IT- und Internet-Recht

Eine aktuelle, übersichtliche und nützliche  Orientierungshilfe zum Thema Datenschutz in der Cloud wurde von den Arbeitskreisen Technik und Medien der Konferenz der Datenschutzbeauftragten von Bund und Ländern erarbeitet. Stand der Version 1.0: 26.9.2011                                                                                 www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf
 Diese Orientierungshilfe liefert neben wichtigen rechtlichen Hinweisen für Cloud-Anbieter und -Anwender die wesentlichen Kriterien für die Prüfpraxis der Datenschutzbehörden. Deshalb ist es von besonderer Bedeutung, dass die Cloud-Anbieter als Auftragnehmer einer Auftragsdatenverarbeitung eingestuft werden. Cloud-Anwender und -Anbieter müssen deshalb einen schriftlichen Vertrag über die Cloud-Dienstleistungen schließen. Außerdem müssen die Anwender die Anbieter und die Anbieter wiederum ihre Subunternehmer auf Einhaltung des Datenschutzrechts kontrollieren.
Die Orientierungshilfe bietet also allen Anlass, die Verträge zwischen Cloud-Anbietern und -Anwendern an die Rechtslage anzupassen, und zwar auch in den sonstigen Anforderungen an die Auftragsdatenverarbeitung. Werden diese Verträge nicht oder nicht vollständig abgeschlossen, droht ein Bußgeld bis zu 50.000 Euro  (§ 43 I Nr. 2 b BDSG).

Vertragsberatung: koch@anwaltskanzlei-koch.de

OLG Karlsruhe: Zulässiges AGB-Verbot der Aufspaltung von Client-Access-Lizenzen  (Update)

Das  OLG Karlsruhe hat ein Verbot in AGB für wirksam erklärt, Teile eines Pakets von Client Access-Lizenzen auf Dritte zu übertragen. Dem Gericht zufolge (und im Einklang mit der überwiegenden Rechtsprechung) ist der Ersterwerber einer Client-Server (CS)-Software nicht berechtigt, einem Folgeerwerber eine Kopie  der CS-Software zu überlassen (damit dieser einen Teil der Client-Access-Lizenzen nutzen kann) und gleichzeitig die CS-Software auf seinem System weiter zu nutzen. Die Übertragung wäre nur bezüglich der Gesamtsoftware zulässig; der Ersterwerber müsste dann jede weitere Nutzung beenden. Ein Vervielfältigen mit dem Zweck der Weiterübertragung (und gleichzeitigen Weiternutzung ist dem Gericht zufolge unwirksam,  das sich insoweit ausdrücklich auf die Entscheidung des BGH GRUR 2011, 418 -UsedSoft bezieht).  Die Aufspaltung der Client Access-Lizenzen in zwei Pakete für den Erst- und den Folgeerwerber stellt eine unzulässige inhaltliche Abänderung des dem Ersterwerber eingeräumten Nutzungsrechts dar. Ein einheitlich definiertes Leistungspaket darf nicht einseitig aufgeschnürt werden. Das Aufspaltungsverbot wirkt dem BGH (UsedSoft) zufolge dinglich, also gegenüber jedermann.
OLG Karlsruhe, Urt.v.27.7.2011 - 6 U 18/10,                                                                http://lrbw,juris.de/cgi-bin/laender_Rechtsprechung/document.py?Gericht=bw&Art=en&Datum=2011&Sort=12290&nr=14612&pos=1&anz=609                                                 

www.jurpc.de/rechtspr/20110129.htm  
 

Auch das LG Frankfurt a.M, Urt.v.27.4.2011 - 2-O 60 428/10 hat die Wirksamkeit eines formularvertraglichen Übertragungsverbots bestätigt. Gibt der Erwerber selbsterstellte Datenträger weiter, kann er dem Folgeerwerber keine Nutzungsrechte einräumen und macht er sich schadensersatzpflichtig     www.jurpc.de/rechtspr/20110111.htm

Was bedeutet das für die Vertragspraxis ?
Die Rechtsprechung bestätigt Schritt für Schritt die strengen urheberrechtlichen Maßstäbe, die auch an die Weiterveräußerung von “gebrauchter” Software zu legen sind. Der Folgeerwerber kann nur dann ein Nutzungsrecht erwerben, wenn ihm die vollständige Software auf Datenträger übergeben wird und der bisherige Nutzer die Nutzung der Software ganz aufgibt. Nutzt er Teile des Client.Lizenzpakets weiter, kann der Folgenutzer nicht “rechtmäßiger Erwerber” i.S.v. § 69 d I UrhG werden. Der Anbieter kann vielmehr Unterlassungsansprüche bereits beim ersten Laden der Software gegen den Folgeerwerber durchsetzen. Deutlich erhöht wird dieses Risiko des Folgeerwerbers dadurch, dass das unberechtigte Vervielfältigen (beim Laden) sogar strafbar ist (§ 106 I UrhG). Gleiches gilt für den unberechtigt weiterveräußernden vorherigen Nutzer. Abgesehen hiervon kann der Folgeerwerber auch keine Gewährleistung oder sonstigen Support vom Anbieter erwarten, wodurch der wirtschaftliche Wert der Software schnell sinken kann.

Was können Nutzer tun ?  Eine baldige Änderung der Rechtsprechung ist nicht zu erwarten. Will sich der Nutzer die Möglichkeit erhalten, nicht benötigte Client-Lizenzen an andere Nutzer weiterzuveräußern, so muss er dies bereits im Lizenzvertrag mit dem Anbieter ausdrücklich vereinbaren und Weiterübertragungsverbote ausschließen.  Es ist wirtschaftlich sinnvoll, nur diejenige Anzahl von Client-Lizenzen zu nutzen, die man tatsächlich benötigt.Dies sollte in den Vertragsverhandlungen deutlich gemacht werden.  Im nächsten Schritt ist dann vertraglich genau festzulegen, in welchem Umfang der Nutzer und ein Folgenutzer Client-Lizenzen zeitgleich nutzen dürfen, welche Unterstützung und Gewährleistung der Anbieter weiter leistet, ob der Folgeererwerber die Bedingungen des Lizenzvertrags anerkennen muss und ob  auch eine Online-Überlassung von Programmcodes oder auch nur von Zugriffscodes  zulässig ist. Notwendig ist eine entsprechend differenzierte Vertragsgestaltung bereits beim Ersterwerb. Auch Anbieter werden meist ein wirtschaftliches Interesse an einer vertraglichen Lösung haben, da der Ersterwerber faktisch einen Teil des Marketing übernimmt und der Anbieter beim Support und möglichen Nutzungsausweitung des Folgeerwerbers Umsatz generieren kann.
koch@anwaltskanzlei-koch.de

Angriffe auf die Unternehmens-IT erfolgen nicht nur immer häufiger, sondern auch immer gezielter und ausgefeilter. Der wirtschaftliche Schaden wächst. Dies führt zu der Vermutung, dass die vorhandenen IT-Systeme nicht mehr den aktuellen Sicherheitsanforderungen entsprechen. Für Unternehmen und deren Geschäftsleitung kann dies massive Konsequenzen haben:        
-  Schäden aus Datenverlusten und/oder Betriebsunterbrechungen können die wirtschaftliche Existenz des Unternehmens bedrohen. Versicherungsschutz hiergegen kann entfallen, wenn nicht rechtzeitig erforderliche Sicherheitsvorkehrungen nachweisbar getroffen wurden.
-  Die Mitglieder der Geschäftsleitung können aus einem derartigen Versäumnis persönlich haften (Compliance).
-  Auch beauftragte Provider etwa von Web Services müssen ihre eigenen Systeme ausreichend gegen Angriffe absichern. Gegen ausländische Anbieter (etwa aus China) können freilich Ansprüche nur sehr begrenzt erfolgreich durchgesetzt werden. Das beginnt bereits bei der Frage, ob der Beauftragte für den betrieblichen Datenschutz Rechenzentren des Providers etwa in Shenzhen betreten und überprüfen darf.
Aufgabe des CIO muss es sein, angesichts der Angriffswelle alle Komponenten der eingesetzten IT-Systeme - etwa Firewalls, Controller, Router und Verschlüsselungstechniken - zu überprüfen und die Beschaffung neuer, BSI-geprüfter Komponenten anzuregen sowie diese Aktivitäten zu seiner Haftungsentlastung zu protokollieren.

Mehrere Firmen bieten bereits “gehärtete” Systeme an (s. die Übersicht in der Wirtschaftwoche Nr. 31 v. 1.8.2011, S. 64, 66).    Nicht sehr hilfreich erscheint es aber, wenn einzelne Anbieter bereits von einer “deutschen Cloud” sprechen, da man fernöstlichen Komponentenherstellern und Anti-Virus-Softwareunternehmen nicht trauen könne (so WiWo, a.a.O). In der EU wäre kartellrechtlich eine Abschottung des Binnenmarktes unzulässig. Entscheidend muss vielmehr sein, ob die konkrete Komponente als solche ausreichend angriffsgesichert ist und auch keinen verdeckten Zugriffe durch den Anbieter ermöglicht.
In den Beschaffungsverträgen mit Anbietern besonders gesicherter IT sollte der Kunde schließlich genau prüfen, ob der Anbieter für die beschriebene Sicherheit auch tatsächlich eine Beschaffenheitsgarantie übernimmt und für welchen Zeitraum diese ggf. gilt. Vorsorglich sollte diese Beschaffenheit ausreichend konkret beschrieben und zum Vereinbarungsinhalt gemacht werden.
Nähere Vertragsberatung  RA Dr. Frank A. Koch, München                                                                               www.anwaltskanzlei-koch.info   koch@anwaltskanzlei.koch.de 
 

Die für 2011 aktualisierte Version des Skripts "IT-Projektverträge rechtssicher gestalten" ist unter

www.anwaltskanzlei-koch.info

herunterladbar.