dienstleister übernimmt und wie seine Haftung aussieht und durch Versicherung gedeckt ist. Für neue IT-Leistungstypen wie etwa “Managed Services” müssen Verträge individuell und passgenau mit allen notwendigen Leistungsmerkmalen erarbeitet, vereinbart und in der Durchführung kontrolliert werden. Verträge über neue IT-Leistungstypen bedürfen besonderer Vorbereitung und Beratung. Ein bereits marktrelevantes Beispiel sind die “Managed Services”. Bei diesen übernehmen Provider das Einrichten und laufende Unterstützen be stimmter betrieblicher IT-Funktionen, so etwa das Network-, Desktop-, Datenbanken-, Security- und Identity-Management. Solche Leistungen sind nicht mit Outsourcing- oder ASP-Projekten oder gar Wartung zu vergleichen, sondern bedürfen besonderer Pflichtenprogramme und Regelungen zur kontrollgeeigneten Durchführung. Individuelle Regelungen müssen etwa für folgende Leistungspunkte vereinbart werden: - Laufende Fernüberwachung (Remote Control) und Monitoring, automatisierte Fehlerbeseitigung und Backups, - Unterstützen der IT-Security (Realtime Protection) mit klar definierten Security Levels, Absicherung gegen Angriffe aus dem Internet, Notfallmanagement nach BSI-Grundsätzen, - Change Management für Mängelbeseitigung und Leistungsänderungen (nach ITIL, ISO 20000), - regelmäßiges Reporting (wichtig auch für Compliance-Nachweis), - Klärung, ob der Provider lizenzrechtlich eine vom Auftraggeber erworbene Software (mit)nutzen darf. Verarbeitet der Provider für den Auftraggeber personenbezogene Kunden- oder Beschäftigtendaten, müssen für alle Regelungspunkte individuelle Vereinbarungen getroffen werden, die § 11 BDSG bußgeldbewehrt verlangt, so etwa zu spezifizierende Weisungs-, Zugangs- und Kontrollrechte des Auftraggebers, einwilligungsabhängige Befugnis des Providers zur Unterbeauftragung und Pflicht zur Unterrichtung über Datenschutzverstöße bei Leistungserbringung und zur Datenlöschung bei Vertragsende. Ein Beratungsfehler wäre es, wenn nicht außerdem die Anforderungen der Normen ISO 20000-2 und 27001 / 27002 berücksichtigt würden.
Typische Fehler in Verträgen über Web Services Für Verträge über Web Services gibt es bisher kaum Rechtsprechung. Kunden gehen hier deshalb deutlich erhöhte Risiken ein, unzureichende Vertragsregelungen zu treffen und mögliche Mehrkosten zu tragen oder selbst in Haftung zu geraten. Drei Beispiele für unverzíchtbare Vertragsregelungen: 1. Unklar bleibt, welche Leistung der Provider schuldet. So werden dem Kunden oft Nutzungsrechte eingeräumt und laufend als Lizenzen berechnet, während tatsächlich eine reine Dienstleistung geschuldet wird. Solche Regelungen in Formularverträgen können unwirksam sein (§ 307 II Nr. 2 BGB), so etwa, wenn der Kunde nicht Online-Zugriff auf die Appplikation auf den Serverrechnern des Providers erhält, um selbst mit der Software seine Daten zu bearbeiten, sondern der Provider als Dienstleister diese Bearbeitung übernimmt. Auch bleibt die Leistungsbeschreibung oft zu vage, um im Streitfall dem Gericht eine Feststellung zu ermöglichen, ob der Provider Gewährleistung schulden soll. 2. Auch die Vergütungsberechnung wird oft unzureichend klar definiert. Erhält nämlich der Kunde nicht ein Nutzungsrecht an einer Programmkopie (auf dem Providerrechner), sondern wird vom Provider eine Dienstleistung erbracht, wird selten eine Staffelung geregelt, wieviele Mitarbeiter gleichzeitig diese Dienstleitung nutzen dürfen. Auf die Rechtsprechung zur Staffelung von Nutzungsrechten an Software kann hier nicht zurückgegriffen werden. Also hängt alles von klaren und detaillierten Vertragsregelungen ab. 3. Werden Daten von Mitarbeitern oder Abnehmer des Kunden durch den Dienstleister verarbeitet, unterbleibt meist eine ausreichende Regelung dieser Auftragsverarbeitung (zwingend von § 11 II BDSG verlangt), eine bußgeldbeschwerte Ordnungswidrigkeit (§ 43 I Nr. 2 b BDSG). Auch fehlt oft eine klare Regelung, ob der Dienstleister die Leistungserbringung (online) in einen Drittstaat (außerhalb der EU) auslagern darf. Der Auftraggeber (Kunde) haftet hier gegenüber den Mitarbeitern/Abnehmern, wenn sich die unzulässig außerhalb der EU verarbeiteten und inzwischen weltweit verteilten Daten nicht löschen lassen. Spezialisierte Vertragsberatung: Rechtsanwalt Dr. Frank A. Koch, Maximilianstr. 54 80538 München, Tel: 089/ 221330, 221339, Fax: 089227673 www.anwaltskanzlei-koch.info; koch@anwaltskanzlei-koch.de Verfasser von: “Computer-Vertragsrecht” (7.Aufl.), “IT-Projektrecht”, Beiträge zu Internet- und Datenbankenverträgen in: Loewenheim, Handbuch des Urheberrechts
Die wichtigsten Urteile des Bundesgerichtshofs (BGH) zum IT-Recht Pflichtenheft BGH, Urt.v.28.6.1994 - X ZR 95/92, CR 1995, 265 - Pflichtenheft Fachliche Vorgaben muss der Kunde machen, technische Vorgaben der Anbieter. BGH, Urt.v.24.9.1991 - X ZR 85/90, CR 1993, 543 - Vergessenes Pflichtenheft Ist das Pflichtenheft vergessen worden, schuldet der Anbieter nur Standardfunktionen (den “mittleren Ausführungsstandard”). Dokumentation BGH, .4.12.1992 - VIII ZR 165/91, CR 1993, 203 - Dokumentation www.judicialis.de/Bundesgerichtshof_VIII-ZR-299-98_Urteil_22.12.1999.html Bei vereinbarter Software-Entwicklung muss der Anbieter auch eine Dokumentation erstellen. BGH, Urt.v.14.7.1993 - VIII ZR 147/92, ZIP 1993, 1394 - Fehlende Dokumentation www.betriebs-berater.de/archiv/pages/show.php?timer=0&deph=0&id=36378 Liefert der Anbieter die geschuldete Dokumentation nicht, ist der Kunde nicht zur Abnahme der entwickelten Software verpflichtet (und beginnt die Gewährleistungspflicht nicht zu laufen). Der Anbieter hat hier seine Hauptleistungspflicht nicht erfüllt. BGH, Urt.v.4.12.1992 (s. oben) Ohne Lieferung des Handbuchs durch den Anbieter liegt keine “Ablieferung” i.S.d. Kaufrechts vor (und läuft die Gewährleistungsfrist nicht). BGH, Urt.v.22.12.1999 - VIII ZR 299/98, NJW 2000/1415 www.jurpc.de/rechtspr/20000070.htm “Ablieferung” setzt voraus, dass die Kaufsache vom Kunden in seinem Machtbereich untersucht werden kann. (Hierzu müssen z.B. die erforderlichen Funktionen der Software freigeschaltet sein.) Systemeinweisung BGH, Urt.v. 22.12.1999 - VIII ZR 299/98, NJW 2000, 1415 Die Durchführung einer Systemeinweisung durch den Anbieter bedarf besonderer Vereinbarung. Qualitätssicherung BGH, Urt.v. 6.6.1991 - I ZR 234/91, BB 1991, 1817 Der Anbieter haftet bei Software-Erstellung für die Einhaltung der einschlägigen Qualitätssicherungsnormen. Vertragstypen: Software-Kauf BGH, Urt.v. 14.7.1993 - VIII ZR 147/92, CR 1993, 681 Zeitlich unbeschränkte Überlassung von Software gegen Einmalzahlung folgt Sachkaufrecht. Ebenso: BGH, Urt.v.15.11.2006 - XII ZR 120/04, CR 2007, 75 http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/list.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288 (Unter “Dokumentsuche” Aktenzeichen eingeben). Software- Miete BGH, Urt.v.15.11.2006 - XII ZR 120/04, CR 2007, 75 http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/list.py?Gericht=bgh&Art=en&Datum=Aktuell&Sort=12288 (Unter “Dokumentsuche” Aktenzeichen eingeben). Wird die Software zeitlich begrenzt zur Nutzung überlassen, ist Mietrecht anwendbar. Software-Erstellung GH, Urt.v.11.10.1990 - VII ZR 228/89, CR 1991, 119 - Planungsmängel Software-Erstellung unterliegt Werkvertragsrecht. (Kaufrecht kann über § 651 BGB anwendbar sein, wenn die erstellte Software geliefert wird, außer, der Leistungsschwerpunkt liegt bei der Planung und/oder Erstellung).
Quellcode (Sourcen) BGH, Urt.v. 30.1.1986 - I ZR 242/84, CR 1986, 377 Ohne besondere vertragliche Vereinbarung kann der Kunde auch bei erstellter Individualsoftware nicht den Quellcode herausverlangen. Hardware-Wartung/Software-Pflege BGH, Urt.v. 7.3.2002 - III ZR 21/01, NJW 2002, 1571 Soll ein bestimmter funktionaler Zielzustand erreicht oder eingehalten werden (z.B. “Service Levels”), ist auf diese Verpflichtung auch im Dauerschuldverhältnis Werkvertragsrecht anzuwenden. Programmsperre BGH, Urt.v.15.9.1999 _ I ZR 98/97, CR 2004, 94 - Programmsperre III Eine unangekündigt aktiv werdende Sperre ist ein Mangel der Software. Fehlschlagende Nachbesserung BGH, Urt.v. 29.10.1997 - VIII ZR 347/96, MMR 1998, 251 Schlagen drei Nachbesserungsversuche fehl, kann der Kunde vom Vertrag zurücktreten.
___________________________________________________________ _ Rechtsanwalt Dr. Frank A. Koch Maximilianstr. 54 D-80538 München Tel: 089/ 221 330 089/221 339 Fax: 089/ 227 673 E-Mail: koch@anwaltskanzlei-koch.de
“Computer-Vertragsrecht”, 2009 in der 7. Auflage “IT-Projektrecht” “Handbuch Software-und Datenbankrecht” (2. Aufl.) Mitarbeit am “Handbuch des Urheberrechts” (2.Aufl. 2009) zu Intenet- und Datenbankverträgen Regelmäßige Publikationen im “IT-Rechtsberater”
RA Dr. Koch
|
| [Computerrecht] [F&E-Recht] [Computerrecht-Kanzlei] [IT-Recht/Projektverträge] [Internet-Recht] [Publikationen] [Downloads] [Ihre Computerrechte] [Entwicklerrechte] [IT-Rechtsstreit] [Cloud Computing-Vertrag] [Vertrags-Check im Web] [Gentechnikrecht] [IT-Recht Kanzlei RA Dr. Koch] [Vergaberecht] [FDA-Konformität von IT] [KRITIS] [IT-Sicherheitsrecht] [Gesetze] [Erneuerbare Energien] [Produktsicherheitsrecht] [Datenschutzrecht] |