Wer haftet? – rechtliche Fragen in der SoftwareentwicklungOlaf Grauschmitt
Wer haftet? - Rechtliche Fragen in der SoftwareentwicklungOlaf Grauschmitt
Relationship ManagerMicrosoft Deutschland [email protected]
Inhaltsüberblick
Status Quo Wichtige gesetzliche Regelungskataloge
Datenschutz/KonTraG/BASEL II/TKG Vertragshaftung
Juristische Betrachtung von Softwareentwicklung
Rechtliche Einordnung Haftungsgrundlagen Möglichkeiten der Haftungsbeschränkung Exkurs GPL bzw. OSS und AGB
Wen trifft die Haftung? Erforderliche Vorkehrungen
IT Security
Status Quo
Status Quo Security-Studie von
silicon.de 2005
90% der Befragten bestätigen Security Probleme
Beispiele: Verbreitung Trojaner: von 42% auf 55%
Beliebteste Verbreitungsmethode: SPAM Viren, Trojaner, Phishing, etc.
DoS - Attacken: von 15% auf 18% Generelle Zunahme individueller Attacken
Status Quo Qelle: Mummert Consulting, September
2004
2/3 der befragten IT Manager registrierten im Vergleich zu 2003 "mehr oder wesentlich mehr Verstöße" gegen ihre IT- Sicherheit
1/3 erlitten in den letzten zwölf Monaten Schäden durch Viren, Würmer und kriminelle Mitarbeiter mit bis zu 10 000 Euro Schaden
83,1 % der Sicherheitsverstöße der letzten zwölf Monate gingen auf das Konto von Viren, Würmern und Trojanern
90 % der befragten Unternehmen haben Virenscanner und Firewalls.
44 % beziehen automatische Updates der Antiviren-Software.
15 % der Befragten würden den Virenschutz erst dann aktualisieren, wenn es bereits zu einem Sicherheitsverstoß gekommen ist
IT Security
Gesetzliche Regelungskataloge
Gesetzliche Regelungskataloge ? Es existiert kein „Recht der IT-Sicherheit“; vielmehr ist eine
Vielzahl von Rechtsgebieten berührt.
Näherungsversuch I:§ 2 Abs. 2 BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) lautet:
„Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen1. in informationstechnischen Systemen oder Komponenten oder2. bei der Anwendung von informationstechnischen Systemen oder Komponenten
Gesetzliche Regelungskataloge ? Näherungsversuch II
Schutzpflichten von Rechtsgütern: Sicherung personenbezogener Daten Sicherung von TK-Anlagen Risikovermeidung und –Abschätzung Verschwiegenheitspflichten Verbraucherschutz Berufsrechtliche Aspekte (z.B. Arzt; RA)
Näherungsversuch III: AktienG BDSG KonTraG TKG Allgemeines Zivil- bzw. Vertragsrecht
Gesetzliche Regelungskataloge § 92 Abs. 2 d AktG:
„Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
Verstoß indiziert Verschulden?
Datenschutz Urspünge: „Volkszählungsurteil“ Grundsätze der Datensparsamkeit/
Datenvermeidung Landesdaten-/Bundesdatenschutzgesetze:
Umgang, Verarbeitung, Nutzung von personenbezogenen Daten
Schützt: Mandanten, Kunden, Mitarbeiter § 9 Satz 1 BDSG (Anlage):
„Acht Gebote des Datenschutzes“ für professionelle Datenverarbeitung in Organisationen
DatenschutzWichtige Aspekte für IT-Security
1. Zutrittskontrolle – kein Zutritt von Unbefugten
2. Zugangskontrolle – keine Nutzung durch Unbefugte
3. Zugriffskontrolle – Rechtekontrolle beim Zugriff auf Daten
4. Weitergabekontrolle – sicherer Transport
5. Eingabekontrolle – wer hat die Daten eingegeben/verändert
6. Auftragskontrolle – weisungsgebundene Verarbeitung
7. Verfügbarkeitskontrolle – Schutz vor Datenverlust
8. Organisationskontrolle – je nach Zweck getrennte Verarbeitung
Datenschutz§ 9 Technische und organisatorische Maßnahmen BDSG:
„Öffentliche und nicht-öffentliche Stellen, [...] haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
Datenschutz Mögliche Rechtsfolgen
Schadenersatz Löschungsansprüche Unterlassungsansprüche Aber auch:
Strafvorschriften: z.B. § 44 BDSG Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe
Ordnungswidrigkeiten § 43 BDSG: Bis zu 250.000,- € bei Verstößen gegen BDSG
KonTraG Gesetz zur Kontrolle und Transparenz im
Unternehmensbereich
Unternehmer und Manager von Kapitalgesellschaften werden fortan haftbar gemacht, wenn sie keine Vorsorge bzw. Frühwarnung im Rahmen des betrieblichen Risikomanagements betreiben
Pflicht der Unternehmensleitung, das Vermögen zu sichern und Gefahren vom Unternehmen abzuwenden (§ 93 I 1 AktienG / § 43 I GmbH-Gesetz)
Gilt auch für Schäden, die im IT-Bereich auftreten können und die geeignet sind, den Fortbestand des Unternehmens zu gefährden
Im Rahmen des Jahresabschlusses vom Wirtschaftsprüfer zu prüfen
Basel II Konsultationspapier vom Baseler Ausschuss für
Bankenaufsicht. Ziele:
- Stabilitätsgarantien für Finanzmärkte- Besseres Risikomanagement- garantierte Eigenkapitalvorsorge der Kreditinstitute
betroffen: Banken, Staaten, Unternehmen, Privatpersonen
Neben Kreditrisiko und Marktrisiko wird auch auch das operationelle Risiko geschätzt
Verlagerung der Umsetzung von staatlichen Aufgaben an die Privatwirtschaft
Basel II § 743
The bank should establish an adequate system for monitoring and reporting risk exposures and assessing how the bank’s changing risk profile affects the need for capital.
Basel II Das (operationelle) Risiko wird
maßgeblich anhand der Sicherheit der Systeme und der Daten beurteilt
Basel II ab 1. Januar 2007 in Deutschland Gesetz Kreditvergabe: auch die operationellen Risiken, die
sich aus dem Einsatz von Informationstechnologie ergeben.
Erforderlich: aktives IT-Risiko-Management, das sich mit allen Aspekten der IT-Sicherheit für das jeweilige Unternehmen befasst. Redundanz wichtiger IT-SystemeSicherung von VerfügbarkeitenWirksame Abwehr von Angriffen auf die IT-
Systeme von innen und außenErarbeitung von Notfallplänen
Basel II IT-Sicherheit ist somit sehr wichtiger
Faktor bei der Kreditvergabe
IT-Sicherheit kann somit die durch die Kreditaufnahme entstehenden Kosten senken
Telekommunikation Unternehmen, welche Web und Internet für Ihre Mitarbeiter
privat zur Verfügung stellen gelten als „Anbieter“ im Sinne des TKG (umstritten)
Verpflichtungen aufgrund des TKG (Regelung vor allem in §§ 88 ff., 100, 109 TKG) Schutz des Telekommunikationsgeheimnisses Schutz personenbezogener Daten Schutz gegen unerlaubte Zugriffe Schutz gegen Störungen, die zu erheblichen
Beeinträchtigungen des TK-Netzes führen können Schutz der TK-Anlagen gegen äußere Angriffe
IT Security
Vertragshaftung
Vertragshaftung Haftungsrisiken und IT-Security
aufgrund vertraglicher Vereinbarungen Insbes. Verletzung der
Geheimhaltungsklausel in Verträgen
Firma AIT Dienst-
leisterFirma BGeheimhaltu
ngServicevertrag
Verletzung
Vertragshaftung Grundlage für Geschäftsbeziehung:
(fast) immer gegenseitiger Vertrag
Rechtliches Grobraster: Zivilrecht
Was ist ein gegenseitiger Vertrag? Merkmal: sog. „Synallagma“: „do ut
des“
Vertragshaftung Wirksamkeit eines Vertrages
zunächst unabhängig von der Form
Mündlicher Vertrag
Vertragshaftung Verträge beinhalten geschriebene Pflichten…
z.B. Anforderungen an Funktionalität und Integrität von Software, Milestones, Zahlungsmodalitäten, etc…
Je nach „Hauptleistungs-“ Pflichten erfolgt die Vertragstypisierung in z.B. Werkvertrag, Dienstvertrag, Mietvertrag, etc…
…aber auch ungeschriebene Pflichten Sorgfaltspflichten Aufklärungspflichten Dokumentationspflichten etc…
Vertragshaftung Je nach Vertragstypus werden die
Nebenpflichten und Sorgfaltspflichten unterschiedlich beurteilt
Einteilung des Vertragstypus entscheidet im Zweifel der RichterDaher: genaue Dokumentation der geschuldeten Leistungen bereits zur Vertragsverhandlung unerlässliche Pflicht in der Softwareentwicklung
Vertragshaftung Schadenersatz
Unterscheidung: Materieller Schaden (Vermögensschaden) Folgeschaden Immaterieller Schaden (z.B. Ruf/Reputationsverlust)
Grundsatz: Kein Schadenersatz ohne Verschulden „Fahrlässig handelt, wer die im Verkehr
erforderliche Sorgfalt außer Acht lässt.“
Mitverschulden / Schadensminderungspflicht
Vertragshaftung Wer haftet?
Innerhalb von Vertragsverhältnissen der jeweilige Vertragspartner
Im Zweifel also der Arbeitgeber
Allerdings: Regressmöglichkeit des Arbeitgebers zumindest bei grober Fahrlässigkeit und Vorsatz
Vertragshaftung Innerhalb eines
Vertragsverhältnisses können Schadenersatzansprüche vertraglich sowohl der Höhe nach, als auch nach dem Haftungsgrund beeinflusst werden
Insbesondere in AGB Allerdings: Nicht jede AGB ist
wirksam
Exkurs GPL bzw. OSS und AGB Beispiel LG München 2004:
Unwirksamkeit der hatfungsbeschränkenden AGB bei GPL, Durchbrechung der Haftungskette
Fall: GPL-Software wird zum download angeboten Kein Hinweis auf GPL Kein Hinzufügen des Textes der GPL Keine Zugänglichmachung des Source Codes
Exkurs GPL bzw. OSS und AGB
Erkenntnisse: Zunächst: GPL ist für das Urheberrecht
relevant
Verstoß gegen die GPL kann eine Verletzung des Urheberrechts darstellen
GPL Software ist nicht frei, sondern unterliegt schlicht dem Regelungsinhalt der GPL
Exkurs GPL bzw. OSS und AGB (Insbesondere) bei US-amerikanisch
ausgestalteten GPL sehr verbreitet: Genereller Haftungsausschluss
Diese Klauseln sind nach deutschem Recht AGBs
AGBs unterliegen der Inhaltskontrolle §§ 305-310 BGB
Exkurs GPL bzw. OSS und AGB
Nach deutschem AGB Recht ist ein genereller Haftungsausschluss rechtswidrig
Folge: Derjenige, der Software unter deutschem Recht GPL-konform weitergibt haftet vollumfänglich. Gleiches gilt bei Bearbeitung von OSS für einen
Auftraggeber. Der Auftragnehmer hat nach der GPL die Haftung auszuschließen.
Ausschluss nach deutschen AGB-Recht unwirksam, so dass der Entwickler nach den gesetzlichen Bestimmungen gegenüber dem Auftraggeber (voll) haftet, im Verhältnis zum Urheber aber keine Ansprüche wegen fehlerhafter Software hat, da der Haftungs- und Gewährleistungsausschluss nach ausländischem Recht zwischen Urheber und Entwickler in aller Regel wirksam sein wird.
Exkurs GPL bzw. OSS und AGB Vermischung von Eigenentwicklung und OSS unter
GPL
Bei Weiterentwicklung von OSS-Sourcecode greift in aller Regel die GPL
GPL greift unabhängig vom Verhältnis der Eigenentwicklung zum Gesamtprogramm
Konsequenzen: Ausschließliche Nutzungsrechte können nicht eingeräumt werden
Rechtsmangel, falls dennoch vertraglich zugesichert Verpflichtung zur Offenbarung des Sourcecodes veröffentlicht auch das
KnowHow der Entwicklung
Vermeidbarkeit dieser Folgen? Methode:
GPL-Code wird nicht unmittelbar sondern über Schnittstellen integriert Allerdings rechtliche Abgrenzung schwierig:
Wann liegt eine Schnittstelle, wann ein Workaround vor? Beurteilung durch Sachverständige Rechtsunsicher: kaum Rechtsprechung; sowohl in USA als auch in
Deutschland
Wen trifft die Haftung?
Verantwortlichkeiten
Wen trifft die Haftung? Grundsätzlich trifft die Haftung die
Unternehmensführung (Vorstand / GF)
Allerdings Möglichkeit der Delegierung der Verantwortung an leitende Angestellte
Diese müssen als Erfüllungsgehilfen sorgfältig ausgewählt und überwacht werden
Speziell bei größeren Betrieben: IT-Sicherheitsbeauftragter
Möglichkeit der Eigenhaftung des Verantwortlichen bei vorsätzlicher oder grob fahrlässigen Verstößen gegen IT-Sicherheitsvorgaben Sog. Regress
Wen trifft die Haftung?Mitbetroffen: Administratoren strafrechtliche, TKG-, arbeitsrechtliche Konsequenzen bei
Problemen
Mitbetroffen: Betriebsrat Betriebsvereinbarung als Steuerungsinstrument der IT-
Nutzung durch Mitarbeiter Mitwirkungspflichten des Betriebsrats nach BetrVG
Mitbetroffen: Alle weiteren Arbeitnehmer Umsetzung von Security Konzepten nur bei Einhaltung
durch alle Mitarbeiter Arbeits- und strafrechtliche Sanktionen im Einzelfall bei
groben Verstößen möglich (z.B. Verbreitung von Viren, Nutzung von Tauschbörsen)
Konklusio Große Regelungungsvielfalt für IT-
Sicherheit
Hohe Kontrolldichte durch viele Beteiligte
Direkte Schädenz.B. durch Kreditkartenmissbrauch, Datenverluste oder Arbeitszeit
Strafrechtliche Sanktionen oder Ermittlungenz.B. durch P2P-Netze, Virenverbreitung, Kreditkartenbetrug, usw.
Schadensersatzz.B. bei Schäden durch unberechtigte Nutzung personenbezogener Daten oder durch die Verbreitung von Viren
Bußgelderbis zu 250.000 € bei Verstößen gegen BDSG
ReputationsverlustEnormer Rufverlust bei Bekanntwerden von IT-Sicherheitsmängeln
Folgen bei Sicherheitslecks
VersicherungenBetriebshaftpflicht greift womöglich wegen Mitverschulden nicht ein
Gewerbeaufsicht / KammerProbleme mit der Gewerbeerlaubnisfehlende Zuverlässigkeit auch im Bereich der IT-Sicherheit
UrheberrechtsverstößeDurch Nutzung von P2P-Netzwerken
KrediteIT-Risiken vs. Basel II bei Kreditvergabe
WettbewerbsrechtAbmahnungen von Konkurrenten insbes. im Online-Bereich Folgen bei
Sicherheitslecks
Erforderliche Vorkehrungen Alle IT-Security-Systeme unterliegen gem. § 87
Abs. 1 Nr. 6 BetrVG der Mitbestimmung, sofern sie der Überwachung der Leistung oder des Verhaltensdienen können
Zweifelsfreie Entscheidung über die Zulässigkeit der privaten Nutzung von Internet und E-Mail am Arbeitsplatz
Lösung von datenschutzrechtlichen Problemen durch Betriebsvereinbarungen oder detaillierte Information der Mitarbeiter
Schaffung der rechtlichen Voraussetzungen zu stich-probenartiger Kontrolle der Mitarbeiter
Schriftliche Niederlegung des Sicherheitskonzepts zu Beweiszwecken
Arbeitsrecht vs. Kontrolle Spannungsfeld zwischen dem grundgesetzlich garantierten
Schutz des Persönlichkeitsrechts des Arbeitnehmers (Recht auf informationelle Selbstbestimmung) und der Verpflichtung, seine Aufgaben ordnungsgemäß und vertrauensvoll im Interesse seines Arbeitgebers zu erfüllen – wozu auch Kontrolle gehören kann.
Keine flächendeckende technische Überwachung der individuellen Arbeitsleistung und –fähigkeit zulässig.
Keine Überwachung bei Erlaubnis der Privatnutzung von Web und Mail am Arbeitsplatz zulässig, bei Verbot eingeschränkte Überwachung zulässig und sogar notwendig
Problematik der Archivierung von Mails sowie der Spam-Filterung (insbes. bei der Zulassung der Privatnutzung)
Sonstige Maßnahmen Investition in IT-Sicherheit Erstellung und Durchsetzung eines IT-
Sicherheitskonzepts Benennung eines IT-Sicherheits-
verantwortlichen Mitarbeiterschulungen Prägung eines Sicherheitsbewusstseins
durch Information Passwortsicherheit
Questions and Answers
Ihr Potenzial. Unser Antrieb.