Blog

Bundesjustizministerium zu den weiteren Entwicklungen im IT-Sicherheitsrecht – Ausblick auf die Gesetzgebung im Cybercrime 2019

Im Nachgang zu dem „Doxing-Skandal 2018/2019“ hat das Bundesjustizministerium im Januar 2019 ein Thesenpapier veröffentlicht (unten als Download), dem weitere Maßnahmen einer eventuellen zukünftigen Gesetzgebung im Bereich IT-Sicherheit zu entnehmen sind. Dies sind in aller Kürze:

  • IT-Sicherheit mit Updateverpflichtung: Es soll EU-weit einheitliche und rechtlich verbindliche Standards geben, die den Herstellern und Diensteanbietern klare Anforderungen zur IT-Sicherheit auferlegen. Diese Standards sollten über die gesetzlichen Mindestanforderungen hinausgehen und eine mehrjährige Update-Verpflichtung des Herstellers enthalten.
  • Produkthaftung: Auch fehlerhafte Software soll unter das Produkthaftungsregime fallen und mangelnde IT-Sicherheit muss einen Produktfehler begründen. (Hinweis: Grundsätzlich gilt die Produkthaftung auch jetzt bei Software)
  • Stärkung im Datenschutz: Es soll eine Stärkung der Datenschutzbehörden erfolgen (fraglich wie, es geht um Landesbehörden, wo der Bund nicht wirklich eingreifen kann). Weiterhin soll ein verbesserter Schutz in die EU-ePrivacy-Verordnung (was auch skeptisch gesehen werden kann, nach meiner Wahrnehmung blockt genau hier die deutsche Regierung?).
  • Wettbewerbsrecht: Es soll ausdrücklich die Anwendbarkeit des Gesetzes gegen den unlauteren Wettbewerb auf Datenschutzverstöße klargestellt werden: „Wenn Daten von Verbraucherinnen und Verbrauchern missbräuchlich verwendet wurden und dadurch Gewinne erzielt werden, dann dürfen diese nicht bei dem bleiben, der das Recht verletzt hat.“. Hier wird fraglich sein, ob man wenigstens so klug ist, nur bestimmte Verstöße/Klauseln dem UWG zu unterstellen – oder ob am Ende dann doch massenhaft Abmahnungen wegen Formfehler in Datenschutzerklärungen auf Webseiten folgen können. Wichtig ist auch, dass man über das Instrument der „Gewinnabschöpfungsklage“ nachdenkt.
  • Online-Dienste in die Pflicht nehmen: Eher unscheinbar ist der Satz „Ein gehacktes Nutzerkonto bei einem Online-Dienst muss schnell und unkompliziert gesperrt werden können.“. Gemeint ist aber wohl, dass Online-Dienste klare Ansprechpartner mit kurzen Reaktionszeiten bereit halten müssen. Es bleibt abzuwarten ob man das wirklich angeht in einer Zeit, in der es als Erfolg verbucht werden muss, dass man bei Google überhaupt mal Mails liest.
  • Long Term Support: Ich bin mir nicht sicher, man schreibt unter dem Stichpunkt nachhaltige Sicherheit „Durch das Auslaufen des Software-Supports werden zum Teil Neuanschaffungen erzwungen“ und möchte erreichen, dass Software länger gepflegt wird. Ich vermute, dass für bestimmte Bereiche eine Art LTS begründet werden soll, wobei kritische Systeme schon heute langjährige Pflegepakete haben (und man oben ja schon die Updateverpflichtung angesprochen hat). Hier ist mir nicht ganz klar, wo man hin will … durch den pauschalen Verweis auf die EU könnte es sich aber auch mehr um einen unkonkreten Fülltext handeln.

Für mich zeigt sich eines deutlich mit der nunmehrigen Liste des BMJV: So unverbindlich es klingt, darf man wohl davon ausgehen, dass wir zeitnah ein IT-Sicherheitsgesetz 2 erleben werden. Dieses dürfte sich auf Online-Dienste und Softwareregeln konzentrieren. Weiterhin wird der deutsche Gesetzgeber – das macht er nun mal am liebsten – versuchen die Sanktionsschraube zu drehen. Schon fast unweigerlich dürften daher Klarstellungen im UWG zu erwarten sein, damit DSGVO-Verstöße dann definitiv erfasst sind. Datenschutzrecht und Softwarerecht werden den Bereich der IT-Sicherheit möglicherweise beherrschen, jedenfalls verstehe ich so die hier vorgenommenen Ankündigungen.

Abgasskandal: OLG Köln sieht auch eine sittenwidrige vorsätzliche Schädigung des Kunden

Die Volkswagen AG muss dem Käufer eines gebrauchten Audi A4 mit Dieselmotor EA 189 Eu5 aus dem Gesichtspunkt der sittenwidrigen vor- sätzlichen Schädigung den Kaufpreis abzüglich Nutzungsentschädigung erstatten. Mit Beschluss vom 03.01.2019 hat der 18. Zivilsenat des Ober- landesgerichts Köln die Berufung der Volkswagen AG gegen ein dahin- gehendes Urteil des Landgerichts Köln als offensichtlich unbegründet zu- rückgewiesen.

Abgasskandal: OLG Köln sieht auch eine sittenwidrige vorsätzliche Schädigung des Kunden weiterlesen

Abgasskandal: Vorsätzliche sittenwidrige Schädigung durch Verwendung manipulierter Software

Unter anderem das Landgericht Kiel (12 O 371/17) hat die umfassende verbreitete Rechtsprechung aufgegriffen, derzufolge die Installation manipulierter Software eine zum Schadensersatz verpflichtende vorsätzliche sittenwidrige Schädigung darstellt. Diese fällt den Entwicklungsingenieuren des Herstellers, die für den Einbau der Funktion zur Manipulation der Emissionswerte auf dem Prüfstand verantwortlich sind, zur Last. Hieraus ergibt sich eine Haftung des Herstellers für seine Entwicklungsingenieure sowohl als Verrichtungsgehilfen (§ 831 BGB) als auch wegen eines Organisationsverschuldens (§ 31 BGB).

Im Ergebnis bedeutet dies, dass im Zuge des Schadensersatzanspruchs der Käufer verlangen kann, so gestellt zu werden, als ob er den Kaufvertrag nicht abgeschlossen hätte. Dem Anspruch auf Schadenersatz steht dabei nicht entgegen, wenn die vom Hersteller angebotene technische Überarbeitung des Fahrzeugs („Software-Update“) erfolgt ist.
Abgasskandal: Vorsätzliche sittenwidrige Schädigung durch Verwendung manipulierter Software weiterlesen

Autokauf: Alleine die Installation einer zur Täuschung über Werte geeignete Software ist ein Sachmangel

Im Zuge des Abgasskandals konnte das Oberlandesgericht Köln (18 U 112/17 – so inzwischen auch Oberlandesgericht Köln, 27 U 13/17) klarstellen, dass ein PKW an einem Mangel schon alleine deswegen leidet, weil eine Software installiert ist, die Abgaswerte auf dem Prüfstand manipuliert. Die Frage war durchaus umstritten, es wurde mitunter auch argumentiert darüber, ob sich Käufer überhaupt derartige Gedanken machen – das OLG macht deutlich, dass hier mit fadenscheinigen Diskussionen nichts zu erreichen ist.

Denn für die übliche Beschaffenheit und für diejenige Beschaffenheit, die ein Käufer erwarten kann, kommt es auf die objektiv berechtigten Käufererwartungen an – diese bemessen sich nach dem Horizont eines vernünftigen Durchschnittskäufers.
Autokauf: Alleine die Installation einer zur Täuschung über Werte geeignete Software ist ein Sachmangel weiterlesen

Urheberrechtliche Auswirkungen eines AdBlockers

Das Landgericht Hamburg (308 O 244/16) hatte 2016 entschieden, dass es einen Unterlassungsanspruch einer Nachrichtenseite gegen einen Adblocker gibt – allerdings wurde ein solcher nicht auf urheberrechtlicher, sondern nur auf wettbewerbsrechtlicher Grundlage zugestanden.

Zu den urheberrechtlichen Fragen hatte das Landgericht ausgeführt, dass eine Umarbeitung der Steuerungssoftware der Webseiten der Antragstellerin i.S.d. § 69c Nr. 2 UrhG nicht anzunehmen sei. Die Antragstellerin habe seinerzeit einen Eingriff in die Substanz des Programms nicht glaubhaft gemacht. Auch eine unzulässige Vervielfältigung des Programms sei nicht gegeben. Die Antragstellerin gestatte es den Nutzern ihres Internetauftritts gerade ohne Einschränkung hinsichtlich der Nutzung von Werbeblockern, ihr Programm in ihrem – der Nutzer – Arbeitsspeicher abzulegen.

Später dann, im Jahr 2018, hatte sich das Hanseatische Oberlandesgericht Hamburg (5 U 46/17) damit zu beschäftigen, konnte dazu aber nichts weiter ausführen, da der von der Antragstellerin ursprünglich auf die Verletzung von Urheberrechten gestützte Verfügungsanspruch vom Landgericht (formell) rechtskräftig zurückgewiesen worden und dementsprechend nicht Gegenstand des Berufungsverfahrens geworden war. Auch der Bundesgerichtshof (I ZR 154/16) konnte sich damit beschäftigen, stellte am Rande fest, dass wohl keine grundsätzlichen urheberrechtlichen Bedenken bestehen und jedenfalls ein wettbewerbsrechtlicher Unterlassungsanspruch nicht zu erkennen ist:

  • Das Angebot einer Software, die Internetnutzern ermöglicht, beim Abruf mit Werbung finanzierter Internetangebote die Anzeige von Werbung zu unterdrücken, ist keine unlautere zielgerichtete Behinderung im Sinne des § 4 Nr. 4 UWG. Dies gilt auch, wenn das Programm die Freischaltung bestimmter Werbung solcher Werbetreibender vorsieht, die dem Anbieter des Programms hierfür ein Entgelt entrichten.
  • Das Angebot einer Werbeblocker-Software stellt auch keine aggressive geschäftliche Handlung im Sinne des § 4a Abs. 1 UWG gegenüber den Unternehmen dar, die an der Schaltung von Werbung interessiert sind.

Insgesamt wird damit eine grundsätzliche Zulässigkeit von Adblocker-Sofware im Raum stehen.

Anforderungen an eine ordnungsgemäße Mängelrüge bei der Lieferung von Standardsoftware

Eine frühere Entscheidung des Oberlandesgerichts Köln (19 U 88/96) aus dem Bereich des Softwarerechts möchte ich der Vollständigkeit halber erwähnen: Es geht um die Anforderungen an eine ordnungsgemäße Mängelrüge bei der Lieferung von Standardsoftware. Dabei hat das OLG Köln seinerzeit entschieden, dass bei einem Vertrag über die Lieferung einer aus mehreren Komponenten bestehenden Standardsoftware die Geltendmachung der Wandelungseinrede auf Fehler bei der Anwendung nur gestützt werden können, wenn der Pflicht zu substantiiertem Sachvortrag genügt wird. Dies ist nicht schon erfolgt, wenn allgemein behauptet wird, der Betrieb eines bestimmten Programmes sei nicht möglich gewesen. Um eine Überprüfung der Beanstandung zu ermöglichen und eine ordnungsgemäße Verteidigung zu gewährleisten, sind vielmehr konkrete Angaben dahingehend erforderlich, mit welchem Inhalt und Ziel das Programm vertragsgemäß betrieben werden sollte, welche und wieviele Arbeitsschritte vorgenommen worden sind und gegebenenfalls mit welchen Fehlermeldungen die Anlage darauf reagiert hat.
Anforderungen an eine ordnungsgemäße Mängelrüge bei der Lieferung von Standardsoftware weiterlesen

Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen?

Softwarepflegevertrag und gesetzliche Änderungen: Spätestens mit der Datenschutzgrundverordnung ab Mitte 2018 dürfte gerade in Fällen von Software im Bereich „Big Data“ und beim Kundenbezug die Frage aufkommen, ob eine Pflicht des Softwareanbieters zur Anpassung an gesetzliche Änderungen besteht. Tatsächlich dürfte dies mitunter in Betracht kommen, allerdings wird es auf den Einzelfall ankommen.
Softwarepflegevertrag: Pflicht zur Anpassung von Software an gesetzliche Änderungen? weiterlesen

Zur Mangelhaftigkeit von Software bei ungenügender Dokumentation

Softwarerecht: Beim Oberlandesgericht Frankfurt am Main (5 U 152/16) stritt man um die Mangelhaftigkeit einer Softwarelösung, die mittels agiler Entwicklung entwickelt wurde. Der Auftraggeber bemängelte eine unzureichende Dokumentation einmal der Software insgesamt, aber auch hinsichtlich einer (vereinbarten) Kommentierung des Software-Quelltextes.

Das Gericht macht deutlich, dass eben auch eine „äußerst knappe“ Kommentierung des Quelltextes ausreichend sein kann; etwas anderes gilt, aber bei der Dokumentation der Systemarchitektur – hier kann eine mangelnde Dokumentation insbesondere dann problematisch sein, wenn hierdurch verhindert wird, dass ein fachkundiger Dritter sich in das Projekt einarbeiten und dieses fortführen kann, die Leistung kann damit für den Auftraggeber unbrauchbar und letztlich wertlos sein. Hier aber schlägt die vereinbarte agile Softwareentwicklung durch, wie auch das OLG bestätigt: Eine solche Dokumentation ist erst dann sinnvoll möglich, wenn die Systemarchitektur und die letztendlich verwendeten Komponenten überhaupt feststehen – das ist während eines laufenden und „mittendrin“ gescheiterten Projekts – anders als bei den Quelltextdateien – kaum sinnvoll möglich.

Angesichts der 6-stelligen im Streit stehenden Summe ein für den Auftraggeber unerfreuliches Ergebnis, das durchaus gewisse Tücken agiler Entwicklung dokumentiert: Softwareprojekte, gerade die besonders umfangreichen, entwickeln sich durchaus gerne für alle Beteiligten recht unerfreulich. Bei agiler Entwicklung besteht an dieser Stelle eine gewisse Unsicherheit, wenn das Projekt wie so oft „mittendrin“ abgebrochen wird – der Auftraggeber möchte dann ein zumindest irgendwie verwertbares Ergebnis, der Auftragnehmer seinen Aufwand angemessen vergütet sehen. Bei zunehmendem Streit driftet diese Schere von Ansprüchen immer weiter auseinander, dem vertraglich zu begegnen ist bei agiler Entwicklung ebenso trickreich wie mit Tücken versehen.

Zur Mangelhaftigkeit von Software bei ungenügender Dokumentation weiterlesen

Opensource: Kein Schadensersatz bei Verletzung der GPL

Wohl korrekt hat das Oberlandesgericht Hamm (4 U 72/16) entschieden, dass es keinen Schadensersatz im Zuge der Lizenzanalogie geben kann, wenn Software unter Verstoss gegen die Lizenzvorgaben der GPL (hier: GPLv2) verbreitet wurde. Hintergrund ist der von der GPL gewünschte Schutz der Anwender einseits und die Sicherstellung grösstmöglicher Verbreitung andererseits: In der GPLv2 findet sich im §4 Satz3 GPLv2 die Klarstellung, dass die Lizenzen Dritter bei einem Lizenzverstoss des Verbreiters unberührt bleiben:

Jedoch werden die Lizenzen Dritter, die von Ihnen Kopien oder Rechte unter dieser Lizenz erhalten haben, nicht beendet, solange diese die Lizenz voll anerkennen und befolgen.

Das findet sich in der GPLv3 im weitesten Sinne heute in Ziffern 8, Abs.4, 9 GPLv3. Dadurch, dass aber insgesamt eine kostenlose Nutzung ermöglicht ist und die Weiterverbreitung letztlich lizenzrechtlich folgenlos ist, da die Lizenz ihre eigener Fortwirkung ermöglicht, kann sich auch kein finanziell messbarer Schaden ergeben, so das OLG durchaus nachvollziehbar.

Das Ergebnis ist, dass ein GPL-Lizenzverstoss einen Unterlassungsanspruch auslöst, somit die Kosten einer Abmahnung zu erstatten sind, aber weitere Kosten in Form eines Lizenzschadens kaum denkbar sein dürften.
Opensource: Kein Schadensersatz bei Verletzung der GPL weiterlesen

Opensource-Software: urheberrechtlicher Unterlassungsanspruch bei Verletzung der GPL

Dass der Lizenztext der GPL rechtlich bindend ist und bei Lizenzbruch ein urheberrechtlicher Unterlassungsanspruch ausgelöst wird sollte inzwischen bei weitem nichts neues mehr sein.

Dabei ist weder die Wirksamkeit der GPL noch ein ernsthafter Streitpunkt, noch die Frage, wie mit einem Lizenzbruch umzugehen ist: Die Einhaltung der GPL ist eine insgesamt auflösende Bedingung, was bedeutet, dass wenn eine der notwendigen Bedingungen der GPL nicht eingehalten wird, in diesem Fall die Nutzungsberechtigung insgesamt nicht fortbesteht (so LG Köln, 14 O 188/17).

Opensource-Software: urheberrechtlicher Unterlassungsanspruch bei Verletzung der GPL weiterlesen