Pflicht zur Bereitstellung von Aktualisierungen („Updatepflicht“) bei Software: Seit dem 1.1.22 haben wir ein EU-weit normiertes Verbraucher-Softwarerecht. Mit diesem Softwarerecht kommt ein besonderes Novum: die gesetzliche Vorgabe einer Updatepflicht für Software.
Aktualisierungspflicht für Software weiterlesenSchlagwort: Webhosting
Rechtliche Implikationen aus der Log4J / Log4Shell Lücke
Eine der sicherlich herausragendsten Sicherheitslücken in diesem Jahrzehnt ist schon jetzt die Log4Shell-Sicherheitslücke, die zunehmend massiv ausgenutzt wird – ich hatte, wie üblich, auf LinkedIn frühzeitig dazu berichtet. Nun langsam, nachdem die Lücke bekannt ist und auch nicht nur in Teilen sondern massiv ausgenutzt werden kann und wird, stellt sich natürlich die Frage, was an rechtlichen Konsequenzen damit verbunden ist. Wie immer gilt: Es kommt drauf an.
Tatsächlich zeigt sich, dass die Lücke einige – vorhersehbare – Konsequenzen hat; viel interessanter ist, dass sich Datenschutzbehörden bereits postieren und auch anlasslose Kontrollen angekündigt haben. Dies nicht nur für Log4J speziell, sondern für Ransomware allgemein.
Rechtliche Implikationen aus der Log4J / Log4Shell Lücke weiterlesenJuristische Konsequenzen für Provider und Diensteanbieter bei IT-Sicherheitslücke
Welche Pflichten treffen eigentlich Provider, wenn eine IT-Sicherheitslücke in eingesetzter Software bekannt wird, die noch gar nicht ausgenutzt wurde? In der Tat ergeben sich dabei einige vertragsrechtliche Aspekte. Als Beispiel soll die im Jahr 2014 bekannt gewordene Sicherheitslücke mit dem treffenden Namen „Shellshock“ dienen, die schnell ausgenutzt wurde,
Ein solcher Fall sollte Provider und Anbieter von Internetdiensten immer aufhorchen lassen – nicht nur in technischer Hinsicht. Denn es bieten sich durchaus juristische Konsequenzen. Die aufgezeigte Sicherheitslücke hatte dabei weitreichende Auswirkungen: Zwar benötigte man auf den ersten Blick einen Zugriff auf das Terminal, was gerade bei typischen Webspace-Angeboten gar nicht der Fall sein wird; allerdings gibt es zahlreiche Lösungen, bei denen die Bash quasi durch die Hintertüre verwendet wird, so dass sich durchaus denkbare Szenarien bieten. Das Risiko traf damit zumindest theoretisch erst einmal jedes Unix-basierte System.
Webseite gelöscht: Zur Bemessung des Schadensersatzes
Beim Landgericht Duisburg (22 O 102/12) ging es um die Frage der Höhe des Schadensersatzes, nachdem eine Webseite neu erstellt werden musste. Das Gericht ging dabei den interessanten Ansatz, den aus der Rechtsprechung zum Schadensersatz von Sachen bekannten Grundsatz „Abzug Neu für Alt“ anzuwenden:
Allerdings ist vorliegend ein Abzug „neu für alt“ vorzunehmen. Geht die gemäß § 249 BGB geschuldete Naturalrestitution über den Ausgleich des effektiv verursachten Schadens hinaus, so muss der Geschädigte dem Schädiger den Differenzbetrag ersetzen. Das wird praktisch beim Ersatz einer gebrauchten, durch eine neue Sache, da hierdurch der Geschädigte besser steht als vor dem Schadensfall (Müko/Oetker, BGB, 6. Auflage, 2012, § 249 BGB, Rn. 348). Hinsichtlich der konkreten Höhe des Abzugs kann dabei die voraussichtliche Dauer der Nutzungsmöglichkeit herangezogen werden und der Abzug prozentual nach dem Anteil der bereits verstrichenen Zeit bestimmt werden, um sodann den Neupreis um diesen Betrag zu kürzen (Müko/Oetker, BGB, 6. Auflage, 2012, § 249 BGB, Rn. 52). Für die voraussichtliche Dauer der Nutzungsmöglichkeit kann bei Wirtschaftsgütern als Orientierung auf den steuerlichen Abschreibungswert zurückgegriffen werden, der jedoch gegebenenfalls aufgrund der tatsächlichen Gesamtlebensdauer und der tatsächlichen Restnutzungsdauer zu korrigieren ist (BVerWG, NJW 1995, 2303; 2305 f.; Müko/Oetker, a.a.O.).
Nach den überzeugenden und von den Parteien nicht angegriffenen Ausführungen des Sachverständigen ist danach vorliegend von einer durchschnittlichen Nutzungsdauer einer Web-Seite von 8 Jahren auszugehen.
Das Ergebnis war i vorliegenden Fall, dass der geltend gemachte Schadensersatz auf ca. 1/5 reduziert wurde, da die Webseite schon fast 8 Jahre alt war. Insgesamt ist der Gedanke zu begrüßen, dass nach einem Schaden der hier einzustehende nicht die Aufgabe haben kann, den überfälligen oder anstehenden Relaunch einer Webseite komplett zu finanzieren.
Hinweis: Das Gericht hat zudem festgestellt, dass Webhosting-provider eine grundsätzliche Pflicht zur Datensicherung trifft.
Webseite gelöscht: Zur Bemessung des Schadensersatzes weiterlesen