Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Wer haftet? – rechtliche Fragen in der Softwareentwicklung Olaf Grauschmitt.

Ähnliche Präsentationen


Präsentation zum Thema: "Wer haftet? – rechtliche Fragen in der Softwareentwicklung Olaf Grauschmitt."—  Präsentation transkript:

1 Wer haftet? – rechtliche Fragen in der Softwareentwicklung Olaf Grauschmitt

2 Wer haftet? - Rechtliche Fragen in der Softwareentwicklung Olaf Grauschmitt Relationship Manager Microsoft Deutschland GmbH

3 Inhaltsüberblick Status Quo Wichtige gesetzliche Regelungskataloge Datenschutz/KonTraG/BASEL II/TKG Vertragshaftung Juristische Betrachtung von Softwareentwicklung Rechtliche Einordnung Haftungsgrundlagen Möglichkeiten der Haftungsbeschränkung Exkurs GPL bzw. OSS und AGB Wen trifft die Haftung? Erforderliche Vorkehrungen

4 IT Security Status Quo

5 Status Quo Security-Studie von silicon.de % der Befragten bestätigen Security Probleme Beispiele: Verbreitung Trojaner: von 42% auf 55% Beliebteste Verbreitungsmethode: SPAM Viren, Trojaner, Phishing, etc. DoS - Attacken: von 15% auf 18% Generelle Zunahme individueller Attacken

6 Status Quo Qelle: Mummert Consulting, September /3 der befragten IT Manager registrierten im Vergleich zu 2003 "mehr oder wesentlich mehr Verstöße" gegen ihre IT- Sicherheit 1/3 erlitten in den letzten zwölf Monaten Schäden durch Viren, Würmer und kriminelle Mitarbeiter mit bis zu Euro Schaden 83,1 % der Sicherheitsverstöße der letzten zwölf Monate gingen auf das Konto von Viren, Würmern und Trojanern 90 % der befragten Unternehmen haben Virenscanner und Firewalls. 44 % beziehen automatische Updates der Antiviren-Software. 15 % der Befragten würden den Virenschutz erst dann aktualisieren, wenn es bereits zu einem Sicherheitsverstoß gekommen ist

7 IT Security Gesetzliche Regelungskataloge

8 Gesetzliche Regelungskataloge ? Es existiert kein Recht der IT-Sicherheit; vielmehr ist eine Vielzahl von Rechtsgebieten berührt. Näherungsversuch I: § 2 Abs. 2 BSIG (Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik) lautet: Sicherheit in der Informationstechnik im Sinne dieses Gesetzes bedeutet die Einhaltung bestimmter Sicherheitsstandards, die die Verfügbarkeit, Unversehrtheit oder Vertraulichkeit von Informationen betreffen, durch Sicherheitsvorkehrungen 1. in informationstechnischen Systemen oder Komponenten oder 2. bei der Anwendung von informationstechnischen Systemen oder Komponenten

9 Gesetzliche Regelungskataloge ? Näherungsversuch II Schutzpflichten von Rechtsgütern: Sicherung personenbezogener Daten Sicherung von TK-Anlagen Risikovermeidung und –Abschätzung Verschwiegenheitspflichten Verbraucherschutz Berufsrechtliche Aspekte (z.B. Arzt; RA) Näherungsversuch III: AktienG BDSG KonTraG TKG Allgemeines Zivil- bzw. Vertragsrecht

10 Gesetzliche Regelungskataloge § 92 Abs. 2 d AktG: Der Vorstand hat geeignete Maßnahmen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Verstoß indiziert Verschulden?

11 Datenschutz Urspünge: Volkszählungsurteil Grundsätze der Datensparsamkeit/ Datenvermeidung Landesdaten-/Bundesdatenschutzgesetze: Umgang, Verarbeitung, Nutzung von personenbezogenen Daten Schützt: Mandanten, Kunden, Mitarbeiter § 9 Satz 1 BDSG (Anlage): Acht Gebote des Datenschutzes für professionelle Datenverarbeitung in Organisationen

12 Datenschutz Wichtige Aspekte für IT-Security 1. Zutrittskontrolle – kein Zutritt von Unbefugten 2. Zugangskontrolle – keine Nutzung durch Unbefugte 3. Zugriffskontrolle – Rechtekontrolle beim Zugriff auf Daten 4. Weitergabekontrolle – sicherer Transport 5. Eingabekontrolle – wer hat die Daten eingegeben/verändert 6. Auftragskontrolle – weisungsgebundene Verarbeitung 7. Verfügbarkeitskontrolle – Schutz vor Datenverlust 8. Organisationskontrolle – je nach Zweck getrennte Verarbeitung

13 Datenschutz § 9 Technische und organisatorische Maßnahmen BDSG: Öffentliche und nicht-öffentliche Stellen, [...] haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

14 Datenschutz Mögliche Rechtsfolgen Schadenersatz Löschungsansprüche Unterlassungsansprüche Aber auch: Strafvorschriften: z.B. § 44 BDSG Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe Ordnungswidrigkeiten § 43 BDSG: Bis zu ,- bei Verstößen gegen BDSG

15 KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Unternehmer und Manager von Kapitalgesellschaften werden fortan haftbar gemacht, wenn sie keine Vorsorge bzw. Frühwarnung im Rahmen des betrieblichen Risikomanagements betreiben Pflicht der Unternehmensleitung, das Vermögen zu sichern und Gefahren vom Unternehmen abzuwenden (§ 93 I 1 AktienG / § 43 I GmbH-Gesetz) Gilt auch für Schäden, die im IT-Bereich auftreten können und die geeignet sind, den Fortbestand des Unternehmens zu gefährden Im Rahmen des Jahresabschlusses vom Wirtschaftsprüfer zu prüfen

16 Basel II Konsultationspapier vom Baseler Ausschuss für Bankenaufsicht. Ziele: -Stabilitätsgarantien für Finanzmärkte -Besseres Risikomanagement -garantierte Eigenkapitalvorsorge der Kreditinstitute betroffen: Banken, Staaten, Unternehmen, Privatpersonen Neben Kreditrisiko und Marktrisiko wird auch auch das operationelle Risiko geschätzt Verlagerung der Umsetzung von staatlichen Aufgaben an die Privatwirtschaft

17 Basel II § 743 The bank should establish an adequate system for monitoring and reporting risk exposures and assessing how the banks changing risk profile affects the need for capital.

18 Basel II Das (operationelle) Risiko wird maßgeblich anhand der Sicherheit der Systeme und der Daten beurteilt

19 Basel II ab 1. Januar 2007 in Deutschland Gesetz Kreditvergabe: auch die operationellen Risiken, die sich aus dem Einsatz von Informationstechnologie ergeben. Erforderlich: aktives IT-Risiko-Management, das sich mit allen Aspekten der IT-Sicherheit für das jeweilige Unternehmen befasst. Redundanz wichtiger IT-Systeme Sicherung von Verfügbarkeiten Wirksame Abwehr von Angriffen auf die IT-Systeme von innen und außen Erarbeitung von Notfallplänen

20 Basel II IT-Sicherheit ist somit sehr wichtiger Faktor bei der Kreditvergabe IT-Sicherheit kann somit die durch die Kreditaufnahme entstehenden Kosten senken

21 Telekommunikation Unternehmen, welche Web und Internet für Ihre Mitarbeiter privat zur Verfügung stellen gelten als Anbieter im Sinne des TKG (umstritten) Verpflichtungen aufgrund des TKG (Regelung vor allem in §§ 88 ff., 100, 109 TKG) Schutz des Telekommunikationsgeheimnisses Schutz personenbezogener Daten Schutz gegen unerlaubte Zugriffe Schutz gegen Störungen, die zu erheblichen Beeinträchtigungen des TK-Netzes führen können Schutz der TK-Anlagen gegen äußere Angriffe

22 IT Security Vertragshaftung

23 Haftungsrisiken und IT-Security aufgrund vertraglicher Vereinbarungen Insbes. Verletzung der Geheimhaltungsklausel in Verträgen Firma A IT Dienst- leister Firma B Geheimhaltung Servicevertrag Verletzung

24 Vertragshaftung Grundlage für Geschäftsbeziehung: (fast) immer gegenseitiger Vertrag Rechtliches Grobraster: Zivilrecht Was ist ein gegenseitiger Vertrag? Merkmal: sog. Synallagma: do ut des

25 Vertragshaftung Wirksamkeit eines Vertrages zunächst unabhängig von der Form Mündlicher Vertrag

26 Vertragshaftung Verträge beinhalten geschriebene Pflichten… z.B. Anforderungen an Funktionalität und Integrität von Software, Milestones, Zahlungsmodalitäten, etc… Je nach Hauptleistungs- Pflichten erfolgt die Vertragstypisierung in z.B. Werkvertrag, Dienstvertrag, Mietvertrag, etc… …aber auch ungeschriebene Pflichten Sorgfaltspflichten Aufklärungspflichten Dokumentationspflichten etc…

27 Vertragshaftung Je nach Vertragstypus werden die Nebenpflichten und Sorgfaltspflichten unterschiedlich beurteilt Einteilung des Vertragstypus entscheidet im Zweifel der Richter Daher: genaue Dokumentation der geschuldeten Leistungen bereits zur Vertragsverhandlung unerlässliche Pflicht in der Softwareentwicklung

28 Vertragshaftung Schadenersatz Unterscheidung: Materieller Schaden (Vermögensschaden) Folgeschaden Immaterieller Schaden (z.B. Ruf/Reputationsverlust) Grundsatz: Kein Schadenersatz ohne Verschulden Fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt außer Acht lässt. Mitverschulden / Schadensminderungspflicht

29 Vertragshaftung Wer haftet? Innerhalb von Vertragsverhältnissen der jeweilige Vertragspartner Im Zweifel also der Arbeitgeber Allerdings: Regressmöglichkeit des Arbeitgebers zumindest bei grober Fahrlässigkeit und Vorsatz

30 Vertragshaftung Innerhalb eines Vertragsverhältnisses können Schadenersatzansprüche vertraglich sowohl der Höhe nach, als auch nach dem Haftungsgrund beeinflusst werden Insbesondere in AGB Allerdings: Nicht jede AGB ist wirksam

31 Exkurs GPL bzw. OSS und AGB Beispiel LG München 2004: Unwirksamkeit der hatfungsbeschränkenden AGB bei GPL, Durchbrechung der Haftungskette Fall: GPL-Software wird zum download angeboten Kein Hinweis auf GPL Kein Hinzufügen des Textes der GPL Keine Zugänglichmachung des Source Codes

32 Exkurs GPL bzw. OSS und AGB Erkenntnisse: Zunächst: GPL ist für das Urheberrecht relevant Verstoß gegen die GPL kann eine Verletzung des Urheberrechts darstellen GPL Software ist nicht frei, sondern unterliegt schlicht dem Regelungsinhalt der GPL

33 Exkurs GPL bzw. OSS und AGB (Insbesondere) bei US-amerikanisch ausgestalteten GPL sehr verbreitet: Genereller Haftungsausschluss Diese Klauseln sind nach deutschem Recht AGBs AGBs unterliegen der Inhaltskontrolle §§ BGB

34 Exkurs GPL bzw. OSS und AGB Nach deutschem AGB Recht ist ein genereller Haftungsausschluss rechtswidrig Folge: Derjenige, der Software unter deutschem Recht GPL-konform weitergibt haftet vollumfänglich. Gleiches gilt bei Bearbeitung von OSS für einen Auftraggeber. Der Auftragnehmer hat nach der GPL die Haftung auszuschließen. Ausschluss nach deutschen AGB-Recht unwirksam, so dass der Entwickler nach den gesetzlichen Bestimmungen gegenüber dem Auftraggeber (voll) haftet, im Verhältnis zum Urheber aber keine Ansprüche wegen fehlerhafter Software hat, da der Haftungs- und Gewährleistungsausschluss nach ausländischem Recht zwischen Urheber und Entwickler in aller Regel wirksam sein wird.

35 Exkurs GPL bzw. OSS und AGB Vermischung von Eigenentwicklung und OSS unter GPL Bei Weiterentwicklung von OSS-Sourcecode greift in aller Regel die GPL GPL greift unabhängig vom Verhältnis der Eigenentwicklung zum Gesamtprogramm Konsequenzen: Ausschließliche Nutzungsrechte können nicht eingeräumt werden Rechtsmangel, falls dennoch vertraglich zugesichert Verpflichtung zur Offenbarung des Sourcecodes veröffentlicht auch das KnowHow der Entwicklung Vermeidbarkeit dieser Folgen? Methode: GPL-Code wird nicht unmittelbar sondern über Schnittstellen integriert Allerdings rechtliche Abgrenzung schwierig: Wann liegt eine Schnittstelle, wann ein Workaround vor? Beurteilung durch Sachverständige Rechtsunsicher: kaum Rechtsprechung; sowohl in USA als auch in Deutschland

36 Wen trifft die Haftung? Verantwortlichkeiten

37 Wen trifft die Haftung? Grundsätzlich trifft die Haftung die Unternehmensführung (Vorstand / GF) Allerdings Möglichkeit der Delegierung der Verantwortung an leitende Angestellte Diese müssen als Erfüllungsgehilfen sorgfältig ausgewählt und überwacht werden Speziell bei größeren Betrieben: IT-Sicherheitsbeauftragter Möglichkeit der Eigenhaftung des Verantwortlichen bei vorsätzlicher oder grob fahrlässigen Verstößen gegen IT-Sicherheitsvorgaben Sog. Regress

38 Wen trifft die Haftung? Mitbetroffen: Administratoren strafrechtliche, TKG-, arbeitsrechtliche Konsequenzen bei Problemen Mitbetroffen: Betriebsrat Betriebsvereinbarung als Steuerungsinstrument der IT-Nutzung durch Mitarbeiter Mitwirkungspflichten des Betriebsrats nach BetrVG Mitbetroffen: Alle weiteren Arbeitnehmer Umsetzung von Security Konzepten nur bei Einhaltung durch alle Mitarbeiter Arbeits- und strafrechtliche Sanktionen im Einzelfall bei groben Verstößen möglich (z.B. Verbreitung von Viren, Nutzung von Tauschbörsen)

39 Konklusio Große Regelungungsvielfalt für IT- Sicherheit Hohe Kontrolldichte durch viele Beteiligte

40 Direkte Schäden z.B. durch Kreditkartenmissbrauch, Datenverluste oder Arbeitszeit Strafrechtliche Sanktionen oder Ermittlungen z.B. durch P2P-Netze, Virenverbreitung, Kreditkartenbetrug, usw. Schadensersatz z.B. bei Schäden durch unberechtigte Nutzung personenbezogener Daten oder durch die Verbreitung von Viren Bußgelder bis zu bei Verstößen gegen BDSG Reputationsverlust Enormer Rufverlust bei Bekanntwerden von IT- Sicherheitsmängeln Folgen bei Sicherheitslecks

41 Versicherungen Betriebshaftpflicht greift womöglich wegen Mitverschulden nicht ein Gewerbeaufsicht / Kammer Probleme mit der Gewerbeerlaubnis fehlende Zuverlässigkeit auch im Bereich der IT-Sicherheit Urheberrechtsverstöße Durch Nutzung von P2P-Netzwerken Kredite IT-Risiken vs. Basel II bei Kreditvergabe Wettbewerbsrecht Abmahnungen von Konkurrenten insbes. im Online-Bereich Folgen bei Sicherheitslecks

42 Erforderliche Vorkehrungen Alle IT-Security-Systeme unterliegen gem. § 87 Abs. 1 Nr. 6 BetrVG der Mitbestimmung, sofern sie der Überwachung der Leistung oder des Verhaltensdienen können Zweifelsfreie Entscheidung über die Zulässigkeit der privaten Nutzung von Internet und am Arbeitsplatz Lösung von datenschutzrechtlichen Problemen durch Betriebsvereinbarungen oder detaillierte Information der Mitarbeiter Schaffung der rechtlichen Voraussetzungen zu stich- probenartiger Kontrolle der Mitarbeiter Schriftliche Niederlegung des Sicherheitskonzepts zu Beweiszwecken

43 Arbeitsrecht vs. Kontrolle Spannungsfeld zwischen dem grundgesetzlich garantierten Schutz des Persönlichkeitsrechts des Arbeitnehmers (Recht auf informationelle Selbstbestimmung) und der Verpflichtung, seine Aufgaben ordnungsgemäß und vertrauensvoll im Interesse seines Arbeitgebers zu erfüllen – wozu auch Kontrolle gehören kann. Keine flächendeckende technische Überwachung der individuellen Arbeitsleistung und –fähigkeit zulässig. Keine Überwachung bei Erlaubnis der Privatnutzung von Web und Mail am Arbeitsplatz zulässig, bei Verbot eingeschränkte Überwachung zulässig und sogar notwendig Problematik der Archivierung von Mails sowie der Spam-Filterung (insbes. bei der Zulassung der Privatnutzung)

44 Sonstige Maßnahmen Investition in IT-Sicherheit Erstellung und Durchsetzung eines IT- Sicherheitskonzepts Benennung eines IT-Sicherheits- verantwortlichen Mitarbeiterschulungen Prägung eines Sicherheitsbewusstseins durch Information Passwortsicherheit

45 Questions and Answers

46 Ihr Potenzial. Unser Antrieb.


Herunterladen ppt "Wer haftet? – rechtliche Fragen in der Softwareentwicklung Olaf Grauschmitt."

Ähnliche Präsentationen


Google-Anzeigen