logoblogg.de • Elektrische Zigarette 

Freitag, 16.12.2011

Rechtsfragen um Facebook

Die Nutzung von Facebook kann für Facebook wie für Webseitenbetreiber zu Haftung aus rechtswidriger Verarbeitung von Nutzerdaten führen. Dies ergibt sich recht eindeutig aus einer Ausarbeitung des Wissenschaftlichen Dienstes des Bundestages (WD3-3000-306/11 neu vom 7.10.2011).                                      www.datenschutzzentrum.de/facebook/material/WissDienst-BT-Facebook-ULD.pdf                    
 Die Ausarbeitung stellt fest: “Insbesondere fehlt es an der notwendigen Transparenz bezüglich Art, Umfang und Dauer der Datenverarbeitung sowie des Zwecks der Verwendung und an der Kenntnis, ob die Übermittlung innerhalb der EU oder in einen Drittstaat erfolgt.” (S. 13) Es kommt also nicht darauf an, ob die Nutzerdaten in die USA übermittelt werden (was etwa vom Unabhängigen Datenschutzzentrum angenommen wird). Entscheidend ist, dass keine Klarstellung über die Verarbeitungsvorgänge erfolgt. Deshalb wird die von Facebook fingierte Einwilligungserklärung als unwirksam eingestuft.
Außerdem reicht es nicht aus, nur auf englischsprachige Nutzungsbedingungen zu verweisen (S. 14). Gleiche Probleme bestehen bei dem Reichweitenanalysedienst “Facebook Insight”.  
Rechtlich problematisch ist auch das Setzen von Social Plugins wie dem Like-Button durch Webseitenbetreiber. Als Telemedienanbieter müssen sie die Nutzer auf deren Widerspruchsrecht (§ 13 I TMG) hinweisen, jedoch ist die erforderliche Widerspruchserklärung durch die Nutzer über die Webseite schon rein technisch gar nicht vorgesehen. (S. 14)

Freitag, 28.10.2011

Aktuelle Urteile des BGH und des EuGH zum Internet-Recht

Der Bundesgerichtshof (BGH)  hat mit Urteil vom 25.10.2011 - VI ZR 93/10 entschieden, dass ein US-Hostprovider (hier:blogspot.com)  nur dann zur Prüfung eines Blog-Eintrags verpflichtet ist, wenn der Hinweis so konkret gefasst ist, dass der Rechtsverstoß auf der Grundlage der Behauptungen des Betroffenen unschwer, d.h. ohne eingehende rechtliche und tatsächliche Prüfung - bejaht werden kann. Der Provider muss den für den Blog Verantwortlichen zur Stellungnahme auffordern. Erfolgt diese nicht in angemessen gesetzter Frist, ist der Eintrag zu löschen. Widerspricht der Verantwortliche substantiiert, muss der Betroffene eine mögliche Rechtsverletzung nachweisen (Pressemitt. über http://heise.de/-1366234)
Der Europäische Gerichtshof (EuGH) hat mit Urteil auch vom 25.10.2011 - C-509/09 und C-161/10 (http://heise.de/-1366238) entschieden, dass das Opfer einer im Internet (also mit weltweiter Wirkung) begangenen Persönlichkeitsrechtsverletzung den Schädiger grundsätzlich am Ort ihres gewöhnlichen Aufenthaltes gerichtlich auf Schadensersatz in Anspruch nehmen kann oder wahlweise am Ort, an dem sich der Urheber dieser Inhalte niedergelassen hat.

Freitag, 21.10.2011

Duqu, son of Stuxnet

Die Warnung vor Nachfolgern von Stuxnet (www.anwaltskanzlei-koch.info) hat sich bewahrheitet. Symantec hat in einer sehr ausführlichen Studie (61 Seiten) das Folgeprogramm “Duqu” [dyü-kyü] untersucht. Zwar werden keine industriellen Steuerungsanlagen angegriffen, aber Informationen gesammelt und ein Key Stroke-Recorder installiert, womit alle Passwort-Eingaben mitgelesen werden können. Neue Angriffe auf der Grundlage gewonnener Informationen sind zu befürchten.                                                             www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf
IT-Verantwortliche sind gehalten, ihre Sicherheitsmaßnahmen auch insoweit auf dem neuesten Stand zu halten, um eine Chance bei der Abwehr solcher Angriffe zu behalten. Versäumnisse können persönliche Haftung begründen.

Mittwoch, 19.10.2011

Aktuelle Orientierungshilfe zum Datenschutz in der Cloud

Eine aktuelle, übersichtliche und nützliche  Orientierungshilfe zum Thema Datenschutz in der Cloud wurde von den Arbeitskreisen Technik und Medien der Konferenz der Datenschutzbeauftragten von Bund und Ländern erarbeitet. Stand der Version 1.0: 26.9.2011                                                                                 www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf
 Diese Orientierungshilfe liefert neben wichtigen rechtlichen Hinweisen für Cloud-Anbieter und -Anwender die wesentlichen Kriterien für die Prüfpraxis der Datenschutzbehörden. Deshalb ist es von besonderer Bedeutung, dass die Cloud-Anbieter als Auftragnehmer einer Auftragsdatenverarbeitung eingestuft werden. Cloud-Anwender und -Anbieter müssen deshalb einen schriftlichen Vertrag über die Cloud-Dienstleistungen schließen. Außerdem müssen die Anwender die Anbieter und die Anbieter wiederum ihre Subunternehmer auf Einhaltung des Datenschutzrechts kontrollieren.
Die Orientierungshilfe bietet also allen Anlass, die Verträge zwischen Cloud-Anbietern und -Anwendern an die Rechtslage anzupassen, und zwar auch in den sonstigen Anforderungen an die Auftragsdatenverarbeitung. Werden diese Verträge nicht oder nicht vollständig abgeschlossen, droht ein Bußgeld bis zu 50.000 Euro  (§ 43 I Nr. 2 b BDSG).

Vertragsberatung: koch@anwaltskanzlei-koch.de

Freitag, 14.10.2011

Open Source-Trojaner ?

In den Medien wird über den “Staatstrojaner” zur Überwachung berichtet. Zur rechtlichen Diskussion s. [1]. Zwei Aspekte müssen besonders beachtet werden. Der eine betrifft die Überwachung, der andere das Zugänglichmachen des Trojaner-Codes.
Datenübertragung in die USA
Erhebliche Zweifel bestehen, ob die im Rahmen einer Quellen-TKÜ (Überwachung von verschlüsselter Telefonie im Internet) gewonnenen Daten mit Personenbezug an einen Providerrechner in den USA übertragen werden dürfen. Hier wurde die IP-Adresse des US-Providers Webintellects, Inc. in Columbus,Ohio in den Code fest eingefügt (207.158.22.134). Die Daten wurden damit außerhalb des Geltungsbereichs der deutschen Strafprozessordnung verwendet.  Die Zulässigkeit einer solchen Datenverwendung in fremden Staatsgebieten oder Übertragung in diese kann richterlich nicht wirksam angeordnet werden. Diese Verwendung  ist umso bedenklicher, als sich der Provider in seinen Vertragsbedingungen ausdrücklich vorbehält, seinerseits die übertragenen Daten “law enforcement officials” zugänglich zu machen, und für alle Datenkommunikationen Log Files erstellt (also letztlich eine eigene Überwachung durchzuführen).
Open Source-Trojaner ?
Durch die Codeanalyse des Computer Chaos Clubs (CCC) einer “Regierungs-Malware” [2] wurde auch der Trojanercode in der Form extrahierter Binärdateien im Netz zugänglich gemacht [3]. Damit ist Schadsoftware im Netz zugänglich, die auch von Dritten bequem für Angriffe auf IT-Systeme verwendet werden kann. Mit dieser Software können Screenshots (etwa von allen gespeicherten E-Mails) angefertigt, VOIP-Gespräche und Räume überwacht, Webcams angezapft und zudem Schadmodule nachgeladen werden. 
Alle Daten auf dem angegriffenen IT-System sind gefährdet, etwa sogar medizinische Daten von Mitarbeitern oder noch geheime Konstruktionspläne für neue Produkte. Digitale Tagebücher wie “Timeline” können komplett mitgelesen werden.
Rechtlich wird hierdurch die Vertraulichkeit und Integrität von Informationssystemen gefährdet, die vom Bundesverfassungsgericht als grundrechtlich geschützt angesehen wurde [4]. Dieser Schutz gilt nicht nur gegenüber Behörden, sondern als Teil der objektiven Wertordnung auch zwischen Privaten (und Unternehmen).
Aufgabe der Systembetreiber, SysOPs oder CIOs ist es, das System umgehend auch gegen solche Angriffe abzusichern, um etwa Abfluss wertvollen Know-hows zu verhindern oder Vorkehrungen gegen Veränderungen gespeicherter Dokumente zu treffen. Konkurrenten könnten nämlich versuchen, z.B. durch (mittels nachgeladener Schadsoftware) gefälschte Gewinnwarnungen wirtschaftlichen Schaden beim angegriffenen Unternehmen auszulösen. Mit der IT-Sicherheit beauftragte Dienstleister sollten aufgefordert werden, über ihre  getroffenen Abwehrmaßnahmen Auskunft zu erteilen. Alle getroffenen Sicherungsmaßnahmen sollten dokumentiert werden. 
[1] http://blog.beck.de/2011/10/09/der-bundestrojaner-jetzt-muss-schluss-sein.                                                                       [2] www.ccc.de/system/uploads/76/original/staatstrojaner-report23.pdf                                                                              [3] http://ccc.de/de/updates/2011/staatstrojaner                                                                 [4] www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html

Mittwoch, 14.09.2011

Sind vertragliche Verbote der Übertragung von Client-Lizenzen wirksam und was kann der Kunde tun ?

OLG Karlsruhe: Zulässiges AGB-Verbot der Aufspaltung von Client-Access-Lizenzen  (Update)

Das  OLG Karlsruhe hat ein Verbot in AGB für wirksam erklärt, Teile eines Pakets von Client Access-Lizenzen auf Dritte zu übertragen. Dem Gericht zufolge (und im Einklang mit der überwiegenden Rechtsprechung) ist der Ersterwerber einer Client-Server (CS)-Software nicht berechtigt, einem Folgeerwerber eine Kopie  der CS-Software zu überlassen (damit dieser einen Teil der Client-Access-Lizenzen nutzen kann) und gleichzeitig die CS-Software auf seinem System weiter zu nutzen. Die Übertragung wäre nur bezüglich der Gesamtsoftware zulässig; der Ersterwerber müsste dann jede weitere Nutzung beenden. Ein Vervielfältigen mit dem Zweck der Weiterübertragung (und gleichzeitigen Weiternutzung ist dem Gericht zufolge unwirksam,  das sich insoweit ausdrücklich auf die Entscheidung des BGH GRUR 2011, 418 -UsedSoft bezieht).  Die Aufspaltung der Client Access-Lizenzen in zwei Pakete für den Erst- und den Folgeerwerber stellt eine unzulässige inhaltliche Abänderung des dem Ersterwerber eingeräumten Nutzungsrechts dar. Ein einheitlich definiertes Leistungspaket darf nicht einseitig aufgeschnürt werden. Das Aufspaltungsverbot wirkt dem BGH (UsedSoft) zufolge dinglich, also gegenüber jedermann.
OLG Karlsruhe, Urt.v.27.7.2011 - 6 U 18/10,                                                                http://lrbw,juris.de/cgi-bin/laender_Rechtsprechung/document.py?Gericht=bw&Art=en&Datum=2011&Sort=12290&nr=14612&pos=1&anz=609                                                 

www.jurpc.de/rechtspr/20110129.htm  
 

Auch das LG Frankfurt a.M, Urt.v.27.4.2011 - 2-O 60 428/10 hat die Wirksamkeit eines formularvertraglichen Übertragungsverbots bestätigt. Gibt der Erwerber selbsterstellte Datenträger weiter, kann er dem Folgeerwerber keine Nutzungsrechte einräumen und macht er sich schadensersatzpflichtig     www.jurpc.de/rechtspr/20110111.htm

Was bedeutet das für die Vertragspraxis ?
Die Rechtsprechung bestätigt Schritt für Schritt die strengen urheberrechtlichen Maßstäbe, die auch an die Weiterveräußerung von “gebrauchter” Software zu legen sind. Der Folgeerwerber kann nur dann ein Nutzungsrecht erwerben, wenn ihm die vollständige Software auf Datenträger übergeben wird und der bisherige Nutzer die Nutzung der Software ganz aufgibt. Nutzt er Teile des Client.Lizenzpakets weiter, kann der Folgenutzer nicht “rechtmäßiger Erwerber” i.S.v. § 69 d I UrhG werden. Der Anbieter kann vielmehr Unterlassungsansprüche bereits beim ersten Laden der Software gegen den Folgeerwerber durchsetzen. Deutlich erhöht wird dieses Risiko des Folgeerwerbers dadurch, dass das unberechtigte Vervielfältigen (beim Laden) sogar strafbar ist (§ 106 I UrhG). Gleiches gilt für den unberechtigt weiterveräußernden vorherigen Nutzer. Abgesehen hiervon kann der Folgeerwerber auch keine Gewährleistung oder sonstigen Support vom Anbieter erwarten, wodurch der wirtschaftliche Wert der Software schnell sinken kann.

Was können Nutzer tun ?  Eine baldige Änderung der Rechtsprechung ist nicht zu erwarten. Will sich der Nutzer die Möglichkeit erhalten, nicht benötigte Client-Lizenzen an andere Nutzer weiterzuveräußern, so muss er dies bereits im Lizenzvertrag mit dem Anbieter ausdrücklich vereinbaren und Weiterübertragungsverbote ausschließen.  Es ist wirtschaftlich sinnvoll, nur diejenige Anzahl von Client-Lizenzen zu nutzen, die man tatsächlich benötigt.Dies sollte in den Vertragsverhandlungen deutlich gemacht werden.  Im nächsten Schritt ist dann vertraglich genau festzulegen, in welchem Umfang der Nutzer und ein Folgenutzer Client-Lizenzen zeitgleich nutzen dürfen, welche Unterstützung und Gewährleistung der Anbieter weiter leistet, ob der Folgeererwerber die Bedingungen des Lizenzvertrags anerkennen muss und ob  auch eine Online-Überlassung von Programmcodes oder auch nur von Zugriffscodes  zulässig ist. Notwendig ist eine entsprechend differenzierte Vertragsgestaltung bereits beim Ersterwerb. Auch Anbieter werden meist ein wirtschaftliches Interesse an einer vertraglichen Lösung haben, da der Ersterwerber faktisch einen Teil des Marketing übernimmt und der Anbieter beim Support und möglichen Nutzungsausweitung des Folgeerwerbers Umsatz generieren kann.
koch@anwaltskanzlei-koch.de

Freitag, 09.09.2011

QR-Code ohne Datenschutz ?

Immer häufiger findet man auf Publikationen ein kleines Quadrat mit schwarzen Punktmustern. Hierbei handelt es sich um QR-Codes. “QR” steht für “Quick Response”. QR-Codes können unterschiedliche Informationen enthalten, etwa Webadressen. Per Handy-Kamera können diese Muster gelesen werden. Ist in dem Handy ein Webbrowser installiert, kann die Website unmittelbar angesurft werden.
Wenig Informationen findet man bisher zur Frage, welche Daten der Nutzer bei dem Aufrufen der Ziel-Website von deren Betreiber gespeichert werden. Mittlerweile werden für Anbieter besondere Auswertungsfunktionen verfügbar gemacht, um diese Zugriffe statistisch auszuwerten. Technisch möglich ist auch das Setzen von Cookies (s. unten “Das Aus für Cookies ?”). Hier beginnt aber das Datenschutzproblem. Setzt der annavigierte Anbieter automatisiert auf dem Rechner/Smart Phone des Nutzers Cookies, ohne die Nutzer hierüber  vorher zu informieren, verletzt er deutsches Datenschutzrecht (das auf EG-Datenschutz(richtlinien)recht basiert.  Auch statistische Auswertungen, die bestimmten Rechnern zugeordnet werden können, sind nicht zulässig, sondern setzen die Einwilligung der Nutzer voraus, es sei denn, die Daten werden sofort anonymisiert.
Gerade weil bisher nur wenig über die weitere Verwendung der Zugriffsdaten der Daten der Nutzer bekannt ist, können Anbieter nicht davon ausgehen, dass jeder Nutzer, der über einen QR-Code auf die Website gelangt,  in unterschiedlichste  weitere Verwendungen  einwilligt. QR-Codes sollen dem Nutzer nur das Eintippen der Webadresse ersparen. Die Nutzer müssen nicht damit rechnen, dass die Daten des Zugriffs auf die Website auf unterschiedlichste Weisen weiterverwendet werden.
koch@anwaltskanzlei-koch.de

Donnerstag, 18.08.2011

Haftungsrisiko Beschaffen oder Weiterbetreiben unsicherer IT-Systeme + UPDATE 19.9.2011

UPDATE 19.9.2011: Bitcoins und Botnets
Angreifer im Netz  finden neue Wege, von Unternehmen  Geld zu erlangen, ohne ein großes Risiko einzugehen, gefunden zu werden.                                                                                       So wurden etwa von 400 angegriffenen Unternehmen “100 Bitcoins” verlangt, andernfalls ein verteilter Angriff zum Zusammenbruch der IT der betroffenen Unternehmen führen würde.  “Bitcoins” sind eine virtuelle Währung, in der Zahlungen anonym durchgeführt werden können. Für 100 Bitcoins wird ein Wert von 600 Euro angegeben.                                                                                                                                                                                                                                 Die Rückverfolgung wird erschwert, da die Kommunikation über komplexe Botnetze erfolgt, in denen laufend Rechner durch andere ersetzt werden. Inzwischen sollen nach Schätzung von Ermittlern fast eine Million Rechner “infiziert” sein, die über (russische) soziale Netzwerke in Kontakt stehen.                                                  [Quelle: Die Zeit Nr. 38 v. 15.9.2011, S. 27, zu Bitcoins www.zeit.de/digital/internet/2011-09/geldwaesche-online-kriminalitaet.pdf]                                                      ___________________________

Angriffe auf die Unternehmens-IT erfolgen nicht nur immer häufiger, sondern auch immer gezielter und ausgefeilter. Der wirtschaftliche Schaden wächst. Dies führt zu der Vermutung, dass die vorhandenen IT-Systeme nicht mehr den aktuellen Sicherheitsanforderungen entsprechen. Für Unternehmen und deren Geschäftsleitung kann dies massive Konsequenzen haben:        
-  Schäden aus Datenverlusten und/oder Betriebsunterbrechungen können die wirtschaftliche Existenz des Unternehmens bedrohen. Versicherungsschutz hiergegen kann entfallen, wenn nicht rechtzeitig erforderliche Sicherheitsvorkehrungen nachweisbar getroffen wurden.
-  Die Mitglieder der Geschäftsleitung können aus einem derartigen Versäumnis persönlich haften (Compliance).
-  Auch beauftragte Provider etwa von Web Services müssen ihre eigenen Systeme ausreichend gegen Angriffe absichern. Gegen ausländische Anbieter (etwa aus China) können freilich Ansprüche nur sehr begrenzt erfolgreich durchgesetzt werden. Das beginnt bereits bei der Frage, ob der Beauftragte für den betrieblichen Datenschutz Rechenzentren des Providers etwa in Shenzhen betreten und überprüfen darf.
Aufgabe des CIO muss es sein, angesichts der Angriffswelle alle Komponenten der eingesetzten IT-Systeme - etwa Firewalls, Controller, Router und Verschlüsselungstechniken - zu überprüfen und die Beschaffung neuer, BSI-geprüfter Komponenten anzuregen sowie diese Aktivitäten zu seiner Haftungsentlastung zu protokollieren.

Mehrere Firmen bieten bereits “gehärtete” Systeme an (s. die Übersicht in der Wirtschaftwoche Nr. 31 v. 1.8.2011, S. 64, 66).    Nicht sehr hilfreich erscheint es aber, wenn einzelne Anbieter bereits von einer “deutschen Cloud” sprechen, da man fernöstlichen Komponentenherstellern und Anti-Virus-Softwareunternehmen nicht trauen könne (so WiWo, a.a.O). In der EU wäre kartellrechtlich eine Abschottung des Binnenmarktes unzulässig. Entscheidend muss vielmehr sein, ob die konkrete Komponente als solche ausreichend angriffsgesichert ist und auch keinen verdeckten Zugriffe durch den Anbieter ermöglicht.
In den Beschaffungsverträgen mit Anbietern besonders gesicherter IT sollte der Kunde schließlich genau prüfen, ob der Anbieter für die beschriebene Sicherheit auch tatsächlich eine Beschaffenheitsgarantie übernimmt und für welchen Zeitraum diese ggf. gilt. Vorsorglich sollte diese Beschaffenheit ausreichend konkret beschrieben und zum Vereinbarungsinhalt gemacht werden.
Nähere Vertragsberatung  RA Dr. Frank A. Koch, München                                                                               www.anwaltskanzlei-koch.info   koch@anwaltskanzlei.koch.de 
 

Mittwoch, 10.08.2011

OLG Karlsruhe: Zulässiges AGB-Verbot der Aufspaltung von Client-Access-Lizenzen

Das  OLG Karlsruhe hat ein Verbot in AGB für wirksam erklärt, Teile eines Pakets von Client Access-Lizenzen auf Dritte zu übertragen. Dem Gericht zufolge (und im Einklang mit der überwiegenden Rechtsprechung) ist der Ersterwerber einer Client-Server (CS)-Software nicht berechtigt, einem Folgeerwerber eine Kopie  der CS-Software zu überlassen (damit dieser einen Teil der Client-Access-Lizenzen nutzen kann) und gleichzeitig die CS-Software auf seinem System weiter zu nutzen. Die Übertragung wäre nur bezüglich der Gesamtsoftware zulässig; der Ersterwerber müsste dann jede weitere Nutzung beenden. Ein Vervielfältigen mit dem Zweck der Weiterübertragung (und gleichzeitigen Weiternutzung ist, dem Gericht zufolge, unwirksam,  das sich insoweit ausdrücklich auf die Entscheidung des BGH GRUR 2011, 418 -UsedSoft bezieht).  Die Aufspaltung der Client Access-Lizenzen in zwei Pakete für den Erst- und den Folgeerwerber stellt eine unzulässige inhaltliche Abänderung des dem Ersterwerber eingeräumten Nutzungsrechts dar.
OLG Karlsruhe, Urt.v.27.7.2011 - 6 U 18/10,                                                                                          http://www.justizportal-bw.de   unter "Oberlandesgerichte"  
 

Montag, 08.08.2011

Neues Skript zum IT-Projektrecht

Die für 2011 aktualisierte Version des Skripts "IT-Projektverträge rechtssicher gestalten" ist unter

www.anwaltskanzlei-koch.info

herunterladbar.