Einsichtnahme in Quellcode bei IT-Vergabe

Das Oberlandesgericht Düsseldorf, Verg 25/18, konnte ich in einem interessanten Fall dazu äußern, wie umfangreich das Angebot an Informationen im Rahmen einer Ausschreibung sein muss, wenn es um die (Weiter-)Entwicklung und Pflege einer Software geht:

Zwar genügt die Zurverfügungstellung des Quellcodes allein auch nach dem Vorbringen der Antragsgegnerin nicht, um Unternehmen, die die Software nicht entwickelt haben, bei Folgevergabeverfahren, die die Pflege, Anpassung oder Weiterentwicklung der Software zum Gegenstand haben, transparent, gleich und nicht diskriminierend zu behandeln. Die Antragsgegnerin hat jedoch bereits mit der Folgeausschreibung „Anpassung, Inbetriebnahme und Softwarepflege des Einsatzleitsystems XX. bei der Berufsfeuerwehr …“ dokumentiert, dass sie sich nicht auf die Zurverfügungstellung des Quellcodes beschränken will. Vielmehr hat sie dort ihre Bereitschaft erkennen lassen, alle notwendigen Informationen – zum Beispiel auch die Dokumentation des Quellcodes – zur Verfügung zu stellen, die es braucht, um den Wettbewerbsnachteil, der sich für Drittunternehmen daraus ergibt, dass sie die Software nicht entwickelt haben und daher mit dem Quellcode (noch) nicht vertraut sind, in dem für einen wirksamen Wettbewerb erforderlichen Umfang auszugleichen. Mit dieser Bereitschaft ist den Anforderungen des Besserstellungsverbots hinsichtlich des streitbefangenen Beschaffungsvorgangs Genüge getan. Nach der Rechtsprechung des Europäischen Gerichtshofs muss der öffentliche Auftraggeber dafür sorgen, dass er den potenziellen Bewerbern und Bietern hinreichende Informationen übermittelt, um die Entwicklung eines wirksamen Wettbewerbs auf dem abgeleiteten Markt der Pflege, der Anpassung oder der Weiterentwicklung der Software zu ermöglichen (EuGH, Urteil vom 28. Mai 2020 – C-796/18, zitiert nach juris, Rn. 74). Das bezieht sich auf den Quellcode und gegebenenfalls auch weitere notwendige Informationen (vgl. EuGH, Urteil vom 28. Mai 2020 – C-796/18, zitiert nach juris, Rn. 75). (…)

Die Frage, welche Informationen zur Ermöglichung wirksamen Wettbewerbs zu übermitteln sind und der Einräumung welcher Fristen es bedarf, um ihre Auswertung zu ermöglichen, hängt von den konkreten Umständen des Einzelfalls ab und ist vom öffentlichen Auftraggeber nach pflichtgemäßem Ermessen zu entscheiden (…).

Einerseits muss nicht jedes durch Voraufträge erworbene Know-how ausgeglichen werden (vgl. z.B. OLG Bremen, Beschluss vom 9. Oktober 2012 – Verg 1/12, zitiert nach juris, Tz. 116 [bezogen auf Software]; OLG Naumburg, Beschluss vom 5. Dezember 2008 – 1 Verg 9/08, zitiert nach juris, Tz. 79; Voigt, in: Müller-Wrede, VgV/UVgO, § 7 VgV Rn. 32).

Andererseits ist wirksamer Wettbewerb zu gewährleisten, so dass außer der Übermittlung ausreichender Informationen auch das Einräumen angemessener Fristen zur Auswertung derselben wichtig ist. (…) Die Pflicht des öffentlichen Auftraggebers, den Unternehmen, die die Software nicht entwickelt haben, hinreichende Informationen zur Ermöglichung wirksamen Wettbewerbs auf dem nachgelagerten Markt der Pflege, Anpassung oder Weiterentwicklung der Software zu übermitteln, besteht erst in den Vergabeverfahren, die diese Leistungen betreffen.

Aktualisierungspflicht für Software

Pflicht zur Bereitstellung von Aktualisierungen („Updatepflicht“) bei Software: Seit dem 1.1.22 haben wir ein EU-weit normiertes Verbraucher-Softwarerecht. Mit diesem Softwarerecht kommt ein besonderes Novum: die gesetzliche Vorgabe einer Updatepflicht für Software.

Aktualisierungspflicht für Software weiterlesen

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke

Eine der sicherlich herausragendsten Sicherheitslücken in diesem Jahrzehnt ist schon jetzt die Log4Shell-Sicherheitslücke, die zunehmend massiv ausgenutzt wird – ich hatte, wie üblich, auf LinkedIn frühzeitig dazu berichtet. Nun langsam, nachdem die Lücke bekannt ist und auch nicht nur in Teilen sondern massiv ausgenutzt werden kann und wird, stellt sich natürlich die Frage, was an rechtlichen Konsequenzen damit verbunden ist. Wie immer gilt: Es kommt drauf an.

Tatsächlich zeigt sich, dass die Lücke einige – vorhersehbare – Konsequenzen hat; viel interessanter ist, dass sich Datenschutzbehörden bereits postieren und auch anlasslose Kontrollen angekündigt haben. Dies nicht nur für Log4J speziell, sondern für Ransomware allgemein.

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke weiterlesen

Neues Kaufrecht: Sicherheit als Mangel

Es tut sich etwas im Vertragsrecht in Sachen Sicherheit – zukünftig wird die Sicherheit ein zentrales Element sein bei der Frage, ob ein Mangel vorliegt, gleich ob Software (jedenfalls gegenüber Verbrauchern) oder Kaufgegenstand.

Denn: Mit dem neuen Kaufrecht zum 1.1.2022 ändert sich auch die Frage, wann ein Sachmangel vorliegt. Zum einen versucht der Gesetzgeber zwar am einheitlichen Sachmangel-Begriff festzuhalten – zum anderen aber gibt es ab dem 1.1.22 dann an drei verschiedenen Stellen einen unterschiedlichen Begriff des Sachmangels.

Neues Kaufrecht: Sicherheit als Mangel weiterlesen

Neues Kaufrecht und Softwarerecht 2022

Sind Ihre Verträge bereit für das nächste Jahrzehnt? Es ist ohnehin schon erschreckend, wie wenig Mühe sich Unternehmen mit Ihren Verträgen machen: Dabei beruhen hierauf doch sämtliche erzielten Umsätze.

Und nun kommt auch noch etwas ganz Neues: Von der „größten Reform des Schuldrechts seit zwei Jahrzehnten“ spricht der Beck-Verlag zu Recht zur Neuauflage des Grüneberg-BGB-Kommentars (vormals Palandt). Die Umsetzung von Digitale-Inhalte-RL, Warenkauf-Richtlinie und des Gesetzes für faire Verbraucherverträge bringen weitreichende Änderungen, die man im kaufmännischen und vertragsrechtlichen Alltag ab dem 1.1.22 kennen muss. Weitreichende Änderungen im Kaufrecht und AGB-Recht werden die Arbeit der nächsten Jahre prägen, besonders für jeden, der mit der Überlassung digitaler Produkte zu tun hat oder der mit dem An- oder Verkauf sein Geld verdient.

Neues Kaufrecht und Softwarerecht 2022 weiterlesen

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke

Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde,

Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.

Juristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke weiterlesen

Urheberrechtliche zulässigkeit von Cheat-Software (OLG HH)

Beim Hanseatischen Oberlandesgericht Hamburg (5 U 23/12) ging es um die Zulässigkeit des Angebots von „Software-Ergänzungsprodukten für die PlayStationPortable“. Was sperrig klingt ist ein klassisches Cheat-Produkt, wobei sich dann die Frage stellt, ob dies urheberrechtlich zulässig ist – und ob der Rechteinhaberin Unterlassungsansprüche zustehen:

Diese Softwareprodukte funktionierten ausschließlich mit den Originalspielen der Klägerin. Die Ausführung der Software [A] erfolgte dergestalt, dass die PSP mit einem PC verbunden und in die PSP ein Memory Stick eingelegt und mit Software der Beklagten beschrieben wird. Nach dem Neustart der PSP erschien dann ein zusätzlicher Menüpunkt „[A]“, über den Veränderungen an einzelnen Spielen der Klägerin vorgenommen werden konnten … die dazu führten, dass künftige Beschränkungen beim Einsatz des „Turbos“ („Booster“) entfielen oder nicht lediglich ein Teil der Fahrer verfügbar war, sondern auch schon der Teil, der ansonsten erst beim Erreichen bestimmter Punktzahlen freigeschaltet wurde.

Mit der Software [T] erhielt der Besteller einen Sensor, der an den Headset-Anschluss der PSP angeschlossen wurde und die Steuerung der PSP durch Bewegungen der Spielekonsole im Raum ermöglichte. Zur Vorbereitung des Einsatzes des Bewegungssensors war ebenfalls ein Memory Stick in die PSP einzustecken, wodurch ein zusätzlicher Menüpunkt [T] verfügbar wurde mit einer Auswahlliste von Spielen. Auch hier ermöglichte das angegriffene Produkt, dass während des laufenden Spiels durch eine Tastenkombination ein zusätzliches Menü aufgerufen werden konnte, das nicht im Originalspiel vorgesehen war. Wurde dort die Option „[T]“ gewählt, entfielen bestimmte Beschränkungen (…)

Oberlandesgericht Hamburg, 5 U 23/12

Update: Die Sache ist inzwischen beim BGH (I ZR 157/21) anhängig und wird dort im Februar 2023 entschieden.

Urheberrechtliche zulässigkeit von Cheat-Software (OLG HH) weiterlesen

Reverse Engineering: EUGH zur Dekompilierung von Software

Der EUGH (C‑13/20) konnte zur Dekompilierung von Software, auf Basis der früheren „Computerprogramm-Richtlinie“ 91/250, festhalten, dass

  • der rechtmäßige Erwerber eines Computerprogramms berechtigt ist, dieses ganz oder teilweise zu dekompilieren, um Fehler, die das Funktionieren dieses Programms beeinträchtigen, zu berichtigen;
  • insbesondere ist dies in dem Fall zulässig, dass die Berichtigung darin besteht, eine Funktion zu deaktivieren, die das ordnungsgemäße Funktionieren der Anwendung, zu der dieses Programm gehört, beeinträchtigt;
  • sowie, dass der rechtmäßige Erwerber eines Computerprogramms, der die Dekompilierung dieses Programms vornehmen möchte, um Fehler, die dessen Funktionieren beeinträchtigen, zu berichtigen, nicht den weiteren Anforderungen nach Art. 6 dieser Richtlinie genügen muss. Der Erwerber darf eine solche Dekompilierung jedoch nur in dem für die Berichtigung erforderlichen Ausmaß und gegebenenfalls unter Einhaltung der mit dem Inhaber des Urheberrechts an diesem Programm vertraglich festgelegten Bedingungen vornehmen.

Die hier zu Grunde gelegte Richtlinie 91/250 wurde durch die Richtlinie 2009/24/EG aufgehoben – inhaltlich wird die Entscheidung übertragbar sein und zukünftig, im immer bedeutenderen Bereich der Dekompilierung, eine erhebliche Auslegungshilfe darstellen. Mit Blick auf die gefestigte deutsche Rechtsprechung zu urheberrechtlichen Fragen beim Reverse Engineering ergeben sich für mich nach erstem Lesen allerdings keine gravierenden Änderungen.

Deutsche Unternehmen setzen zunehmend auf Opensource

Eine Umfrage des BITKOM ergab, dass 71 Prozent befragter Unternehmen (ab 20 Mitarbeiter) Opensource-Software nutzen. Dabei sind 67 Prozent „interessiert und aufgeschlossen“ sowie ein weiteres Viertel noch unentschieden – jedenfalls gerade mal 7 % sehen sich „grundsätzlich kritisch oder ablehnend“. Und dies war nicht die einzige Analyse im September 2021.

Deutsche Unternehmen setzen zunehmend auf Opensource weiterlesen

Urheberrechtlicher Schutz eines Eingabe-Formulars

Eingabeformulare (Formulare in Programmen oder auf Webseiten) können tatsächlich einen urheberrechtlichen Schutz genießen, dazu gibt es nunmehr aktuelle Rechtsprechung des OLG Karlsruhe (6 U 46/09) sowie des EUGH (C-393/09). Beide Urteile haben inhaltlich übereinstimmend festgestellt:

  1. Ein eigenständiger Schutz als „Computerprogramm“ nach §69a UrhG kommt nicht in Frage. Das wäre insofern praktisch, da man hier „leichter“ zu einem urheberrechtlichen Schutz kommen würde. Allerdings verneinen OLG Karlsruhe und EUGH das beide gleichermaßen überzeugend. Früher einmal sah das OLG Karlsruhe (6 U 52/94) das anders und gibt die Auffassung heute mit den Worten auf

    Die Bildschirmoberfläche wird durch das Computerprogramm erzeugt, stellt selbst aber kein Computerprogramm oder ein Teil desselben dar und kann daher auch nicht als dessen Ausdrucksform angesehen werden.

    Der EUGH dazu ausführlich:

    Wie der Generalanwalt in Nr. 61 seiner Schlussanträge ausführt, muss jede Ausdrucksform eines Computerprogramms ab dem Moment geschützt sein, ab dem ihre Vervielfältigung die Vervielfältigung des Computerprogramms zur Folge hätte und auf diese Weise der Computer zur Ausführung seiner Funktion veranlasst werden könnte.

    Gemäß der zehnten und der elften Begründungserwägung der Richtlinie 91/250 sind Schnittstellen Teile des Computerprogramms, die eine Verbindung und Interaktion zwischen den Elementen von Software und Hardware ermöglichen sollen und ebenso mit den Benutzern, damit sie wie beabsichtigt funktionieren können.

    Die grafische Benutzeroberfläche ist eine Interaktionsschnittstelle, die eine Kommunikation zwischen dem Computerprogramm und dem Benutzer ermöglicht.

    Daher ermöglicht es die grafische Benutzeroberfläche nicht, das Computerprogramm zu vervielfältigen, sondern stellt lediglich ein Element dieses Programms dar, mittels dessen die Benutzer die Funktionen dieses Programms nutzen.

    Folglich stellt diese Schnittstelle keine Ausdrucksform eines Computerprogramms im Sinne von Art. 1 Abs. 2 der Richtlinie 91/250 dar und kann demnach nicht in den Genuss des spezifischen Schutzes durch das Urheberrecht für Computerprogramme nach dieser Richtlinie gelangen.

  2. Allerdings kann ein Eingabeformular in seiner Form und Gestaltung selbstverständlich urheberrechtlichen Schutz genießen (in diesem Fall in Deutschland speziell nach §2 I Nr.7 UrhG, der auch Formulare erfasst): Wenn es die erforderliche Schöpfungshöhe aufweist. Hier sind die üblichen Anforderungen zu stellen und das OLG Karlsruhe macht deutlich, dass die durchaus hoch sind. Insbesondere ist zu verhindern, dass eine Software erdenkliche andere Software-Produkte „verdrängt“ nur weil es als erstes mit einem bestimmten Eingabeformular auf den Markt gekommen ist. Das OLG verlangt hier eine individuelle Leistung, die über das „rein handwerkliche hinausgeht“.