Wer haftet? – rechtliche Fragen in der SoftwareentwicklungOlaf Grauschmitt

Wer haftet? - Rechtliche Fragen in der SoftwareentwicklungOlaf Grauschmitt

Relationship ManagerMicrosoft Deutschland GmbHolafgr@microsoft.com

Inhaltsüberblick

Status Quo Wichtige gesetzliche Regelungskataloge

Datenschutz/KonTraG/BASEL II/TKG Vertragshaftung

Juristische Betrachtung von Softwareentwicklung

Rechtliche Einordnung Haftungsgrundlagen Möglichkeiten der Haftungsbeschränkung Exkurs GPL bzw. OSS und AGB

Wen trifft die Haftung? Erforderliche Vorkehrungen

IT Security

Status Quo

Status Quo Security-Studie von

silicon.de 2005

90% der Befragten bestätigen Security Probleme

Beispiele: Verbreitung Trojaner: von 42% auf 55%

Beliebteste Verbreitungsmethode: SPAM Viren, Trojaner, Phishing, etc.

DoS - Attacken: von 15% auf 18% Generelle Zunahme individueller Attacken

Status Quo Qelle: Mummert Consulting, September

2004

2/3 der befragten IT Manager registrierten im Vergleich zu 2003 "mehr oder wesentlich mehr Verstöße" gegen ihre IT- Sicherheit

1/3 erlitten in den letzten zwölf Monaten Schäden durch Viren, Würmer und kriminelle Mitarbeiter mit bis zu 10 000 Euro Schaden

83,1 % der Sicherheitsverstöße der letzten zwölf Monate gingen auf das Konto von Viren, Würmern und Trojanern

90 % der befragten Unternehmen haben Virenscanner und Firewalls.

44 % beziehen automatische Updates der Antiviren-Software.

15 % der Befragten würden den Virenschutz erst dann aktualisieren, wenn es bereits zu einem Sicherheitsverstoß gekommen ist

IT Security

Gesetzliche Regelungskataloge

Gesetzliche Regelungskataloge ? Es existiert kein „Recht der IT-Sicherheit“; vielmehr ist eine

Vielzahl von Rechtsgebieten berührt.

Näherungsversuch I:§ 2 Abs. 2 BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) lautet:

„Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen1. in informationstechnischen Systemen oder Komponenten oder2. bei der Anwendung von informationstechnischen Systemen oder Komponenten

Gesetzliche Regelungskataloge ? Näherungsversuch II

Schutzpflichten von Rechtsgütern: Sicherung personenbezogener Daten Sicherung von TK-Anlagen Risikovermeidung und –Abschätzung Verschwiegenheitspflichten Verbraucherschutz Berufsrechtliche Aspekte (z.B. Arzt; RA)

Näherungsversuch III: AktienG BDSG KonTraG TKG Allgemeines Zivil- bzw. Vertragsrecht

Gesetzliche Regelungskataloge § 92 Abs. 2 d AktG:

„Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

Verstoß indiziert Verschulden?

Datenschutz Urspünge: „Volkszählungsurteil“ Grundsätze der Datensparsamkeit/

Datenvermeidung Landesdaten-/Bundesdatenschutzgesetze:

Umgang, Verarbeitung, Nutzung von personenbezogenen Daten

Schützt: Mandanten, Kunden, Mitarbeiter § 9 Satz 1 BDSG (Anlage):

„Acht Gebote des Datenschutzes“ für professionelle Datenverarbeitung in Organisationen

DatenschutzWichtige Aspekte für IT-Security

1. Zutrittskontrolle – kein Zutritt von Unbefugten

2. Zugangskontrolle – keine Nutzung durch Unbefugte

3. Zugriffskontrolle – Rechtekontrolle beim Zugriff auf Daten

4. Weitergabekontrolle – sicherer Transport

5. Eingabekontrolle – wer hat die Daten eingegeben/verändert

6. Auftragskontrolle – weisungsgebundene Verarbeitung

7. Verfügbarkeitskontrolle – Schutz vor Datenverlust

8. Organisationskontrolle – je nach Zweck getrennte Verarbeitung

Datenschutz§ 9 Technische und organisatorische Maßnahmen BDSG:

„Öffentliche und nicht-öffentliche Stellen, [...] haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

Datenschutz Mögliche Rechtsfolgen

Schadenersatz Löschungsansprüche Unterlassungsansprüche Aber auch:

Strafvorschriften: z.B. § 44 BDSG Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe

Ordnungswidrigkeiten § 43 BDSG: Bis zu 250.000,- € bei Verstößen gegen BDSG

KonTraG Gesetz zur Kontrolle und Transparenz im

Unternehmensbereich

Unternehmer und Manager von Kapitalgesellschaften werden fortan haftbar gemacht, wenn sie keine Vorsorge bzw. Frühwarnung im Rahmen des betrieblichen Risikomanagements betreiben

Pflicht der Unternehmensleitung, das Vermögen zu sichern und Gefahren vom Unternehmen abzuwenden (§ 93 I 1 AktienG / § 43 I GmbH-Gesetz)

Gilt auch für Schäden, die im IT-Bereich auftreten können und die geeignet sind, den Fortbestand des Unternehmens zu gefährden

Im Rahmen des Jahresabschlusses vom Wirtschaftsprüfer zu prüfen

Basel II Konsultationspapier vom Baseler Ausschuss für

Bankenaufsicht. Ziele:

- Stabilitätsgarantien für Finanzmärkte- Besseres Risikomanagement- garantierte Eigenkapitalvorsorge der Kreditinstitute

betroffen: Banken, Staaten, Unternehmen, Privatpersonen

Neben Kreditrisiko und Marktrisiko wird auch auch das operationelle Risiko geschätzt

Verlagerung der Umsetzung von staatlichen Aufgaben an die Privatwirtschaft

Basel II § 743

The bank should establish an adequate system for monitoring and reporting risk exposures and assessing how the bank’s changing risk profile affects the need for capital.

Basel II Das (operationelle) Risiko wird

maßgeblich anhand der Sicherheit der Systeme und der Daten beurteilt

Basel II ab 1. Januar 2007 in Deutschland Gesetz Kreditvergabe: auch die operationellen Risiken, die

sich aus dem Einsatz von Informationstechnologie ergeben.

Erforderlich: aktives IT-Risiko-Management, das sich mit allen Aspekten der IT-Sicherheit für das jeweilige Unternehmen befasst. Redundanz wichtiger IT-SystemeSicherung von VerfügbarkeitenWirksame Abwehr von Angriffen auf die IT-

Systeme von innen und außenErarbeitung von Notfallplänen

Basel II IT-Sicherheit ist somit sehr wichtiger

Faktor bei der Kreditvergabe

IT-Sicherheit kann somit die durch die Kreditaufnahme entstehenden Kosten senken

Telekommunikation Unternehmen, welche Web und Internet für Ihre Mitarbeiter

privat zur Verfügung stellen gelten als „Anbieter“ im Sinne des TKG (umstritten)

Verpflichtungen aufgrund des TKG (Regelung vor allem in §§ 88 ff., 100, 109 TKG) Schutz des Telekommunikationsgeheimnisses Schutz personenbezogener Daten Schutz gegen unerlaubte Zugriffe Schutz gegen Störungen, die zu erheblichen

Beeinträchtigungen des TK-Netzes führen können Schutz der TK-Anlagen gegen äußere Angriffe

IT Security

Vertragshaftung

Vertragshaftung Haftungsrisiken und IT-Security

aufgrund vertraglicher Vereinbarungen Insbes. Verletzung der

Geheimhaltungsklausel in Verträgen

Firma AIT Dienst-

leisterFirma BGeheimhaltu

ngServicevertrag

Verletzung

Vertragshaftung Grundlage für Geschäftsbeziehung:

(fast) immer gegenseitiger Vertrag

Rechtliches Grobraster: Zivilrecht

Was ist ein gegenseitiger Vertrag? Merkmal: sog. „Synallagma“: „do ut

des“

Vertragshaftung Wirksamkeit eines Vertrages

zunächst unabhängig von der Form

Mündlicher Vertrag

email

Vertragshaftung Verträge beinhalten geschriebene Pflichten…

z.B. Anforderungen an Funktionalität und Integrität von Software, Milestones, Zahlungsmodalitäten, etc…

Je nach „Hauptleistungs-“ Pflichten erfolgt die Vertragstypisierung in z.B. Werkvertrag, Dienstvertrag, Mietvertrag, etc…

…aber auch ungeschriebene Pflichten Sorgfaltspflichten Aufklärungspflichten Dokumentationspflichten etc…

Vertragshaftung Je nach Vertragstypus werden die

Nebenpflichten und Sorgfaltspflichten unterschiedlich beurteilt

Einteilung des Vertragstypus entscheidet im Zweifel der RichterDaher: genaue Dokumentation der geschuldeten Leistungen bereits zur Vertragsverhandlung unerlässliche Pflicht in der Softwareentwicklung

Vertragshaftung Schadenersatz

Unterscheidung: Materieller Schaden (Vermögensschaden) Folgeschaden Immaterieller Schaden (z.B. Ruf/Reputationsverlust)

Grundsatz: Kein Schadenersatz ohne Verschulden „Fahrlässig handelt, wer die im Verkehr

erforderliche Sorgfalt außer Acht lässt.“

Mitverschulden / Schadensminderungspflicht

Vertragshaftung Wer haftet?

Innerhalb von Vertragsverhältnissen der jeweilige Vertragspartner

Im Zweifel also der Arbeitgeber

Allerdings: Regressmöglichkeit des Arbeitgebers zumindest bei grober Fahrlässigkeit und Vorsatz

Vertragshaftung Innerhalb eines

Vertragsverhältnisses können Schadenersatzansprüche vertraglich sowohl der Höhe nach, als auch nach dem Haftungsgrund beeinflusst werden

Insbesondere in AGB Allerdings: Nicht jede AGB ist

wirksam

Exkurs GPL bzw. OSS und AGB Beispiel LG München 2004:

Unwirksamkeit der hatfungsbeschränkenden AGB bei GPL, Durchbrechung der Haftungskette

Fall: GPL-Software wird zum download angeboten Kein Hinweis auf GPL Kein Hinzufügen des Textes der GPL Keine Zugänglichmachung des Source Codes

Exkurs GPL bzw. OSS und AGB

Erkenntnisse: Zunächst: GPL ist für das Urheberrecht

relevant

Verstoß gegen die GPL kann eine Verletzung des Urheberrechts darstellen

GPL Software ist nicht frei, sondern unterliegt schlicht dem Regelungsinhalt der GPL

Exkurs GPL bzw. OSS und AGB (Insbesondere) bei US-amerikanisch

ausgestalteten GPL sehr verbreitet: Genereller Haftungsausschluss

Diese Klauseln sind nach deutschem Recht AGBs

AGBs unterliegen der Inhaltskontrolle §§ 305-310 BGB

Exkurs GPL bzw. OSS und AGB

Nach deutschem AGB Recht ist ein genereller Haftungsausschluss rechtswidrig

Folge: Derjenige, der Software unter deutschem Recht GPL-konform weitergibt haftet vollumfänglich. Gleiches gilt bei Bearbeitung von OSS für einen

Auftraggeber. Der Auftragnehmer hat nach der GPL die Haftung auszuschließen.

Ausschluss nach deutschen AGB-Recht unwirksam, so dass der Entwickler nach den gesetzlichen Bestimmungen gegenüber dem Auftraggeber (voll) haftet, im Verhältnis zum Urheber aber keine Ansprüche wegen fehlerhafter Software hat, da der Haftungs- und Gewährleistungsausschluss nach ausländischem Recht zwischen Urheber und Entwickler in aller Regel wirksam sein wird.

Exkurs GPL bzw. OSS und AGB Vermischung von Eigenentwicklung und OSS unter

GPL

Bei Weiterentwicklung von OSS-Sourcecode greift in aller Regel die GPL

GPL greift unabhängig vom Verhältnis der Eigenentwicklung zum Gesamtprogramm

Konsequenzen: Ausschließliche Nutzungsrechte können nicht eingeräumt werden

Rechtsmangel, falls dennoch vertraglich zugesichert Verpflichtung zur Offenbarung des Sourcecodes veröffentlicht auch das

KnowHow der Entwicklung

Vermeidbarkeit dieser Folgen? Methode:

GPL-Code wird nicht unmittelbar sondern über Schnittstellen integriert Allerdings rechtliche Abgrenzung schwierig:

Wann liegt eine Schnittstelle, wann ein Workaround vor? Beurteilung durch Sachverständige Rechtsunsicher: kaum Rechtsprechung; sowohl in USA als auch in

Deutschland

Wen trifft die Haftung?

Verantwortlichkeiten

Wen trifft die Haftung? Grundsätzlich trifft die Haftung die

Unternehmensführung (Vorstand / GF)

Allerdings Möglichkeit der Delegierung der Verantwortung an leitende Angestellte

Diese müssen als Erfüllungsgehilfen sorgfältig ausgewählt und überwacht werden

Speziell bei größeren Betrieben: IT-Sicherheitsbeauftragter

Möglichkeit der Eigenhaftung des Verantwortlichen bei vorsätzlicher oder grob fahrlässigen Verstößen gegen IT-Sicherheitsvorgaben Sog. Regress

Wen trifft die Haftung?Mitbetroffen: Administratoren strafrechtliche, TKG-, arbeitsrechtliche Konsequenzen bei

Problemen

Mitbetroffen: Betriebsrat Betriebsvereinbarung als Steuerungsinstrument der IT-

Nutzung durch Mitarbeiter Mitwirkungspflichten des Betriebsrats nach BetrVG

Mitbetroffen: Alle weiteren Arbeitnehmer Umsetzung von Security Konzepten nur bei Einhaltung

durch alle Mitarbeiter Arbeits- und strafrechtliche Sanktionen im Einzelfall bei

groben Verstößen möglich (z.B. Verbreitung von Viren, Nutzung von Tauschbörsen)

Konklusio Große Regelungungsvielfalt für IT-

Sicherheit

Hohe Kontrolldichte durch viele Beteiligte

Direkte Schädenz.B. durch Kreditkartenmissbrauch, Datenverluste oder Arbeitszeit

Strafrechtliche Sanktionen oder Ermittlungenz.B. durch P2P-Netze, Virenverbreitung, Kreditkartenbetrug, usw.

Schadensersatzz.B. bei Schäden durch unberechtigte Nutzung personenbezogener Daten oder durch die Verbreitung von Viren

Bußgelderbis zu 250.000 € bei Verstößen gegen BDSG

ReputationsverlustEnormer Rufverlust bei Bekanntwerden von IT-Sicherheitsmängeln

Folgen bei Sicherheitslecks

VersicherungenBetriebshaftpflicht greift womöglich wegen Mitverschulden nicht ein

Gewerbeaufsicht / KammerProbleme mit der Gewerbeerlaubnisfehlende Zuverlässigkeit auch im Bereich der IT-Sicherheit

UrheberrechtsverstößeDurch Nutzung von P2P-Netzwerken

KrediteIT-Risiken vs. Basel II bei Kreditvergabe

WettbewerbsrechtAbmahnungen von Konkurrenten insbes. im Online-Bereich Folgen bei

Sicherheitslecks

Erforderliche Vorkehrungen Alle IT-Security-Systeme unterliegen gem. § 87

Abs. 1 Nr. 6 BetrVG der Mitbestimmung, sofern sie der Überwachung der Leistung oder des Verhaltensdienen können

Zweifelsfreie Entscheidung über die Zulässigkeit der privaten Nutzung von Internet und E-Mail am Arbeitsplatz

Lösung von datenschutzrechtlichen Problemen durch Betriebsvereinbarungen oder detaillierte Information der Mitarbeiter

Schaffung der rechtlichen Voraussetzungen zu stich-probenartiger Kontrolle der Mitarbeiter

Schriftliche Niederlegung des Sicherheitskonzepts zu Beweiszwecken

Arbeitsrecht vs. Kontrolle Spannungsfeld zwischen dem grundgesetzlich garantierten

Schutz des Persönlichkeitsrechts des Arbeitnehmers (Recht auf informationelle Selbstbestimmung) und der Verpflichtung, seine Aufgaben ordnungsgemäß und vertrauensvoll im Interesse seines Arbeitgebers zu erfüllen – wozu auch Kontrolle gehören kann.

Keine flächendeckende technische Überwachung der individuellen Arbeitsleistung und –fähigkeit zulässig.

Keine Überwachung bei Erlaubnis der Privatnutzung von Web und Mail am Arbeitsplatz zulässig, bei Verbot eingeschränkte Überwachung zulässig und sogar notwendig

Problematik der Archivierung von Mails sowie der Spam-Filterung (insbes. bei der Zulassung der Privatnutzung)

Sonstige Maßnahmen Investition in IT-Sicherheit Erstellung und Durchsetzung eines IT-

Sicherheitskonzepts Benennung eines IT-Sicherheits-

verantwortlichen Mitarbeiterschulungen Prägung eines Sicherheitsbewusstseins

durch Information Passwortsicherheit

Questions and Answers

Ihr Potenzial. Unser Antrieb.