134 89 6MB
German Pages 386 Year 2012
RedekerlHoppen (Hrsg.l
DGRI Jahrbuch 2011
Informationstechnik und Recht Schriftenreihe der Deutschen Gesellschaft rur Recht und Informatik e.V.
Band 21
DGRI Jahrbuch
2011 Im Auftrag der Deutschen Gesellschaft rur Recht und InfOrmatik e.V.
herausgegeben von
Dr. Helmut Redeker Bann und
Dr:-lng. Peter Hoppen Köln
2012
Verl~
Dr.OftoSchmidt Köln
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese
Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar. Verlag Dr. Otto Schmidt KG Gnstav-Heinemann-Ufer 58, 50968 Köln Tel. 0221/93738-01, Fax 0221/93738-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-67020-7 ©2012 by Verlag Dr. Otto Schmidt KG, Köln
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere fiir Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Sysremen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung nach einem Entwurf von: Jan P. Lichrenford Satz: A. Quednau, Haan Druek und Verarbeitung: Betz, Darmstadt Printed in Germany
Editorial Wie seit einigen Jahren üblich, legt die DGRI wieder ein Jahrbuch vor, das mehr ist als nur ein Bericht über die Jahrestagung. 2011 war ein weiteres Jahr mit zunehmend gesellschaftlich wichtigen rechtspolitischen Debatten im Bereich des IT-Rechts. Datenschutzrecht ist unverändert ein großes Thema, zumal die Europäische Kommission den Entwurf einer neuen europäischen Lösung vorlegen wollte und dann Anfang 2012 auch vorgelegt hat. Dazu kommt der Aufstieg der Piraten, deren zentrales Thema Internetnutzung und Transparenz ist. Beide Themen und eine ganze Reihe weiterer Themen spiegeln sich auch in der Arbeit der DGRI und in den Beiträgen dieses Bandes wider. Die Jahrestagung der DGRI stand unter dem Motto „Schutz der Offenheit – Schutz vor Offenheit“. Das Thema spiegelt auch die Spannungslage zwischen Transparenz und Datenschutz. Dabei war bei der Planung der Jahrestagung Anfang 2011 noch nicht absehbar, dass Offenheit ein so zentraler politischer Begriff werden würde. Als dann Marina Weisband, seinerzeit politische Geschäftsführerin der Piraten, auf der Jahrestagung referierte, war das Thema in der Politik angekommen. Der Beitrag von Frau Weisband findet sich auch im Jahresband. Das Thema Offenheit wird unter dem Gesichtspunkt Open Data auch im Jahr 2012 weiter bearbeitet werden. Auch die Datenschutzdiskussion hat in Form von 10 Thesen auf der Jahrestagung eine zentrale Rolle gespielt, ein entsprechend umfangreicher Beitrag von Schneider und Härting findet sich in diesem Jahrbuch. Eng mit dem Datenschutzthema verbunden ist die Frage, ob es Eigentumsrechte an den eigenen persönlichen Daten im zumindest übertragenen Sinne gibt. Auch dazu findet sich ein Beitrag. Unabhängig von diesen zentralen politischen Themen schreiten die technischen und wirtschaftlichen Entwicklungen fort und müssen sich in juristischen Antworten spiegeln, sei es, dass Programmiermethoden sich wandeln, sei es, dass Software als Kreditsicherheit genutzt werden kann. Hier finden sich im Jahrbuch wichtige Beiträge auch vom Drei-LänderTreffen der DGRI, gerade zur Eignung von Software als Kreditsicherheit. Darüber hinaus wurden in das Jahrbuch Beiträge von Technikern aufgenommen, die zeigen, wie rasant die Entwicklung ist und wie viele technische Schwierigkeiten in der Bewertung einzelner rechtlicher Situationen bestehen. V
Vorwort zum IT-Jahr 2011
Hier wird man auch neue juristische Antworten auf neue technische Fragestellungen geben müssen. Dabei hilft die Rechtsvergleichung weiter, ist doch der österreichische Begriff einer unkörperlichen Sache, für den es in Deutschland keinen entsprechenden Begriff gibt, für die Bewältigung etwa der Rechtsprobleme von per Download heruntergeladener Software ein durchaus interessanter Ansatzpunkt. Durch diesen Rechtsbegriff lässt sich das Phänomen erfassen, dass ein als Wirtschaftsgut gehandeltes geistiges Werk zwar notwendig körperlich verkörpert ist, aber immer wieder seine körperliche Gestalt wechselt. Neben Fragestellungen des Rechts der Kreditsicherheiten wird speziell an Fragen der Virtualisierung klar, welche Explosionskraft in technischen Entwicklungen für bisherige rechtliche Begriffe steckt. Auch stürmische Entwicklungen wie die der Apps auf Mobiltelefonen, Smart Phones und Tablet-PCs finden im Band Erwähnung. Das Jahrbuch wird abgerundet mit einem Überblick über die Rechtsentwicklung im Jahr 2011, den Arbeitsberichten aus den Fachausschüssen der DGRI und einer Jahreschronik der DGRI. Zudem sollen die im Berichtsjahr von der DGRI erarbeiteten Stellungnahmen und die mit dem Stifterpreis der DSRI prämierten Arbeiten in diesem Jahrbuch in würdigem Rahmen der Nachwelt erhalten bleiben. Besonders zur Lektüre zu empfehlen ist das Portrait von Michael Bartsch anlässlich dessen 65. Geburtstag. Michael Bartsch ist einer der Pioniere des IT-Rechts in Deutschland und der DGRI durch langjähriges Mitwirken in Vorstand und Beirat verbunden. Wir freuen uns, dass sich viele Entwicklungen des IT-Rechts in den letzten Jahrzehnten auch in diesem Interview anlässlich seines Ehrentages spiegeln. Allen Autoren sei für ihren Einsatz, der immer parallel zum Tagesgeschäft zu erbringen war, auf das Herzlichste gedankt. Unser Dank gilt auch Ulrich Gasper, dem Lektor im Verlag Dr. Otto Schmidt für die Geduld bei der Organisation der Beiträge und für die Unterstützung bei der redaktionellen Aufbereitung der Unterlagen. Bonn/Köln, im April 2012
VI
Dr. Helmut Redeker/Dr. Peter Hoppen
Inhaltsübersicht* Seite
Editorial (Dr. Helmut Redeker/Dr. Peter J. Hoppen) . . . . . . . . . . .
V
Offenheit – Ein Wert an sich? Keynote bei der DGRI (Marina Weisband) . . . . . . . . . . . . . . . . . . .
1
Datenschutzrecht Impulse für eine Modernisierung des „Datenschutzes“ (Prof. Dr. Jochen Schneider/Prof. Niko Härting) . . . . . . . . . . . . . . .
15
Eigentumsrechte an persönlichen Daten? (Prof. Dr. Benedikt Buchner) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
Intellectual Property Software als Kreditsicherheit (Clemens Appl/Dr. Roman Heidinger)
65
Sicherungsrechte und Software – Länderbericht Schweiz (Dr. Robert G. Briner) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
Software als Kreditsicherheit (Dr. Kai-Uwe Plath) . . . . . . . . . . . . .
103
Aktuelle Informatik-Themen Formen Agilen Programmierens (Prof. Dr. Stefan Jähnichen) . . . .
119
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung (Dr. Christian Frank) . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung (Wiegand Liesegang/Dr. Siegfried Streitz) . . . .
145
Software-Urheberrecht und Virtualisierung (Dr. Malte Grützmacher) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
169
_________________
* Ausführliche Inhaltsverzeichnisse jeweils zu Beginn der Beiträge.
VII
Inhaltsübersicht
Die technischen Potenziale analytischer Informationssysteme – eine Grundlage für den interdisziplinären Dialog (Prof. Dr. Frank Bensberg) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
181
Moderne Softwareentwicklungsmethoden und ihre Konsequenzen für den Softwareschutz (Dr. Oliver Stiemerling) . . . . . . . . . . . . . .
201
Entwicklung des IT-Rechts Immer im Dienste des IT-Rechts – ein Portrait zum 65. Geburtstag von Michael Bartsch (Thomas Heymann) . . . . . . . . . . . . . . . . .
219
Aktuelle Entwicklungen im IT-Recht (Jan Schneider) . . . . . . . . . .
231
Stifterpreis des DSRI Der Laienjournalismus im Internet als Teil der Medienöffentlichkeit im Strafverfahren – Neue Herausforderungen durch die Entwicklung des Web 2.0 (Johanna Kujath) . . . . . . . . . . . . . . . . . .
247
Zur „Beweiskraft informationstechnologischer Expertise“ (Stand 6/2010) (Hanno Baur) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
259
Deutsche Gesellschaft für Recht und Informatik e.V. Jahreschronik 2011 (Dr. Peter J. Hoppen) . . . . . . . . . . . . . . . . . . . .
267
Fachausschuss Datenschutz: Jahresbericht 2011 (Dr. Eugen Ehmann/Dr. Robert Selk) . . . . . . . . . . . . . . . . . . . . . . .
277
DGRI-Fachausschuss „Firmenjuristen“ (Dr. Roland Bömer) . . . . .
281
Fachausschuss Internet & eCommerce (Prof. Dr. Axel Metzger/Jörg Wimmers) . . . . . . . . . . . . . . . . . . . . .
285
Bericht Fachausschuss Rechtsinformatik (Prof. Dr. Andreas Wiebe) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
287
Fachausschuss Vertragsrecht: Jahresbericht 2011 (Dr. Thomas Stögmüller/Dr. Mathias Lejeune) . . . . . . . . . . . . . . .
289
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht (Isabell Conrad) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
291
VIII
Inhaltsübersicht
Anhang Stellungnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Autorenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
313 357
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
367
IX
.
Keynote bei der DGRI-Jahrestagung* Marina Weisband I. 1. 2. 3. 4. 5.
Vortrag Historischer Exkurs Internet Vorteile Ein Bild vom idealen Politiker Grenzen der Offenheit a) Legitime Staatsinteressen
b) Datenschutz 6. Gesellschaftliche Voraussetzungen für Transparenz II. Fragen 1. Frage von Brandi-Dohrn 2. Frage von Heckmann
I. Vortrag Guten Tag, meine Damen und Herren, ich hoffe einfach, dass ich ein bisschen Anstoß geben kann in eine Denkrichtung und dass wir hinterher einfach zusammen darüber diskutieren können, weil ich bin im Moment auch noch auf der Suche nach Input. Ich fange jetzt mit dem an, was sie alle wahrscheinlich am liebsten mögen: mit einem historischen Exkurs. 1. Historischer Exkurs Damals gab es in der Politik zwei Arten von Leuten: Die einen Leute, die geherrscht haben und die anderen Leute, die gerne stattdessen herrschen wollten. Was haben die Leute, die geherrscht haben, gemacht um ihre Macht zu sichern? Sie haben Verträge und Friedensverhandlungen und so etwas im kleinen Kreis gemacht. Sie haben das niemandem verraten, wie es geht sondern, sie haben alles geheim gehalten, und wenn jemand statt ihrer die Macht an sich reißen wollte und Frieden mit Frankreich weiterführen wollte, wusste er nicht, wie das geht. Das heißt, er konnte nicht einen Herrscher stürzen, ohne Krieg zu riskieren, und das war der Mechanismus, der für stabile Politik gesorgt hat damals. Das nannte man Arcana Imperii und hat auf Seite der Bevölkerung eben einfach zu genug Unwissenheit geführt, um einen stabilen Politikstil zu garantieren, was _________________
* Wörtliche Wiedergabe der Rede von Frau Weisband auf der Jahrestagung 2011 der DGRI.
1
Marina Weisband
damals gar nicht so schlecht war. Heutzutage haben wir auch noch Spuren davon, nämlich in der Sprache. Wir haben eine juristische Sprache, eine medizinische Sprache, eine wissenschaftliche Sprache, die im Prinzip einerseits natürlich wissenschaftlich Notwendigkeiten sind, um korrekt kommunizieren zu können, andererseits aber auch genau diesen Effekt haben. Sie schließen Leute aus, und zwar damit unwissende Leute wissenden Leuten nicht ins Handwerk pfuschen. Was berechtigt ist. Aber heutzutage haben wir eine etwas veränderte Situation, wir leben in einer Demokratie. Das bedeutet: das ganze Volk herrscht. Unser Herrscherklasse, dieser Klüngel, der früher um die Geheimnisse wusste, muss entsprechend größer werden. Und wir haben die Voraussetzungen dafür. Wir haben ein paar neue Sachen, die es damals nicht gab. Einerseits hat sich unsere Bildung verbessert, der mittlere IQ der Menschen ist gestiegen, wir sind in der Lage immer komplexere Zusammenhänge zu erkennen. Sogar schon ein fünfzehnjähriger Hauptschüler ist in der Lage, ein iPhone zu bedienen und das ist gar nicht mal so leicht. Das konnten die Leute im 17. Jahrhundert nicht. 2. Internet Weiterhin: Wir haben das Internet. Das Internet hat zwei Dinge. Erstens: wir können Informationen erhalten, und zwar alles was wir wollen. Im Internet finden wir alles. Und das Zweite ist: Wir können Informationen rausspucken, wir können unsere Meinung mitteilen. Und wenn wir das weiterdenken: Wir können die Meinungen von vielen aggregieren in Echtzeit. Das bedeutet, ich kann, wenn ich will und die Systeme habe, jetzt in diesen nächsten 10 Minuten alle deutschen Bürger fragen, was sie zu einem Thema denken. Dieser Austausch hat die Gesellschaft verändert, und zwar nicht nur die technischen Möglichkeiten der Gesellschaft, sondern auch ihr Denken. Während man früher Informationen nur aus dem Fernsehen und dem Radio einseitig bekam, ist meine Generation gewohnt – also wir 24-jährigen sind jedenfalls damit aufgewachsen – dass wir Informationen auch weitergeben können, dass, was ich ins Internet tippe, jeder liest. Mit diesem Verständnis, das schon in der Kindheit entstanden ist, frage ich mich jetzt: Warum kann ich das eigentlich nicht mit Politik tun? Warum mach ich ein Kreuzchen alle 4 Jahre und danach ist Stille? Ein Kreuzchen auf einem Wahlzettel entspricht einer Datenübertragung von zwei Byte, alle 4 Jahre. Die Uploadgeschwindigkeit ist nicht sehr hoch.
2
Keynote bei der DGRI-Jahrestagung
3. Vorteile Die Vorteile, die die Möglichkeiten des Internets bieten zahlen sich aus: 1. Wir haben mehr Verantwortlichkeit, die jeder Einzelne tragen kann. Ganz einfach: Je mehr ich über eine Entscheidung weiß und je mehr Macht ich über diese Entscheidung habe, desto mehr Verantwortung trage ich dafür. Wenn jeder die Verantwortung für sich selbst trägt, muss sie niemand anders tragen. Das heißt, jeder Bürger ist am Ende freier. 2. Wir haben so etwas wie eine Schwarmintelligenz. Wenn wir uns Twitter anschauen, dann ist Twitter so was wie ein großes Gehirn und jeder Mensch ein Neuron. Alle Menschen sind miteinander vernetzt und durch das Twittern, also durch das Weiterleiten von guten Inhalten, entsteht so eine Art künstliche Aufmerksamkeitssteuerung. Und das macht uns in der Gruppe intelligenter als jeden Einzelnen: Allerdings nur, wenn man die richtigen Systeme hat. Denn es gibt auch viele Foren, wo die Gruppe dümmer ist als jeder Einzelne. 3. Wir können für moralische Politik sorgen, für ethische Politik, denn die Ethik eines Einzelnen ist immer zu hinterfragen, vor allem daraufhin, ob sie sich auf die Ethik aller anderen anwenden lässt. Wenn ich Monarch bin und finde, dass es total richtig ist wenn Kinder hungern, dann mag das richtig sein in meiner Politik. Das Volk findet das aber vielleicht gar nicht so. In einer Demokratie entscheidet aber das Volk, was richtig ist und das Volk ist es auch, das die Moral macht. Die Gesellschaft prägt ja die Moral und kann dann auch auf deren Einhaltungen achten. Das bedeutet: Die einzige Voraussetzung für wirklich nachhaltig moralische Politik ist, wenn ich alle mit entscheiden lasse. Diesem Ideal, dass alle mitentscheiden können, dient die Transparenz. Die Transparenz steht bei uns im Parteiprogramm, aber während ich diese Folien gemacht habe, habe ich das Wort „Transparenz“ aus Versehen dekonstruiert und habe das Wort „Offenheit“ stattdessen eingesetzt, auch weil diese Konferenz so hieß. Und dann dachte ich, Moment mal, „Offenheit“ klingt irgendwie cool, was ist wohl der Unterschied? Transparenz definiere ich in der Politik folgendermaßen: Dazu gehört Offenlegung von Verträgen, leichter Zugang zu Information, das heißt auch zu Dokumenten, die eigentlich öffentlich sind, die man aber im Moment nur über zig Anträge beantragen kann, mit Begründung und Kosten etc. Das heißt, dass alle Sitzungen, Besprechungen und auch so etwas wie diese Konferenz hier, wenn wir jetzt politisch wären, live im 3
Marina Weisband
Internet ausgestrahlt wird und jeder gucken kann, auch wenn man nicht die Möglichkeit hat, selbst hinzugehen. Und es heißt, dass jeder sein Abstimmungsverhalten offen legt, solange er gewählter Politiker ist. Offenheit beinhaltet Transparenz, fügt aber noch etwas hinzu. Das hat nämlich noch eine menschliche Komponente: z. B. verständliche Sprache. Es ist nicht transparent, wenn ich hier etwas auf Psychologen-Hochdeutsch erzähle. Wenn ich mich aber ganz einfach ausdrücke, dann können Sie das alle nachvollziehen. Offenheit heiß auch: keine Nutzung von Gesetzeslücken. Da Transparenz im Gesetz zwangsläufig etwas ist, das über Regeln durchgesetzt wird, kann ich mich ansonsten immer noch durchmogeln. Gesetzeslücken nicht zu nutzen ist eine moralische selbstverantwortungsvolle Aufgabe von Politikern. Es ist also etwas, dass ich Entmystifizierung des Berufs nenne. Das heißt, wenn sie hier alle z. B. nicht im Anzug säßen, sondern jeder so, wie er gerne rumläuft und einfache Sprache benutzt. Die meisten nutzen einfache Sprache, aber nicht im Beruf. Herr Heckmann hat es gestern seine Verkleidung genannt, als ich ihn nach der Kleiderordnung für heute Abend gefragt habe: „Ja, da tragen wir alle Anzug, das ist halt unsere Verkleidung“. Also den Beruf einfach wieder vermenschlichen. Und: Ganz, ganz zentral ist auch das Annehmen von Anregungen und Kritik, also Offenheit für das, was von unten kommt. Transparenz ist also tatsächlich etwas, das rein gesetzlich durchzusetzen ist. Das heißt, ich als Politikerin muss Transparenz fordern. Aber ich als Mensch, als Psychologin, als Sozialinteressierte, fordere Offenheit in der Politik. 4. Ein Bild vom idealen Politiker Ich stelle mal mein Bild vom idealen Politiker vor, irgendwann in einer Traumwelt: Der Politiker verkleidet sich nicht, er gibt sich genau so, wie er gerne rum läuft und dazugehört auch, dass er normale Sprache benutzt, so wie ihm der Mund gewachsen ist, auch wenn es nicht immer geschliffen klingt. Er legt seinen Kenntnisstand und seine Unterlagen offen, solange eben keine Informationen Dritter darin beinhaltet sind. Er steht zu seinen politischen Ansichten, begründet sie und er steht eben auch dazu, wenn sie sich verändern. Dazu gehört, dass er seine Gedanken, die dazu geführt haben, dass sie sich ändern, auch transparent macht, beispielsweise in einem Blog. Hier haben wir nämlich das Internet als sehr 4
Keynote bei der DGRI-Jahrestagung
sehr gutes Medium dafür. Das gab es früher nicht. Früher hatte ein Politiker einfach nicht den Raum, seine Gedanken transparent zu machen. Ich nenne das „Der Politiker als Mensch“ und vielleicht kann ich an dieser Stelle mal mein Geheimnis offenbaren. Mein Geheimnis ist: ich bin politisch völlig inkompetent. Nun, wo unsere Partei in Prognosen bei 10 % steht, bin ich im politischen Wettbewerb mit Leuten, die das seit 30–40 Jahren machen. Und die versuchen, gegen mich zu schießen, und ich muss ganz, ganz viele Wähler, im Moment jeden zehnten Wähler, vertreten und dabei muss ich gut aussehen und dabei muss ich kompetent sein und möglichst auch noch zum Besseren verändern. Und wie mache ich das? Das mache ich, in dem ich das Internet nutze, in dem ich versuche das Konzept Politiker als Mensch zu leben und zu sagen „Wisst Ihr, Leute, ich habe die Weisheit nicht gepachtet. Wenn Ihr mich etwas fragt, dann frage ich die Cloud“. Die Cloud ist in meinem Fall z. B. die Piratenpartei, die auf Twitter repräsentiert ist. Zum Beispiel wenn ich von einer Zeitung eine Interviewanfrage bekomme und der Name klingt etwas obskur, frage ich einfach auf Twitter „Was ist das für eine Zeitung, soll ich da ein Interview geben?“. Da kommen dann im Sekundentakt Antworten, ich bekomme meine Antworten sozusagen wieder aus der Cloud. Es ist meine Aufgabe sie zu bewerten, es ist meine Aufgabe zu schauen, wem vertraue ich dort oder wie sehen die Mengenverhältnisse aus. Natürlich ist da viel Müll bei, bei den Antworten. Das sortiere ich. Aber egal, ob es um Bebauungsvorschriften geht, egal ob es um die Gründung eines Kreisverbands geht, alles was ich wissen muss, ist ja letztlich da, ich muss nur wissen, wie ich auf das Wissen zugreife. Da ich mir keinen persönlichen Assistenten leisten kann, erledige ich das durch das System des liquid secretary. Also: Die Leute auf Twitter weisen mich einfach auf meine Termine hin, mein Kalender ist offen und ich werde auf meine Termine hingewiesen. Und das andere, was ich eben noch mache ist: Ich trete auch in der Politik so auf, wie ich bin. Ich wurde mal von einer Reporterin gefragt „Frau Weisband wie verträgt sich das eigentlich mit Ihrem Amt, dass Sie auf YouTube ein Video stehen haben, wo Sie unendlich viele Elephanten zeichnen?“. Wie soll sich das vertragen? Wo widerspricht sich denn das? Ich versuche also alle meine Aspekte als Mensch offenzulegen. Wenn ich schlechte Laune habe, dann twittere ich das, wenn ich eine neue politische Idee habe, dann twittere ich das, und wenn ich ein neues Lied geschrieben habe, dann twittere ich das auch. Ich trete als Mensch auf und sage meine Meinung zu allem ohne sie vorher auch mit der Partei 5
Marina Weisband
abgesprochen zu haben. Was hinterher dem Wähler, wenn alle Politiker so handeln würden, erleichtern würde zu wählen. Denn im Moment wählen wir ein Gesicht auf einem Wahlplakat, wenn wir alle ganz ehrlich sind. Also sie vielleicht nicht, sie gehören noch zu der gebildeten Elite, aber sobald es dann irgendwo …, ganz ehrlich, ich bin früher auch nach dem Aussehen gegangen. Was anderes hat man auch nicht. Man hat das Aussehen und man hat die gescripteten Phrasen. Und das ist schwierig. Andererseits ist auch das, was ich mache ziemlich schwierig, bei allen Vorteilen, die es bietet. Ich habe neulich getwittert: Ab welchen prozentualem Verhältnis zwischen Medikamenten und Frühstück wird es eigentlich bedenklich? Ich habe das nicht bedenklich gefunden zu twittern, aber es hat überraschende Reaktionen hervorgerufen. Es gab tatsächlich einen Sturm an Empörung, wie das den ginge und sogar einen Zeitungsartikel – also tatsächlich mehrere, der hier ist jetzt aus der Süddeutschen –, wo es darum ging, dass ich über mein Frühstück twittere. Und dann hieß es, ja aber ein Politiker kann doch nicht über Medikamente twittern, weil dann vertraue ich ihm ja gar nicht mehr. Das liegt aber gar nicht daran, dass er darüber twittert. Wenn er darüber twittert heißt das, dass er sie nimmt oder nimmt sie nicht? Es heißt dann: „Ja ich will das aber gar nicht wissen, also vertraue ich ihm nicht.“ und ich frage: Was ist das für eine Art von Vertrauen, wenn das nur dadurch zustande kommt, dass man etwas nicht weiß. Das ist dumm. Entweder, man sollte den Politiker nicht wählen oder es macht nichts aus. Ich versuche eben durch diese Art – natürlich ziehe ich damit sehr viel Unverständnis auf mich – dieses System so ein bisschen aufzulockern. Und ich merke tatsächlich, dass viele es in letzter Zeit nachmachen und einfach auch sehr offen auf Twitter sind. Es führt zu ganz interessanten Auswüchsen, die Süddeutsche hat ganz neulich getitelt „Streit zwischen den Parteien“ und hat dann Seiten lang – vier Seiten lang – Twitterdialoge zwischen Doro Bär und Volker Beck und Konstantin von Notz abgedruckt. Also die haben nur Twitterdialoge abgedruckt und das ist dann ein Artikel über politische Verhältnisse. Es wird aber eine Zeit kommen, da wird das Ganze natürlich sein, wo sich Politiker ganz, ganz offen öffentlich austauchen und der Bürger dabei sein kann. 5. Grenzen der Offenheit Offenheit hat Grenzen, und darauf möchte ich natürlich auch kurz zu sprechen kommen.
6
Keynote bei der DGRI-Jahrestagung
a) Legitime Staatsinteressen Wir haben einerseits so etwas wie legitime Staatsinteressen. Ich sehe ein – also so Pirat bin ich dann doch nicht, dass ich sage: Alles muss offen alles, Alles, Alles, Kriegsgeheimnis, Alles. Wir haben natürlich etwas wo es im Gemeinwohl liegt, wenn bestimmte Sachen nicht öffentlich sind. Und da muss ich mich mit einer Bitte an Sie wenden: Wir brauchen Definitionen davon, was offen sein muss und was nicht offen sein darf. Diese Grenze ist meiner Meinung nach im Moment noch zu weit Richtung „im Zweifel geschlossen“. Wir müssen mehr offenlegen. Ich denke das würde auch helfen, ich denke die Gesellschaft ist reif dafür. Das andere ist natürlich der Datenschutz. An der Stelle, wo persönliche Informationen enthalten sind, brauche ich auch keine Verträge, die offen gelegt werden oder zumindest nicht in vollen Ausmaß. Allerdings ist es auch ein Problem. Wo fängt der Datenschutz an und wo hört die Transparenz auf, wo können wir uns diese Grenze leisten? Auch hier müssen wir abwägen und wir müssen aber mit einem zeitgemäßen Blick abwägen. Ich habe im Moment in der Partei ein konkretes Problem darüber, wir haben ein System, das uns ermöglicht Demokratie – liquide Demokratie – online umzusetzen, also Online-Abstimmungen zu Themen. Und da sind wir gerade mitten in einer Riesendiskussion darüber, ob es eigentlich okay ist, die Leute zu zwingen unter realem Namen abzustimmen. Die einen sagen: Ja natürlich, Ihr seid Politiker, Ihr stimmt hier über politische Sachen ab, also Transparenz. Die anderen sagen: Nee, wir sind aber nur Mitglied bei einer Partei und keine Politiker und wir möchten unsere Meinungen in Ruhe sagen ohne öffentlich unter Druck zu geraten. b) Datenschutz Datenschutz: Das ist ein Streit, den wir noch nicht gelöst haben. Wir müssen also eine rechtliche Definition finden, wer ist eigentlich Politiker? Wer ist eigentlich zu Transparenz verpflichtet und wer muss geschützt werden? Datenschutz lässt sich aber auch vielleicht leichter umsetzten, wenn wir mehr Offenheit haben, wenn wir uns Beispiele ansehen wie Facebook. Es ist schon ein Unterschied, ob ich dort ellenlange AGB habe – ich habe mal versucht sie zu lesen und es ging nicht sehr gut, weil sogar ich verstehe nicht alles, was da steht. Das andere ist natürlich, wenn wir offen wären, dann hätte man so ein Icon, „wir verkaufen Ihre Daten an den Teufel“ und dann kann man sagen Ja oder Nein. Aber das größte Problem, dass wir haben für Offenheit, das ist Gesellschaft und die Gesellschaft steht sich wie immer selbst im Weg. 7
Marina Weisband
Da gibt es halt eine Reihe von Komplikationen, weil die Gesellschaft noch gar nicht auf Offenheit eingestellt ist. Ich zeige das Mal an so einer Grafik. Ein Politiker hat ein Ziel. Das Ziel kann gemeinschaftsförderlich sein, das ist sogar oft so, sage ich mal optimistisch. Zu diesem Ziel führt ein Weg und irgendwo auf diesem Weg haben wir dieses Transparenzgebot, das heißt, der Weg soll ja transparent gemacht werden. Und an der Stelle, wo er dann transparent gemacht wird, von einem wütenden Mob begleitet wird, der das Ganze kommentiert und jeden Schritt kritisiert, dann gibt es Drohanrufe und Shitstorms, wir haben das parteiintern alles durchgemacht, das ist nicht schön – wählt der Politiker natürlich einen Weg außen rum. Das heißt, der Politiker ist sozusagen menschlich dazu verleitet Gesetzeslücken zu nutzen und das ist nämlich das Problem mit der Transparenz, weswegen ich diesen Begriff halt gerne durch den Begriff der Offenheit ersetzten wollte. Offenheit kommt halt erst zustande, wenn auf diesem Weg eben kein wütender Mob, sondern besonnen hinhörende Menschen sind, die Ihre Kritik in konstruktiver Weise äußern. Und das ist was rein Zwischenmenschliches. Das können sie in keinem Gesetz durchdrücken. Es geht um Menschen, die damit rechnen, dass der Politiker auf sie hört und das ist die Voraussetzung. Das heißt für den Menschen: Wenn ich damit rechne, meine Stimme wird gehört, muss ich nicht so laut schreien. Und das führt dann hoffentlich dazu, dass der Politiker tatsächlich den Weg einschlägt, von dem er auch sagt, dass er ihn einschlägt. 6. Gesellschaftliche Voraussetzungen für Transparenz Ich fasse noch mal gesellschaftliche Voraussetzungen für Transparenz zusammen, die ich gesammelt habe: Das Erste ist natürlich Bildung. Das kann ich nicht oft genug betonen, das ist eines der zentralsten Ziele unserer Partei. Keine Demokratie dieser Welt wird funktionieren, wenn die Menschen nicht gebildet sind, nicht zumindest grundliegende moderne Bildung erhalten. Das heißt, die Schulsysteme müssen reformiert werden, ureigenes politisches Interesse. Eben: offenes und besonnenes Zuhören und konstruktive Kritik und auch das Verzeihen von Fehlern. Also wenn ich heute die eine Meinung habe und dann schreien mich alle an „oh Moment, du bist aber total im Unrecht“, dann sag ich okay ich nehme alles zurück und behaupte das Gegenteil. Dann sollten Leute das auch Akzeptieren, also die Legitimität von Meinungsänderung. Und wir brauchen Grenzen, die festgelegt sind, das heißt, wer ist Bürger, wer ist Politiker, was muss öffentlich gemacht werden, was wird geschützt durch Nichtwissen? Datenschutz lässt ja auch Privatheit zu. Warum 8
Keynote bei der DGRI-Jahrestagung
machen wir den Scheiß eigentlich? Ich glaube, dass viele Politiker und auch viele Wissenschaftler vergessen haben, wozu Sie Ihr Gebiet betreiben. Politik ist eigentlich nur dafür da, dass Leute miteinander leben können in einer Gesellschaft. Und wenn wir uns diese Fragen stellen, wie funktioniert das eigentlich, dass wir in einer Gesellschaft leben, dann kommen wir sehr schnell zu den richtigen Antworten. Aber ich fürchte, dass viele Leute so sehr ihr Detailwissen in Spezialgebieten vertieft haben, dass Sie vielleicht diesen Überblick verloren haben. Diese Gesellschaft funktioniert, wenn jeder Verantwortung tragen kann und dafür ist schließlich Offenheit gut. Wenn jeder Verantwortung für sich trägt, muss der Staat sie nicht tragen. Das heißt, wir laufen nicht Gefahr in eine Diktatur zu geraten, wir laufen nicht Gefahr in ein faschistisches Regime zu geraten oder in kirchliche Hand oder sonst wohin, sondern wir sind freie Menschen, die selbst entscheiden, in was für einer Gesellschaft sie leben wollen. Und deswegen möchte ich einfach, dass sie sich vielleicht auch Gedanken machen, wie wir das umsetzten, weil wir jetzt auf der Schwelle von etwas riesigem Neuem stehen und ich verstehe das noch nicht. Ich weiß noch nicht was jetzt kommt, aber ich weiß, die Politik die in zehn Jahren kommt oder in zwanzig Jahren kommt, wird sich grundlegend von dem unterscheiden, was wir bis jetzt hatten. Und das stellt besondere Herausforderungen auch an Sie, die sie sich mit diesen neuen Möglichkeiten und diesen neuen Gefahren befassen. Denn ganz ehrlich, die Piraten sind nicht da, um die Welt heile zu machen und Einhörner überall anzusiedeln. Wir machen neue Probleme, denn wir lösen alte Probleme und wir machen neue Probleme. Aber wir machen zeitgemäße Probleme und wir sollten zusammen über diese Probleme nachdenken. Insofern bedanke ich mich ganz herzlich für Ihre Aufmerksamkeit. Ich würde gerne Feedback, Fragen usw. jetzt beantworten.
II. Fragen 1. Frage von Brandi-Dohrn Frau Weisband, Sie sind Psychologin und in Ihrer Keynote haben Sie selber gesagt: Möglicherweise ist die Gesellschaft noch gar nicht bereit dazu, für dieses Modell, was Sie entworfen haben. Ich erinnere mich aus meiner Schulzeit, dass wir im Biologie-Unterricht anhand der Hühner die Hackordnung durchgenommen haben. Ich fürchte es ist vielleicht viel tieferliegend als die heutige Gesellschaft, vielleicht ist es die 9
Marina Weisband
menschliche Natur die dazu führt, dass einer versucht, sich über den anderen aufzuschönen und das klappt halt am besten, wenn man Informationen vorenthält. Frau Weisband Es gab mal eine Zeit, da war es die menschliche Natur, auf Bäume zu klettern und Bananen zu essen. Es gab mal eine Zeit da war es die menschliche Natur, Säuglinge unter die Decke hängen, damit sie nicht stören und da hat man sie manchmal vergessen und verhungern lassen. Das war übrigens das 17. Jahrhundert. Die menschliche Natur verändert sich und die menschliche Gesellschaft prägt diese Natur so viel stärker als wir glauben. Das menschliche Gehirn ist unglaublich plastisch, wir können uns anpassen und auch unsere Instinkte sind gar nicht so stark ausgeprägt wie wir glauben, sondern wir unterstützen sie einfach durch die Sozialisation. Das ist bei dem Unterschied zwischen den Männern und Frauen so, das ist aber auch zum Beispiel bei der gewissen Hackordnung so. Und ich spreche ja auch nicht von vollkommener Abwesenheit von Hierarchie. Ich sage nur, dass die Hierarchie flacher werden soll. Und hier haben wir einfach ein Problem, dass man angehen muss, von allen Seiten gleichzeitig und das ist das knifflige an dem Problem. Der Politiker kann ja nicht offen sein, solange er von der Bevölkerung unter Druck gesetzt wird und von den Medien. Jedes Wort von ihm wird skandalisiert, andererseits kann aber auch die Bevölkerung nicht davon ablassen, solange der Politiker nicht offen ist. Das heißt wir müssen beide gleichzeitig ansetzen und ich als Politiker sag einfach o.k., ich gebe euch den Vertrauensvorschuss und ich mach den ersten Schritt. Wenn die Bevölkerung das dann auch sagt und die Medien das auch sagen, dann funktioniert das. Wir können das ändern, daran glaube ich. Vielleicht bin ich im Unrecht, dann scheitert es halt. 2. Frage von Heckmann Ich kann ganz viel, von dem was Sie uns über Transparenz gesagt haben – sozusagen dann als Verfassungsrechtler – verbinden mit Dingen, die wir vielleicht viel komplizierter ausdrücken würden, wenn wir unter uns sind, gehe aber viel mit Ihnen einher aus einer verfassungsrechtlichen und verfassungspolitischen Sache. Ich möchte aber trotzdem eine Rückfrage stellen zu der Kategorie oder dem Begriff des Politikers. Weil wir sozusagen als Juristen eher vielleicht gewöhnt sind „Transparenz“ zu beziehen auf Institutionen oder auf bestimmte soziale Zusammenhänge und ich finde die Idee sehr spannend, sozusagen diesen Politiker heraus zu stellen als jemand, der als Person, damit er vertrauenswürdig sein kann, transparent sein soll. Ich möchte aber trotzdem, da zumindest am 10
Keynote bei der DGRI-Jahrestagung
Ende so ein Schlenker kam, dass wir dann rechtliche Regeln dafür brauchen, natürlich nachfragen, wie wir diesen Politiker stärker konturieren können. Denn natürlich wäre es dazu nach meinem Verständnis schon angebracht zu sagen, auch dieser Politiker hat bestimmte Bereiche, die nicht „transparent“ sein müssen und wir können nicht verlangen von jedem, der in Politik geht, sozusagen sein gesamtes Leben offen zu halten und das mag jetzt auch anders als Sie Leute geben, die Elefanten malen möchten, ohne dass man das hinterher auf YouTube sieht. Da also die Frage, wie konturieren wir rechtlich gesehen diese Rolle dieses Politikers so präzise, dass wir hinterher dann auch Rechtsfolgen dran hängen können? Denn wenn wir das nicht können, dann verbleibt es in diesem sehr Wünschenswertem, eben aber doch nur Appell an gesellschaftlichen Fortschritt und wir können es wenig verknüpfen mit dem, was wir machen. Und daran anschließend eine kurze Frage – dann doch wieder in diese gesellschaftliche Dimension gehend: Wenn wir über Transparenz reden, dann müssen wir, glaube ich, unsere Einstellung ändern, wie wir mit Devianz, also abweichendem Verhalten umgehen. Denn je transparenter wir werden, desto mehr wird es dazu kommen, dass wir viel mehr über andere Leute wissen, was nicht in den Bereich fällt, der vielleicht rechtlich unzulässig oder sogar strafbar ist, sondern die soziale Buntheit öffentlich macht, die es vielleicht schon immer gegeben hat, die wir aber nicht so wahrgenommen haben. Hier ist aber möglicherweise die Gesellschaft – und das wäre jetzt auch meine Frage – vielleicht nicht bereit ist, diese Buntheit heute anzunehmen, sondern die Reaktion ist eben eher die wie bei Ihnen mit den Medikamenten, dass dann auch bei einem Verhalten, was weder strafbar noch rechtlich unzulässig ist, die Gesellschaft doch drüber herfällt. Es stellt sich die Frage, und damit schließe ich mich meinem Vorredner an, ob es insgesamt unter dem aktuellen Gegebenheiten die Leute nicht dann doch eher abschreckt, die neuen technischen Möglichkeiten wahrzunehmen. Frau Weisband Ja, danke für die Fragen, das sind zwei tatsächlich gute Fragen. Ich fange mal mit dem Politiker an. Also als Erstens, wer ist überhaupt Politiker? Für wen müssen diese Fragen beantwortet werden? Nach meinem Verständnis ist der Politiker derjenigen, der gewählt wurde. Ganz einfach aus der Logik heraus, dass Wähler ja ein Stück Ihrer Macht abgeben. Die bekommt der Politiker. Und weil er diese Macht hat, ist er sozusagen auch den Leuten verpflichtet mit der Transparenz. 11
Marina Weisband
Also das heißt, ich bin erst Politiker in dem Moment, wo ich tatsächlich irgendeine Art vom Amt innehabe. Wie viel gebe ich dann von mir preis? Das würde ich ganz gerne dem Politiker überlassen, solange es nicht unmittelbar seine Politik betrifft. Also Politik, Abstimmungen, Wissen, Geld muss er alles offenlegen, das sollte auf jeden Fall festgelegt werden. Den Rest, den sehe ich freiwillig, denn Privatsphäre braucht jeder. Ich gebe meine Privatsphäre, das sage ich auch ganz klar, freiwillig auf. Ich mache das nicht, weil ich das von jedem anderem auch in dieser Form erwarte, sondern ich mache das, um zu zeigen, dass es geht, und vielleicht den ein oder anderen dazu anzuregen. Aber natürlich ist der Politiker auch Mensch und niemand ist gezwungen seine sexuellen Vorlieben oder, wo er mit seinem Kind im Park spazieren geht, offen zu legen; das auf keinen Fall. Ich ermuntere einfach dazu, ein bisschen mehr von sich freizugeben, das ist eine freiwillige Leistung. Das heißt, wir müssen nur definieren, was unmittelbar Politik betrifft und was nicht, also z. B. Nebeneinkünfte usw., was im Moment noch so Graubereiche sind, … whow jetzt habe ich wahrscheinlich was vollkommen Inkompetentes gesagt, aber egal. Die zweite Frage lief auf dieses „wir wollen das lieber nicht wissen unter Umständen“ hinaus. Das stimmt, es wird eine Diversität aufdecken, wenn Leute generell offener miteinander umgehen; und ich rede jetzt nicht nur von Politikern, ich rede von allem Menschen. Was ja im Moment auch schon der Fall ist, wir haben neue Probleme, die damit verbunden sind, dass viele Menschen viele Informationen z. B. auf Facebook von sich stellen und dann damit konfrontiert werden, dass andere das sehen. Zum Beispiel wird ganz, ganz oft gebracht der Datenschutz: „Ja dann sieht ja mein Arbeitgeber meine betrunkenen Sauffotos“. Also natürlich stellt jeder seine Sauffotos freiwillig online – obwohl das Problem zu lösen ist, wie wir damit umgehen, dass mein Freund sie online stellt und mich da drauf markiert und ich weiß gar nicht das sie da stehen, aber das ist was anderes. Aber wenn ich sie online stelle, dann trage ich sozusagen die Verantwortung dafür, dass ich eventuell nicht eingestellt werde. Aber wenn ich diese Logik mal fortführe und mir vorstelle, alle tun es, jeder, der trinkt am Wochenende, stellt seine Sauffotos auf Facebook. Ich glaube das sind viele, ich häng mich mal hier aus dem Fenster. Stellen Sie sich den Arbeitgeber vor, der keine von denen einstellt, nur weil Fotos da sind. Die Firma geht doch unter, dem gehen doch total viele kompetente Leute durch die Lappen und die Konkurrenz, die diese Leute trotzdem einstellt, hat natürlich einen klaren Vorteil dadurch. Das heißt, über kurz oder lang glaube ich, bei die12
Keynote bei der DGRI-Jahrestagung
sen Sachen an einen Selbstregulierungsmechanismus der Gesellschaft. Wir kennen dass z. B. in der Akzeptanz von homosexuellem Leben seit immer mehr Homosexuelle sich outen. Als es noch wenige waren, hat man noch geguckt und mit dem Finger gezeigt, heutzutage lebe zumindest ich in einer Welt, wo das völlig normal und völlig natürlich ist, wenn jemand sagt, „ich bin homosexuell“ und alle sagen: na und? Ich glaube also, das wird sich selbst regulieren. Die Gesellschaft wendet Aufmerksamkeit ja nur auf das Ungewöhnliche.
13
.
Impulse für eine Modernisierung des „Datenschutzes“ Prof. Dr. Jochen Schneider/Prof. Niko Härting I. Vorbemerkung 1. Überblick, Entwicklung des Datenschutzrechts in jüngster Zeit 2. Nicht-öffentlicher Bereich im Fokus II. Präsentation und Diskussion DGRI Jahrestagung München, 12.11.2011 1. Thesen Schneider/Harder/ Bräutigam 2. Diskussion DGRI- Jahrestagung 3. Ergänzungen, Kommentare III. Stellungnahme DGRI zu DS-GVO, 25.1.2012
IV. Einzelne Regelungsimpulse 1. Grundsatz: Materiell-rechtliche Ausprägung des Schutzgutes 2. Von Daten zu Informationen 3. Zum Ende des Personenbezugs 4. Vom Verbotsprinzip zu einer konkreter Abwägung 5. Abstufung nach Sensitivität 6. Akkumulation, „Gesamtbelastung“ des einzelnen und der Gesellschaft 7. Mehrheit von Beteiligten 8. Von der Einwilligung zu Informationspflichten und Selbststeuerung 9. Transparenz 10. Haftung, Sicherheit, Design
I. Vorbemerkung 1. Überblick, Entwicklung des Datenschutzrechts in jüngster Zeit Datenschutz hat „Konjunktur“.1 Wohl nie in der Geschichte des Datenschutzes war diese Problematik derart stark in den Medien allgemein und in der Fachliteratur präsent, wie dies für 2010/2011 festgestellt werden kann. Es zeigt sich großer Eifer des Gesetzgebers, aber nicht dessen Fähigkeit zu einem großen „Wurf“, sondern eher „Flickschustern“. Dass gerade die besonders großen Systeme der Provider und der Social Networks den Datenschutz vor neue Herausforderungen stel-
_________________
1 Zur Entwicklung des Datenschutzes im Jahre 2011 vgl. Moos, K&R 2012, 151; Steigert/Neubauer, ZD 2012, 164.
15
Jochen Schneider/Niko Härting
len, führte nur zu punktuellen Reaktionen, etwa bei Google StreetView2, Google Analytics3, Facebook4 oder Apple5. Dass Modernisierungsbedarf besteht, ist allgemeine Meinung.6 Dieser Befund gilt schon längere Zeit.7 Daran haben auch zahlreiche Novellen nichts geändert, im Gegenteil. Der so entstandene Flickenteppich ist nicht transparent und handhabbar, weshalb eine kompakte Neu-Regelung sehr wünschenswert wäre.8 Mit zunehmender technischer Entwicklung treten trotz unbestreitbarer Verdienste des materiellen Datenschutzrechts – voran das BDSG – dessen Defizite immer mehr in den Vordergrund. Das liegt unter anderem an den starren, auf Daten fokussierten Regelmechanismen, die nicht auf die Balancierung im Spannungsfeld mit anderen Grundrechten und auch nicht auf Abstufung von Eingriffsintensitäten und Sensitivitäten der Daten9 ausgerichtet, ja dafür besonders ungeeignet sind. Zum Spannungsverhältnis „Privatsphäre vs. Meinungsäußerungsfreiheit“10 gibt es eine Reihe wichtiger Entscheidungen, darunter des
_________________
2 Zur Zulässigkeit z. B. Forgó u. a., CR 2010, 616. 3 Hoeren, ZD 2011, 3. 4 Zur Beurteilung von Facebook und Google+ nach deutschem Recht s. etwa Stadler, ZD 2011, 57; v. a. aber ULD, https://www.datenschutzzentrum.de/ facebook/facebook-ap-20110819.pdf; dazu Härting, CR 2011, 585; Härting ITRB 2012, 109. 5 Zu Apple u. a. Funke, CR 2012, R 27; Spiegel-Online 23.2.2012, 08:06 Uhr: „Die kalifornische Generalstaatsanwältin Kamala Harris hat sechs der größten App-Store-Betreiber dazu gedrängt, die Privatsphäre von Nutzern besser zu schützen. … Erst kürzlich war aufgeflogen, dass die App des Online-Netzwerks Path die Adressbücher von iPhones anzapfte und die Daten zum Server des Unternehmens übertrug – ohne Wissen des Nutzers.“. 6 Gesamtkonzept für den Datenschutz der Kommission v. 4.11.2010; Konferenz der Datenschutzbeauftragten des Bundes und der Länder v. 17./ 18.3.2010; zur Reform der DS-RL als Chance für die Modernisierung s. Hornung, ZD 2011, 51. 7 S. etwa Roßnagel/Pfitzmann/Garstka, Gutachten i. A. des BMI, 2001; Büllesbach/Garstka, CR 2005, 720. 8 S. a. Schneider/Härting, ZD 2011, 63. 9 Zur Notwendigkeit solcher Abwägung und Stufen BGH v. 23.6.2009 – VI ZR 196/08 – spickmich.de, Rz. 40. 10 Zur Kommunikationsfreiheit im Spannungsverhältnis zum Datenschutz Härting, AnwB. 2011, 246.
16
Impulse für eine Modernisierung des „Datenschutzes“
EGMR11, des BVerfG12 und des BGH13. Solche Urteile haben die amtlichen Datenschützer lange nicht als Kritik am BDSG verstanden und nur selten veranlasst, über die Schwächen des BDSG tiefer nachzudenken, die erst durch die obersten Gerichte mühsam ausgeglichen werden. Viele Gremien befassen sich mit Neuerungen im Datenschutzrecht bis hin zur Novellierung sowohl des BDSG als auch der EU-DatenschutzRichtlinie. Zum bekannt anstehenden Modernisierungsbedarf gehört die Einbeziehung des Internet in verschiedenen Nutzungsformen, insbesondere auch Social Media. Hierzu gab es einen Impuls seitens des BMI, das einen Gesetzesentwurf zum Datenschutz im Internet ankündigte, der eine Ergänzung des BDSG bewirkt hätte.14 Mit dem Rote-Linie-Gesetz sollte eine Art Korridor beschrieben werden, bei dem gewisse Außengrenzen seitens der Provider nicht überschritten werden dürfen. Ein wichtiger Impuls dieses Regelungsvorschlags war es, den Schmerzensgeldanspruch wegen schwerer Verletzungen von Persönlichkeitsrechten zu erhalten.15 Spezielle Vorschläge hätten das Thema „Gesichtsund Standort-Erkennung“ erfasst. Dabei zeigt sich ein gewisser Spagat, der allerdings jeder Regelungsinitiative innewohnt, nämlich einerseits abstrakte Regelungen, die möglichst umfassend greifen, zu schaffen und andererseits auch bestimmte Tatbestände präzise zu erfassen und gesondert zu regeln. Die Regelung von Spezialthemen hat dazu geführt, dass der Datenschutz auf eine nahezu unübersichtliche Weise zersplittert wurde.16 Der Entwurf des BMI war seinerzeit genannt „Schutz vor besonders schweren Eingriffen in das Persönlichkeitsrecht vom 1.12.2010“. Diesen Ansatz gilt es sicherlich noch weiterzuverfolgen. Dies scheint regierungsseitig bzw. seitens des Gesetzgebers zwischenzeitlich nicht geschehen zu sein. Die Kommission hatte angekündigt, den Entwurf einer neuen Regelung – u. a. in Form einer Verordnung für den nicht-öffentlichen Bereich – _________________
11 Z. B. EGMR v. 7.2.2012 – 40660/08, 60641/08, K&R 2012, 179 – von Hannover II. 12 Z. B. BVerfG v. 25.6.2009 – 1 BvR 134/03; v. 14.9.2010 – 1 BvR 1842/08 u. a. 13 BGH v. 23.6.2009 – VI ZR 196/08 – spickmich.de. 14 Kurzmeldung und Gesetzesentwurf des BMI v. 1.12.2010, www.bmi.bund. de. 15 Vgl. Niclas/von Blumenthal, ITRB 2011, 1. 16 Zum Datenschutz-Codex für GEO-Datendienste i. V. m. „Rote-Linie-Entwurf“ Wagner, DuD 2011, 82.
17
Jochen Schneider/Niko Härting
vorzulegen. Nach einer „geleakten“ Version von 11/2011 wurde u. a. der Entwurf der Datenschutz-Grundverordnung per 25.1.2012 publiziert17 (hier: DS-GVO). Bis zur GVO ließ/lässt sich ein Vorrang des Rechts auf informationelle Selbstbestimmung konstruieren.18 Nach Inkrafttreten mit unmittelbarer Wirkung wird als Grundrechtskategorie die Charta maßgeblich sein.19 Das BDSG war erst 2009 mit drei Novellen in sehr hastigen Verfahren, teils als übereilte Reaktionen auf Skandale bzw. Missstände20 versehen worden,21 wobei gleichzeitig schon klar war, dass die Novelle hinsichtlich § 32 BDSG – Beschäftigten-Datenschutz – noch Weiterungen nach sich ziehen würde.22 Die Novellierung des § 32 BDSG ist seit langem in Arbeit, dazu wurden auch Vorschläge bekannt seitens des BMI, noch ergänzt seitens des Bundesrats.23 Es gab ein Zeitfenster für die Neubestimmung des Datenschutzes und seiner Regelung im Sinne eines Window of Opportunity in den Jahren 2010/2011.24 Unter anderem hatte der DAV in 2010 ein Datenschutzforum abgehalten, auf dem ein breites Spektrum an Beiträgen zur Modernisierung des Datenschutzes bzw. zu dessen „Rettung“ vorgelegt worden war.25 Als ein Beitrag dazu entstand i. V. m. Arbeiten aus dem Informationsrechtsausschuss und entsprechenden Vorträgen auf dem DAT 2011 _________________
17 KOM(2012) 9 endg. Erste Stimmen dazu: Traung, CRi 2012, 33; Härting, BB 2012, 459; Hornung, ZD 2012, 99; Lang, K&R 2012, 145; Masing, Abschied von den Grundrechten, SZ v. 9.1.2012, S. 10; Eckhardt, CR 2012, 195. 18 S. Ronellenfitsch, DuD 2009, 451. 19 S. a. die Kritik von Masing, SZ v. 9.1.2012, S. 10. 20 S. Kühling, JZ 2010, 600. 21 Zu den Novellen s. etwa Roßnagel, NJW 2009, 2716 (zu Scoring und Adresshandel); Hanloser, MMR 2009, 594 (Kunden- und Arbeitnehmerdatenschutz); Plath/Frey, CR 2009, 613 (zu den Wirkungen für Online-Marketing); Drewes, CR 2010, 759 (zum Dialogmarketing und Listenprivileg). 22 Zu den Folgen für die Korruptionsbekämpfung s. Bierekoven, CR 2010, 203; zu den Defiziten bzw. Lücken s. etwa Kort, MMR 2011, 294, Kort, DB 2011, 651. 23 Vgl. BT-Drucksache 17/4320 vom 15.12.2010, http://dipbt.bundestag.de/ dip21/btd/17/042/1704230.pdf. 24 In 2012 bestünde sogar die Chance einer Annäherung der Initiativen in den USA und in Europa, da in den USA das Thema neu konzipiert und mit hohem Rang betrieben wird (etwa Consumer Privacy Bill of Rights, Febr. 2012). Durch die starke Datenorientierung der DS-GVO (E) wird diese aber wieder stark eingeschränkt. 25 Die Publikation der Beiträge erfolgte im AnwBl. 2011, etwa Schneider, AnwBl 2011, 233; Härting, AnwBl 2011, 246.
18
Impulse für eine Modernisierung des „Datenschutzes“
ein Vorschlag der Autoren zu einem rudimentären neuen BDSG-Text, anhand dessen exemplarisch einige wesentliche Neuerungen, um die es auch im Folgenden geht, veranschaulicht und einer Diskussion zugeführt werden sollen.26 Einen etwas anderen Zugang hatte das Autorenteam Bräutigam/Harder/ Schneider mit einer Initiative, mittels derer sie in verschiedenen Gremien ihre Vorstellungen zur Modernisierung und Novellierung des Datenschutzes als Konzeption vortrugen. Sehr stark zusammengefasst ergab diese Konzeption zehn Thesen. Diese zehn Thesen wurden auf der Jahrestagung der DGRI 2011 von Bräutigam vorgestellt und im Plenum diskutiert. Daraus resultierte eine abgewandelte Version der zehn Thesen, die im Folgenden wiedergegeben ist. Dabei wurde die Fassung gewählt, die durch die Diskussion entstanden ist. Bei der Diskussion hat sich allerdings auch gezeigt, dass eine Reihe von Rahmenbedingungen, unter denen diese zehn Thesen stehen, noch einer zusätzlichen Erläuterung bedürfen. 2. Nicht-öffentlicher Bereich im Fokus Der Ansatz zur Neuregelung des BDSG hat nur den nicht-öffentlichen Bereich im Fokus. Da aber das BDSG im 1. Abschnitt die allgemeinen und gemeinsamen Bestimmungen enthält, bezieht die Kritik notwendig auch diesen Abschnitt ein. a) Es gibt erhebliche Unterschiede bei den Grundrechtspositionen der Beteiligten im öffentlichen und im nicht-öffentlichen Bereich. Die Notwendigkeit, im nicht-öffentlichen Bereich auch die Grundrechtsposition des Datenverarbeiters bzw. desjenigen, der mit den relevanten Daten/Informationen umgeht, zu berücksichtigen und in Abwägung zu den Rechten des Betroffenen zu setzen, ist grundsätzlich anerkannt. Das BDSG hat zudem zahlreiche gute Ansätze, die jedoch in einer sehr unübersichtlichen, unpraktischen und dogmatisch sehr problematischen Gesetzgebungstechnik so verbaut sind, dass diese Ansätze – etwa Zweckbindung, Datensparsamkeit, Transparenz – nicht so recht zur Wirkung kommen. Man versuche etwa, § 28 BDSG verständlich zu vermitteln, oder betrachte, wie schwierig es ist, Verbotsprinzip und Datenvermeidung als nacheinander geschaltete Prinzipien konkret (im Einzelfall) und klar zur Anwendung zu bringen (und die Datenvermeidung nicht etwa nur als Programm_________________
26 www.schneider-haerting.de; s. a. Schneider/Härting, ZD 2011, 63; Schneider/ Härting, ZRP 2011, 233.
19
Jochen Schneider/Niko Härting
satz zu verstehen27) und dann weiter dazu Datensparsamkeit und Zweckbindung ins Verhältnis zu setzen und auf die Praxis der Nutzung durch die Betroffenen bei Facebook, Google usw. anzuwenden.28 These: Das so hoch gehandelte Verbotsprinzip erweist sich in der Praxis als Ursache für die Schwäche der Anwendung der anderen Prinzipien und im Ergebnis somit sogar als möglicher Grund für ein Übermaß der Verarbeitung personenbezogener Daten. Es erzeugt insoweit genau das Gegenteil des erhofften Effekts.29 b) Es ist nicht zwingend erforderlich, dass zwei unterschiedliche Gesetze für den öffentlichen und den nicht-öffentlichen Bereich geschaffen werden, obwohl entsprechendes schon immer diskutiert wurde. Jedoch ist es wohl unabweisbar, für unterschiedliche Regelungen gerade deshalb zu sorgen, weil es unterschiedliche Bedingungen in beiden Bereichen gibt. Die Unterschiedlichkeit betrifft v. a. die Abwägung mit Meinungsäußerungsfreiheit und anderen grundrechtlich geschützten Positionen. Diese muss im nichtöffentlichen Bereich auf Basis der Abwägung grundsätzlich gleichrangiger Positionen erfolgen. Die Einseitigkeit, mit der EU-DS-RL und BDSG zunächst nur das Verbotsprinzip bzw. den Schutz personenbezogener Daten regeln, ist mit Charta und Verfassung nicht vereinbar.30 c) Der Begriff des Datums bzw. der Daten als wesentlicher Gegenstand der Regelungen und vordergründiges Schutzgut31 einerseits und die weitgehende Ausklammerung des materiellen Schutzguts andererseits machen das BDSG i. V. m. dem Verbotsprinzip (§ 4 Abs. 1) und dem Datenvermeidungs- und Datensparsamkeitsgebot (§ 3a) in Kombination schwer verständlich und schwer handhabbar. Wie angedeutet, überlagern diese Prinzipien zudem relativ praxisnahe und handhabbare andere Prinzipien, so insbesondere Zweckbindung und _________________
27 Vgl. zum Charakter als Programmsatz Gola/Schomerus, Rz. 2 zu § 3a BDSG. 28 S. etwa Scholz, in: Simitis (Hrsg.), BDSG, 7. Aufl., Rz. 36 zu § 3a BDSG: „Zielvorgabe“, Rz. 50 ff. zur Umsetzung. 29 S. im Einzelnen zur hemmenden Wirkung des Verbotsprinzips und dem Vorschlag zu dessen Verlagerung Schneider, AnwBl 2011, 233. 30 Zum Abwägungsgebot genüber den diversen Grundrechten s. EuGH v. 19.4.2012 – C-461/10, dazu auch unten IV.10. Zur grundätzlichen. Gleichrangigkeit und zur Abwägung bei Berichterstattung der Presse und Privatsphäre (Recht auf Privatleben) s. etwa EGMR v. 7.2.2012 – 40660/08, 60641/08, K&R 2012, 179 – von Hannover II. 31 Im Hintergrund steht das Persönlichkeitsrecht bzw. dessen Wahrung als „Zweck“ (§ 1 Abs. 1 BDSG).
20
Impulse für eine Modernisierung des „Datenschutzes“
Erforderlichkeit. Dies lässt sich nicht damit ausgleichen, dass sich inzwischen der Begriff „Datenschutz“ und die Begrifflichkeit des Datenschutzrechts eingebürgert haben. Vielmehr bestehen heute mehr denn je erhebliche Schwierigkeiten des Verständnisses32 und der Umsetzung.33 d) Es wäre wünschenswert, dass der Datenschutz wesentlich mehr als bisher auf einer abstrakten Ebene so geregelt wird, dass er erst durch die Rechtsprechung konturiert und in Details geklärt wird, statt in einer ständigen, der Technik hinterher hinkenden Konkretisierung laufend auch für eine gewisse Veraltung und v. a. Unübersichtlichkeit zu sorgen. e) Es gibt eine Reihe von starken Entscheidungen des BVerfG, die zumindest mittelbar Einfluss auf die Ausgestaltung des Rechts des Einzelnen haben, die das BDSG aber nicht abbildet und die mühsam hinein interpretiert werden müssen.34 Diese Parallelität mehrerer Ebenen, die dann im konkreten Fall zusammenzuführen sind, dient nicht der Effektivität des Schutzes, sondern verhindert diesen geradezu. So fehlt dem Gesetz bis heute die Inkorporation des Rechts auf informationelle Selbstbestimmung, obwohl dieses Recht mit Grundrechtsrang35 zur Ergänzung des BDSG und auch in einzelne Vorschriften hineininterpretiert wird.36 Es fehlt auch der Ansatz, über die Kernrechte der Persönlichkeit als materiellrechtliche Handlungsund Schutzposition den Umgang mit Daten zu steuern und zu beurteilen. Es ist aber vom „Kernbereich der privaten Lebensgestal_________________
32 Nach Gola/Schomerus, Rz. 1 zu § 1 BDSG ist der Begriff „nach wie vor missverständlich“; s. a. Schulz, CR 2012, 204, 206 unter III.1: „Privacy“ oder „Data protection“?. 33 Deregulierung wäre also auch angesichts der unüberschaubaren Regelung des § 28 angebracht; zu diesem Postulat generell für den Datenschutz Bull, NVwZ 2011, 257. 34 S. etwa BVerfG v. 3.3.2004 – 1 BvR2378/98, 1 BvR 1084/99, NJW 2004, 999 zum „Großen Lauschangriff“; BVerfG v. zur Vorratsdatenspeicherung BVerfG v. 27.7.2005 – 1 BvR 668/04, NJW 2005, 2603; zur Rasterfahndung s. BVerfG 4.4.2006 – 1 BvR 518/02; BVerfG v. 27.2.2008 – 1 BvR 370/07, 1 BvR 595/07 – zur Begründung des „neuen“ Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. Zum Verwertungsverbot von Äußerungen in Selbstgesprächen s. BGH v. 22.11.2011 – 2 StR 509/10. 35 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 269/83, 1 BvR 362/83, 1 BvR 420/83, 1 BvR 440/83, 1 BvR 484/83, BVerfGE 65, 1. 36 S. schon BGH v. 11.12.1991, NJW 1992, 737 – Praxisverkauf II.
21
Jochen Schneider/Niko Härting
tung“ auszugehen, der nicht einschränkbar ist,37 um die umliegenden Sphären und Rollen in ihrem Spannungsverhältnis zu relativen Öffentlichkeiten zu berücksichtigen38, die evtl. genau gegensätzliche Funktion haben, nämlich statt der Zurückgezogenheit Entfaltung, Teilhabe und kommunikative, wenn auch selektive Entäußerung. Dass die telemediale Entäußerung, etwa in sozialen Netzwerken, die inneren Sphären nach Außen kehrt, ist nicht mit einer automatischen Aufgabe jeglichen Schutzes verbunden. Viel besser als durch das Verbotsprinzip mit Zulässigkeitstatbeständen schützt Zweckbindung mit Anknüpfung an die Umstände der Entäußerung, also deren Intention und Kontext, und im Übrigen stufenweise Restriktion. Das Datenschutzrecht hat ohnehin an vielen Stellen die scheinbare Egalität der Daten hinsichtlich ihres neutralen Bezugs zur Privatsphäre aufgegeben und Abstufungen, die sich auf die Ausprägung von Sphären beziehen, geschaffen, so insbesondere „Besondere Arten von Daten“ sowie § 9 BDSG nebst Anlage. „Datensparsamkeit“ könnte man bis hin zur Datenvermeidung zur Sache des Betroffenen machen, was dann zur „Datenaskese“ führen würde.39 Dies käme im Rahmen der technischen Gegebenheiten, die bei technisch basierter Kommunikation zwingend zum Anfall zumindest der Verbindungsdaten führen, einem faktischen Teilhabeund Entfaltungsverbot gleich40, nachdem schon der Konsum von Kommunikation Daten anfallen lässt. Als Selbststeuerungsinstrumente für den Betroffenen sind Datenvermeidung und Datensparsamkeit untauglich, als Programmsatz gehen sie in die falsche Richtung (was nicht heißt, dass diese Postulate als solche falsch seien). Sie suggerieren eine Situation als erstrebenswert und realistisch, bei der jeder für jeden anonym bleibt. Das entspricht weder den Grundbedürfnissen noch dem Verständnis des modernen Gemeinwesens. f) Es gibt aber andererseits zahlreiche Ansätze in BDSG und DS-RL, wie angedeutet, so insbesondere z. B. die Zweckbindung. Aber auch für die Abstufung des materiellen Rechts des Einzelnen gibt es im _________________
37 BVerfG v. 3.3.2004 – 1 BvR 2378/98, 1 BvR 1084/99, NJW 2004, 999 – Großer Lauschangriff. 38 Zum Verhältnis bzw. zur Abgrenzung Intim-/Privatsphäre z. B. BGH v. 25.10.2011 – VI ZR 332/09 (ebenso auch zu den Stufen der Prüfung. 39 Zur Kritik an diesem Ansatz Bull, NJW 2006, 1617 zu Simitis, in: FS Simon, 2005, 511. 40 Was wiederum den Intentionen des Rechts auf informationelle Selbstbestimmung diametral widersprechen würde, BVerfG, BVerfGE 65, 1 – Volkszählung.
22
Impulse für eine Modernisierung des „Datenschutzes“
BDSG eine Reihe von Ansätzen, die allerdings mehr versteckt sind, weil sie nämlich in gewissem Sinne nur Programmsatzcharakter haben. Dies gilt v. a. für § 3a, Grundsatz der Datenvermeidung und Datensparsamkeit. Dass es einen „Systemdatenschutz“ gibt, ist äußerst begrüßenswert. Dieser Ansatz sollte noch ausgebaut werden bis hin zum „Privacy by Design“.41 Zudem sollte die Nicht-Befolgung schon bei der Konzeption und Gestaltung der Systeme haftungsrelevante Folgen haben. Zugleich ist jedoch – ähnlich wie bei § 9 BDSG – wesentlich mehr als bisher herauszustellen, dass es sowohl eine Abstufung bei den Gefährdungslagen als auch bei den Schichten/ Sphären der Persönlichkeit gibt. § 3a BDSG stellt einen Verhältnismäßigkeitsgrundsatz auf, bei dem ganz wesentlich der „angestrebte Schutzzweck“ ist.42 Hier wird dem Adressaten des Gesetzes die Pflicht auferlegt, eine Rechtsfigur zu interpretieren, die scheinbar zusammenhanglos im Text des Gesetzes erscheint. Was einerseits zu einer sehr flexiblen Handhabung und Regelung i. V. m. auch mit der Abwägung führen könnte, aber nahezu keinen Platz hat, um sich zu entfalten. Generell wird verstanden, dass des Gebotspaar aus Datenvermeidung und -sparsamkeit eine Art Ausformung des verfassungsrechtlichen Erforderlichkeitsprinzips wäre.43 Es ist aber nahezu logisch unmöglich, in Ranghöhe unmittelbar nach dem Verbotsprinzip einen Erforderlichkeitsgrundsatz aus dem Datenvermeidungsgebot abzuleiten. Besser geht dies schon bei der Datensparsamkeit. Es ist aber das Verhältnis von Verbot, Datenvermeidung einerseits und Datensparsamkeit andererseits unklar. Um es also noch etwas anders zu sagen: Es gibt eine Fülle von Instrumenten, die im BDSG bereits angelegt sind, die aber nicht zur Entfaltung kommen (können), wenn man nicht zu einer Straffung und auch zu einer sehr starken Veränderung des Konzepts kommt. g) Und hier setzt also sowohl der Ansatz von Bräutigam/Harder/ Schneider als auch der von Härting/Schneider an, nämlich zunächst einmal das Verbotsprinzip als obersten Grundsatz beiseite zu lassen und ihn auf die wirklich schutzrelevanten Bereiche zu verlagern. Dies könnte einhergehen mit einem Austausch des Schutzobjekts, nämlich statt Daten die Rechte der Personen auf ihren Schutz bzw. das Persönlichkeitsrecht und vielleicht sogar „Privacy“. _________________
41 Schulz, CR 2012, 204 m. w. N.; zu PET (Privacy Enhancing Technologies) vgl. auch Europarat, MEMO/07/159 v. 2.5.2007. 42 Zu diesem Ansatz i. V. m. § 9 BDSG s. a. Schneider, ZD 2011, 6. 43 Taeger/Gabel/Zscherpe, Rz. 2 zu § 3a BDSG.
23
Jochen Schneider/Niko Härting
h) Dadurch könnten die Ansätze wie Zweckbindung i. V. m. Erforderlichkeit einen wesentlich breiteren Raum einnehmen und ihrem Rang entsprechend zur Geltung kommen. Das betrifft auch den Systemdatenschutz, dessen Anliegen gerade mit diesen Geboten verfolgt wird: Wenn man „Privacy by Design“ ähnlich hoch ansiedelt, wie dies nun die Kommission seit über einem Jahr tut,44 dann bedarf das Design zwingend eines „Lastenhefts“, eines Modells als Vorgabe. Dies kann nicht die Idee des Schutzes der Daten selbst sein. Dies wäre zirkulär. Wenn man also den Ansatz, der zu relativ techniknahen Lösungen führen kann, verfolgt, nämlich eine Ausgestaltung des ITK-Systems am Persönlichkeitsmodell vorzunehmen, muss dieses Modell auch wiederum den Schutzgegenstand darstellen. Dieses Modell kann nicht durch „Daten“ ersetzt werden. Ein kleiner Ansatz wäre zugleich, Daten gegen „Informationen“ auszutauschen. Dieser Vorschlag ist nicht zwingend, der erste dagegen logisch gesehen wohl kaum abweisbar. Dies gilt umso mehr, als auch das BVerfG (und nicht nur der BGH mit seinem abstufenden bzw. Schutzkonzept45) zentral in mehreren Entscheidungen, insbesondere seit 2004 auf die Sphärentheorie aufbauend seine Entscheidungen trifft und dabei besonders den Kern der Persönlichkeit (wieder) herausstellt.46
II. Präsentation und Diskussion DGRI Jahrestagung München, 12.11.201147 1. Thesen Schneider/Harder/Bräutigam Das Thesen-Papier Schneider/Harder/Bräutigam ist – wie Schneider/ Härting – auf den nicht-öffentlichen Bereich fokussiert. Nur für diesen besteht das Postulat, das Verbotsprinzip zu verlagern, also als oberstes Prinzip aufzugeben. Dies hätte enorme praktische Vorteile und würde den Datenschutz effektuieren. _________________
44 Vgl. Gesamtkonzept für den Datenschutz in der Europäischen Union vom 4.11.2010, http://ec.europa.eu/health/data_collection/docs/com_2010_0609_ de.pdf. 45 S. dazu etwa in jüngerer Zeit BGH vom 25.10.2011 – VI ZR 332/09, NJW 2012, 767; BGH v. 9.11.2011 – XII ZR 136/09, NJW 2012, 450; BGH v. 18.10.2011– VI ZR 5/10; zum absolut geschützten Bereich – „die Gedanken sind frei – auch im Auto“: BGH v. 22.12.2011 – 2 StR 509/10 (Unverwertbarkeit heimlich abgehörter Selbstgespräche). 46 S. v. a. BVerfG v. 3.3.2004 – 1 BvR 2378/98, 1 BvR 1084/99, NJW 2004, 999. 47 S. a. Report von Küppers, CR 2011, R123-R124.
24
Impulse für eine Modernisierung des „Datenschutzes“
2. Diskussion DGRI- Jahrestagung Als ein Novum der Veranstaltungs- und Diskussionskultur wurde auf der Tagung der Katalog der 10 Thesen präsentiert und diskutiert, welche tendenzielle Einstellung als maßgeblich seitens der DGRI publiziert werden könnte. Es ergab sich im Rahmen der Präsentation durch Ehmann und dessen Diskussionsleitung etwa folgendes Bild, wobei die mit „a“ gekennzeichneten Thesen das Ergebnis dieser Diskussion wiedergeben sollen. These 1
Im Mittelpunkt der Regelung steht das materielle Schutzgut „Privatsphäre/Persönlichkeit“
These 1 a) Im Mittelpunkt der Regelung steht das materielle Schutzgut „Privatsphäre/Persönlichkeit“, dem durch eine starke Zweckbindung Rechnung zu tragen ist. These 2
Spezielle und klar getrennte Regelungen für den öffentlichen und den nicht-öffentlichen Bereich verhelfen zu besserem und effektiverem Datenschutz
These 2 a) Spezielle Regelungen für den öffentlichen und den nichtöffentlichen Bereich verbunden mit entsprechend differenzierenden Maßgaben verhelfen zu besserem und effektiverem Datenschutz.48 These 3
Reduzierung des Verbotsprinzips auf die 3. Stufe eines Stufenmodells nach dem Ampelprinzip
These 3 a) Verlagerung des Verbotsprinzips auf die 3. Stufe eines Stufenmodells nach dem Ampelprinzip. Diese These fand keine einhellige Zustimmung, vielmehr fachkundige Gegenargumente.49 These 4
Privatsphäre/Persönlichkeitsrecht ist auch als kommerzielles Gut zu behandeln
These 5
Verschuldensunabhängige Schadensersatzregelung, durchsetzbar in vereinfachtem Verfahren, Vorbild: Lizenzanalogie, Min-
_________________
48 Im nicht-öffentlichen Bereich muss eine angemessene Balance zwischen dem Recht auf Privatheit i. S. v. Persönlichkeitsrecht und Art. 8 der Charta und der Meinungsäußerungsfreiheit i. S. Art. 11 der Charta (Art. 5 GG) i. V. m. einer „Abwägungsmechanik“ gelten; s. a. EuGH v. 19.4.2012 – C-461/10, Rz. 56 ff. und Tenor, dazu unten IV.10 (Zitat). 49 So v. a. von Hornung und Büllesbach. S. a. inzwischen Hornung, ZD 2012, 99, 101.
25
Jochen Schneider/Niko Härting
destpauschale, Höchstbetrag (soweit nicht sehr schwerer Verstoß) These 6
Ausstattung der personenbezogenen Informationen mit einem Verfallsdatum, evtl. Klassifizierung.50
These 7
In Beispielslisten sind Umgangsarten mit personenbezogenen Informationen als unzulässig (rote Ampel) oder an Voraussetzungen geknüpft (gelbe Ampel) zu erfassen.
These 7 a) In Beispielslisten sind Umgangsarten mit/Verarbeitungszusammenhänge von personenbezogenen Informationen als unzulässig (rote Ampel) oder an Voraussetzungen geknüpft (gelbe Ampel) zu erfassen. These 8
Flexible Regelungstechnik – Kombination aus gesetzlichem Rahmen und freiwilliger Selbstverpflichtung
These 8 a) Flexible Regelungstechnik – Kombination aus gesetzlichem Rahmen und freiwilliger Selbstverpflichtung und Selbstkontrolle These 9
(Europäische) Stiftung Datenschutz setzt Standards für – technische Grundregeln – organisatorische Maßnahmen – Gegendarstellung – Berichtigung – Etikettierungspflichten
These 10 Gesetzliche Datenschutzregelung und regulierte Selbstregulierung sollen nicht nur national, sondern international, – wenn auch zunächst nur europaweit – gelten. 3. Ergänzungen, Kommentare Die Präsentation und die Diskussion fasste Ehmann sehr kompakt und treffend zusammen: „Fasst man die gerade vorgestellten Thesen zusammen, dann lassen sich wohl folgende wesentliche Aspekte festhalten:
_________________
50 Vgl. „EU-Kommissarin will ‚Recht auf Vergessen‘ im Internet durchsetzen“ http://www.computerbase.de/news/2011-11/eu-fordert-recht-auf-vergessenim-internet/; zum Recht auf Vergessen auch Nolte, ZRP 2011, 236 mit zahlreichen Nachweisen.
26
Impulse für eine Modernisierung des „Datenschutzes“ – eine Differenzierung des Schutzes nach der Art der Daten (bzw. der betroffenen Sphären), – die Zulassung einer begrenzten Kommerzialisierung der Daten, – ein duales Regelungsmodell aus einem gesetzlichen Ansatz und der Selbstverantwortung der Datenverarbeiter und – die Forderung nach engeren Maßstäben für die Ermessensausübung der Datenschutzbehörden, wenn möglich jedenfalls auf europäischer Ebene.“
Die wohl kritischste Themenstellung war die Verlagerung des Verbotsprinzips auf besonders sensible Bereiche, womit die prominente, grundlegende Weichenstellung mit dem Verbotsprinzip zumindest für den nicht-öffentlichen Bereich abgeschafft bzw. abzuschaffen wäre. Dem widersprachen v. a. Hornung (und nicht nur für den öffentlichen Bereich) sowie Büllesbach im Hinblick auf die schon früheren Diskussionen.
III. Stellungnahme DGRI zu DS-GVO, 25.1.2012 Die DGRI hat zum Entwurf der DS-GVO Stellung genommen. Diese Stellungnahme ist publiziert.51 In ihrer Stellungnahme hat die DGRI die „Leitlinien“ von www. Schneider-Haerting.de weitgehend übernommen, teilweise etwas ergänzt und als Postulate an die neue Regelung formuliert: 1. Datenverarbeitung im Netz ist in den meisten Mitgliedstaaten eine Ausübung verfassungsrechtlich garantierter Grundfreiheiten. Daher bedarf es eines Ausgleichs zwischen Persönlichkeitsrechten und Kommunikationsfreiheiten. Neue Konfliktstrukturen erfordern neue Regelungen im nicht-öffentlichen Bereich. Dabei haben weder Persönlichkeitsrechte noch Kommunikationsfreiheiten einen natürlichen Vorrang. Das „Medienprivileg“ braucht mehr Konturschärfe. Deshalb ist wichtig, dass der VO-Entwurf, etwa in 3.3 der Einleitung sowie in Erwägungsgrund 46, 103 und 118 auch Art. 11 der Charta teils ausdrücklich, teils der Sache nach erwähnt. Allerdings erscheint (trotz der indirekten Einbeziehung in Art. 1 (1) der VO) die unmittelbare Berücksichtigung – in Form der Gegenüberstellung des Rechts aus Art. 11 der Charta und seiner Abwägung mit dem Recht auf „privacy“ – zu fehlen. Der Katalog des Art. 5 erscheint deshalb zu eng. 2. Daten sind ein Abbild sozialer Realität. Sie sind kein Schutzgut, das dem Einzelnen – eigentumsähnlich – zugeordnet ist. Folglich kann es im Datenschutzrecht nicht primär um den Schutz von Daten gehen. Es geht primär _________________
51 http://www.dgri.de/index.php/fuseaction/download/lrn_file/stellungnahmedgri-datenschutzvo.pdf.
27
Jochen Schneider/Niko Härting vielmehr um den Schutz von Persönlichkeitsrechten vor Beeinträchtigungen durch eine ungezügelte Verbreitung von Informationen. Der Bezug zum Persönlichkeitsrecht, das es zu wahren gilt, sollte daher in Art. 4 als Prinzip vorgeschaltet werden. „Privacy by design“ und „Privacy by default“ – sehr begrüßenswerte Einrichtungen – hängen logisch „in der Luft“, wenn sie nicht zum Zwecke der konkreten Durchsetzbarkeit, etwa auch in Gerichtsprozessen, auf einem materiellen Schutzgut, nämlich „privacy“ aufbauen. Einen wichtigen Schritt in diese Richtung stellt die stärkere Fokussierung auf die „Person“ (data subject) dar. Dieser Ansatz sollte noch ausgebaut werden. 3. Die Anwendbarkeit des gesamten Datenschutzrechts steht und fällt derzeit mit der Personenbezogenheit von Daten. Sind Daten personenbezogen, gilt das strenge Regime des Datenschutzrechts. Fehlt es am Personenbezug, sind Daten „vogelfrei“. Dieses „Schwarz-Weiß-Schema“ kann nicht richtig sein. Der Schutz von Persönlichkeitsrechten kann nicht davon abhängen, wie der Rechtsanwender den Begriff des „Personenbezugs“ versteht. Das Datenschutzrecht sollte einen weiten Anwendungsbereich haben und für alle Informationen gelten, die Persönlichkeitsrechte beeinträchtigen können. Insofern wird Art. 3 (2) der VO als Fortschritt begrüßt. 4. Nach derzeitigem Recht bedeutet das Verbotsprinzip, dass Kommunikation grundsätzlich verboten ist, wenn personenbezogene Daten verwendet werden. Dies schränkt die Kommunikationsfreiheit in bedenklicher Weise ein. Das Verbotsprinzip bedarf schon aus diesem Grund einer deutlichen Einschränkung und Verlagerung auf Kernbereiche des Persönlichkeitsrechts. Dies gilt umso mehr, wenn man von einem weiten Anwendungsbereich des Datenschutzrechts ausgeht. Die Grenzziehung zwischen zulässiger und unzulässiger Datenverarbeitung darf nicht einer uferlosen Abwägung mit vagen Begriffen und unvorhersehbaren Abwägungsergebnissen überlassen werden. Dies betrifft Art. 5 der VO, der insofern wesentlich zu weit ist bzw. die normale Informationsverarbeitung bei einvernehmlicher Kommunikation allzu sehr einengt bzw. formalisiert. Das Verbotsprinzip mit Vorbehalt der Einwilligung oder Rechtsgrundlage wäre hingegen besonders geeignet für die Datenkategorien und Regelungen des Art. 8. 5. Nicht alle Daten sind gleich. IP-Adressen oder Gerätekennzeichen sind nicht in gleicher Weise zur Beeinträchtigung von Persönlichkeitsrechten geeignet wie Angaben zur Gesundheit oder zu sexuellen Neigungen. Die unendliche Vielzahl und Vielfalt von Informationen in der Informationsgesellschaft des 21. Jahrhunderts fordert eine differenzierte Herangehensweise und abgestufte Regelungen je nachdem, ob es um „banale“ oder „sensible“ Informationen geht. Das Datenschutzrecht setzt in vielen Bereichen auf Rechte des Betroffenen gegen den Datenverarbeiter und bleibt auf diese Weise in einem ZweiPersonen-Verhältnis haften, das dem Verhältnis Staat/Bürger nachgebildet ist. Dies greift für den Bereich zwischen Bürgern zu kurz. Es bedarf einer Stärkung des präventiven Persönlichkeitsschutzes durch eine datensparsame Ausgestaltung von Verfahren. Verfahrensregeln können helfen, dass Technik so ausgestaltet wird, dass Persönlichkeitsrechte geschont werden.
28
Impulse für eine Modernisierung des „Datenschutzes“ 6. Das Datenschutzrecht setzt vielfach auf Einwilligungen, die der Betroffene zur Legitimation der Datenverarbeitung erteilen muss. Im Massenverkehr des Internets lassen sich jedoch Einwilligungserfordernisse nur durch standardisierte, vorformulierte Einwilligungserklärungen erfüllen. Als zentrales Instrument zur Sicherung der Autonomie des Betroffenen erweisen sich Einwilligungserfordernisse unter diesen Bedingungen als ungeeignet. Der in Art. 5 (1) (a) in Verbindung mit Art. 7 der VO gewählte Ansatz ist deshalb in der Praxis nicht tragfähig. Daran ändert sich im Ergebnis auch dann nichts, wenn man die weiteren Tatbestände in Art. 5 berücksichtigt, die eine Verarbeitung rechtfertigen können, denn sie decken nur wenige Fallgruppen ab. Richtig wäre etwa, eine Einwilligung (nur) für Fälle vorzusehen, in denen Änderungen des ursprünglichen Zwecks der Verarbeitung erfolgen. 7. Statt die Selbstbestimmung vermeintlich durch vorformulierte Einwilligungserklärungen zu fördern, sollte das Datenschutzrecht verstärkt auf Transparenz setzen. Wie in vielen anderen Rechtsbereichen auch bedarf es präziser, verständlicher und leicht abrufbarer Informationen über den Umgang mit Informationen. Derartige Informationen lassen sich – wie bereits in der Praxis üblich – in Datenschutzerklärungen oder Datenschutzbestimmungen zusammenfassen. Das Datenschutzrecht sollte konkrete Anforderungen stellen an den Inhalt, die Gestaltung, die Auffindbarkeit und die Formulierung von Datenschutzbestimmungen. Im Hinblick auf die notwendige Verstärkung des Transparenzgedankens sind die Art. 9 ff. der VO grundsätzlich sehr zu begrüßen. Dies gilt auch für Art. 16. 8. Ein zentraler Schwachpunkt des bestehenden Datenschutzrechts ist das Missverhältnis zwischen der Regelungstiefe und -dichte einerseits und dem Vollzug andererseits. Hier bedarf es der Abhilfe, und zwar vor allem durch erweiterte und verschärfte Haftungsnormen. Insofern erscheint Art. 75 der VO noch zu schwach. Auch Art. 77 erscheint nicht ausreichend. Es sollte zum einen klargestellt werden, dass bei Eingriffen in das Persönlichkeitsrecht auch der immaterielle Schaden zu ersetzen ist, zum anderen dafür eine Mindestpauschale (und insoweit auch eine Obergrenze) vorgesehen werden, da der Nachweis des Schadens oft sehr schwierig ist. 9. Das Datenschutzrecht ist über die Jahre ausgeufert und findet sich in einer Vielzahl verstreuter Regelungen. Selbst Experten haben Mühe, den Überblick zu behalten. Daher gilt es, bestehende Regelungen zu vereinfachen, stringent zu formulieren und das Datenschutzrecht insgesamt logisch einleuchtend zu strukturieren. Dem trägt die VO in wichtigen Punkten Rechnung und ist insoweit von großer Bedeutung. Allerdings fehlt eine Regelung, die dem Betroffenen – insbesondere dann, wenn er aktiv an elektronischen Medien, sozialen Netzwerken usw. mitwirkt – den Grad der Belastung seiner „privacy“, sowie das Maß der Transparenz auf einfache Weise und sofort bzw. stets – ähnlich einem Kontostand und/oder Ampel – vermittelt und zwar nicht erst auf Anfrage.
29
Jochen Schneider/Niko Härting
Eine Modernisierung der DS-RL wäre in demselben Maße notwendig, wie dieser Bedarf für das BDSG besteht. Ob es aber einer DS-GVO bedarf, die unmittelbar greift, kann um Hinblick auf die vollharmonisierende Wirkung der DS-RL bezweifelt werden.52 Deshalb sollte es eine DS-GVO nur geben, wenn diese wirklich die anstehenden Aufgaben löst. Insoweit bestehen erhebliche Bedenken.53
IV. Einzelne Regelungsimpulse 1. Grundsatz: Materiell-rechtliche Ausprägung des Schutzgutes Zugespitzt lautet der Ansatz, dass es mit Kommunikations-, Meinungsäußerungs- und Entfaltungsfreiheit nicht vereinbar ist, die Datenverarbeitung der nicht-öffentlichen Stellen zu verbieten, um sie dann erst wieder zu erlauben. Die „normale“ Kommunikation und Information ist „frei“.54 Das Verbotsprinzip soll als scharfe Waffe dort greifen, wo besondere Risiken bestehen, also insbesondere bei Gefährdungslagen für die inneren Sphären der Persönlichkeit. Auch die Verarbeitung personenbezogener Daten in den IT-Systemen nicht-öffentlicher Stellen ist Teil deren wirtschaftlicher Betätigungsfreiheit. Diese soll flankiert werden durch Selbstverpflichtungen und Informations- bzw. Transparenzpflichten, die es dem Einzelnen erkennbar machen, was mit „seinen“ Informationen gemacht werden soll und tatsächlich gemacht wird. Der „freie Datenverkehr“ – der eigentlich durch die DS-RL einen hohen Rang genießt, der aber nicht ausgefüllt wird – steht rangmäßig neben dem Schutz bzw. der Beherrschbarkeit der Informationen durch den Betroffenen. Die Konflikte werden in Abstufungen abgebildet und ggf. erst im Einzelfall entschieden. Die Grundsätze des Schutzes der Persönlichkeit und deren Sphären, aber auch deren Selbstbestimmung sind in die IT-Systeme einzubauen. Aber „Privacy by Design“ setzt voraus, dass die „zu modellierende und zu implementierende ‚Privatsphäre‘ das maßgebliche Schutzgut ist. Ansons_________________
52 EuGH v. 24.11.2011 – Rs. C-468/10 u. a., CR 2012, 29 m. Anm. Freund, 32. 53 S. a. Härting/Schneider, ZD 2012, 199; Eckhardt, CR 2012, 195. 54 S. als Impuls in diese Richtung Ronellenfitsch, Von der informationellen Selbstbestimmung zum Mediengeheimnis – Zur Dynamik der Grundrechtsordnung, RDV 2008, 55, mit einem Ansatz für ein einheitliches Grundrecht auf Kommunikation; Ladeur/Gostomzyk, Der Schutz von Persönlichkeitsrechten gegen Meinungsäußerungen in Blogs. Geht die große Zeit des privaten Pressrechts im Internet zu Ende?, NJW 2012, 710.
30
Impulse für eine Modernisierung des „Datenschutzes“
ten fehlt die Vorgabe für das Design.“55 Es geht also auch um die erfolgreiche Einbeziehung von Privacy-Enhancing Technologies56. Durch die intensive Beteiligung des Einzelnen mit seinen Äußerungen in Social Media bekommt die Ausübung des Grundrechts aus Art. 5 GG eine neue Dimension. Im Rahmen des Ausgleichs zwischen Persönlichkeitsrecht und Kommunikationsfreiheit bedürfen beide stärkerer Ausprägungen und Konturen. Das heißt auch, dass das „Medienprivileg“ gestärkt, erweitert und grundlegend neu überdacht werden muss.57 Leitlinie 1 lautet deshalb58: Datenverarbeitung im Netz ist vielfach eine Ausübung des Grundrechts aus Art. 5 GG. Daher bedarf es eines Ausgleichs zwischen Persönlichkeitsrechten und Kommunikationsfreiheiten. Neue SystemInfrastrukturen erzeugen neue Konfliktstrukturen; diese erfordern neue Regelungen im nicht-öffentlichen Bereich. Dabei haben weder Persönlichkeitsrechte noch Kommunikationsfreiheiten einen natürlichen Vorrang. Das „Medienprivileg“ braucht mehr Konturschärfe. Für die diversen einzelnen Erscheinungsformen zum Teil durchaus auch älterer, zum Teil auch ganz neuer Anwendungen wurde jeweils diskutiert, ob und unter welchen Umständen zum einen der Personenbezug gegeben ist, zum anderen, inwieweit eine Spezialregelung hierfür erforderlich ist. Dies gilt z. B. für Fotos, RFID (im Ansatz erfasst in § 6c BDSG), Scoring (geregelt in § 28b i. V. m. § 28a BDSG), IP-Adressen, Geodaten59. 2. Von Daten zu Informationen Seit Beginn des „Datenschutzes“ und der Diskussion zu dessen Konzeption gilt das Dogma der Relativität von Daten bzw. der Relativität der _________________
55 S. Schneider/Härting, JIPITEC 2-3/2011, http://www.jipitec.eu/issues/jipitec2-3-2011/3174. 56 S. dazu Hornung, ZD 2011, 51 m. w. N. 57 S. a. Härting/Schneider, ZRP 2011, 233; Härting, AnwBl 2011, 246; Feldmann, AnwBl 2011, 250. 58 www.schneider-haerting.de. 59 S. z. B. Wagner, DuD, 2011, 82; Holznagel/Schumacher, Google Street View aus verfassungsrechtlicher Sicht, JZ 2011, 57; Karg, DuD 2010, 824; Forgó/ Krügel, MMR 2010, 17.
31
Jochen Schneider/Niko Härting
Privatsphäre.60 Ein Teil des damit angedeuteten Problems, Daten abstrakt (situationsunabhängig) einen gültigen regelbaren Gehalt zuzumessen, entsteht bei deren Gewinnung: Daten werden zwecks Operabilität des Kontextes ihrer Herkunft weitgehend entkleidet bzw. entzogen. Für einzelne Daten kann man ohne Kontext kaum ihre Sensitivität (oder Trivialität) erkennen und zuordnen. Dadurch werden sie – scheinbar – multifungibel. Gibt man Daten ihren Kontext zurück, sind diese ebenso wieder kategorisierbar wie dieser Kontext, sprich Rolle, Sphäre und Lebensbereich (lifestyle, Vorlieben etc.) des einzelnen. Andererseits sind Daten als Abbild jeweiliger sozialer Realität nicht das eigentliche Schutzgut, das dem Einzelnen – eigentumsähnlich – zugeordnet wäre.61 Deshalb sollte es nicht, jedenfalls nicht primär um den Schutz von Daten gehen. Es geht vielmehr um den Schutz von Persönlichkeitsrechten vor Beeinträchtigungen durch eine ungezügelte, v. a. nicht an Zweck und Kontext gebundene Verbreitung von Informationen. Insofern ist auch und gerade der Begriff „Datenschutz“ trotz der Erfolgsstory problematisch und wird es immer mehr.62 Vermittelt er doch den – inzwischen einzementierten – Eindruck, die Daten seien das eigentliche Schutzgut, das geschützte Objekt. Für das BDSG stimmt das sogar, da es sich in § 1 im Zusammenhang mit dem Persönlichkeitsrecht um eine Zielvorstellung („Zweck“) handelt, durch den Schutz der Daten Beeinträchtigungen des Persönlichkeitsrechts abwehren zu können (§ 1 Abs. 1 BDSG). „Im Datenschutzrecht geht es jedoch nicht um den Schutz von Daten, sondern um den Schutz vor Daten.“63 Leitlinie 2: Daten sind ein Abbild sozialer Realität. Sie sind kein Schutzgut, das dem Einzelnen – eigentumsähnlich – zugeordnet ist. Folglich kann es im Datenschutzrecht nicht um den Schutz von Daten gehen. Es geht vielmehr um den Schutz von Persönlichkeitsrechten vor Beeinträchtigungen durch eine ungezügelte, v. a. nicht an Zweck und Kontext gebundene Verbreitung von Informationen.
_________________
60 Oft zitiert in der Version: „Es gibt kein für sich gesehen belangloses Datum.“, BVerfG E 65, 1. 61 S. a. BVerfG v. 15.12.1983, NJW 1984, 419 (BVerfGE 65,1). 62 Zur Entwicklungsgeschichte seit 1971 bis zur Charta, Art. 8, zu EU-DSRL s. Simitis, in Simitis (Hrsg.), BDSG, 7. Aufl., Einleitung Rz. 1–89. 63 Schneider/Härting, ZD 2011, 63, 64.
32
Impulse für eine Modernisierung des „Datenschutzes“
3. Zum Ende des Personenbezugs Leitlinie 3: Die Anwendbarkeit des gesamten Datenschutzrechts steht und fällt gemäß BDSG und DS-RL mit der Personenbezogenheit von Daten. Sind Daten personenbezogen, gilt das strenge Regime des Datenschutzrechts. Fehlt es am Personenbezug, sind Daten „vogelfrei“. Dieses „Schwarz-Weiß-Schema“, das zudem Bilder, Videos, praktisch ausklammert, solange sie nicht über personenbezogene Daten erschlossen werden, kann nicht richtig sein. Der Schutz von Persönlichkeitsrechten kann nicht davon abhängen, wie der Rechtsanwender den Begriff des Personenbezugs versteht.64 Das Datenschutzrecht sollte einen weiten Anwendungsbereich haben und für alle Informationen gelten, die Persönlichkeitsrechte beeinträchtigen können. Die Kluft zwischen der – richtigen65 – Bezeichnung als Informationen und der üblichen Begrifflichkeit „Daten“ mag noch überbrückbar scheinen. Allerdings kann es nicht richtig sein, dass der Datenschutz maßgeblich dafür ist, ob und inwieweit Kommunikation erlaubt ist. Gem. § 4 BDSG hängt dies davon ab, ob personenbezogene Daten verarbeitet und genutzt werden. Es herrscht Streit darüber, wann dies der Fall ist, und zwar auch in Fällen massenhafter Anwendung. Besonders bekannt wurden dieses „Schwarz-Weiß-Prinzip“66 und die Diskussion um den Begriff der Personenbezogenheit von Daten bei der Qualifizierung der IP-Adressen.67 Auch für Anwendungen wie Google Analytics und andere Tracking Tools kommt es für umfassende Verbote darauf an, ob man den weiten Begriff der Personenbezogenheit vertritt68. Eine engere Auslegung setzt den Tracking Tools und Nutzungsprofilen keine nennenswerten Grenzen69, soweit nicht eine Zusammenführung mit dem Benutzer-Konto erfolgt. _________________
64 S. z. B. zum Schutz vor Bildverwendung Hessisches LAG 24.1.2012, 19 SaGa 1480/11: Scheidet ein Arbeitnehmer aus dem Betrieb aus, so muss der Arbeitgeber auf seiner Homepage veröffentlichte Daten des Arbeitnehmers (z. B. Name oder Fotos) umgehend löschen. 65 Vgl. BVerfGE 65, 1 – Volkszählung: „informationelle“ Selbstbestimmung. 66 S. a. zum Schwarz-Weiß-Prinzip Schneider/Härting, ZD 2011, 63, 64 f. 67 Härting, AnwBl., 2011, 246; Härting, CR 2011, 169, 170 f.; Eckhardt, CR 2011, 339; zu Geodaten s. etwa Forgó/Krügel, MMR 2010, 17. 68 Härting, Internetrecht, 4. Aufl. 2010, Rdnr. 97 ff. 69 Härting, a. a. O. Rdnr. 97 ff.
33
Jochen Schneider/Niko Härting
Um die Definition der „Bestimmbarkeit“ in § 3 Abs. 1 BDSG ranken sich viele Diskussionen. Die Schwäche dier Definition zeigt sich u. a. bei der Beurteilung von Nutzungsprofilen. Bei Nutzungsprofilen hat der Betroffene für den Ersteller bzw. Verwender des Profils im Normalfall weder ein Gesicht noch einen Namen.70 Nutzungsprofile generell zu verbieten bzw. unter bestimmte, erschwerende Zulässigkeitsvoraussetzungen zu stellen71, würde in dieser weiten Form voraussetzen, den Begriff der Personenbezogenheit bzw. Beziehbarkeit absolut zu fassen. Man darf davon ausgehen, dass bei genügend breiter Informationsbasis insbesondere i. V. m. neuen Datenbank-Techniken eine Rückverfolgbarkeit auf einzelne Personen mit noch vertretbarem technischen Aufwand nahezu immer möglich wird und immer leichter sein wird, trotz Anschwellens des Datenvolumens. Eine Haltung, die Nutzerprofile generell zu verbieten, lässt sich daher mit dem „absoluten Begriff“ der Personenbezogenheit vertreten.72 Eine relative Betrachtungsweise führt dagegen nicht zu einer generellen Regulierung bzw. zu einem generellen Verbot von Profilbildung und -nutzung.73 Bei dieser Betrachtungsweise kommt es nicht darauf an, ob generell die Möglichkeit des Personengbezugs besteht bzw. die Herstellbarkeit des Personenbezugs möglich ist, sondern ob der konkrete Provider, bei IT-Adressen etwa der konkrete Access-Provider als verantwortliche Stelle den Personenbezug herstellen kann. Für den AccessProvider wird dies zu bejahen sein.74 Die weiteren Beteiligten in der Kette, also etwa Website-Betreiber würden die Voraussetzungen des Personenbezugs in der Regel nicht erfüllen.75 Akzeptiert man dieses Ergebnis, unterliegen Nutzungsprofile nur den Anforderungen des § 15 Abs. 3 TMG. Dieser gibt dem Nutzer ein Widerspruchsrecht und verpflichtet den Anbieter zur Information.76 _________________
70 S. dazu und auch zum Folgenden Schneider/Härting, ZD 2011, 63, 65. 71 Zur Forderung nach einer gesetzlichen Regelung s. http://www.heise.de/ newsticker/meldung/Datenschuetzer-fordert-Gesetz-gegen-Nutzerprofile-imInternet-1472411.html.15.03.2012 08:51: „Der Bundesdatenschutzbeauftragte Peter Schaar hat an die Bundesregierung appelliert, ein Gesetz gegen das Erstellen von Nutzerprofilen im Internet auf den Weg zu bringen“. 72 S. a. Pahlen-Brandt, K&R 2008, 288. 73 S. etwa Dammann, in: Simitis, BDSG, § 3 Rn. 10. 74 Zum Access-Provider als verantwortliche Stelle gem. § 3 Abs. 7 BDSG s. Schramm, DuD 2006, 785, 787. 75 AG München v. 30.9.2008, MIR-Doc 300/2008, ITRB 2008, 244, 245. 76 Vgl. Härting, Internetrecht, 4. Aufl. 2010, Rdnr. 77 ff.
34
Impulse für eine Modernisierung des „Datenschutzes“
Würde man auf andere Kriterien abstellen können, was eine Abkehr auch von den Daten als dem Schutzobjekt erfordern würde, so wäre die Problematik entschäft und müsste nicht als „Theorienstreit“ zwischen „relativ“ und „absolut“ entschieden werden: Im Zusammenhang etwa mit der Erkennbarkeit einer Person und wie stark diese hervortritt, gibt es eine Fülle von Rechtsprechung im Zusammenhang mit dem Allgemeinen Persönlichkeitsrecht und dem KUrhG. Für eine zukünftige Gestaltung des Datenschutzrechts ist wichtig zu beachten, dass auf der einen Seite pseudonyme oder auch anonyme Informationen Persönlichkeitsrechte erheblich gefährden bzw. verletzen können. Zugleich ist nicht zu verkennen, dass das Problem durch die Kombination mit dem Verbotsprinzip besonders verschärft wird. Wäre die „normale“ Kommunikation und Information frei, müsste nicht im Alltagsbereich bereits eine Unterscheidung zwischen Personenbezug und fehlender Personenbeziehbarkeit vorgenommen werden. Vielmehr könnte eine Konzentration daraus erfolgen, dass durch Aggregation oder andere Techniken besondere Arten von Informationen entstehen und deren Verwendung eines besonderen Schutzes bedarf. Der Ansatz dazu war seitens der EU-Datenschutzrichtlinie die Schaffung der besonderen Arten von Daten, wie sie auch ins BDSG übernommen wurde. Man könnte weitergehend den Begriff „sensibler“ und daher besonders schützenswerter Informationen einführen, die beispielhaft etwa durch Gesundheitsdaten oder Daten aus der Intimsphäre erläutert werden, wobei ein abschließender Katalog wenig sinnvoll erscheint. Das Verbotsprinzip könnte sich dann auf die „sensiblen Informationen“ beschränken, würde also verlagert. Ob der Einzelne ggf. in seinen Rechten tangiert ist oder ob diese Gefahr besteht, könnte er dann beurteilen, wenn er auch über solche Vorgänge informiert würde, die nicht unter ein Verbotsprinzip fallen. Das würde heißen, dass an die Stelle des Verbotsprinzips in gewissem Sinne neben der Zweckbestimmung bzw. Zweckbindung auch die Informationspflichten derjenigen treten, die die Informationen verarbeiten und verwenden. Der Betroffene wäre also in Kenntnis zu setzen auch dann, wenn die betreffenden Handlungen nicht unter ein Verbotsprinzip fallen. Auch die Rechenschaftspflicht sollte nicht durch die Verlagerung des Verbotsprinzips eingeschränkt werden.
35
Jochen Schneider/Niko Härting
4. Vom Verbotsprinzip zu einer konkreter Abwägung Leitlinie 4: Nach derzeitigem Recht bedeutet das Verbotsprinzip, dass Kommunikation grundsätzlich verboten ist, wenn personenbezogene Daten verwendet werden. Dies schränkt die Kommunikationsfreiheit in bedenklicher Weise ein. Das Verbotsprinzip bedarf schon aus diesem Grund einer deutlichen Einschränkung und Verlagerung auf Kernbereiche des Persönlichkeitsrechts. Dies gilt umso mehr, wenn man von einem weiten Anwendungsbereich des Datenschutzrechts ausgeht. Die Grenzziehung zwischen zulässiger und unzulässiger Datenverarbeitung darf nicht einer uferlosen Abwägung mit vagen Begriffen und unvorhersehbaren Abwägungsergebnissen überlassen werden. Eine der Hauptforderungen, vielleicht sogar die Kardinalaussage in dem Konzept von Schneider/Härting, aber auch Schneider/Harder/ Bräutigam ist die Verlagerung des Verbotsprinzips. Als die entsprechenden Ausarbeitungen formuliert wurden (im Jahr 2011), war zwar bekannt, dass die EU-Kommission zum Datenschutz an einer neuen Verordnung arbeitet, jedoch nicht, wie diese genau beschaffen sein wird. Nun ist der Entwurf der Datenschutzgrundverordnung publiziert worden (DS-GVO). Genau wie schon die EU-Datenschutzrichtlinie von 1995 stellt auch der Verordnungsentwurf auf das Verbotsprinzip ab (Art. 6, Rechtsmäßigkeit der Verarbeitung): „Die Verarbeitung personenbezogener Daten ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: …“ (Art. 6 Abs. 1 DS-GVO). Art. 7 der RL lautet: „Die Mitgliedsstaaten sehen vor, dass die Verarbeitung personenbezogener Daten lediglich erfolgen darf, wenn eine der folgenden Voraussetzungen erfüllt ist. …“ Formal scheint dabei nach wie vor auch die Einwilligung ein prominenter Zulassungstatbestand zu sein. Praktisch wird die Einwilligung ganz erheblich dadurch entwertet, das sie bei erheblichem Ungleichgewicht praktisch wieder entfällt („Die Einwilligung bietet keine Rechtsgrundlage für die Verarbeitung, wenn zwischen der Position der betroffenen Person und des für die Verarbeitung Verantwortlichen ein erhebliches Ungleichgewicht besteht.“ (Art. 7 Abs. 4).
36
Impulse für eine Modernisierung des „Datenschutzes“
Es ist aber nicht zu verkennen, dass der Dominoeffekt, der mit der Verlagerung des Verbotsprinzips77 eintreten würde, womit also auch eine ganze Reihe weiterer Positionen neu zu bestimmen wären, aller Voraussicht nach nicht eintreten wird. Damit ist schon zugleich einer der wichtigsten Kritikpunkte anzuführen, dass nämlich die „Rechtmäßigkeit der Verarbeitung“ (in Art. 6 DS-GVO) ebenso wenig ein abwägungsfähiges Modell bedeutet wie das BDSG bzw. bisher die Richtlinie. D. h., es wird dabei bleiben, dass man nur mit einer Art Kunstgriff-Methode die notwendigen Abwägungsschritte – trotz anderslautender Beteuerungen – einbringen kann. Im Hinblick auf Social Media bleibt es bei der konventionellen Vorstellung, dass der Einzelne vor sich selbst geschützt werden muss (und er nicht auch seinerseits als Datenverarbeiter gesehen wird). Zur Aufwertung der Zweckbindung: Die überragende Stellung des Verbotsprinzips überlagert wichtige andere Prinzipien, sodass diese nicht die gebührende Geltung erlangen (können). Dies gilt v. a. für die Zweckbindung. Das BDSG z. B. weist eine ganze Reihe von Stellen auf, wo die Zweckbindung Niederschlag gefunden hat bzw. explizit ausgeführt wird. Der entscheidende Aspekt allerdings fehlt, wird also durch das Verbotsprinzip praktisch überlagert, dass nämlich die Alltagskommunikation bzw. die übliche Hingabe von Daten im Alltagsgeschäft zugleich auch eine Art Zweckbindungsvereinbarung enthält, die einen natürlichen Schutz bieten würde, wenn sie denn entsprechend gesetzlich verankert würde. Dies ist bislang nicht der Fall. Insbesondere das Bundesverfassungsgericht hatte sich mehrfach damit befasst, welcher Rang und welche Rolle der Zweckbindung im Zusammenhang mit der Verarbeitung personenbezogener Daten zukommt. Zuletzt z. B. hat das Bundesverfassungsgericht im Zusammenhang mit dem TKG ausgeführt: „Ermächtigt eine gesetzliche Regelung zu einem Eingriff in das Recht auf informationelle Selbstbestimmung, so hat das Gebot der Bestimmtheit und der Klarheit auch die spezifische Funktion, eine hinreichend präzise Umgrenzung des Verwendungszwecks der betroffenen Informationen sicherzustellen. Auf diese Weise wird das verfassungsrechtliche Gebot der Zweckbindung der erhobenen Information verstärkt.“78 _________________
77 Vgl. Peifer, Verhaltensorientierte Nutzer – Tod durch Datenschutz oder Moderation durch das Recht?, K&R 2011, 543. 78 Vgl. BVerfGE 118, 168 (187); 120, 378 (408). Anlass, Zweck und Umfang des jeweiligen Eingriffs sind dabei durch den Gesetzgeber bereichspezifisch, präzise und klar festzulegen (BVerfGE 100, 313 (359 f.), 372; 113, 348 (375); 125, 260 (328); ständige Rechtsprechung).
37
Jochen Schneider/Niko Härting
Diese Zweckbindung spiegelt sich nicht im Ansatz in der DatenschutzGVO. Bei der Rechtmäßigkeit der Verarbeitung wird zwar die Einwilligung hinsichtlich deren Rechtmäßigkeit wiederum daran geknüpft, dass sie „für einen oder mehrere genau festgelegte Zwecke“ gegeben wird. Dies wäre ein Detail des Zweckbindungsprinzips. Angesichts der geringen Bedeutung der Einwilligung – wie erwähnt – dürfte aber wichtiger sein, dass in Art. 5 b) ausdrücklich auch das Erfordernis aufgestellt wird, dass personenbezogene Daten für genau festgelegte, eindeutige und rechtmäßige Zwecke „nicht in einer mit diesem Zweck nicht zu vereinbarenden Weise weiter verarbeitet werden“ dürfen. Dem ist aber, wie bereits angedeutet, schon das Verbot vorgeschaltet, überhaupt die Daten zu erheben bzw. zu verarbeiten. Eine Zulässigkeit ergibt sich aus dieser Regelung nicht. Es müsste also zuvor gem. Art. 6 Abs. 1 b) etwa die Notwendigkeit bestehen, die Daten für die Erfüllung eines Vertrages als erforderlich anzusehen für die Erfüllung einer gesetzlichen Verpflichtung (c). Dies dürften die häufigsten Beispiele im nicht-öffentlichen Bereich sein. Diese Kombination läßt die Zweckbindung frühestens an dritter Stelle erscheinen, nämlich grundsätzliches Verbot, Erforderlichkeitsprinzip (wenn man nicht noch weitere Prinzipien zuschaltet, s. I.2.a) und dann erst die Einhaltung der damit auch gleichzeitig verbundenen Zweckbindung, soweit überhaupt Erlaubnis besteht. Die Problematik des Verbotsprinzips haben die Autoren anhand des § 28 BDSG versucht aufzuzeigen:79 „§ 28 BDSG ist in seiner Ausgestaltung die Antwort auf die Eingriffe in die Kommunikationsfreiheit, die in Form von Verbotsprinzip (§ 4 Abs. 1 BDSG), Datenvermeidung und Datensparsamkeit (§ 3a BDSG) sowie der Maßgaben der Zweckbindung bestehen. Letztere ist in § 28 Abs. 1 Satz 2 BDSG inkorporiert worden: Bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. Zudem ist gem. § 28 Abs. 1 Satz 1 Nr. 1 BDSG ein bestimmter Zweck – die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses – Voraussetzung für eine Erlaubnis. § 28 BDSG muss im nicht-öffentlichen Bereich, der seinerseits grundgesetzliche Absicherungen in Anspruch nehmen kann (neben Art. 5 GG insbesondere Art. 12 und 14 GG), einen sehr weiten Zulässigkeitsbereich eröffnen, weil ansonsten das Verbotsprinzip verfassungswidrig wäre. Die natürliche Folge einer weiten, abstrakten Regelung ist deren Vagheit. Daher ist § 28 BDSG sehr wenig präzise, dies in Kombination mit einer Abfolge von Regeln und Ausnahmen in einer Ausgestaltung, die man nur als intransparent bezeichnen kann. Diese Charakteristik ist noch wohlwollend: _________________
79 Im Folgenden zitiert aus Schneider/Härting, ZD 2011, 63, 66.
38
Impulse für eine Modernisierung des „Datenschutzes“ – § 28 BDSG erlaubt nicht etwa die Verarbeitung, wie sie erforderlich ist, um die legalen Zwecke des Unternehmens ausüben zu können, sondern differenziert danach, ob die Verarbeitung erforderlich ist, um ein rechtsgeschäftliches oder rechtsgeschäftsähnliches Schuldverhältnis zu begründen, durchzuführen oder zu beenden. Dieses Schuldverhältnis muss ein solches mit dem Betroffenen sein (§ 28 Abs. 1 Satz 1 Nr. 1 BDSG). In diesen Fällen findet vom Wortlaut her keine Abwägung statt, wie sie in § 28 Abs. 1 Satz 1 Nr. 2 BDSG vorgesehen ist. – § 28 Abs. 1 Satz 1 Nr. 2 BDSG weitet den Kreis des Zwecks bzw. der Interessen aus. Es genügt das Vorliegen berechtigter Interessen der verantwortlichen Stelle. Allerdings darf kein Grund zur Annahme bestehen, dass gegen vorrangige Belange des Betroffenen verstoßen wird. Dies lässt sich kaum generalisieren und überlässt die Auslegung dem jeweiligen Einzelfall, was für Massengeschäfte kaum machbar bzw. zumutbar ist. – § 28 Abs. 1 Satz 1 Nr. 3 BDSG schafft eine Sonderregelung für Daten, die allgemein zugänglich sind oder von der verantwortlichen Stelle veröffentlicht werden dürften. Ob eine Rangfolge der Zulässigkeitsalternativen besteht oder ob der Datenverarbeiter die freie Wahl zwischen den Varianten hat, ist unklar. Simitis vertritt die Auffassung, dass es ein Rangverhältnis gibt, und zwar immer dann, wenn bereits § 28 Abs. 1 Satz 1 Nr. 1 BDSG greift80. Es fragt sich allerdings, ob und ggf. in welchem Umfang die anderen Varianten noch die „komplementäre Funktion“81 haben.“
Voraussetzung für die Verlagerung des Verbotsprinzips ist82, dass –
das an dessen Stelle zu setzende materielle Schutzgut, das bisher nur der Formulierung des Ziels dient, die Fokussierung auf „Daten“ ersetzt, und
–
das Instrumentarium zu dessen Gewährleistung mit einer Abstufung der Eingriffsintensitäten bzw. Gefährdungslagen angepasst wird.
Für den regulatorischen Ansatz ergibt sich folgende Abstufung83: 1. Ersten Rang genießen Informations- und (Online-)Handlungsfreiheit, 2. aber schon kombiniert mit Zweckbindung und mit Verpflichtungen zu Transparenz, auf die als Schutzmaßstab folgt: 3. beschränkte, sektorale Sichtbarkeit. _________________
80 81 82 83
Simitis, in: Simitis, BDSG, § 28, Rn. 54, (7. Auflage 2011). Simitis, in: Simitis, a. a. O. Schneider, Anw.Bl. 2011, 233. Schneider, Anw.Bl. 2011, 233, 236.
39
Jochen Schneider/Niko Härting
Speziell zu regeln sind: 4. Besondere Bereiche, Arten von Daten/Verhältnissen bis zum 5. grundsätzlichen Verbot mit Schutz des Kerns der Persönlichkeit. 5. Abstufung nach Sensitivität Leitlinie 5: Nicht alle Daten sind gleich. IP-Adressen oder Gerätekennzeichen sind nicht in gleicher Weise zur Beeinträchtigung von Persönlichkeitsrechten geeignet wie Angaben zur Gesundheit oder zu sexuellen Neigungen. Die unendliche Vielzahl und Vielfalt von Informationen in der Informationsgesellschaft des 21. Jahrhunderts fordert eine differenzierte Herangehensweise und abgestufte Regelungen je nachdem, ob es um „banale“ oder „sensible“ Informationen geht. Sensitivität der Daten/Informationen und Bestimmtheit und Klarheit der Norm hängen zusammen. Ein wichtiger Teil der Vorschläge der Autoren ist, weitgehend an die Stelle der formalen Umgangsregelung für Daten die Zielrichtung auszugestalten, ein Schutzgut zu implementieren, das unter materiell-rechtlichen Aspekten gut zu interpretieren ist. Die Überlegungen hierzu sind auch vor dem Hintergrund der notwendigen Klarheit der Norm, deren Bestimmtheit und zugleich aber auch Verständlichkeit zu sehen. Das BDSG lässt diese Klarheit bei der eigentlichen Zentralnorm des privaten Bereichs, § 28, in besonderem Maße vermissen. Das Thema Normenklarheit hat schon in vielen Zusammenhängen das BVerfG beschäftigt, so etwa im Zusammenhang mit der sogenannten Kontenabfrage durch Strafverfolgungsbehörden.84 Auch bei der Frage der Zulässigkeit der Kfz-Kennzeichenerfassung im Rahmen einer automatisierten Erfassung stellte sich das Problem bzw. die Beurteilung des Gerichts, dass die bloße Benennung des Zwecks, das KfzKennzeichen mit einem gesetzlich nicht näher definierten Fahndungsbestand abzugleichen, nicht den Anforderungen an die Bestimmtheit genügt.85 _________________
84 Vgl. BVerfG v. 13.6.2007 – 1 BvR 1550/03 u. a., NJW 2007, 2464. 85 BVerfG v. 11.3.2008 – 1 BvR 2074/05, 1 BvR 1254/07 (LS 3 sinngemäß).
40
Impulse für eine Modernisierung des „Datenschutzes“
Ein weiteres Beispiel mit Maßgaben für die Normenklarheit als Kriterium findet sich im Zusammenhang mit der Bestandsdatenspeicherung86. Typisch für das Verbotsprinzip in Kombination mit dem Schutz der personenbezogenen Daten ist die Vermeidung der Definition des materiellen Schutzguts und damit auch die Vernachlässigung der Abstufung von Sensitivitäten. Dass es gleichwohl solche Abstufungen gibt, ergibt sich sowohl aus dem BDSG als auch der Datenschutzrichtlinie. Auch die DS-GVO- enthält solche Abstufungen. Da sie aber nicht an den Kern der Regelung, also das eigentliche Schutzgut angebunden sind, sind diese Einteilungen nur sehr förmlich und kaum justiziabel. Schon der Katalog der „besonderen Kategorien personenbezogener Daten (Art. 8 der DS-RL) erscheint relativ willkürlich. Die aufgezählten Datenkategorien sind von sehr unterschiedlicher Qualität bzw. sehr unterschiedlicher Bestimmbarkeit. Z. B. sind „politische Meinungen“ sowie „religiöse oder philosophische Überzeugungen“ wesentlich weiter und von ungleich anderer Qualität als etwa die „Gewerkschaftszugehörigkeit“. Wiederum eine völlig andere Ebene sind „Gesundheit“ oder „Sexualleben“ (die ganz offensichtlich der gleichen Ebene zugerechnet werden). Je nach Alter und gesellschaftlicher Stellung dürfte es völlig unterschiedliche Auffassungen darüber geben, wie diese Kategorien jeweils für den Einzelnen zu beurteilen sind. Möglicherweise spielen ganz andere Kategorien und deren Differenzierungen durch besonderen Schutz eine wesentlich größere Rolle, beispielsweise der Unterschied zwischen beruflich und privat. Diesem Unterschied versucht etwa der Entwurf zur Neuregelung des § 32 BDSG nachzugehen, wenn die Erlaubnis für den Arbeitgeber, in sozialen Netzwerken Recherchen über den Bewerber anzustellen, davon abhängen soll, ob es sich um ein berufsbezogenes Netzwerk handelt (§ 32 Abs. 6 Satz 3 BDSG-E). Die DS-GVO klammert gerade die besonderen Kategorien von personenbezogenen Daten, die in Art. 9 Abs. 1 ganz ähnlich wie bisher geregelt sind, ausdrücklich in bestimmten Fällen vom Verbotsprinzip aus. Nach Art. 9 Abs. 2 lit. b DS-GVO soll die Verarbeitung beispielsweise zulässig sein, wenn sie erforderlich ist, damit der für die Verarbeitung Verantwortliche seine ihm aus dem Arbeitsrecht erwachsenden Rechte ausüben und seinen arbeitsrechtlichen Pflichten nachkommen kann. _________________
86 BVerfG vom 24.1.2012 – 1 BvR 1299/05, wo insbesondere Ausführungen im Hinblick auf die Normenklarheit in Rz. 168f erfolgen.
41
Jochen Schneider/Niko Härting
Keinen Rückbezug auf Art. 9 DS-GVO gibt es bei der Datensicherheit (Art. 30 DS-GVO). Dies entspricht exakt auch der völlig losgelösten Regelung im Rahmen der Datenschutz-RL und im Rahmen des BDSG (dort § 9 und Anlage dazu). Der Problempunkt im Hinblick auf die Sensitivität von Daten ist die Regelung der Sicherheit der Verarbeitung. Dazu wählt sowohl die Datenschutz-RL als auch die DS-GVO (Entwurf) u. a. das Instrument des „Schutzniveaus“ (Art. 30 Abs. 1 DS-GVO und Art. 17 Abs. 1 Satz 2 DS-RL). Im BDSG spricht Art. 9 vom „angestrebten Schutzzweck“ (Satz 2). Die Anlage zu § 9 spricht von der Art der zu schützenden personenbezogenen Daten oder Datenkategorien, die die Auswahl bzw. Gestaltung der Maßnahmen bestimmen, die der Sicherheit dienen sollen. Praktisch bedeutet dies Folgendes: Der Gesetzgeber sieht sich nicht in der Lage, eine materielle Ausprägung des Schutzgutes vorzunehmen, für das es an einer entsprechenden materiellrechtlichen Vorgabe fehlt. Adressat des Art. 30 der DS-GVO bzw. von Art. 17 der DS-RL und von § 9 mit Anlage BDSG sind die Geschäftsleitungen und die Techniker des Anwenders von IT. Selbst bei gutem Willen ist es schwer vorstellbar, wie praktisch jemand bei mangelnden Vorgaben eine justiziable Ausprägung für eine technische Lösung beschreiben und bieten kann. Dementsprechend sind kaum Lastenhefte vorstellbar (auch wenn dies praktisch versucht wird), die eine juristisch haltbare Anbindung an materiellrechtliche Tatbeständen enthält. D. h. im Prinzip, dass die Thematik Sicherheit bislang losgelöst von der materiellrechtlichen Gestaltung bzw. Regelung gesehen wird. Die Regelung der technisch/organisatorischen Maßnahmen hängt aber auch in einer weiteren Hinsicht als praktische Folge „in der Luft“. Eine Haftungsregelung wie § 8 BDSG gibt es nicht für den nicht-öffentlichen Bereich. Aber auch § 8 BDSG enthält nur einen kleinen Ansatz insoweit, als es um technisch unzureichende Gestaltung geht, indem es auch die Alternative „unrichtige“ und nicht nur „unzulässige“ automatisierte Verarbeitung regelt. Es fehlt aber für beide Bereiche, dass die Haftung unmittelbar an unterlassene oder nicht ausreichende Sicherheit anknüpft. Das Ergebnis ist zusammen mit dem Fehlen der materiellrechtlichen Position für die Wirkung der Haftung als wesentliches Merkmal einer auch gerichtlich durchsetzbaren Regelung fatal. Man sollte also nicht weiter dem Dogma der Relativität der Privatsphäre und damit der Unmöglichkeit, die Sensibilität von Informationen abstrakt zu bestimmen, anhängen. Stattdessen sollte der Versuch unternommen werden, grobe, auf typische Situationen und damit Rollen 42
Impulse für eine Modernisierung des „Datenschutzes“
abstellende Einteilungen als Maßgaben für die Zwecksetzung vorzunehmen. Dies ist im BDSG an zahlreichen Stellen ohnehin vorgesehen, wird aber nicht als eine solche hochrangige Ausprägung der Entfaltungsfreiheit, kombiniert mit Zweckbindung verstanden. Das Argument, die Abstufung sei nicht möglich, greift nicht.87 Die derzeitigen Regelungen enthalten bereits Abstufungen oder setzen diese voraus, ohne dem Adressaten eine geeignete Handhabe zur Beurteilung zu reichen. Beispiele für die „heimliche“, indirekte Verlagerung der Abstufung mit der Folge spezieller Behandlung sind etwa: –
die allgemein zugänglichen Daten oder Daten, die eine Stelle veröffentlichen dürfte (z. B. § 28 Abs. 1 S. 1 Nr. 3);
–
Daten des Listenprivilegs, sogenannte freie Daten (§ 28 Abs. 3 Satz 1 und 2 BDSG). Dabei wird noch weiter differenziert, etwa für Zwecke der Werbung für eigene Angebote, für Zwecke der Werbung im Hinblick auf berufliche Tätigkeit und für Zwecke der Werbung für Spenden;
–
die „besonderen Arten personenbezogener Daten“, definiert in § 3 Abs. 9 BDSG/Art. 8 DSRL. Zur Abgrenzungsproblematik: Das an sich „freie“ Datum (im Sinne des Listenprivilegs) „Priester“ dürfte als Beruf zugleich ein „besonderes Datum“ (Glaubenszugehörigkeit) sein.88
–
§ 9 BDSG enthält eine starke, aber sehr schwer auszufüllende Maßgabe für die Abstufung: das Erforderlichkeitsprinzip in Abs. 2 definiert sich über ein angemessenes Verhältnis zum angestrebten Schutzzweck. Damit wird eine Abhängigkeit von Bedrohungsszenario hergestellt. Der Schutzzweck wiederum ist nicht geregelt. Ist § 1 Abs. 1 BDSG gemeint, also „Zweck des Gesetzes ist …“. Ggf. würde es dann um Schutz des Persönlichkeitsrechts gehen. Wie verhält sich das wieder zu „schutzwürdigen Interessen“ (vgl. § 28 Abs. 2 Nr. 3 BDSG)? Wären nicht diese bei § 9 BDSG der Maßstab? Jedenfalls hat innerhalb § 9 BDSG noch eine Skalierung nach Situationen, Bedrohungsszenarien und Daten stattzufinden – mit weiteren Abstufungen. Ergänzt wird dies dadurch, dass § 3a BDSG dieselbe Konstruktion enthält. D. h., dass das Datenmaterial, um das es geht, bereits der Verpflichtung zu Anonymisierung bzw. Pseudonymisierung unterliegt.
_________________
87 S. a. Schneider/Härting, ZD 2011, 63, 67. 88 Auf der DGRI Tagung mit ähnlichem Beispiel diskutiert.
43
Jochen Schneider/Niko Härting
–
Gebot der Abschichtung in der Anlage zu § 9. Gemäß deren Satz 2 ist nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien hinsichtlich der Eignung zu unterscheiden.89 Die Datensicherheit mit den technisch/organisatorischen Maßnahmen erfordert die Einordnung, Skalierung/Gewichtung und sonstige Beurteilung der Daten, die ansonsten unterschiedslos behandelt werden.
Im Dialog mit dem Betroffenen wäre noch zu berücksichtigen, dass wesentliche Unterschiede gemacht werden können, je nach dem, ob der Betroffene sich mit seinen Daten selbst „geoutet“ hat oder ob die Daten auf anderem Wege gewonnen worden sind. Dabei spielt allerdings das Prinzip der Primärerhebung beim Betroffenen eine immer geringere Rolle. Stattdessen ist auf den Umstand abzustellen, welchen Öffentlichkeitsgrad mit Mitwirkung bzw. mit Steuerung des Betroffenen die Daten bereits erhalten haben. Dies wäre bei der Skalierung zu berücksichtigen. Dabei können auch Handlungen des Betroffenen berücksichtigt werden, durch die er selbst Sichtbarkeiten beschränkt. Dies gilt speziell auch für Social Networks. Letztlich würde sich als „Filter“ ergeben, dass die Erhebung und Verwendung nur gemäß Treu und Glauben erfolgen darf, ggf. auch unter Berücksichtigung der Art der Daten im Hinblick auf eine evtl. Gefährdungslage. Ein weiterer Filter könnte im Rahmen der Zweckbindung dafür sorgen, dass Daten, die klar einem Zweck zugeordnet werden können, ohne Einwilligung eines Betroffenen nicht anderweitig verwendet werden können, so öffentlich sie auch sein mögen, solange es sich um eine spezifizierte Öffentlichkeit (Freundesnetzwerk o. ä.) handelt. § 32 BDSG soll in der Novellierung in Abs. 6 Satz 3 eine entsprechende Regelung bezüglich Netzwerkrecherchen des Arbeitgebers erhalten. Dabei sollen berufsbezogene Netzwerke und deren Inhalte anders behandelt werden als nicht berufsbezogene. 6. Akkumulation, „Gesamtbelastung“ des einzelnen und der Gesellschaft Es wäre wünschenswert, die informationelle Gesamt-Belastung in zweifacher Hinsicht deutlich machen zu können, ja sogar messbar zu machen: Der eine Aspekt ist die sogenannte Gesamtbelastung der Ge_________________
89 S. ausführlich Schneider, ZD 2011, 6, 7 f.
44
Impulse für eine Modernisierung des „Datenschutzes“
sellschaft.90 Der andere Aspekt ist, dass für den Einzelnen transparent wird, welches Datenmaterial mit welcher Brisanz bzw. welchem Gewicht über ihn vorliegt. Durch den Aspekt des „automatischen Vergessens“ könnte sich ein Teil dieses Problems erledigen. Allerdings wäre es wünschenswert, wenn der Einzelne selbst sein „Konto“ insoweit steuern würde und nicht ein schematischer Formalismus herrscht.91 7. Mehrheit von Beteiligten Leitlinie 5, Teil 2: Das Datenschutzrecht setzt in vielen Bereichen auf Rechte des Betroffenen gegen den Datenverarbeiter und bleibt auf diese Weise in einem Zwei-Personen-Verhältnis haften, das dem Verhältnis Staat/ Bürger nachgebildet ist. Dies greift zu kurz. Es bedarf einer Stärkung des präventiven Persönlichkeitsschutzes durch eine datensparsame Ausgestaltung von Verfahren. Verfahrensregeln können dazu führen, dass Technik so ausgestaltet wird, dass Persönlichkeitsrechte geschont werden. Die Idee des Datenschutzes durch Technikgestaltung92 ist bestechend und könnte viele Probleme lösen helfen. Allerdings wird vorausgesetzt, dass der Inhalt dessen, was „privacy“ ausmacht, bekannt ist bzw. akzeptiert wird, dass es sich insoweit um ein materielles Recht handelt und es nicht bloß um den Umgang mit Daten geht. Im Hinblick auf die mögliche Implementierung von Persönlichkeitsmodellen in die ITKInfrastruktur erscheint der Ansatz der „Privacy by Design“ besonders wichtig und hilfreich. Im Moment hängt § 9 BDSG samt Anlage „in der Luft“, da noch nicht einmal die Rückkopplung mit § 1 Abs. 1 BDSG vorgenommen wird.93 Als „Urheberin“ des „Privacy by Design“-Prinzips wird, so Schulz, regelmäßig die Datenschutzbeauftragte von Kanada, Ann Kcavoukian, ge_________________
90 Dazu i. S. der Kumulation von Datensammlungen auf Vorrat Knierim, ZD 2011, 17 m. w. N. (v. a. auf den Ansatz von Roßnagel hierzu, NJW 2010, 1238 „Überwachungs-Gesamtrechnung“). 91 Zum Recht auf Vergessen (werden) nach der DS-GVO s. Eckhardt, CR 2012, 195, 198 f.; Härting, CR 2009, 21. 92 S. a. Schulz, CR 2012, 204. 93 S. zum Ansatz, die Datensicherheit verstärkt in den Fokus der Regelungsmaterie zu rücken, Schneider, ZD 2012, 6.
45
Jochen Schneider/Niko Härting
nannt.94 Sieben Grundprinzipien werden dazu von der Autorin postuliert, zitiert nach Schulz95: – „Proaktiv, nicht reaktiv, als Vorbeugung nicht als Abhilfe“ – Durch Maßnahmen in der Technik sollen datenschutzkritische Vorfälle vermieden werden, bevor sie auftreten. – „Datenschutz als Standardeinstellung“ – Der höchste Datenschutzstandard wird als voreingestellter Basisstandard festgelegt. Privacy by Default ist danach ein wesentlicher Teilaspekt von Privacy by Design. – „Datenschutz ist in das Design eingebettet“ – Belange des Datenschutzes werden bereits im Entwicklungsprozess berücksichtigt. – „Volle Funktionalität – eine Positivsumme, keine Nullsumme“ – Mit dem Datenschutz etwa kollidierende andere Funktionen werden hinreichend berücksichtigt. – „Durchgängige Sicherheit – Schutz während des gesamten Lebenszyklus“ – Datenschutzrelevante Aspekte sollen von der Erhebung der Daten bis zu ihrer endgültigen Löschung berücksichtigt werden. – „Sichtbarkeit und Transparenz – Für Offenheit sorgen“ – Der Betroffene erhält von Anfang an uneingeschränkt Kenntnis davon, wie personenbezogenen Daten verarbeitet werden. – „Die Wahrung der Privatsphäre der Nutzer – Für eine nutzerzentrierte Gestaltung sorgen“ – Die Technik ermöglicht es dem Nutzer, die Datenschutzeinstellungen selbst zu bestimmen.
Es geht also u. a. um Techniksteuerung mit gesetzlichen Regelungen, hier aber verstärkt durch die Projektion eines justiziablen Persönlichkeitsmodells, das es abzubilden und zu bewahren gilt. 8. Von der Einwilligung zu Informationspflichten und Selbststeuerung Leitlinie 6: Das Datenschutzrecht setzt vielfach auf Einwilligungen, die der Betroffene zur Legitimation der Datenverarbeitung erteilen muss. Im Massenverkehr des Internet lassen sich Einwilligungserfordernisse nur durch standardisierte, vorformulierte Einwilligungserklärungen erfüllen. Als zentrales Instrument zur Sicherung der Autonomie des Betroffenen erweisen sich Einwilligungserfordernisse unter diesen Bedingungen als ungeeignet.
_________________
94 Vgl. Schulz, CR 2012, 205. 95 CR 2012, 204, 205.
46
Impulse für eine Modernisierung des „Datenschutzes“
Die DS-RL und das BDSG scheinen der Einwilligung hohen Rang beizumessen. Im Rang gleich mit gesetzlichen Regelungen ergibt sie die Zulässigkeit. In der Praxis besteht diese Bedeutung jedenfalls in Deutschland nicht. Dies hängt zum einen mit der Schwierigkeit wirksamer Formulierung vor dem Hintergrund des AGB-Rechts zusammen, zum anderen mit der ungeklärten Frage, wie sich Einwilligung zu anderen Erlaubnistatbeständen verhält.96 9. Transparenz Leitlinie 7: Statt die Selbstbestimmung durch vorformulierte Einwilligungserklärungen zu fördern, sollte das Datenschutzrecht verstärkt auf Eigenentscheidung und Transparenz setzen. Wie in vielen anderen Rechtsbereichen auch bedarf es präziser, verständlicher und leicht abrufbarer Informationen über den Umgang mit Informationen. Derartige Informationen lassen sich – wie bereits in der Praxis üblich – in Datenschutzbestimmungen zusammenfassen. Das Datenschutzrecht sollte konkrete Anforderungen stellen an den Inhalt, die Gestaltung, die Auffindbarkeit und die Formulierung von Datenschutzbestimmungen.
Leitlinie 9:97 Das Datenschutzrecht ist über die Jahre ausgeufert und findet sich in einer Vielzahl verstreuter Regelungen. Selbst Experten haben Mühe, den Überblick zu behalten. Daher gilt es, bestehende Regelungen zu vereinfachen, stringent zu formulieren und das Datenschutzrecht insgesamt logisch einleuchtend zu strukturieren. Es geht zum einen um die Verständlichkeit und Handhabbarkeit des Datenschutzrechts. Zum anderen geht es darum, durch aufklärende Hinweise die Voraussetzungen für einen sorgfältigen und selbstbestimmten Umgang mit persönlichen Informationen zu schaffen. Eines der wichtigsten Prinzipien für die Ausübung eines Selbstdatenschutzes ist die Transparenz und damit die Etablierung und Einhaltung von Informa_________________
96 S. Schneider/Härting, ZD 2011, 63, 65 f. m. w. N., Sokol in Simitis, § 4 Rz. 4 ff. 97 Leitlinie 9 gehört auch zum Thema Transparenz und wurde deshalb vorgezogen.
47
Jochen Schneider/Niko Härting
tionspflichten. Solche Informationspflichten gibt es in vielen Gesetzen, nicht zuletzt im Bereich des Verbraucherschutzes. Das Transparenzgebot ist einer der wichtigsten Regelungen bzw. Errungenschaften des AGB-Rechts. Infolgedessen ist der Gedanke, dass Informationen klar und deutlich zugänglich sein müssen, dass sie verständlich sein müssen u. ä. eine durchaus vertraute Regelungsmaterie. Im Bereich des Datenschutzes sind Informationspflichten bislang höchst unzulänglich geregelt. Dabei lässt sich aus einer ganzen Reihe von Entscheidungen ableiten, dass das Transparenzgebot gerade auch im Bereich des Datenschutzes einen besonders hohen Stellenwert hat. Zum Beispiel hat das BVerfG im Zusammenhang mit dem Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme, sogenanntes IT-Grundrecht98, besonders berücksichtigt, dass das BDSG wie auch das Recht auf informationelle Selbstbestimmung Lücken aufweisen.99 Besonders gravierend hat das BVerfG es regelmäßig empfunden, wenn die Ausspähung „heimlich“ erfolgt. Dabei ist zu beachten, dass Nutzungsprofile ein heimliches Anlegen von Datenbeständen besonderer Art darstellen. Dies gilt für die heimliche und unkontrollierte Protokollierung sowie Auswertung des Nutzerverhaltens mit Auswertung im Hinblick auf die Nutzergewohnheiten. Dies wird vom Nutzer als „Ausspähen“ empfunden. Zwar ist hier die Erkennbarkeit für den Nutzer größer als bei der heimlichen OnlineDurchsuchung. Dennoch entsteht nicht zuletzt im Hinblick auf ausgelagerte Datenbestände des Nutzers, die zwangsläufig beim Provider bzw. dessen Subunternehmern lagern, ein ähnlicher Effekt. Infolgedessen wird man davon ausgehen können, dass ein Gefühl „diffuser Bedrohlichkeit“ durchaus in diesem Zusammenhang auftreten kann. Das BVerfG hat dieses Gefühl im Zusammenhang mit der Protokollierung des Nutzerverhaltens ausdrücklich berücksichtigt.100 Die Situation ist also etwas anders als zur Zeit des „Volkszählungsurteils“. Damals hatte das Gericht ausdrücklich darauf abgestellt, dass es das Recht des Einzelnen sei, zu wissen, wer was über ihn wisse. Heute weiß der Betroffene zwar, dass Jemand etwas über ihn weiß, wenn es um Google oder Facebook geht. Allerdings dürfte es ihm unklar sein, was dies genau ist _________________
98 Dazu Luch, MMR 2011, 75. 99 BVerfG v. 27.2.2008, NJW 2008, 822, 824. 100 S. BVerfG v. 2.3.2010, NJW 2010, 833, 843 zur Vorratsdatenspeicherung: „Der Einzelne weiß nicht, was welche staatliche Behörde über ihn weiß, weiß aber, dass die Behörden vieles, auch höchstpersönliches über ihn wissen können.“
48
Impulse für eine Modernisierung des „Datenschutzes“
und v. a. aber, was der Provider daraus macht. Infolgedessen wird man davon ausgehen können, dass das vom BVerfG als zu vermeiden dargestellte Gefühl der „diffusen Bedrohlichkeit“ in diesem Zusammenhang ebenfalls auftritt. Dementsprechend lässt sich – auch noch mit weiteren Urteilen des BVerfG – das Verlangen nach Transparenz sehr gut begründen, um dem Problem diffuser Bedrohlichkeit oder Bedrohung zu begegnen. Praktisch heißt dies, dass die Datenbestände transparent sein müssen, um letzten Endes auch durch den Einzelnen „kontrollierbar“ zu sein.101 Einen Ansatz in die fragliche Richtung der Transparenz findet man im TMG. § 13 TMG regelt rudimentäre Pflichten des Diensteanbieters. Das BDSG enthält dagegen keine brauchbaren Transparenz-Regeln.102 10. Haftung, Sicherheit, Design Leitlinie 8: Ein zentraler Schwachpunkt des Datenschutzrechts ist das Missverhältnis zwischen der Regelungstiefe und -dichte einerseits und dem Vollzug andererseits. Hier bedarf es der Abhilfe, und zwar vor allem durch erweiterte und verschärfte Haftungsnormen. Als vorverlagertem (Grundrechts-)Schutz103 ist dem Datenschutz eigen, dass rechtswidrige Akte nicht notwendig Schaden, v. a. materiellen Schaden auslösen. Immaterielle Schäden sind schwer ermittelbar, weil das insoweit betroffene Schutzgut nicht „Daten“ sind, sondern Persönlichkeit und Privatsphäre. Das Fatale schon beim BDSG war und ist, dass die rechtsprogrammatischen Ansätze zum System-Datenschutz (s. a. oben) eine der projekttypischen Eigenheiten jeder IT-Anwendung völlig außer Acht lässt: Der nachträgliche Einbau sowohl von Sicherheit als auch von „Privatssphäre“ ist entweder gar nicht oder nur mit unverhältnismäßigem Aufwand möglich. Das Postulat müsste also lauten, dass IT-Systeme, Appli_________________
101 S. a. Hoffmann-Riem, im Kontext der Online-Durchsuchungs-Entscheidung, JZ 2008, 1009, 1010. 102 Zur Lückenhaftigkeit der Transparenz nach § 13 TMG s. SchneiderHärting, ZD 2011, 63, 68. 103 Gola/Schomerus, Rz. 6 zu § 1 BDSG sprechen von „einer Art Vorfeldsicherung“ m. w. N.; s. a. Schulz, CR 2012, 204, 205.
49
Jochen Schneider/Niko Härting
kationen und Nutzungskonzepte bereits ab dem Entwurfsstadium so zu konzipieren sind, dass sie datenschutzkonform sind bzw. werden. Die Haftung dürfte sich eigentlich nicht nur auf das Ergebnis (einer misslungenen bzw. fehlgeleiteten Planung) stützen, sondern müsste auch den Umstand berücksichtigen, dass die Architektur des Systems falsch angelegt worden ist. Die Verpflichtung, datenschutzkonforme Systeme schon im Entwurfstadium vorzusehen, fehlt komplett. Ein MinimalAnsatz findet sich in Art. 23 Abs. 2 und Erwägungsgrund 46 der DSGVO. Dort heißt es erwähnt, dass geeignete technische und organisatorische Maßnahmen zu treffen sind, um eine unrechtmäßige Datenverwaltung zu verhindern. Dies soll bereits „zum Zeitpunkt der Planung des Verarbeitungssystems“ geschehen.104 Im Prinzip widersprechen „Privacy by Design“ und „Datenschutz“ sich zumindest insofern, als sie zwei völlig verschiedene Schutzgüter adressieren und erfassen. Dieser Umstand wird aufgrund der stets überschießend wohlwollenden Kommentierung zum BDSG übersehen. D. h., die allgemeine Meinung interpretiert stets „Datenschutz“ i. S. eines Schutzes des Einzelnen, obwohl dies nicht kodifiziert ist. Etwas anderes ergibt sich auch nicht aus der EU-Grundrechts-Charta, da dort der Schutz der personenbezogenen Daten neben anderen Schutzinstituten verankert ist und die neuen Regelungen sich ausdrücklich im Wesentlichen nur auf den Schutz personenbezogener Daten beziehen. Der EuGH hat sich im Rahmen der Beantwortung einer impliziten Frage klar zur Notwendigkeit der Abwägung geäußert:105 „Der Gerichtshof hat jedoch hinzugefügt, dass es bei der Umsetzung u. a. der Richtlinien 2002/58 und 2004/48 Sache der Mitgliedstaaten ist, darauf zu achten, dass sie sich auf eine Auslegung dieser Richtlinien stützen, die es ihnen erlaubt, ein angemessenes Gleichgewicht zwischen den verschiedenen durch die Unionsrechtsordnung geschützten Grundrechten sicherzustellen. …“. Erforderlich sei es … anhand der Umstände des Einzelfalls und unter gebührender Berücksichtigung der sich aus dem Grundsatz der Verhältnismäßigkeit ergebenden Erfordernisse eine Abwägung der einander gegenüberstehenden Interessen vorzunehmen.“
Das Haftungskonzept wäre unter diesen Aspekten daraufhin zu überprüfen, ob zivilrechtliche Ansprüche gegen die Hersteller der Produkte bestehen sollten, die zum Einsatz kommen. Schulz erwähnt in diesem _________________
104 Mit Hinweis auf diese Regelung: Schulz, CR 2012, 204, 205, Fn. 15; zum BDSG als vorverlagertem Grundrechtsschutz s. a. Gallwas, NJW 1992, 2785 m. w. N. 105 EuGH v. 19.4.2010 – C-461/10.
50
Impulse für eine Modernisierung des „Datenschutzes“
Zusammenhang, dass es im DSG NRW in § 4 Abs. 2 eine Regelung gibt, wonach neben der Auswahl und Gestaltung auch die Planung informationstechnischer Produkte ein Mittel zur Erreichung des Zwecks einer „minimal-invasiven“106 Datenverarbeitung sein kann. Von einer entsprechenden „Vorfeld-Wirkung“107 ist die DS-GVO ebenso weit entfernt wie die Datenschutzrichtlinie und das BDSG.
_________________
106 Schulz, CR 2012, 204, 207. 107 Schulz, CR 2012, 204, 207.
51
.
Eigentumsrechte an persönlichen Daten? Prof. Dr. Benedikt Buchner, LL.M. (UCLA) Institut für Informations-, Gesundheits- und Medizinrecht (IGMR), Universität Bremen
I. Das Recht an den eigenen Daten als datenschutzrechtlicher Ausgangspunkt II. Der Einwand der „Monopolisierung“
III. Der Einwand der Kommerzialisierung IV. Einräumung von Datennutzungsrechten V. Fazit
Literatur: Axer in Epping/Hillgruber, BeckOK GG; Bizer, Der Datentreuhänder, DuD 23 (1999), 392; Bizer/Lutterbeck/Rieß, Umbruch von Regulierungssystemen in der Informationsgesellschaft (2002); Buchner, Informationelle Selbstbestimmung im Privatrecht (2006); Buchner, Die Einwilligung im Datenschutzrecht – vom Rechtfertigungsgrund zum Kommerzialisierungsinstrument, DuD 34 (2010), 39; Donos, Datenschutz – Prinzipien und Ziele (1998); Heußner, Datenverarbeitung und die Rechtsprechung des Bundesverfassungsgerichts im Spannungsfeld zwischen Recht und Politik, ArbuR 33 (1985), 309; Heußner, Datenverarbeitung und Grundrechtsschutz, in Hohmann, Freiheitssicherung durch Datenschutz (1987), S. 118; Heußner, Datenverarbeitung und Grundrechtsschutz nach der Rechtsprechung des Bundesverfassungsgerichts, RDV 4 (1988); Hoffmann-Riem, Informationelle Selbstbestimmung in der Informationsgesellschaft, AöR 123 (1998), 513; Internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation, Gemeinsamer Standpunkt zu Infomediaries (Informationsmakler) (2000); Loewenheim in Schricker, Urheberrecht Kommentar, 3. Aufl. (2006); Peifer, Individualität im Zivilrecht (2001); Rehbinder, Urheberrecht, 16. Aufl. (2010); Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, Gutachten im Auftrag des Bundesministeriums des Inneren (2001); Simitis in Simitis., Kommentar zum Bundesdatenschutzgesetz, 7. Aufl. (2011); Simitis, Auf dem Weg zu einem neuen Datenschutzkonzept, DuD 24 (2000), 714; Simitis, Die ungewisse Zukunft des Datenschutzes – Vorbemerkungen zu einer Prognose, in Bäumler, E-Privacy (2000), S. 315; Stöckel/Brandi-Dohrn, Der dingliche Charakter von Lizenzen, CR 27 (2011), 553; Trute in Roßnagel, Handbuch Datenschutzrecht (2003); Vogelsang, Grundrecht auf informationelle Selbstbestimmung? (1987).
Die Frage nach Eigentumsrechten an persönlichen Daten ist zunächst einmal mit nein zu beantworten – zumindest wenn es um Eigentum im klassischen bürgerlich-rechtlichen Sinne gehen soll. Das BGB kennt kein Eigentum an unkörperlichen Gütern und daher kommen auch 53
Benedikt Buchner
Eigentumsrechte an persönlichen Daten nicht in Betracht.1 Tatsächlich soll es im Folgenden um eine grundsätzlichere Fragestellung gehen: Die Frage nach Eigentumsrechten soll stellvertretend stehen für die allgemeiner gehaltene Frage, ob es ein wie auch immer im Einzelnen ausgestaltetes Recht an persönlichen (besser: personenbezogenen) Daten geben soll, gleich ob in Form eines Eigentumsrechts, eines Immaterialgüterrechts oder eines sonstigen Ausschließlichkeitsrechts. Letztere Fragestellung ist dann durchaus zu bejahen und zwar konkret dahingehend, dass ein „Recht an den eigenen Daten“2 zu bejahen ist, welches Ausgangspunkt eines jeden datenschutzrechtlichen Regelungsgefüges sein muss (unten I.). Weder ist ein solches Recht zu „monopolistisch“ oder „absolut“ (Einwand der „Monopolisierung“; unten II.) noch ist es verantwortlich für die oftmals beklagte Kommerzialisierung informationeller Selbstbestimmung (Einwand der Kommerzialisierung; unten III.). Zu klären ist allerdings, ob und wenn ja auf welche Art und Weise der Einzelne als Inhaber eines Rechts an den eigenen Daten bestimmte Ausschnitte dieses Rechts auch an andere Personen oder Institutionen übertragen kann (unten IV.).
I. Das Recht an den eigenen Daten als datenschutzrechtlicher Ausgangspunkt Die These vom Recht an den eigenen Daten als Ausgangspunkt eines jeden datenschutzrechtlichen Regelwerks beinhaltet dem Grunde nach zwei Aussagen, nämlich zunächst einmal, dass es ein Recht an personenbezogenen Daten gibt, und zum Zweiten, dass dieses Recht, zumindest im Ausgangspunkt, dem einzelnen Betroffenen zuzuordnen ist, auf den sich die entsprechenden Daten beziehen. Bereits die Aussage, dass es ein Recht an Daten geben soll, ist umstritten und zwar vor allem von denjenigen, die das Recht auf informationelle Selbstbestimmung eben nicht als ein schnödes materielles Recht an irgendetwas verstanden wissen wollen, sondern die informationelle Selbstbestimmung vielmehr als „Funktionsbedingung eines freiheitlich_________________
1 Weiter der verfassungsrechtliche Eigentumsbegriff, der sich nicht auf das Sacheigentum nach bürgerlichem Recht beschränkt, sondern auch andere vermögenswerte Rechte erfasst; Axer in Epping/Hillgruber Art. 14 Rdn. 43. 2 Ausführlich zur Einordnung des informationellen Selbstbestimmungsrechts als Recht an den eigenen Daten Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 203 ff. Die folgenden Ausführungen sind eine Zusammenfassung und Fortschreibung des dort entwickelten Konzepts.
54
Eigentumsrechte an persönlichen Daten?
demokratischen Gemeinwesens“3 und als „Recht auf Schaffung und Erhaltung der Bedingungen … unter denen eine freiheitliche Darstellung der Persönlichkeit möglich ist“4 sehen und es als „reduktionistisch und einer demokratischen und sozial-staatlichen Gesellschaft unangemessen“ beurteilen,5 wenn informationelle Selbstbestimmung auf ein bloßes Herrschaftsrecht an Daten reduziert werden soll. Wobei dieser Widerspruch eben nur ein vermeintlicher ist. Auch wenn man ein Recht an personenbezogenen Daten bejaht, ist damit nicht in Frage gestellt, dass informationelle Selbstbestimmung selbstverständlich eine freiheitliche Darstellung der Persönlichkeit gewährleisten soll und dass diese selbstverständlich eine ganz zentrale Funktionsbedingung eines freiheitlich-demokratischen Gemeinwesens ist. Gleichwohl entbinden solcherlei Gesichtspunkte und durchaus hehre Zielsetzungen nicht von der zugegebenermaßen eher banalen Fragestellung, wer denn nun in einer solchen freiheitlich-demokratischen Gesellschaft welche personenbezogenen Daten in welcher Form an wen kommunizieren darf. Es muss schlicht und ergreifend geklärt werden, ob der Ausgangspunkt einer freiheitlich-demokratischen Gesellschaft die Freiheit sein soll, dass jeder alles über jeden erzählen darf (Recht der Allgemeinheit an personenbezogenen Daten – Beispiel USA), oder ob umgekehrt im Ausgangspunkt zunächst einmal derjenige, auf den sich bestimmte Daten beziehen, entscheiden darf, ob, von wem und wie diese Daten kommuniziert werden dürfen (Recht des einzelnen Betroffenen an seinen eigenen Daten). Letzterer Ausgangspunkt, also ein Recht an den eigenen Daten, gilt seit jeher in Deutschland und Europa: Personenbezogene Daten sollen hierzulande gerade kein Gemeingut sein, vielmehr soll es der einzelne Betroffene sein, der darüber bestimmt, ob und wer zu welchem Zweck wann und in welchem Umfang diese Daten verarbeitet. Damit ist aber das so gescholtene „Recht an den eigenen Daten“ zunächst einmal nichts Anderes als informationelle Selbstbestimmung im klassischen Sinne des Volkszählungsurteils, nämlich eben eine Entscheidungsbefugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.6 Entsprechend unproblematisch sollte die Annahme eines Rechts an den eigenen Daten daher an _________________
3 Donos, Datenschutz – Prinzipien und Ziele, S. 124 ff. in Anschluss an Simitis in Simitis § 1 Rdn. 38. 4 Trute in Roßnagel Kap. 2.5 Rdn. 21 f. 5 Hoffmann-Riem, AöR 123, 513 (522); ähnlich Simitis in Simitis, Einl. Rdn. 25 f. 6 BVerfGE 65, 1 (43) – Volkszählung.
55
Benedikt Buchner
sich zunächst einmal auch sein – unproblematisch zumindest dann, wenn man diese Grundidee informationeller Selbstbestimmung akzeptiert.
II. Der Einwand der „Monopolisierung“ Dass dies gleichwohl nicht so ist, liegt vor allem auch daran, dass ein solcher Ausgangspunkt eines Rechts an den eigenen Daten von vielen als zu „monopolistisch“ und zu „absolut“ empfunden wird: Ein Recht an den eigenen Daten wird gleichgesetzt mit einem ausnahmslosen Exklusivrecht an den eigenen Daten. Es ist die Rede von einem „absoluten Herrschafts- und Verfügungsrecht“ an den eigenen Daten7 oder auch von einem „Herrschaftsrecht an aufgeteilten und monopolisierten Informationen“8. Auch solche und ähnliche Kritik greift allerdings zu kurz und ist nicht gerechtfertigt, da selbst dann, wenn man im Ausgangspunkt ein subjektives Ausschließlichkeitsrecht an den eigenen Daten bejahen würde, dies keineswegs gleichbedeutend ist mit einem „Datenmonopol“, das keinen Raum mehr für Kommunikation lässt und die Informationsfreiheit über Gebühr einschränkt. Vielmehr lassen selbst klassische Ausschließlichkeitsrechte durchaus genug Spielraum, um nicht nur den Interessen des Rechtsträgers an Ausschließlichkeit Rechnung zu tragen, sondern auch den Interessen der Allgemeinheit an einer Allgemeinverfügbarkeit bestimmter Güter.9 Gerade am Beispiel des Urheberrechts lässt sich dies gut ersehen: Auch das Urheberrecht ist ein Ausschließlichkeitsrecht – ein Ausschließlichkeitsrecht am sog. Werk, das einer bestimmten Person, dem Urheber, zugeordnet wird. Stets bedingt jedoch eine solche Zuordnung, dass es sich bei dem konkreten Werk zunächst einmal auch um eine eigene individuelle geistige Schöpfung handelt, die aus der Masse des Alltäg_________________
7 Vogelsang, Grundrecht auf informationelle Selbstbestimmung?, S. 141 ff. 8 Heußner, ArbuR 33, 309 (312); ähnlich Heußner in Hohmann, S. 118 und RDV 4, 7 (8). 9 Teils wird diese Diskussion auch unter dem Stichwort der „Mehrrelationalität personenbezogener Daten“ geführt. Da personenbezogene Daten nicht nur etwas über die betreffende Person aussagen, sondern regelmäßig auch über deren Verhältnis zu anderen Personen und zu ihrem sozialen Umfeld, sind diese Daten „mehrrelational“ und können daher regelmäßig nicht ausschließlich nur dieser einen Person zugeordnet werden; ausführlich dazu Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 221 ff.
56
Eigentumsrechte an persönlichen Daten?
lichen herausragt. Es wird also insoweit eine Grenze gezogen: auf der einen Seite die Allgemeingüter (allgemeine Informationen, Gedanken, Ideen), die gerade nicht einer bestimmten Person als Urheber zugeordnet werden sollen, und auf der anderen Seite die speziellen individuellen schöpferischen Ausformungen solch allgemeiner Ideen oder Gedanken, die dann so auch ihrem jeweiligen Urheber zugeordnet werden können.10 Es geht also bereits bei der Begründung des Urheberrechts als Ausschließlichkeitsrecht zunächst einmal darum, was überhaupt als „eigen“ bezeichnet werden kann. Ein bestimmtes Werk kann erst als eigenes Werk eingeordnet werden, nachdem man geklärt hat, wie das Spannungsverhältnis zwischen Gemeinschaftsbezogenheit einerseits und individueller Ausprägung andererseits aufzulösen ist. So betrachtet ist dann die Herausforderung im Urheberrecht dieselbe wie regelmäßig auch im Datenschutzrecht. Im Datenschutzrecht sind es statt des Werkes die personenbezogenen Daten, die zwischen Gemeinschaftsbezogenheit und Individualität hin und her gerissen sind, weshalb eben auch hier zu klären ist, welche Daten tatsächlich als „eigene“ Daten einzuordnen sind. Die Herausforderung ist demnach hier und dort die gleiche und es ist nicht ersichtlich, warum diese Herausforderung nur bei einem Ausschließlichkeitsrecht wie dem Urheberrecht zu meistern sein sollte, nicht aber bei einem Ausschließlichkeitsrecht in Form eines Rechts an den eigenen Daten. Das Urheberrecht zeigt auch, dass selbst dann, wenn man ein Ausschließlichkeitsrecht zunächst einmal bejaht, damit keinesfalls ein ausnahmsloses Exklusivrecht verbunden ist. Das Urheberrecht kennt diverse Schranken, die jeder Urheberrechtsinhaber gegen sich gelten lassen muss. Die §§ 44a ff. UrhG zählen zahlreiche Belange auf, die eben den Ausschließlichkeitsanspruch des Urhebers durchlässig machen, sei es das Interesse der Rechtspflege und der öffentlichen Sicherheit, der Schutz der Informationsfreiheit und die Erleichterung der Berichterstattung, die Freiheit des geistigen Schaffens oder das Interesse an Privatund sonstigem Eigengebrauch – all dies Belange, die in vergleichbarer Form auch eine Beschränkung des informationellen Selbstbestimmungsrecht des Einzelnen rechtfertigen oder zumindest rechtfertigen können. Auch insoweit ist also das Beispiel des Urheberrechts nochmals ein Beleg dafür, dass selbst klassische Ausschließlichkeitsrechte durchaus genügend Spielraum eröffnen, um eine Balance zwischen Ausschließlichkeitsinteressen des Rechteinhabers einerseits und Freiheits- und _________________
10 Zur Individualität als dem zentralen Kriterium des Werkbegriffs siehe Loewenheim in Schricker, § 2 Rdn. 23.
57
Benedikt Buchner
Kommunikationsinteressen der Allgemeinheit andererseits herzustellen, eine Balance, die ebenso auch im Rahmen eines datenschutzrechtlichen Regelungsmodells mit dem Ausgangspunkt eines „Rechts an den eigenen Daten“ umsetzbar sein sollte.
III. Der Einwand der Kommerzialisierung Ein weiterer zentraler Vorbehalt gegenüber einem Recht an den eigenen Daten geht dahin, dass mit einem solchen Recht, vor allem wenn es ähnlich einem Eigentums- oder Immaterialgüterrecht ausgestaltet ist, beim Rechteinhaber Vermögens- und Verwertungsinteressen geweckt werden, und dass sich der Umgang mit personenbezogenen Daten auf diesem Wege immer mehr dem Umgang mit sonstigen „Dingen“ (gewerblichen Schutzrechten, Vermögensgütern etc.) annähert. Man befürchtet, dass informationelle Selbstbestimmung zu einem schnöden Verwertungsrecht verkommt, sich der Einzelne auf diese Weise zu einem Wirtschaftsobjekt degradiert und damit seine Würde und Persönlichkeit aufgibt und dann mit dieser individuellen Selbstaufgabe über kurz oder lang auch eine Auflösung der kommunikativen und streitbaren demokratischen Gesellschaft im Ganzen einhergehen würde, weil jeder nur noch damit beschäftigt ist, seine eigenen Daten und damit seine Persönlichkeit möglichst markt- und marketingkonform zu gestalten.11 Dass diese überall zu verzeichnende Kommerzialisierungstendenz durchaus ein Problem ist, soll hier nicht in Frage gestellt werden. Sehr wohl fraglich ist allerdings, ob sich diese Kommerzialisierung ausgerechnet dadurch aufhalten lässt, dass man Persönlichkeitsrechte wie das informationelle Selbstbestimmungsrecht ausschließlich als immaterielle „nicht käufliche“ Persönlichkeitsrechte ausgestalten will. Schuld an der derzeit allerorten zu verzeichnenden Kommerzialisierung personenbezogener Daten ist nicht irgendeine rechtliche Konstruktion informationeller Selbstbestimmung, sondern vielmehr der Umstand, dass Unternehmen, egal ob sie nun Payback, Google oder Facebook heißen, es allesamt verstehen, uns immer wieder Angebote zu präsentieren, für deren Nutzung wir gern und bereitwillig unser Selbstbestimmungsrecht aufgeben, um es gegen irgendwelche mehr oder weniger attraktiven Gegenleistungen einzutauschen. Wenn man daher ernsthaft der Kommerzialisierung per_________________
11 Siehe v. a. Peifer, Individualität im Zivilrecht, S. 292 ff.; vergleiche auch Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, S. 95 f.; Simitis in Bäumler, S. 315.
58
Eigentumsrechte an persönlichen Daten?
sonenbezogener Daten Einhalt gebieten will, müsste man den Erlaubnistatbestand der Einwilligung an sich streichen, dem Einzelnen also schlichtweg die Möglichkeit nehmen, selbstbestimmt aus irgendwelchen Beweggründen (eben auch kommerzieller Art) heraus zu entscheiden, sich mit einer Verarbeitung seiner personenbezogenen Daten einverstanden zu erklären.12 Dies wäre mit Sicherheit eine effektive Lösung, allerdings aber auch eine überaus paternalistische Lösung, und man kann davon ausgehen, dass ein solcher Lösungsweg wohl niemals beschritten werden wird.13 Der Erlaubnistatbestand der Einwilligung wird im Datenschutzrecht vielmehr stets eine zentrale Funktion haben und damit auch künftig ein potentielles Einfallstor für Kommerzialisierung darstellen. Es bleibt daher nur die Option, diese Kommerzialisierung als ein Problem wahrzunehmen und zu überlegen, auf welche Weise zumindest eine Art Waffengleichheit zwischen den Beteiligten – regelmäßig auf der einen Seite der kleine Verbraucher und auf der anderen Seite das große datenverarbeitende Unternehmen – hergestellt werden kann. Ein erster Schritt hin zu dieser Waffengleichheit ist gerade, dass man dem Einzelnen im Ausgangspunkt zunächst einmal ein Recht an seinen eigenen Daten zuspricht, ein Recht, das so betrachtet gegenüber Datenverarbeitern wie Google und Facebook gar nicht „stark“ oder „ausschließlich“ genug ausgestaltet sein kann, um deren Datenhunger zunächst einmal gewisse Grenzen zu setzen.
IV. Einräumung von Datennutzungsrechten Ebenso wichtig ist es dann auch, in einem nächsten Schritt zu klären, ob und inwieweit es dem einzelnen Betroffenen ermöglicht werden soll, bestimmte Ausschnitte seines Rechts an den eigenen Daten an andere _________________
12 Zur Einwilligung als Einfallstor für die Kommerzialisierung personenbezogener Daten siehe vor allem Simitis, DuD 24, 714 (721): „Die fortschreitende Vermarktung personenbezogener Daten akzentuiert die Ambivalenz der Einwilligung noch deutlicher. Die verarbeitenden Stellen haben sehr schnell erkannt, dass sich ihr Ziel, die Daten zu verwerten, auf eine denkbar einfache Weise erreichen lässt. Mehr als die Betroffenen um ihr Einverständnis zu bitten, bracht man nicht zu tun. Und wo sie sich sträuben sollten, helfen Werbegeschenke und erst recht ein Entgelt weiter“; siehe auch Simitis in Simitis, § 4a Rdn. 5: „Die gekaufte Einwilligung entzieht jeder Auseinandersetzung mit den einzelnen Informationserwartungen die Grundlage und verlagert die Aufmerksamkeit ganz auf den Preis.“ 13 Buchner, DuD 34, 39 (43).
59
Benedikt Buchner
Personen oder Institutionen zu übertragen – und zwar nunmehr aus Datenschutzperspektive betrachtet weniger mit der Zielsetzung, sich selbst bzw. die eigenen Daten möglichst umfassend verwerten zu können, sondern mit der Zielsetzung, diese Daten besser schützen und deren Verarbeitung besser kontrollieren zu können. Daher ist insbesondere zu klären, ob es möglich sein soll, dass der Einzelne bestimmten Personen oder Institutionen seines Vertrauens Nutzungsrechte an seinen Daten dergestalt einräumen kann, dass diese Vertrauenspersonen dann mit einer eigenen Rechtsposition ausgestattet sind, um aus dieser heraus im eigenen Namen auch gegen Dritte vorgehen zu können. Dahinter steht die Idee eines Datentreuhänders, der gerade deshalb ein Recht an „meinen“ Daten eingeräumt bekommen soll, damit er in meinem Interesse und zum Schutz meiner informationellen Selbstbestimmung auch gegenüber Dritten vorgehen kann, die unzulässigerweise meine Daten nutzen.14 Naheliegend ist das Modell eines solchen Datentreuhänders vor allem auch deshalb, weil der einzelne Betroffene mangels Erfahrung und vor allem auch aufgrund der Vielzahl und der Komplexität von Datenverarbeitungsvorgängen regelmäßig gar nicht mehr in der Lage ist, sein informationelles Selbstbestimmungsrecht selbst effektiv zu kontrollieren. Es bietet sich daher an, dass erfahrene und professionelle Institutionen die Rolle eines Datentreuhänders übernehmen, um dann die Interessen des einzelnen Betroffenen im Rahmen eines klar formulierten Rechte- und Pflichtenkatalogs wahrzunehmen.15 Diese Idee ist nicht neu und vor allem aus dem Urheberrecht in Gestalt der Verwertungsgesellschaften bekannt. Auch dort ist der einzelne Urheber aufgrund der Vielzahl potenzieller Verwertungsvorgänge und möglicher Rechtsverletzun_________________
14 Bislang hat der Begriff des Datentreuhänders vor allem in einem ganz bestimmten datenschutzrechtlichen Kontext Verwendung gefunden: als organisatorisches Modell, um forschenden Stellen einen Zugang zu personenbezogenen Daten zu ermöglichen. Mit Hilfe des Datentreuhänders sollen der Forschung anonymisiert personenbezogene Daten zur Verfügung gestellt werden können. Der Datentreuhänder wird als vertrauenswürdiger und unabhängiger Dritter zwischengeschaltet, der personenbezogene Daten sammelt, anonymisiert und an die forschenden Stellen weiter übermittelt; siehe ausführlich Bizer, DuD 23, 392 (393 ff.). 15 Teils ist auch von „Infomediären“ die Rede, denen eine solche treuhänderische Funktion zukommt; siehe Roßnagel, Marktwirtschaftlicher Datenschutz – eine Regulierungsperspektive, in Bizer/Lutterbeck/Rieß, Umbruch von Regulierungssystemen in der Informationsgesellschaft, S. 137, und auch Internationale Arbeitsgruppe für den Datenschutz in der Telekommunikation, Gemeinsamer Standpunkt zu Infomediaries, S. 1.
60
Eigentumsrechte an persönlichen Daten?
gen nicht in der Lage, sein Urheberrecht selbst effektiv wahrzunehmen; er ist ebenso auf die Inanspruchnahme professioneller Institutionen angewiesen und räumt diesen deshalb zur effektiven Wahrnehmung seiner Rechte entsprechende Nutzungs- und Einwilligungsbefugnisse ein, die diese dann auch gegenüber Dritten geltend machen können.16 Ein solches Modell bietet sich durchaus auch im Bereich der Datenverarbeitung für den Schutz personenbezogener Daten an. Über die rechtliche Konstruktion im Einzelnen kann man sicherlich viel streiten. Ausgangspunkt ist jedenfalls die Einräumung eines positiven Nutzungsrechts, das es diesem Datentreuhänder erlaubt, bestimmte Arten von Daten zu einem bestimmten Zweck zu nutzen und vielleicht auch weiter zu übermitteln. Diese positive Erlaubnis ist zunächst einmal nichts Anderes als die klassische datenschutzrechtliche Einwilligung, die dann aber noch um eine „dingliche“ Komponente ergänzt wird, indem dem Datentreuhänder zugleich die Befugnis zugesprochen wird, im Umfang des eingeräumten Nutzungsrechts auch gegenüber allen Dritten vorzugehen, die eben ein solches Nutzungsrecht an den personenbezogenen Daten nicht haben, gleichwohl aber diese Daten – unzulässigerweise – nutzen.17 Der Datentreuhänder erlangt hier also eine Rechtsposition, die über das Verhältnis zwischen Betroffenem und Datentreuhänder hinaus auch gegenüber Dritten Wirkung entfaltet, weil der Datentreuhänder gegenüber Dritten aus eigenem Recht wegen einer unzulässigen Verarbeitung personenbezogener Daten vorgehen kann. Sein positives Nutzungsrecht ist also noch mit einer Negativkomponente verbunden, weil er das ihm eingeräumte positive Nutzungsrecht auch gegen Störungen Dritter verteidigen kann. Solch ein Modell eines Datentreuhänders, dem vom Betroffenen mit „dinglicher“ Wirkung Datennutzungsrechte eingeräumt werden können, ist sicherlich noch Zukunftsvision, als solche zumindest aber erwägenswert, wenn diskutiert wird, wie ein neues Datenschutzrecht aussehen könnte. So wäre es etwa für den Bereich des Adresshandels durchaus eine Option, wenn hier nicht jeder auf der Grundlage mehr oder weniger fragwürdiger Einwilligungsklauseln oder diskussionswürdiger gesetzlicher Erlaubnistatbestände mit dem Handel personenbezogener Daten Geld verdienen kann, sondern stattdessen der einzelne Betroffene eben einem Datentreuhänder auf Grundlage einer dann auch entsprechend _________________
16 Vgl. für das Urheberrecht Rehbinder, Rn. 550. 17 Vergleichbar einer Lizenz; zum dinglichen Charakter einer solchen Rechteeinräumung siehe Stöckel/Brandi-Dohrn, CR 27, 553 ff.
61
Benedikt Buchner
bewusst und informiert erteilten Einwilligung ein Nutzungsrecht an seinen personenbezogenen Daten einräumt. Dieser Datentreuhänder würde dann im Sinne des Betroffenen dessen Daten nutzen, möglicherweise je nach Absprache auch kommerzialisieren, vor allem aber auch die Nutzung dieser Daten effektiv kontrollieren, weil er gegenüber dritten Datenverarbeitern ein eigenes „Exklusivrecht“ an diesen Daten geltend machen kann und damit dann gerade auch im Sinne und Interesse des Betroffenen einer unerlaubten Verarbeitung personenbezogener Daten entgegenwirken kann. Denkbar ist schließlich auch, dass Datentreuhänder darüber hinaus eine eigene Rechtsposition auch noch an solchen Informationen zugesprochen bekommen, die nicht personenbezogene Daten in ihrer Reinform, sondern konkrete Informationsprodukte betreffen, wie sie sich aus dem Sammeln, Zusammenführen oder Auswerten von personenbezogenen Daten ergeben, also etwa bestimmte Interessenprofile, Scorewerte u. Ä., die einen gewissen „informationellen Mehrwert“ darstellen. Zu überlegen ist, ob man Datentreuhändern an diesem „informationellen Mehrwert“, den diese gerade durch Kombination und Auswertung personenbezogener Daten schaffen, nicht eine eigene ausschließliche Rechtspositionen zugestehen möchte, vergleichbar – um nochmals auf das Urheberrecht als Parallele zu sprechen zu kommen – einem selbständigen Nutzungs- und Verbotsrecht, welches der Bearbeiter eines Werkes hinsichtlich seiner Bearbeitung hat. Eine solche Rechtsposition des Datentreuhänders kann jedoch hierbei stets nur eine abhängige sein, abhängig von demjenigen, dessen personenbezogene Daten dem Grunde nach betroffen sind. Stets bedarf es zur Geltendmachung dieser Rechtsposition zusätzlich auch der Einräumung entsprechender Datennutzungsrechte durch den Betroffenen selbst, da es dessen Daten sind, die sich auch im konkreten Informationsangebot des Datentreuhänders fortsetzen und dessen wesentliche Grundlage bilden.18
V. Fazit Die Ausgangsfrage nach Eigentumsrechten an persönlichen Daten oder – etwas anders formuliert – nach Ausschließlichkeitsrechten an personenbezogenen Daten ist zu bejahen und zwar konkret dahingehend, dass im Datenschutzrecht dem Einzelnen im Ausgangspunkt ein (Ausschließlichkeits-)Recht an seinen eigenen Daten zuzusprechen ist. Diese _________________
18 Buchner, Informationelle Selbstbestimmung im Privatrecht, S. 289 f.
62
Eigentumsrechte an persönlichen Daten?
Antwort mag man als kommunikationsarm, freiheitshemmend oder der informationellen Selbstbestimmung unwürdig einordnen. Tatsächlich aber sind ein solches starkes Recht und eine entsprechende klare Ausgangslage zumindest so lange erforderlich, als die Welt der Datenverarbeitung von „Internetriesen“ geprägt ist, die sich „auf Datenschätze freuen“ und „das große Geschäft mit persönlichen Informationen wittern“19, und solange es Unternehmen wie Facebook gibt, die personenbezogene Daten de facto als Allgemeingut behandeln und Daten in schier unvorstellbaren Ausmaßen sammeln. Ein wenig mehr Denken in den Kategorien eines Ausschließlichkeitsrechts, ein etwas mehr Anlehnen an Regelungsstrukturen, wie wir sie etwa aus dem Urheberrecht kennen, höhlt das Recht auf informationelle Selbstbestimmung unter solchen Bedingungen nicht aus, sondern stärkt es vielmehr. Es kann nicht sein, dass ein Unternehmen wie Facebook zentralen Betroffenenrechten wie dem Recht auf Auskunft unter Berufung auf Geschäftsgeheimnisse und geistiges Eigentum20 nur unzureichend Rechnung trägt und wir zeitgleich immer noch überlegen, ob wir es mit unserer idealistischen Vorstellung von informationeller Selbstbestimmung vereinbaren können, das Recht auf informationelle Selbstbestimmung nicht mehr nur als ideelles und immaterielles Persönlichkeitsrecht, sondern eben auch als vermögenswertes Ausschließlichkeitsrecht aufzufassen.
_________________
19 Spiegel Online v. 19.10.2011, „Internet-Riesen freuen sich auf Datenschätze“, http://www.spiegel.de/netzwelt/web/0,1518,792802,00.html. 20 Siehe etwa Focus Online v. 29.9.2011, „Datenschutz beim Online-Netzwerk. Mitgliederdaten ‚geistiges Eigentum‘ von Facebook?“, http://www.focus.de/ digital/internet/facebook/datenschutz-beim-online-netzwerk-mitgliederdatengeistiges-eigentum-von-facebook_aid_670053.html.
63
.
Software als Kreditsicherheit Clemens Appl/Dr. Roman Heidinger I. „Software“ als Rechtsobjekt 1. Technischer Standpunkt 2. Sachenrechtlicher Standpunkt a) Die geistige Schöpfung „Computerprogramm“ b) Das individuelle „Softwareexemplar“ als Sache i. S. d. § 285 öABGB aa) Softwareexemplare sind unkörperlich, aber beherrschbar bb) Softwareexemplare sind Sachen c) Stellungnahme und Ergebnis II. Überblick über die Kreditsicherungsrechte in Österreich III. Nutzungsrechte an Software als Sicherungsmittel 1. Softwarehersteller als Sicherungsgeber a) Urheberrechtliche Rahmenbedingungen in Österreich
b) Verpfändung und sicherungsweise Einräumung bzw. Übertragung von Nutzungsrechten c) Drittschuldnerverständigung d) Der Buchvermerk als Publizitätsakt e) Problemfall: Sicherungsrechte an zukünftigen Werken 2. Exkurs: Patentrechte als Kreditsicherheit 3. Lizenznehmer als Sicherungsgeber IV. Das „Softwareexemplar“ als Pfandobjekt 1. Publizitätsanforderungen bei der Verpfändung von Softwareexemplaren 2. Hardware, die Software beinhaltet, als Pfandobjekt 3. Zur Umdeutung als Retentionsrecht V. Verwertung der Kreditsicherheit VI. Zusammenfassung
Software stellt ein bedeutendes Wirtschaftsgut dar: Die Beschaffung oder individuelle Herstellung erfordert vielfach einen nicht unerheblichen Kapitaleinsatz. So gehört die von einem Unternehmen entwickelte Software oftmals zu dessen wesentlichsten Vermögenswerten. In vielen Unternehmen – sei es new oder old economy – zählt Software des Weiteren zu den zentralen Betriebsmitteln. Daher ist es naheliegend, dass in der Praxis das Bedürfnis besteht, das immaterielle Vermögen von Softwareunternehmen zur Unternehmensfinanzierung heranzuziehen. Der Beitrag analysiert, inwiefern sich das Gut „Software“ als solches sowie Rechte daran auf Grundlage der österreichischen Rechtsordnung als Kreditsicherheit eignen und welche immanenten Besonderheiten bei der Sicherheitsbestellung zu bedenken sind. Ausgehend von grundsätz65
Clemens Appl/Roman Heidinger
lichen Überlegungen zum Thema „Software als Rechtsobjekt“ widmen sich die folgenden Darstellungen im Wesentlichen der Einräumung von Sicherungsrechten am Softwareexemplar als solchem sowie an damit verbundenen (urheberrechtlichen) Nutzungsbefugnissen.
I. „Software“ als Rechtsobjekt Ausgangspunkt der rechtlichen Analyse bildet der Dualismus von Werk und Werkstück. Computerprogramme unterliegen kraft ausdrücklicher Anordnung dem Urheberrecht, sofern die betreffenden Schutzvoraussetzungen vorliegen. Auch wenn Computerprogramme der Inbegriff bloß „digital verkörperter Güter“ sind, bedeutet dies nicht zwingend, dass sich deren rechtliche Existenz allein in dem an ihnen bestehenden Urheberrechten erschöpft. Wie auch in der Welt der tangiblen Güter, wo eine strenge Trennung zwischen der Zuordnung des Werkstücks (Sacheigentum) und der Zuordnung des im Werkstück verkörperten abstraktunkörperlichen Werks (Urheberrecht) erfolgt, ist (zumindest) für das österreichische Zivilrecht prima vista kein Grund ersichtlich, weshalb dieser Dualismus für digital verkörperten Güter nicht gelten solle.1 Im Folgenden wird daher ausgehend von einer technisch-funktionalen Perspektive eine sachenrechtliche Einordnung des Produkts „Software“ auf Grundlage der österreichischen Rechtslage unter Berücksichtigung des Dualismus von Werk und Werkstück vorgenommen, was als Basis der weiteren sicherungsrechtlichen Beurteilung dienen wird. 1. Technischer Standpunkt Der Begriff „Software“ ist eine generische Bezeichnung mit äußerst unscharfen Konturen für Programme, die von elektronischen Datenverarbeitungsanlangen (Computer) zur Verarbeitung von Daten (Input/Output) genutzt werden. In einem weiten Verständnis zählen zum Softwarebegriff nicht nur das Computerprogramm (Software i. e. S.), sondern auch die dazugehörenden elektronischen Daten und Begleitmaterialen (z. B. Handbücher etc). Software ist von der Hardware zu unterscheiden. Letzteres bezeichnet die elektronischen Komponenten (i. S. physischer Bauteile) einer Datenverarbeitungsanlage. Software setzt jedoch Hardware zwingend voraus, denn diese ist das „physikalische Substrat, auf _________________
1 Vgl. dazu Berberich, Virtuelles Eigentum, in: Ruse-Khan/Klass/v. Lewinsiki, Nutzergenerierte Inhalte als Gegenstand des Privatrechts, 165 (177 ff.); Bydlinski, AcP 198 (1998), 287.
66
Software als Kreditsicherheit
dem Software existiert und läuft“; „Hardware ist nutzlos ohne Software“.2 Ein Computerprogramm (Software i. e. S.) ist eine maschinenlesbare Sequenz von Instruktionen, die von der central processor unit (CPU) eines Computers ausgeführt wird, um Daten zu verarbeiten. Charakteristisch für Computerprogramme ist, dass diese – mehr oder weniger – unmittelbar von einem Computer (insbesondere dessen CPU) ausgeführt werden können. In diesem Zusammenhang wird – zumindest im Computerbereich – von „ausführbarer Datei“ (wie bspw „.exe“-Dateien in einer MS DOS bzw. Windows Umgebung) gesprochen. Computerprogramme müssen funktionsbedingt auf einem physischen Träger („Storage“) gespeichert sein, von dort aus werden sie in den Arbeitsspeicher („Memory“) geladen und stehen so für die CPU zur Ausführung bereit.3 Damit setzt das Funktionieren von Computerprogrammen – wohl mit Ausnahme von hardwareintegrierten Programmen („embedded Software“) – zwingend dessen Vervielfältigung in der Datenverarbeitungsanlage voraus. Computerprogramme sind somit maschinencodierte Anweisungen, die unmittelbar von einem Computer ausgeführt werden können. Dieser ausführbare „machine code“ bzw. „object code“ (Objektcode) ist das Ergebnis der Konvertierung bzw. des Kompilierens von „source code“ (Quellcode). Der Quellcode wiederum ist das von einem Menschen, in einer Programmiersprache geschaffene, Ergebnis gedanklicher Arbeit (Programmfunktion und -logik). Die Begriffe Software bzw. Computerprogramm erfassen Quell- als auch Objektcode gleichermaßen.4 2. Sachenrechtlicher Standpunkt Computerprogramme sind „besondere Güter“, weil sie einerseits das Ergebnis der gedanklichen Arbeit ihres Schöpfers sind und andererseits nur nutzbar sind, wenn sie in irgendeiner Form auf einem physischen Träger verkörpert sind.5 Computerprogramme, die nicht verkörpert sind, bleiben funktionslos. Hinzu kommt, dass das Ausführen von Computerprogrammen in Datenverarbeitungsanlagen – abgesehen von hardwareintegrierten Programmen – aus technischen Gründen stets zu dessen _________________
2 Vgl. http://www.linfo.org/software.html [04/2012]. 3 Vgl. http://www.linfo.org/program.html [04/2012]. 4 Vgl. http://www.linfo.org/software.html [04/2012]; S auch ErwGr 7 SoftwareRL 2009/24/EG. 5 Redeker, NJOZ 2008, 2917.
67
Clemens Appl/Roman Heidinger
Vervielfältigung (§ 15 öUrhG) führt. Dies wiederum erfordert – sofern ein urheberrechtlich schutzfähiges Computerprogramm vorliegt – urheberrechtliche Nutzungsbefugnisse, die entweder vertraglich eingeräumt werden oder kraft Gesetzes dem Nutzer zustehen. Computerprogramme sind artifizielle, geistige Schöpfungen, die – zumindest mittelbar – ihren Ursprung im menschlichen Geist finden. Wie jede geistige Schöpfung unterliegen auch Computerprogramme in ihrer abstrakten Existenz als „Werk“ nicht der Rivalität der Güter und sind von ubiquitärer Natur. Erst durch „Verrechtlichung“ in Form eines Immaterialgüterrechts erfolgt eine künstliche (rein rechtliche) Verknappung des Guts. Konkret erfolgt die „Verrechtlichung“ im Fall von Computerprogrammen durch das Urheberrecht. Den Dualismus von Werk – dem unmittelbaren Ergebnis geistiger Arbeit – und Werkstück – der konkreten Objektivierung des Werks – vor Augen, ist an den urheberrechtlichen Schutz anschließend zu prüfen, ob neben dem Urheberrecht bzw. davon abgeleiteten Rechten auch einzelne Exemplare eines Computerprogramms als Sache i. S. d. § 285 öABGB zu qualifizieren sind und damit für sich genommen Gegenstand des Rechtsverkehrs sind. a) Die geistige Schöpfung „Computerprogramm“ Computerprogramme unterliegen in ihrer abstrakten Existenz dem urheberrechtlichen Schutz, wenn sie das Ergebnis der eigenen geistigen Schöpfung ihres Urhebers sind (§ 40a öUrhG) und in irgendeiner Weise vom Schöpfer geäußert – also „objektiviert“ – wurden. Geschützt werden Computerprogramme in allen Ausdrucksformen – sowohl Quellcode als auch maschinenlesbarer Objektcode – und die dazugehörigen Entwurfsmaterialien (ErwGr 7 Software-RL, § 40a Abs. 2 öUrhG). Vom urheberrechtlichen Schutz werden technologieneutral sowohl installierbare als auch hardwareintegrierte Computerprogramme erfasst. Im Unterschied zum BGH6 legt der OGH7 einen – mit Blick auf die Software-RL wohl überschießenden – strengen Maßstab an die Schutzwürdigkeit eines Programms an. Voraussetzung für den Schutz soll eine „gewisse Komplexität“ des Programms sein, die vorliegt, „wenn die gestellte Aufgabe mehrere Lösungen zuließ und der Programmierer genügend gedanklichen Spielraum für die Entwicklung individueller _________________
6 BGH v. 3.3.2005 – I ZR 111/02 – Fash2000 – MMR 2005, 845. 7 OGH v. 12.7.2005 – 4 Ob 45/05d – TerraCAD – MR 2005, 379.
68
Software als Kreditsicherheit
Merkmale hatte“. Diese Komplexität liegt nach Auffassung des OGH entweder im Fall eines „komplexen Programms“ (sic!) oder wenn sich im Programm ein „ungewöhnlicher Grad an Erfahrung, Gewandtheit und Fachkenntnis manifestiert“. Begleitmaterialien von Computerprogrammen (insbesondere digitale Daten, Handbücher usw.)8 sowie deren graphische Benutzeroberfläche unterliegen nicht dem urheberrechtlichen Softwareschutz, sondern sind allenfalls selbstständig in anderen Werkkategorien urheberrechtlich geschützt. Das Urheberrecht sowie davon abgeleitete Werknutzungsrechte gelten als unkörperliche bewegliche Sachen i. S. d. §§ 285 und 292 öABGB. Nach h. A. unterliegen sie aber als bloße „Rechte“ nicht dem Sachenrecht i. e. S.9 und sind mit Blick auf die Sondervorschriften des Zessionsrechts (§§ 1392 ff. öABGB) nicht Gegenstand des Eigentumsrechts der §§ 354 ff. öABGB.10 b) Das individuelle „Softwareexemplar“ als Sache i. S. d. § 285 öABGB Der Begriff „Softwareexemplar“ bringt den bereits erwähnten Dualismus von Werk und Werkstück anschaulich zum Ausdruck, zumal der Begriff „Exemplar“ im allgemeinen Sprachgebrauch ein konkretes Einzelstück aus einer Menge gleichartiger Dinge bezeichnet.11 Insofern bezieht sich der Begriff Softwareexemplar nicht auf das Computerprogramm in seiner abstrakten Existenz (das „Werk“), sondern auf die konkrete (digitale) Programmkopie – also den üblichen „Vertriebsgegenstand“ der Softwarehersteller. Vor dem Hintergrund des weiten Sachbegriffs des § 285 öABGB, wonach „alles, was von der Person unterschieden ist, und zum Gebrauche der Menschen dient“ als Sache im rechtlichen Sinn zu verstehen ist, gilt es in der Folge das Produkt „Computerprogramm“ (Software i. e. S.) aus sachenrechtlicher Perspektive einzuordnen. aa) Softwareexemplare sind unkörperlich, aber beherrschbar Computerprogramme sind sowohl physikalisch als auch aus Sicht des Geschäftsverkehrs als unkörperliche bzw. immaterielle Sachen zu quali_________________
8 Wiebe in Kucsko, urheber.recht, § 40a öUrhG 560 f. 9 Eccher in Koziol/Bydlinski/Bollenberger, ABGB3, § 292 öABGB Rz. 1. 10 Vgl. Eccher in Koziol/Bydlinski/Bollenberger, ABGB3, § 292 öABGB Rz. 1 und § 285 öABGB Rz. 4. 11 http://de.wikipedia.org/wiki/Exemplar [04/2012].
69
Clemens Appl/Roman Heidinger
fizieren. Dies ergibt sich bereits daraus, dass der Informationsgehalt der Daten eines Computerprogramms konstant bleibt, gleichgültig auf welchem Träger und in welcher Form das Programm gespeichert oder übertragen wird.12 Dies darf aber nicht darüber täuschen, dass Computerprogramme durch Strukturänderungen auf einem Trägermedium (sei es elektromagnetisch auf einer klassischen Festplatte, elektrisch in einem Halbleiterspeicher [z. B. SSD], optisch auf einer CD oder taktil auf einer Lochkarte) stofflich manifest werden, was für die Ausführung des Programms in einer Datenverarbeitungsanlage funktionsnotwendig ist. Diese konkrete physische Materialisierung des Computerprogramms, die als „Softwareexemplar“ bezeichnet werden kann, ändert zwar nichts an der Unkörperlichkeit des Programms als solchem, macht es aber i. S. d. § 285 öABGB beherrschbar: Das Computerprogramm wird mittelbar durch die Herrschaft über das stoffliche Trägermedium selbst beherrschbar. Hinsichtlich der Wahrnehmbarkeit ergeben sich in der Folge keine Probleme, weil die Information zumindest mittelbar durch technische Hilfsmittel für den Menschen wahrnehmbar wird.13 Die über ein Trägermedium vermittelte Beherrschbarkeit einer unkörperlichen Sache ist der Rechtsordnung nicht fremd und spiegelt sich konkret im Wertpapierrecht wieder. Auch dort wird eine an sich unkörperliche Sache (Forderungsrecht) durch „Verbriefung“ manifest. Die Herrschaft über das Papier vermittelt dabei zugleich die Herrschaft über das verbriefte – an sich immaterielle – Recht. bb) Softwareexemplare sind Sachen Sobald eine geistige Schöpfung außerhalb der Person, die sie erdacht hat, materialisiert, kann sie dem Sachbegriff des öABGB zugänglich werden.14 Die Körperlichkeit der Sache ist dabei ohne Belang, denn der Sachbegriff des öABGB erfasst körperliche wie unkörperliche Sachen gleichermaßen (§ 292 öABGB). Bedeutsam für den Sachbegriff ist hingegen das Kriterium der Beherrschbarkeit, dass die Lehre aus der in § 285 öABGB statuierten Eignung eines Gegenstands zum menschlichen Gebrauch ableitet.15 Wie bereits dargelegt, ist das einzelne Softwareexemplar trotz Unkörperlichkeit beherrschbar. Die Beherrschbarkeit wird durch den stofflichen _________________
12 13 14 15
70
Ertl/Wolf, Die Software im österreichischen Zivilrecht, 70. Ertl/Wolf, Die Software im österreichischen Zivilrecht, 70. Ertl/Wolf, Die Software im österreichischen Zivilrecht, 74. Hopf/Eccher in Koziol/Bydlinski/Bollenberger, ABGB3, § 285 öABGB Rz. 1 ff.
Software als Kreditsicherheit
Informationsträger vermittelt. Damit ist bereits das unkörperliche Softwareexemplare als solches eine Sache i. S. d. § 285 öABGB. Da mit Blick auf § 303 öABGB sogar „Dienstleistungen, Hand- und Kopfarbeit“ als Sachen qualifiziert werden, ist kein Grund ersichtlich Softwareexemplare vom Sachbegriff des öABGB per se auszunehmen. Darin ist freilich ein fundamentaler Unterschied zur deutschen Rechtslage zu erblicken, weil § 90 dBGB nur körperliche Gegenstände als Sachen anerkennt. Auch der ubiquitäre Charakter der geistigen Schöpfung und dessen leichte Reproduzierbarkeit schließen den Sachcharakter des einzelnen Softwareexemplars nicht aus, sofern dieses stofflich auf einem Trägermedium existent ist und solcherart das konkrete Softwareexemplar (zumindest mittelbar) beherrschbar i. S. d. § 285 öABGB bleibt. Hervorzuheben ist an dieser Stelle, dass die leichte Reproduzierbarkeit von Computerprogrammen – oder digitalen Daten überhaupt – zwar rechtliche Herausforderungen schafft, aber für Fragen des Sachenrechts letztlich ohne Belang bleibt. Die Unkörperlichkeit von Softwareexemplaren stellt – auch im Hinblick auf Fragen der sachenrechtlichen Publizität – eher ein Scheinproblem dar, weil eine erkennbare Zuordnung der Software qua körperlichem Trägermedium möglich ist.16 Das Trägermedium hat dabei aber lediglich Transportfunktion und gleicht „allenfalls noch einer schützenden Verpackung“17 des Computerprogramms. c) Stellungnahme und Ergebnis Vorab ist festzuhalten, dass die Frage, ob Sachenrechte i. e. S. nur auf körperliche Gegenstände anwendbar sind, im juristischen Diskurs darauf reduziert wird, ob sachenrechtliche Grundsätze auf „Rechte“ anwendbar sind oder nicht. Dies stellt aber mit Blick auf andere unkörperliche Sachen (wie Software und digitale Daten schlechthin), an denen durchaus ein Bedürfnis nach effektiver Güterzuordnung besteht, eine zu enge Sichtweise dar. Unkörperliche Sachen, deren physikalische Existenz durch einen Informationsträger vermittelt wird, sind – eben mittelbar – physisch beherrschbar18 und damit auch einer Zuordnung nach sachen_________________
16 Ertl/Wolf, Die Software im österreichischen Zivilrecht, 84. 17 BFH v. 18.5.2011 – X R 26/09, NJW 2011, 3679 = BB 2011, 2285. 18 Koziol/Welser, Bürgerliches Recht I13, 243, stellen auf die „tatsächliche Beherrschbarkeit“ ab, doch auch unkörperliche Sachen, wie das Softwareexemplar auf einem Datenträger, können – zumindest mittelbar – „beherrschbar“ sein.
71
Clemens Appl/Roman Heidinger
rechtlichen Grundsätzen zugänglich. Dem steht die leichte Reproduzierbarkeit grundsätzlich nicht entgegen. Computerprogramme sind notwendig – in welcher technischen Ausformung auch immer – physisch existent und damit im Regelfall dem „menschlichen Gebrauch“ (i. S. e. Beherrschbarkeit § 285 öABGB) zugänglich.19 Unzweifelhaft sind Datenträger, wie Harddisks (HDD), CDs oder DVDs, als bewegliche (§ 293 öABGB) körperliche (§ 292 öABGB) Sachen i. S. d. § 285 öABGB zu qualifizieren. Sobald die Daten eines Computerprogramms auf einem solchen Datenträger gespeichert werden, liegt „eine Verkörperung des Datenbestandes im Material vor“.20 Dieser konkrete, eingespeicherte Datensatz des Computerprogramms ist in der Folge als selbstständiges Rechtsobjekt anzuerkennen, weil die konkrete stoffliche Manifestation des Programms im Datenträger, das Softwareexemplar (mittelbar) beherrschbar macht. Der OGH geht bisweilen davon aus, dass auf einem Datenträger verkörperte (Standard)-Computerprogramme den Gegenstand der Eigentumsübertragung im Falle eines Softwarekaufs bilden.21 Anders als der BGH, der deutlich von der Transportfunktion des Datenträgers spricht und – zumindest für das Kaufrecht – die Software als solche zum Verfügungsgegenstand macht,22 scheint bisher der OGH an der Verbindung von Software und Trägermedium festzuhalten. Ob jedoch diese ohnehin technisch zwingende Verbindung eine unterschiedliche Güterzuordnung von Softwareexemplar und Datenträger per se ausschließt, ist der Rechtsprechung des OGH aber nicht zu entnehmen. Nach der hier vertretenen These, ermöglicht der Datenträger die mittelbare Beherrschbarkeit und eine dem sachenrechtlichen Publizitätsprinzip genügende Zuordenbarkeit des Softwareexemplars. Das Softwareexemplar ist ein selbstständiges (unkörperliches) Verkehrsobjekt und teilt nicht zwingend das rechtliche Schicksal des verkörpernden Datenträgers. _________________
19 Ertl/Wolf, Die Software im österreichischen Zivilrecht, 74; Bydlinski, AcP 198 (1998), 287 (306). 20 Meier/Wehlau, NJW 1998, 1585 (1588). S jüngst OLG Oldenburg v. 3.11.2011 – 2 U 98/11, CR 2012, 77; Bydlinski, AcP 198 (1998), 287 (314). 21 S insbesondere, OGH 5 Ob 505/96, SZ 70/202 = ecolex 1998, 127 (Wilhelm); OGH v. 26.6.2002 – 7 Ob 94/02b; jüngst auch OGH v. 24.11.2010 – 9 Ob 76/10g – Microsoft – jusIT 2011, 89 (Staudegger). 22 So insbesondere in BGH v. 18.10.1989 – VIII ZR 325/88, NJW 1990, 320 = CR 1990, 24.
72
Software als Kreditsicherheit
Dieses Ergebnis erscheint auch mit Blick in das Urheberrecht sinnvoll. Der Beseitigungsanspruch nach § 82 Abs. 6 öUrhG wird – anders als in Deutschland – ausschließlich gegenüber dem Eigentümer des Eingriffsgegenstands gewährt. Bloßer Besitz reicht nicht aus.23 Würden daher die auf einem Datenträger enthaltenen Daten das rechtliche Schicksal des Datenträgers teilen, müsste etwa im Fall von gemieteten PC-Anlagen der Beseitigungsanspruch gegen den Eigentümer (Vermieter) gerichtet werden. Nach der hier vertretenen Auffassung, könnte aber gegen den tatsächlichen Rechtsverletzer und „Eigentümer“ der Daten24 direkt vorgegangen werden.
II. Überblick über die Kreditsicherungsrechte in Österreich Als Kreditsicherheit kommen in Österreich das Pfandrecht, die Sicherungsübereignung und die Sicherungszession in Frage. Das Pfandrecht i. S. d. §§ 447 ff. öABGB ist ein dingliches, akzessorisches Sicherungsrecht an einer individuell bestimmten, fremden, verkehrsfähigen Sache. Im Pfandrecht gilt eine erhöhte sachenrechtliche Publizität, die sich bei beweglichen, körperlichen Sachen im Faustpfand- bzw. bei unbeweglichen Sachen und bei Registerrechten im Intabulationsprinzip widerspiegelt und nur im Ausnahmefall eine Übergabe durch Zeichen gestattet (etwa im Fall der Verpfändung von Rechten). Die vorgeschriebenen Publizitätsakte sollen sicherstellen, dass niemand darauf vertraut, dass die Pfandobjekte zum – nicht belasteten – Haftungsfonds einer Person zählen.25 Die wirksame Einräumung eines Pfandrechts setzt vor dem Hintergrund des im österreichischen Sachenrecht geltenden Kausalitätsprinzips voraus, dass einem wirksamen Verfügungsgeschäft (Modus) ein wirksames Verpflichtungsgeschäft (Titel) vorausgeht. Als Titel für den rechtsgeschäftlichen Pfandrechtserwerb kommt der als Realkontrakt verstandene Pfandvertrag des § 1368 öABGB in Betracht, wobei aber nach h. A. _________________
23 Besitz und Innehabung reichen nicht aus. Vgl. dazu § 98 Abs. 1d öUrhG, wonach Besitz für Passivlegitimation ausreicht. Guggenbichler in Ciresa, § 82 öUrhG Rz. 16 f. 24 S dazu Berberich, Virtuelles Eigentum, in: Ruse-Khan/Klass/v. Lewinsiki, Nutzergenerierte Inhalte als Gegenstand des Privatrechts, 165 (177 ff.). 25 Oberhammer/Domej in Kleteèka/Schauer, ABGB-ON 1.00, §§ 451, 452 öABGB Rz. 2.
73
Clemens Appl/Roman Heidinger
auch ein bloßer Konsensualvertrag, der sog. Pfandbestellungsvertrag, ausreicht.26 Das Verfügungsgeschäft (Modus) muss den im Pfandrecht gebotenen erhöhten Publizitätsanforderungen genügen („Faustpfandprinzip“). Damit kommen als wirksame Modi neben der körperlichen Übergabe grundsätzlich nur die Besitzanweisung und die Übergabe kurzer Hand sowie (ausnahmsweise) eine Übergabe durch Zeichen in Betracht. Das Besitzkonstitut, wonach die Sache in der Gewahrsame des Realschuldners verbliebe, stellt kein wirksames Verfügungsgeschäft in Bezug auf einen wirksamen Pfandrechtserwerb dar.27 Eine Übergabe durch Zeichen (§ 427 öABGB) kommt nur dann als Modus in Betracht, wenn eine Gewahrsamsänderung technisch oder wirtschaftlich nicht tunlich ist (§ 452 öABGB). Die Gewahrsamsänderung muss nicht physisch unmöglich sein, sondern es genügt, dass diese aufgrund der Beschaffenheit der Sache unzweckmäßig ist. Ist eine Übergabe durch Zeichen zulässig, müssen solche Zeichen verwendet werden, „woraus jedermann die Verpfändung leicht erfahren kann“ (§ 452 öABGB).28 Die Übergabe durch Zeichen kommt insbesondere bei nicht in Inhaber- oder Orderpapieren verbrieften Rechten (Forderungen) in Betracht. Im Gesetz sind keine bestimmten Publikationsakte bei der Verpfändung von Rechten erwähnt. Die Rechtsprechung sieht die Drittschuldnerverständigung und – bei buchhalterisch erfassten Forderungen (sogenannten „Buchforderungen“) – eine schriftliche Zessionsvereinbarung verbunden mit einem entsprechenden Vermerk in den Geschäftsbüchern (Buchvermerk) als taugliche Akte, um die notwendige Publizität herzustellen.29 Drittschuldnerverständigung und Buchvermerk sind gleichrangige Publizitätsakte, sodass auch bei Buchforderungen die Verständigung des Drittschuldners ausreichend ist.30 Als nicht ausreichend angesehen wurde hingegen die Übergabe von Beweisurkunden an den Sicherungsnehmer.31 Im Unterschied zum Pfandrecht liegt das Charakteristische der Sicherungsübereignung darin, dass dem Gläubiger ein Vollrecht eingeräumt _________________
Koch in Koziol/Bydlinski/Bollenberger, ABGB3, § 1368 öABGB Rz. 1. Hinteregger in Schwimann, ABGB3, § 451 öABGB Rz. 3 ff. Hinteregger in Schwimann, ABGB³, § 452 öABGB Rz. 10 m. w. N. Lukas in Kleteèka/Schauer, ABGB-ON 1.00, § 1392 öABGB Rz. 15; Ausführlich: Wolkersdorfer, Zur Publizität bei der Verpfändung von Forderungen (1. Teil), JBl 2011, 225. 30 Lukas in Kleteèka/Schauer, ABGB-ON 1.00, § 1392 öABGB Rz. 15. 31 OGH v. 26.11.2000 – 7 Ob 304/99b, JBl 2000, 583. 26 27 28 29
74
Software als Kreditsicherheit
wird. Zwischen den Parteien wird jedoch vereinbart, dass der Gläubiger sein Recht nur soweit ausüben darf, als dies zur Sicherung seiner Forderung notwendig ist. Anders als in Deutschland, wo z. B. auch die publizitätslose Sicherungsübereignung anerkannt wird, müssen in Österreich bei allen Sicherungsgeschäften die pfandrechtlichen Publizitätserfordernisse erfüllt werden. Auch bei der Sicherungszession ist daher ein Publizitätsakt erforderlich, selbst wenn die Übertragung von Rechten ohne Sicherungszweck (d. h. auch die Übertragung urheberrechtlicher Nutzungsrechte) ohne besonderen Übertragungsakt möglich ist. Bei mehrfachen Sicherungszessionen ist diejenige wirksam, deren Gültigkeitsvoraussetzungen zuerst vorliegen.32 Die Sicherungszession ist ebenfalls unwirksam, wenn das Verpflichtungsgeschäft zwar vor, der notwendige Publikationsakt aber erst nach der Konkurseröffnung erfolgt.33
III. Nutzungsrechte an Software als Sicherungsmittel 1. Softwarehersteller als Sicherungsgeber Für den Fall, dass der Softwarehersteller als Sicherungsgeber fungiert, kommen die sicherungsweise Einräumung von Nutzungsrechten, die sicherungsweise Übertragung von Nutzungsrechten und die Verpfändung von Nutzungsrechten als Sicherungsinstrumente in Frage. Wie oben erwähnt, ist in allen Fällen die Einhaltung der gesetzlichen Publizitätserfordernisse von großer Bedeutung. Bei der Besicherung eines Kredites durch den Softwareersteller kommt die körperliche Übergabe als Publizitätsakt zumeist nicht in Frage. Im Regelfall geht es ja nicht um den Erwerb eines Sicherungsrechts an einem Werkstück (Programmkopie), sondern um die Verpfändung der Nutzungsrechte an der Computersoftware selbst. Bisher existieren keine Stellungnahmen in Rechtsprechung und Literatur zu den Publizitätsanforderungen bei der Verwendung von Nutzungsrechten als Kreditsicherheit. In einer einzigen Entscheidung34 wird die Möglichkeit der Sicherheitsabtretung von Werknutzungsrechten grundsätzlich anerkannt, ohne dass dabei auf die Publizitätserfordernisse eingegangen wird. Nach einer kurzen Darstellung der urheberrechtlichen Rahmenbedingungen ist daher auf die Gültigkeitserfordernisse bei der Drittschuldnerverständigung sowie beim Buchvermerk einzugehen. _________________
32 Hinteregger in Schwimann, ABGB³, § 452 öABGB Rz. 10. 33 Hinteregger in Schwimann, ABGB³, § 452 öABGB Rz. 10 m. w. N. 34 OGH v. 23.11.1999 – 4 Ob 274/99v, MR 2000, 162.
75
Clemens Appl/Roman Heidinger
a) Urheberrechtliche Rahmenbedingungen in Österreich Das Urheberrecht ist nach der österreichischen Rechtslage unter Lebenden grundsätzlich unübertragbar (§ 23 öUrhG). Hintergrund ist die persönlichkeitsrechtliche Natur des österreichischen Urheberrechts und dessen monistisches Konzept, wonach sämtliche Einzelbefugnisse des Urheberrechts (urheberpersönlichkeitsrechtliche Befugnisse, Verwertungsrechte, Vergütungsansprüche, Zugangsrecht) als untrennbare Einheit verstanden werden.35 Als Kreditsicherheit können daher nur die aus dem Urheberrecht entspringenden Verwertungsrechte dienen. Bei den Verwertungsrechten wird im österreichischen Urheberrecht zwischen dem ausschließlichen Werknutzungsrecht und der einfachen (nicht exklusiven) Werknutzungsbewilligung unterschieden (§ 24 Abs. 1 öUrhG). Der Unterschied zwischen Werknutzungsbewilligungen und Werknutzungsrechten besteht darin, dass Werknutzungsbewilligungen nur einen obligatorischen Anspruch gegen den Urheber begründen, ein Werk auf die vereinbarte Art und Weise zu benutzen, während Werknutzungsrechte absolute, gegen jedermann wirkende Rechte sind.36 In der Regel werden nur Werknutzungsrechte als Kreditsicherheit in Frage kommen. Aufgrund des ausschließlichen Charakters bieten sich für den Sicherungsnehmer deutlich bessere wirtschaftliche Verwertungsmöglichkeiten der Software. In die Darstellung einzubeziehen ist auch die Bestimmung des § 25 Abs. 1 öUrhG, die normiert, dass Verwertungsrechte der Zwangsvollstreckung wegen Geldforderungen entzogen sind. Dies bedeutet aber nur, dass die Verwertungsrechte nicht im Rahmen eines Zwangsvollstreckungsverfahrens gegen den Urheber oder dessen Rechtsnachfolger (z. B. durch Zwangsverwaltung) verwertet werden können. Für die Frage, inwieweit Software als Kreditsicherheit eingesetzt werden kann, kommt dieser Bestimmung keine praktische Bedeutung zu. Das Zwangsvollstreckungsverbot des § 25 Abs. 1 öUrhG gilt nämlich nicht für Werknutzungsrechte, da diese – wenn auch unter Beachtung gewisser Einschränkungen – grundsätzlich als verwertbar konzipiert sind.37 Werk-
_________________
35 Guggenbichler in Ciresa, Österreichisches Urheberrecht (14. ErgL), § 23 öUrhG Rz. 1; Walter, Österreichisches Urheberrecht, 263 m. w.N. 36 Büchele in Kucsko, urheber.recht, § 24 öUrhG, 363 f. m. w. N. 37 Büchele in Kucsko, urheber.recht, § 25 öUrhG, 395 f. m. w. N.
76
Software als Kreditsicherheit
nutzungsrechte sind daher als Vermögensrechte im Sinn des § 331 öEO verwertbar.38 Die Bestimmung des § 25 Abs. 1 öUrhG schützt also nur den Urheber (und dessen Rechtsnachfolger). Beim Einsatz von Software als Kreditsicherungsmittel geht es aber typischerweise um den Fall, dass ein Unternehmen die Werknutzungsrechte an Computerprogrammen als Sicherheit einsetzt. Aber selbst wenn der Softwareurheber ein Werknutzungsrecht sicherungshalber einräumt, ist § 25 Abs. 1 öUrhG nicht anwendbar, da die Einräumung freiwillig erfolgt und somit keine Zwangsvollstreckungshandlung wegen einer Geldforderung vorliegt. b) Verpfändung und sicherungsweise Einräumung bzw. Übertragung von Nutzungsrechten Die zwingend notwendige Übertragbarkeit von Werknutzungsrechten an Computerprogrammen für eine künftige Verwertung wird im Regelfall gegeben sein. § 40c öUrhG bestimmt nämlich, dass die Übertragung von Werknutzungsrechten an Computerprogrammen ohne Zustimmung des Urhebers möglich ist, wenn nichts anderes vereinbart wurde. Bei der Verpfändung von Nutzungsrechten bleibt der Sicherungsgeber Inhaber der Nutzungsrechte. Dieser kann daher die Software weiter verwerten und auch Nutzungsrechte einräumen. Mangels Übertragbarkeit kann das Urheberrecht selbst nicht verpfändet werden. Der Urheber kann aber ein Werknutzungsrecht sicherungshalber einräumen. Bei abgeleiteten Rechtspositionen – wie beispielsweise bei der Softwareentwicklung durch angestellte Programmierer – kommt neben der Verpfändung auch die sicherungsweise Übertragung des Werknutzungsrechts in Betracht. Wird ein Werknutzungsrecht vollständig auf den Sicherungsgeber übertragen, so ist eine zumindest beschränkte Rückeinräumung von Nutzungsrechten erforderlich, um sicherzustellen, dass der Sicherungsgeber die Software weiter verwerten kann. Möglich ist, _________________
38 Allerdings ist auch bei der exekutiven Verwertung von Werknutzungsrechten auf § 27 Abs. 2 öUrhG Bedacht zu nehmen: Denn wenn Werknutzungsrechte prinzipiell nur mit Zustimmung des Urhebers auf einen anderen übertragen werden dürfen, dann gilt dies auch für eine Zwangsvollstreckung, außer es liegen ausnahmsweise die Voraussetzungen vor, unter denen eine Übertragung ohne Einwilligung des Urhebers zulässig ist (Büchele in Kucsko, urheber.recht, § 25 öUrhG, 395 f. m. w. N.). § 40c öUrhG bestimmt jedoch, dass die Übertragung von Werknutzungsrechten an Computerprogrammen ohne Zustimmung des Urhebers möglich ist, wenn nichts anderes vereinbart wurde.
77
Clemens Appl/Roman Heidinger
dass dem Sicherungsgeber ein (beschränktes) Werknutzungsrecht als Subrecht eingeräumt wird.39 c) Drittschuldnerverständigung Zunächst ist zu prüfen, wie die Verständigung bei der Besicherung von Krediten mittels Nutzungsrechten erfolgen kann. Es ist davon auszugehen, dass derjenige, der ein Nutzungsrecht eingeräumt und damit bestimmte Nutzungshandlungen durch den Sicherungsgeber zu dulden hat, als Drittschuldner verständigt werden kann. Dass eine solche Verständigung ausreichend ist, wird dadurch bestätigt, dass auch bei GmbHGesellschaftsanteilen nach der h. M. die Verständigung der Gesellschaft von der Verpfändung als Publizitätsakt in Betracht kommt.40 Die Verständigung ist an keine besondere Form gebunden.41 Die Entwicklung der Software durch angestellte Entwickler stellt eine typische Fallkonstellation dar. § 40b öUrhG regelt für solche Fälle, dass dem Dienstgeber ein unbeschränktes Werknutzungsrecht zusteht, wenn er mit dem Urheber nichts anderes vereinbart hat. Auch wenn das Werknutzungsrecht ohne weiteres beim Dienstgeber entsteht, handelt es sich um eine abgeleitete Rechtsposition.42 Eine Verständigung des Urhebers als „Drittschuldner“ erscheint daher notwendig und möglich. Wirken mehrere Personen an der Entwicklung eines Programmes mit, so liegt zumeist Miturheberschaft vor.43 Wie die Drittschuldnerverständigung bei Gläubigermehrheit zu erfolgen hat, wurde – soweit ersichtlich – noch nicht von Lehre und Rechtsprechung behandelt. Nach herrschender Ansicht hat die Drittschuldnerverständigung aber den Zweck, eine verlässliche Auskunftsquelle (nämlich den Drittschuldner)44 zu schaffen und so eine mehrfache Verwendung einer Forderung als Kreditsicherheit zu verhindern. Stellt man diesen Zweck in den Vordergrund, so kann der notwendige Publizitätsakt nur durch die Verständigung aller Miturheber erreicht werden. Nur so kann erreicht werden, dass jeder Miturheber weitere Gläubiger des Inhabers des Werknutzungsrechts darüber informieren kann, dass das Nutzungsrecht nicht mehr _________________
39 Zu Subwerknutzungsrechten: Walter, Urheberrecht I, Rz. 1764 f. 40 Wiesinger, Zur Verpfändung von GmbH-Geschäftsanteilen, ecolex 2011, 11 (12). 41 Lukas in Kleteèka/Schauer, ABGB-ON 1.00, § 1392 öABGB Rz. 19. 42 Wiebe in Kucsko, urheber.recht, § 40b öUrhG, 569 f. 43 Wiebe in Kucsko, urheber.recht § 40b öUrhG, 569 f. 44 Spitzer, Wirksamwerden der Sicherungszession bei Drittschuldnerverständigung, JBl 2005, 695.
78
Software als Kreditsicherheit
als Haftungsfonds zur Verfügung steht. Bei großen Softwareprojekten, an denen oftmals eine unüberschaubare Anzahl an Programmierern mitwirkt, scheint ein gültiger Publizitätsakt demnach nur schwer denkbar. Räumt der Inhaber des Werknutzungsrechts (d. h. der Softwarehersteller) einer verbundenen Gesellschaft aber ein im Wesentlichen identisches Subwerknutzungsrecht45 ein, so erscheint eine einfache Erfüllung der Publizitätserfordernisse möglich. Bei der Verwendung des Subrechtes als Kreditsicherheit wäre eine Verständigung des Inhabers des Werknutzungsrechtes als Drittschuldner ausreichend.46 Wenn der Urheber die von ihm selbst entwickelte Software als Kreditsicherheit einsetzen möchte, so erscheint die oben dargestellte Verständigung als Publizitätsakt nicht möglich. Bei der sicherungsweisen Einräumung eines Werknutzungsrechts durch den Urheber selbst existiert niemand, der als unabhängige Auskunftsquelle dienen könnte. Zwar liegt nach der Rechtsprechung ein ausreichender Publizitätsakt dann vor, wenn der Pfandbesteller auch Geschäftsführer der GmbH ist und die Verständigung der Gesellschaft nur durch Kenntnisnahme des Geschäftsführers, der zugleich Pfandbesteller und Alleingesellschafter ist, erfolgt.47 Bei dieser Fallkonstellation – die im Übrigen in der Lehre kritisiert wurde48 – kann zumindest bei bloß formaler Betrachtung darauf abgestellt werden, dass zwei verschiedene Rechtssubjekte involviert sind. Dies ist bei der „Insichverständigung“ des Urhebers nicht der Fall. Bei der sicherungsweisen Einräumung eines Werknutzungsrechtes durch den Urheber selbst scheidet daher die Verständigung eines Drittschuldners als Publizitätsakt aus. d) Der Buchvermerk als Publizitätsakt Ein Buchvermerk ist nur dort als Publizitätsakt ausreichend, wo ein Dritter bei gehöriger Sorgfalt mit einer Buchforderung rechnen muss. Das ist bei Unternehmern, die erkennbar eine Buchführungspflicht trifft, ohne weiteres der Fall.49 Es ist kein Grund ersichtlich, wieso ein Vermerk in den Büchern des Sicherungsgebers bei der Verpfändung oder _________________
45 Zu Subwerknutzungsrechten: Walter, Urheberrecht I, Rz. 1764 f. 46 Es erscheint allerdings denkbar, dass eine solche Konstruktion als Umgehungsgeschäft qualifiziert wird. 47 OGH v. 10.4.2008 – 3 Ob 22/08v, ecolex 2008, 745; Krit Wiesinger, Zur Verpfändung von GmbH-Geschäftsanteilen, ecolex 2011, 11. 48 Wiesinger, Zur Verpfändung von GmbH-Geschäftsanteilen, ecolex 2011, 11 (13). 49 Lukas in Kleteèka/Schauer, ABGB-ON 1.00, § 1392 öABGB Rz. 16.
79
Clemens Appl/Roman Heidinger
sicherungshalben Einräumung von Werknutzungsrechten als Publizitätsakt nicht ausreichen sollte.50 Zu bedenken ist allerdings, dass nach § 197 Abs. 2 öUGB für immaterielle Gegenstände des Anlagevermögens, die nicht entgeltlich erworben wurden, ein Aktivierungsverbot besteht. Zumeist wird die selbsterstellte Software zum Anlagevermögen zählen und das Aktivierungsverbot daher einschlägig sein.51 Nach den Bestimmungen IAS/IFRS kann wiederum ein Aktivierungsgebot bestehen.52 Auch wenn keine Aktivposten angesetzt werden dürfen, erscheint es möglich, die selbst erstellte Software zum Wert von Null oder zum Erinnerungswert in die Geschäftsbücher aufzunehmen. Ein Vermerk über die Verpfändung bzw. die sicherungsweise Einräumung eines Nutzungsrechtes ist daher möglich.53 Der nach § 452 öABGB erforderliche Publikationsakt kann auf diese Weise gesetzt werden.54 e) Problemfall: Sicherungsrechte an zukünftigen Werken Bei der Finanzierung von Softwareprojekten kann der Fall eintreten, dass die erst zu entwickelnde Software als Kreditsicherheit eingesetzt werden soll. Aus § 31 Abs. 1 öUrhG ist ersichtlich, dass auch über künftige Werke gültig verfügt werden kann.55 Künftige Nutzungsrechte können als Sicherheit dienen, sofern sie ausreichend individualisiert sind.56 Die genaue Beschreibung eines künftigen Softwareprojektes dürfte diesen Anforderungen genügen. Hinsichtlich der Publizitätserfordernisse kann auf die Lehre und Rechtsprechung zur Zession künftiger Forderungen zurückgegriffen werden.57 Die Drittschuldnerverständigung _________________
50 Ebenso zu GmbH-Geschäftsanteilen: Wiesinger, Zur Verpfändung von GmbHGeschäftsanteilen, ecolex 2011, 11, 13. 51 Zum Aktivierungsverbot aus steuerlicher Sicht vgl. VwGH 25.6.1998, 96/15/0251. 52 Nowotny in Straube, UGB II/RLG3 § 197 öUGB Rz. 30. 53 Zu den Anforderungen an den Buchvermerk vgl. Wolkersdorfer, Zur Publizität bei der Verpfändung von Forderungen (1. Teil), JBl 2011, 225. 54 Teilweise wird vertreten, dass der Buchvermerk in den Offene-Posten-Liste zu erfolgen hat. Dies wäre bei der Verpfändung von Nutzungsrechten nicht möglich, weil keine Geldforderung vorliegt. Wie Wolkersdorfer, (FN 53), 228 zutreffend ausführt, gehören die Offene-Posten-Listen aber nicht zu den Geschäftsbüchern i. e. S. 55 Vgl. Salomonowitz in Kucsko, urheber.recht § 31 Pkt. 6. 56 Zur Verpfändung: Oberhammer/Domej in Kleteèka/Schauer, ABGB-ON 1.00 § 448 öABGB Rz. 17; Zur Sicherungszession: Lukas in Kleteèka/ Schauer, ABGB-ON 1.00 § 1392 öABGB Rz. 11. 57 Vgl. Beig, Zivil- und Unternehmensrecht, ecolex 2008, 314 m. w. N.
80
Software als Kreditsicherheit
ist als Publizitätsakt möglich, wenn feststeht, wer zu verständigen ist.58 Hinsichtlich des Buchvermerks ist darauf zu bedenken, dass künftige Nutzungsrechte im Regelfall noch nicht in den Geschäftsbüchern aufscheinen werden. Nach der h. L. ist aber ein Globalvermerk zulässig, der künftige Forderungen umfasst.59 2. Exkurs: Patentrechte als Kreditsicherheit Sofern Softwareentwicklungen patentierbar sind, kann auch das Patent oder das Recht auf das Patent als Kreditsicherheit eingesetzt werden. Zum Erwerb eines Pfandrechts an einem Patent ist ein gültiger Titel und ein entsprechender Modus erforderlich. Das Pfandrecht am Patent wird gem § 43 Abs. 1 öPatG erst mit der Eintragung in das Patentregister erworben und gegen Dritte wirksam.60 Die notwendige Publizität wird somit durch Eintragung in das öffentliche Register hergestellt. Neben der Verpfändung ist auch die sicherungsweise Übertragung des Patentrechtes möglich, die ebenfalls einer Eintragung in das Patentregister bedarf. Zu bedenken ist allerdings, dass der Eintrag des Pfandrechtes (oder einer sicherungsweisen Übertragung des Patents) im Patentregister den gutgläubigen Erwerber des Patents nicht vor dem Angriff des tatsächlichen Erfindungsberechtigten zu schützen kann.61 Ist das Patent noch nicht erteilt worden, so kann die Patentanmeldung verpfändet werden bzw. sicherungshalber übertragen werden. Mangels einer ausdrücklichen Bestimmung im öPatG sind für den Erwerb des Pfandrechts an dem Recht aus einer Patentanmeldung die Bestimmungen des bürgerlichen Rechts maßgeblich. Auch wenn das Patentamt kein Drittschuldner ist, wird vertreten, dass durch eine formlose Verständigung des Patentamtes über die Einräumung des Pfandrechts die Publizitätserfordernisse nach § 452 öABGB erfüllt sind.62 Unter Berücksichtigung der Ausführungen zur Verpfändung urheberrechtlicher Nutzungsrechte erscheint aber auch der Buchvermerk als taugliches Mittel zur Herstellung der erforderlichen Publizität möglich.
_________________
58 Zu Detailfragen vgl. Vgl. Beig (FN 57), 315. 59 Vgl. Beig (FN 57), 315. 60 Lang, Patente, Patentanmeldungen und Erfindungen als Kreditsicherungsmittel, ecolex 1999, 475. 61 Lang, (FN 60). 62 Lang, (FN 60).
81
Clemens Appl/Roman Heidinger
3. Lizenznehmer als Sicherungsgeber Für Computerprogramme können nach § 24 Abs. 1 öUrhG ausschließliche Werknutzungsrechte oder nicht-ausschließliche Werknutzungsbewilligungen erteilt werden. IdR werden, insbesondere an Standardsoftware, nur Werknutzungsbewilligungen eingeräumt. Werknutzungsbewilligungen sind schuldrechtlich begründete Rechte gegenüber dem Urheber, wodurch sich dieser zur Duldung der Nutzung durch den Berechtigten verpflichtet.63 Da auch obligatorische Rechte, mögen sie auch aus zweiseitigen Vertragsbeziehungen stammen, der Abtretung zugänglich sind,64 zählen auch Werknutzungsbewilligungen zu den „veräußerlichen Rechten“ i. S. d. § 1393 öABGB.65 Das mit der Einräumung der Werknutzungsbewilligung einhergehende Vertragswerk, dass regelmäßig als „Softwarelizenz“ bezeichnet wird, enthält i. d. R. auch Bestimmungen zur Definition des bestimmungsgemäßen Gebrauchs i. S. d. § 40d Abs. 2 öUrhG.66 Die solcherart umfänglich und inhaltlich definierte Werknutzungsbewilligung wird als zweiseitiges Rechtsgeschäft verstanden, sodass die §§ 1404 ff. öABGB über die Vertragsübernahme anwendbar sind. Demgemäß bedarf die Übertragung der Werknutzungsbewilligung der Zustimmung des Rechteinhabers.67 § 27 öUrhG statuiert für Werknutzungsrechte klar, dass diese erstens übertragbar sind, zweitens die Übertragung an die Einwilligung des Rechteinhabers gebunden ist und drittens die Einwilligung nur aus „wichtigem Grund“ verweigert werden darf. Abweichend davon sieht § 40c öUrhG für Werknutzungsrechte an Computerprogrammen vor, dass diese auch ohne Zustimmung übertragen werden können, sofern nichts Abweichendes vereinbart wurde. § 40c öUrhG ist aber insofern ohne besondere praktische Relevanz, weil ein Softwarepaket nicht nur aus Computerprogramm i. e. S. besteht, sondern regelmäßig auch andere Werkformen beinhaltet (z. B. Texte, Grafiken usw). Für Werknutzungs_________________
63 Guggenbichler in Ciresa, Österreichisches Urheberrecht (14. ErgL), § öUrhG Rz. 2. 64 S. m. w. N. Ertl in Rummel, ABGB3, § 1393 öABGB Rz. 1 f.; OGH 23.9.2003 – 4 Ob 119/03h, SZ 2003/109. 65 Guggenbichler in Ciresa, Österreichisches Urheberrecht (14. ErgL), § öUrhG Rz. 2; Wiebe in Kucsko, urheber.recht, § 40c öUrhG, 580 f. 66 Wiebe in Kucsko, urheber.recht, § 40d öUrhG, 587 f. 67 Guggenbichler in Ciresa, Österreischisches Urheberrecht (14. ErgL), § öUrhG Rz. 2.
82
24 v. 27
27
Software als Kreditsicherheit
bewilligungen sind hingegen keine vergleichbaren Regelungen im öUrhG enthalten und eine analoge Anwendung der §§ 27 und 40c öUrhG wird überwiegend abgelehnt.68 Daraus folgt insbesondere, dass die Einwilligung auch ohne Vorliegen eines wichtigen Grunds verweigert werden darf. Das Erfordernis der Einwilligung schließt jedoch eine Verpfändung von Werknutzungsbewilligungen nicht per se aus. Werknutzungsbewilligungen sind veräußerlich und damit auch verwertbar i. S. d. § 448 öABGB. Steht die fehlende Einwilligung des Rechteinhabers einer Veräußerung im Verwertungsfall entgegen, bleibt noch die Zwangsverwaltung i. S. d. §§ 97 ff. öEO als Verwertungsform offen. Letztere wird freilich nicht in jedem Fall zweckmäßig sein.69 Als Modus der Verpfändung kommt (nur) die Verständigung des Rechteinhabers in Betracht (§ 452 öABGB). Zu bedenken ist jedoch, dass die Verpfändung der Werknutzungsbewilligung ohne gleichzeitige Verpfändung Softwareexemplars im Grunde „wertlos“ ist. Zwar bleibt die Wirksamkeit der Pfandbestellung ungeachtet der Mitverpfändung des Softwareexemplars wirksam, eine Entkoppelung von Softwareexemplar und Nutzungsbefugnis ist aber problematisch. Das Nutzungsrecht ist nämlich auf ein konkretes Exemplar bezogen und berechtigt von diesem abgekoppelt nicht zur Nutzung eines anderen Softwareexemplars. Demgemäß kann etwa eine „Raubkopie“ nicht durch den nachträglichen Erwerb einer Werknutzungsbewilligung (insbesondere im Wege exekutiver Verwertung) geheilt werden. Das Softwareexemplar wurde nämlich nicht willentlich durch den Rechteinhaber in Verkehr gesetzt. Wo kein Softwareexemplar übergeben wird, sondern die Softwarelizenz (auch) zum Programmdownload (= Vervielfältigung, § 15 öUrhG) berechtigt, ist auf den Umfang der konkreten Rechtseinräumung, insbesondere auf das Vorliegen eines Veräußerungsberechtigung, zu achten. Eine Erschöpfung des Vervielfältigungsrechts wird von der h. A. abgelehnt.70 _________________
68 Guggenbichler in Ciresa, Österreischisches Urheberrecht (14. ErgL), § 27 öUrhG Rz. 2; Wiebe in Kucsko, urheber.recht, § 40c öUrhG, 580 f. 69 S. unten, S. 89 ff. 70 Vgl. dazu die Diskussion zur Gebrauchtsoftware: BGH v. 3.2.2011 – I ZR 129/08 – UsedSoft – MR-Int 2011, 25 (Stögmüller); Zellhofer/Denk, Gebrauchte Software: Behandlung von Angeboten über „gebrauchte Volumenlizenzen“, ZVB 2009, 242; Zellhofer/Kopf, „Gebrauchte“ Software – eine Lizenz zum Erfolg?, ecolex 2008, 336; Burgstaller, Erschöpfungsgrundsatz und Online-Softwarevertrieb, ecolex 2008, 58; Rüffler, Ist der Handel mit ge-
83
Clemens Appl/Roman Heidinger
Die Verpfändung einer solchen Lizenz entgegen einem Veräußerungsverbot wird daher nur im Ausnahmefall sinnvoll sein, weil eine Veräußerung an der fehlenden Zustimmung scheitern wird.
IV. Das „Softwareexemplar“ als Pfandobjekt Gegenstand des Pfandrechts können alle verkehrsfähigen – auch unkörperliche – Sachen sein (§ 448 öABGB), wobei aufgrund der Sicherungsfunktion des Pfandrechts die Pfandsache verwertbar sein muss.71 Neben dem Kriterium der Verwertbarkeit spielt im interessierenden Zusammenhang auch das Spezialitätsprinzip, wonach ein Pfand nur an individuell bestimmbaren Einzelsachen in Betracht kommt, eine wichtige Rolle. Das Softwareexemplar ist als unkörperliche Sache grundsätzlich als Pfandobjekt geeignet. Mit Blick auf den Spezialitätsgrundsatz muss es sich um ein bestimmtes oder zumindest bestimmbares Exemplar handeln. Diese Bestimmbarkeit wird durch die Verbindung mit einem Datenträger erreicht. Hinsichtlich der Verwertbarkeit des Softwareexemplars könnten sich hingegen mit Blick auf das Urheberrecht Hindernisse ergeben. Wurde mit dem Softwareexemplar die dazugehörende Nutzungsbefugnis mitverpfändet, steht einer Verwertung i. d. R. nichts entgegen: Originaldatenträger unterliegen dem Erschöpfungsgrundsatz nach § 16 Abs. 3 öUrhG und etwaige lizenzvertragliche Weiterveräußerungsverbote bleiben unbeachtlich.72 Anders könnte es sich bei Download-Software verhalten, denn in diesem Zusammenhang wird die Anwendbarkeit des Erschöpfungsgrundsatzes mit Hinweis auf die Unkörperlichkeit des Softwareexemplars überwiegend verneint. Diesfalls wird, wenn der h. A. gefolgt wird, eine Verwertung durch Veräußerung an § 16 öUrhG scheitern. Hier wird aber auf die Entscheidung des EuGH zur Gebrauchtsoftware abzuwarten sein.73 _________________
brauchter Software urheberrechtlich zulässig?, ÖBl 2008, 52; Wiebe/Appl, Urheberrechtliche Zulässigkeit des Erwerbs von „gebrauchten“ Softwarelizenzen in Österreich, MR 2007, 186. S aber LG München v. 28.11.2007 – 30 O 8684/07, MMR 2008, 563. In Österreich fehlt jede Rechtsprechung dazu. 71 Koziol/Welser, Bürgerliches Recht I13, 374. 72 Anderl in Kucsko (Hrsg.), urheber.recht, § 16 öUrhG, 233. 73 S. dazu BGH v. 3.2.2011 – I ZR 129/08 – UsedSoft – MR-Int 2011, 25 (Stögmüller).
84
Software als Kreditsicherheit
Verwertbarkeit bedeutet aber nicht zwingend Veräußerbarkeit, weil eine Verwertung etwa auch durch Zwangsverwaltung i. S. d. §§ 97 ff. öEO erfolgen kann.74 Eine Zwangsvollstreckung ist etwa auch in Rechte möglich, die zwar nicht als solche, jedoch wenigstens ihrer Ausübung nach übertragen werden können.75 Das Verbreitungsrecht (§ 16 öUrhG) steht damit einer wirksamen Pfandbestellung nicht entgegen, weil Computerprogramme zumindest ihrer Verwendung nach übertragbar sind. Das Pfandobjekt könnte eben durch Zwangsverwaltung verwertet werden. Die Zwangsverwaltung hat durch einen Zwangsverwalter zu erfolgen. Zum Zwangsverwalter sind unbescholtene, verlässliche und geschäftskundige Person zu bestellen, wobei neben natürlichen auch juristische Personen infrage kommen (§ 106 öEO). Es gilt der Grundsatz, dass primär Personen aus der Zwangsverwalterliste (§ 107a öEO) auszuwählen sind, wobei aber deren Eignung (§ 107 öEO) anlässlich der Bestellung durch das Gericht jeweils neu zu prüfen ist.76 Der Zwangsverwalter muss eine vom Schuldner (= Verpflichteten) und Gläubiger unabhängige Person sein, insbesondere sind nahe Angehörige aber auch Konkurrenten der Verpflichteten jedenfalls ausgeschlossen.77 Nach stRsp des OGH ist der Zwangsverwalter gesetzlicher Vertreter des Verpflichteten und die Zwangsverwaltungsmasse ein Sondervermögen des Verpflichteten ohne eigene Rechtspersönlichkeit.78 Aus urheberrechtlicher Perspektive führt die Zwangsverwaltung eines Computerprogramms zu keiner Verbreitung i. S. d. § 16 öUrhG und verletzt auch solange keine Rechte des Urhebers, als die Nutzung innerhalb des bestimmungsgemäßen Gebrauchs bzw. des lizenzvertraglichen Rahmens bleibt. Als Zwischenergebnis ist daher festzuhalten, dass auch das bloße Softwareexemplar – unabhängig von der Nutzungsbefugnis – als Gegenstand des Pfandrechts in Betracht kommt, wenngleich sich die Verwertung auf die Zwangsverwaltung des Computerprogramms beschränkt. Dies mag bei teuren Softwarepaketen sinnvoll sein, wird aber i. d. R. aus wirtschaftlichen Überlegungen heraus wenig zweckmäßig sein. Für die faktische Nutzbarkeit der Software ist freilich zu beachten, dass etwaige techni_________________
74 75 76 77 78
Koziol/Welser, Bürgerliches Recht I13, 374. OGH v. 17.12.1980 – 3 Ob 55/80, SZ 53/174. Angst in Angst (Hrsg.), EO, § 106 öEO Rz. 3. Angst in Angst (Hrsg.), EO, § 107b öEO Rz. 1. Insbesondere OGH v. 10.5.2005 – 1 Ob 46/05d, JBl 2005, 785. S. m. w. N. Angst in Angst (Hrsg.), EO, § 109 öEO Rz. 1.
85
Clemens Appl/Roman Heidinger
sche Programmsicherungen (Lizenzschlüssel, Dongles usw) dem Pfandgläubiger mitübergeben werden sollten. 1. Publizitätsanforderungen bei der Verpfändung von Softwareexemplaren Die Verkörperung der konkreten Daten einer Programmkopie auf einem Datenträger („Softwareexemplar“) dürfen freilich nicht über dessen Unkörperlichkeit täuschen. Insofern stellt sich – wie auch bei der Verpfändung von Rechten – das Problem ausreichender sachenrechtlicher Publizität. Dazu statuiert § 451 öABGB, dass die verpfändete Sache, wenn sie beweglich ist, vom Pfandgläubiger in Verwahrung zu nehmen ist (Faustpfandprinzip). Nach h. A. eignet sich dabei auch die Besitzanweisung nicht aber das Besitzkonstitut als gültiger Modus.79 Der Zweck des Faustpfandprinzips liegt insbesondere darin, gegenüber allen Teilnehmern am Rechtsverkehr klarzustellen, dass der Pfandgläubiger ein Recht an der in seiner Gewahrsame befindlichen Sache hat und gleichzeitig das Entnehmen des Gegenstands aus der Gewahrsame des Pfandbestellers Dritten signalisiert, dass der verpfändete Gegenstand nicht mehr (voll) im Haftungsfonds des Pfandbestellers ist.80 Das Faustpfandprinzip erfasst nach h. A. nur bewegliche körperliche Sachen; das Softwareexemplar ist aber gerade nicht körperlich und teilt auch nicht zwingend das rechtliche Schicksal des Datenträgers.81 Insofern stellt sich die Frage, welche Publizitätsanforderungen einzuhalten sind. Im Fall der Verpfändung von Rechten, die ebenso zu den unkörperlichen Gegenständen zählen, gilt die Drittschuldnerverständigung oder der Buchvermerk als ausreichender Modus.82 Diese Instrumente scheinen aber für die Verpfändung von Softwareexemplaren unpassend, weil ein Entnehmen aus der Gewahrsame des Pfandbestellers in faktischer Hinsicht möglich ist. Fraglich ist aber, ob es genügt, wenn etwa ein Origi_________________
79 Koch in Koziol/Bydlinski/Bollenberger, ABGB3, § 451 öABGB Rz. 3; Hofmann in Rummel, ABGB3, § 451 öABGB Rz. 3. 80 S zum Zweck des Faustpfandprinzips, Oberhammer/Domej in Kleteèka/ Schauer, ABGB-ON 1.00, §§ 451, 452 öABGB Rz. 2 ff. Hofmann in Rummel, ABGB3, § 451 öABGB Rz. 1. 81 S. oben I.2.c), S. 71 ff. 82 S. oben II., S. 73 ff.
86
Software als Kreditsicherheit
naldatenträger nicht aber etwaige Programminstallationen oder Sicherungskopien, dem Pfandgläubiger übergeben werden. Der Idee der erhöhten pfandrechtlichen Publizität folgend, wird es wohl erforderlich sein, nicht bloß ein Softwareexemplar (etwa einen Originaldatenträger) zu übergeben, sondern sämtliche allenfalls bestehenden Kopien entweder zu löschen oder mit zu übergeben, sodass nach außen hin erkennbar wird, dass sich die Software nicht mehr Haftungsfonds des Pfandbestellers befindet. Da ein Modus i. S. d. § 451 öABGB möglich und tunlich ist, scheidet eine Übergabe durch Zeichen (§ 452 öABGB) aus. Zu beachten ist, dass die erhöhte Publizität im Pfandrecht, die insbesondere das Besitzkonstitut als Modus ausschließt, u. U. zu einem Eingriff in das Verbreitungsrecht führt. Der weite Verbreitungsbegriff des § 16 öUrhG umfasst insbesondere auch die Verpfändung von Werkexemplaren, wenn dieses dabei in die Gewahrsame – also dem faktischen Verfügungsbereich – eines Dritten, der als Mitglied der Öffentlichkeit anzusehen ist, gelangt.83 Soweit bereits eine Erschöpfung betreffend dem konkreten Softwareexemplar eingetreten ist, liegt freilich keine Rechtsverletzung vor. 2. Hardware, die Software beinhaltet, als Pfandobjekt Das Hardware als Pfandgegenstand geeignet ist und i. d. R. dem Faustpfandprinzip unterliegt ist unbestritten. Ist in der Hardware zugleich Software verkörpert stellt sich hingegen die Frage, ob diese von der Verpfändung mitumfasst ist. Diese Frage könnte sich etwa bei der Verpfändung eines Smartphones mit installierten Apps stellen. Nach der hier vertretenen These, dass Software nicht zwingend das rechtliche Schicksal der Hardware teilt und grundsätzlich ein selbstständiges Rechtsobjekt ist, teilt die Software nicht zwingend das rechtliche Schicksal der Hardware. Dort wo sich aber aus der Natur der Software in Verbindung mit der Hardware hingegen ergibt, dass diese als Zubehör der Hardware oder als unselbstständiger Bestandteil anzusehen ist (etwa im Fall hardwareintegrierter Software) teilt die Software grundsätzlich das rechtliche Schicksal der Hardware (§ 1047 öABGB), das heißt die Verpfändung umfasst iZw auch die Software.84 _________________
83 Walter, Urheberrecht I, Rz. 560, 565 ff. 84 Ertl/Wolf, Die Software im österreichischen Zivilrecht, 88.
87
Clemens Appl/Roman Heidinger
Ein typischer PC mit installiertem Betriebssystem und Applikationen stellt – auch mit Blick auf die Verkehrsauffassung – eine Gesamtsache (§ 302 öABGB) dar, die aus mehreren einzelnen Sachen – Hardware und Softwarekomponenten – besteht.85 An Gesamtsachen kann aufgrund des Spezialitätsgrundsatzes jedoch kein einheitliches Pfandrecht begründet werden. Das Pfandrecht kann daher nur an den jeweiligen Einzelsachen entstehen.86 Daraus folgt, dass insbesondere die installierten Softwarepakete iZw nicht von der Pfandbestellung erfasst werden, wenn der „Computer“ als solcher als Pfand bestellt wird. Es bedarf vielmehr eigener Titel und Modi für die einzelnen Softwareprodukte, soweit diese ebenfalls als Kreditsicherung dienen sollen. Für das Smartphone-Beispiel wird die Lösung dergestalt aussehen, dass das hardwareintegrierte Betriebssystem des Mobiltelefons als Zubehör oder ggf unselbstständiger Bestandteil der Hardware von einer Verpfändung des Smartphones umfasst wird, aber etwaige installierte Apps (etwa aus dem iTunes-Store) nicht zwingend von Pfandbestellung erfasst sind. Für diese Apps sind jeweils eigene Titel und Modi einzuhalten, falls sie ebenfalls verpfändet werden sollen. Der Modus wird mit der körperlichen Übergabe des Smartphones i. d. R. erfüllt. Auf Ebene des Titels ist auf diesen Umstand des Spezialitätsprinzips besonders Bedacht zu nehmen und die Pfandsache – das jeweilige App – zu konkretisieren. Aus urheberrechtlicher Sicht wird daher jemand, der etwa durch Zwangsversteigerung einen PC mit vorinstallierter Software erwirbt, grundsätzlich nicht rechtmäßiger Benutzer dieser Software. Die rechtmäßige Nutzung setzt vielmehr voraus, dass mit der Zwangsversteigerung nicht nur die Hardware sondern auch konkret die vorinstallierte Software samt Nutzungsbefugnis (Lizenz) (mit-)erworben wird. Dies wiederum setzt voraus, dass bei exekutiver Verwertung nicht nur die Hardware, sondern auch die Software als Pfand bestellt wurde bzw. gepfändet wurde. 3. Zur Umdeutung als Retentionsrecht Ist ein Gegenstand nicht verwertbar und scheidet in der Folge ein wirksamer Pfanderwerb aus, kann die Pfandbestellung in ein Zurückbehaltungsrecht nach § 471 öABGB umgedeutet werden.87 Nach dieser Be_________________
85 Ertl/Wolf, Die Software im österreichischen Zivilrecht, 86 ff. 86 Hofmann in Rummel, ABGB3, § 448 öABGB Rz. 3. 87 Vgl. OGH v. 15.5.1986 – 7 Ob 567/86, SZ 59/84.
88
Software als Kreditsicherheit
stimmung, darf der zur Herausgabe einer Sache Verpflichtete den betreffenden Gegenstand zur Sicherung seiner Forderungen zurückbehalten. Allerdings kann die Ausübung des Zurückbehaltungsrechts durch Sicherheitsleistung abgewandt werden (§ 471 Abs. 2 öABGB). Das Zurückbehaltungsrecht des § 471 öABGB erfasst nur konnexe Forderungen.88 Im Unterschied dazu erfasst aber das unternehmensrechtliche Retentionsrecht (§§ 369–378 öUGB) auch nicht-konnexe Forderungen.89 Das Zurückbehaltungsrecht ist zwar kein dingliches Recht, aber doch ein solches mit teilweise dinglichen Wirkungen.90 In der Insolvenz ist gemäß § 10 Abs. 2 öIO das Zurückbehaltungsrecht wie ein Pfandrecht zu behandeln. Der Gläubiger hat demgemäß ein Absonderungsrecht.91 Obwohl weder die Bestimmungen des öABGB noch des öUGB dies nicht ausdrücklich anordnen, kommt nach h. A. das Zurückbehaltungsrecht nur für bewegliche oder unbewegliche körperliche Sachen in Betracht.92 Für Computerprogramme bedeutet dies, dass, der h. A. folgend, am unkörperlichen Softwareexemplar selbst, kein wirksames Zurückbehaltungsrecht entstehen kann. Da aber Computerprogramme notwendig auf irgendeinem Trägermedium existieren, kann zumindest an diesen Datenträgern ein Zurückbehaltungsrecht wirksam bestehen.
V. Verwertung der Kreditsicherheit Ein Verwertung durch zwangsweise Veräußerung stellt im Falle von urheberrechtlich geschützten Computerprogrammen unzweifelhaft eine Verbreitung i. S. d. § 16 öUrhG dar. Soweit der Erschöpfungsgrundsatz des § 16 Abs. 3 öUrhG greift, bedarf es für diese Verwertungsform freilich keiner Zustimmung des Rechteinhabers; etwaige Veräußerungsverbote sind unwirksam.93 Zu berücksichtigen ist aber, dass nach h. A. die Erschöpfung nur auf solche Softwareexemplare anwendbar ist, die mit Willen des Rechteinhabers in Verkehr gesetzt wurden. Dies sind Origi_________________
Hinteregger in Schwimann, ABGB3, § 471 öABGB Rz. 8. S OGH v. 24.11.2009 – 5 Ob 113/09t. OGH v. 24.9.1996 – 5 Ob 2320/96d. OGH v. 2.5.1979 – 3 Ob 32/79; OGH v. 15.5.1986 – 7 Ob 567/86, SZ 59/84. Hinteregger in Schwimann, ABGB3, § 471 öABGB Rz. 5. S mit a. A. Jabornegg, Zurückbehaltungsrecht, 185 ff. 93 S. m. w. N. Anderl in Kucsko, urheber.recht, § 16 öUrhG, 233.
88 89 90 91 92
89
Clemens Appl/Roman Heidinger
naldatenträger und – wenn überhaupt – die erste Programmkopie am Client beim Downloaderwerb von Software.94 Bei der Verwertung von Nutzungsrechten an Computerprogrammen sind die pfandrechtlichen Vorschriften des §§ 1371, 1372 öABGB zum Schutz des Schuldners zu beachten. Wegen gleichgelagerter Interessenslage ist dieses Verbot nach der Rechtsprechung auch auf die Sicherungsabtretung anwendbar.95 § 1371 öABGB verbietet die Abrede, dass nach der Verfallzeit der Schuldforderung das Pfandstück dem Gläubiger zufallen soll (Verfallsklausel, lex commissoria). Die Norm soll den Schuldner davor schützen dem Gläubiger, im Vertrauen darauf, dass dies ohnedies nicht eintreten werde, für den Fall der Nichtbezahlung nach Pfandreife eine Sache zu versprechen, deren Wert die gesicherte Forderung übersteigt.96 Die Bestimmung dient allgemein dem Schutz des Schuldners vor der typischen Gefahr, die von solchen Vereinbarungen ausgeht. Es kommt daher nicht auf das Bestehen eines konkreten Wertmissverhältnisses zwischen Pfand und gesicherter Forderung an.97 Zusammenfassend ergibt sich somit, dass eine Vereinbarung wonach die Nutzungsrechte im Sicherungsfall ohne weiteres dem Sicherungsgeber zustehen, unzulässig ist.98 Auch die Veräußerung zu einem im Voraus bestimmten Preis und die willkürliche Veräußerung der Pfandsache werden durch § 1371 öABGB verboten. Wird der Veräußerungspreis nämlich im Vorhinein festgelegt, so hat der Pfandgläubiger oftmals keinen Anreiz, sich im Interesse des Pfandbestellers um einen höheren Erlös zu bemühen. Selbst eine Vereinbarung, wonach der Gläubiger zur bestmöglichen außergerichtlichen Pfandverwertung verpflichtet wird, ist nach der h. M. unzulässig.99 Zulässig ist jedoch eine Vereinbarung, wonach die Veräußerung zu einem von einem Sachverständigen ermittelten Preis zu erfolgen hat.100 _________________
94 S. m. w. N. Anderl in Kucsko, urheber.recht, § 16 öUrhG, 234 ff.; Wiebe/ Appl, MR 2007, 186 (191). 95 Oberhammer/Domej in Kleteèka/Schauer, ABGB-ON 1.00, §§ 1371, 1372 öABGB Rz. 17. 96 Oberhammer/Domej in Kleteèka/Schauer, ABGB-ON 1.00, §§ 1371, 1372 öABGB Rz. 11. 97 Oberhammer/Domej in Kleteèka/Schauer, ABGB-ON 1.00, §§ 1371, 1372 öABGB Rz. 12 m. w. N.; OGH v. 23.11.1999 – 4 Ob 274/99v, MR 2000, 162. 98 OGH 4 Ob 274/99v, MR 2000, 162. 99 Oberhammer/Domej in Kleteèka/Schauer, ABGB-ON 1.00, §§ 1371, 1372 öABGB Rz. 12 m. w. N. 100 OGH v. 19.1.2002 – 5 Ob 295/01w, ecolex 2002/230.
90
Software als Kreditsicherheit
Im Fall, dass ein Nutzungsrecht sicherungshalber übertragen wurde, kann die Verwertung unmittelbar durch den Sicherungsnehmer erfolgen. Einer Klage bedarf es nicht, da der Sicherungsnehmer schon bei der Bestellung der Sicherheit das Vollrecht erworben hat. Die oben dargestellten, zwingenden Vorschriften zum Schutz des Sicherungsgebers sind aber auch hier einzuhalten. Es liegt daher nahe zu vereinbaren, dass die sicherungsweise abgetretenen Nutzungsrechte zu einem Preis, der von einem unabhängigen Sachverständigen festgelegt wird, verwertet werden können. Unbeschadet einer solchen Abrede ist eine nachträgliche Einigung über den Erlös bei Eintritt des Sicherungsfalls möglich, bei der es sich ja um nichts anderes als eine – grundsätzlich zulässige – Vereinbarung einer Leistung zahlungshalber oder an Zahlungs statt handelt.101 Bei der Verwertung verpfändeter Rechte bedarf es grundsätzlich der Klage (§ 461 öABGB) und Zwangsvollstreckung. Bei Rechten und damit auch bei urheberrechtlichen Nutzungsbefugnissen ist gem § 332 öEO im Normalfall der freihändige Verkauf durch das Gericht als Verwertungsform vorgesehen. Die Modalitäten der Verwertung sind daher, falls bei Eintritt des Sicherungsfalls nicht eine Einigung erzielt wird, durch die gesetzlichen Bestimmungen vorgegeben. Freilich kann – unter Berücksichtigung der Schuldnerschutzbestimmungen – auch die außergerichtliche Verwertung vereinbart werden, was für die Vertragspraxis empfehlenswert erscheint. Abschließend ist darauf zu verweisen, dass die Verwertbarkeit auch aus technischer Sicht sichergestellt werden muss. Mit Blick auf die Gebrauchtsoftwarediskussion ist festzuhalten, dass ein schlichtes Nutzungsrecht ohne gleichzeitige Übergabe einer rechtmäßig in Verkehr gesetzten Programmkopie zwar übertragbar, aber ohne rechtmäßige Programmkopie wertlos ist. Eine rechtmäßige Nutzung des Computerprogramms erfordert neben der Nutzungsbefugnis auch das Vorliegen einer rechtmäßig hergestellten Programmkopie. Umgekehrt ist die Verpfändung eines Softwareexemplars nicht zwingend wertlos, wenn die damit verbundene urheberrechtliche Nutzungsbefugnis unübertragbar ist oder nicht mitverpfändet wurde, weil das Softwareexemplar grundsätzlich auch durch Zwangsverwaltung innerhalb der urheberrechtlichen Grenzen verwertet werden kann. IdR wird diese Verwertungsform jedoch wenig erfolgversprechend sein und nur _________________
101 Oberhammer/Domej in Kleteèka/Schauer, ABGB-ON 1.00, §§ 1371, 1372 öABGB Rz. 14.
91
Clemens Appl/Roman Heidinger
im Fall besonders teurer bzw. spezialisierter Softwarepakete aus Gläubigersicht interessant sein. Wesentlich ist schließlich auch, dass im Sicherungsfall der Quellcode und die Dokumentation verfügbar ist um die Software auch unabhängig vom Sicherungsgeber verwerten zu können. Hinsichtlich des Sourcecodes kann auf bewährte Methoden der Quellcodehinterlegung zurückgegriffen werden. Für die Verwertbarkeit der Software im Sicherungsfall ist auch die Verfügbarkeit von Fremdkomponenten (Programmbibliotheken udgl) von großer Bedeutung. Falls diese nicht frei auf dem Markt angeboten werden, scheint es notwendig, dass sich der Sicherungsnehmer die Nutzungsrechte schon vorab sichert.
VI. Zusammenfassung Software eignet sich – unter Berücksichtigung des Dualismus von Softwareexemplar und urheberrechtlicher Nutzungsbefugnis – auf Grundlage der österreichischen Rechtslage als Mittel zur Kreditsicherung, wenngleich die Verwertungsmöglichkeiten mitunter stark eingeschränkt sind. Vor allem bei Software, die online – also ohne Verkörperung des Softwareexemplars in einem Originaldatenträger – vertrieben wird, stößt die faktische Verwertbarkeit der bloßen Nutzungsbefugnis an ihre Grenzen, zumal in diesen Fällen Übertragungsverbote eine Verwertung durch Veräußerung ausschließen und eine Verwertung durch Zwangsverwaltung meist nur beschränkt sinnvoll ist. Soweit Nutzungsrechte an Software im Rahmen eines Softwareentwicklungsvertrags von Seiten des Herstellers als Sicherheit bestellt werden, können sowohl urheberrechtliche Nutzungsbefugnisse am bereits bestehenden als auch am zukünftigen Werk pfandweise oder durch Sicherungsübereignung eingeräumt werden. Dabei ist freilich auf die Einhaltung der sowohl für das Pfandrecht als auch für die Sicherungsübereignung geforderten erhöhten sachenrechtlichen Publizität hinzuweisen. Diese wird i. d. R. durch Drittschuldnerverständigung – also durch Verständigung des Urhebers bzw. der Urheber über die Sicherungsbestellung – erfolgen müssen. Auch der Buchvermerk in den Geschäftsbüchern des Sicherungsgebers erscheint als Publizitätsakt möglich. Mit Blick auf die Verwertung ist aber zu berücksichtigen, dass die bloße Nutzungsbefugnis für sich genommen nicht werthaltig ist, wenn damit nicht zugleich ein (insolvenzfester) faktischer Zugriff auf das Computerprogramm – insbesondere durch Quellcodehinterlegung oder Übergabe einer Programmkopie – sichergestellt wird. 92
Sicherungsrechte und Software – Länderbericht Schweiz RA Dr. Robert G. Briner* I. Grundlegendes II. Vorbehalte bei Zwangsverwertung III. Lizenzverträge IV. Was wird verpfändet? 1. Wertbestimmung des verpfändeten Rechts 2. Steuerbarkeit einer Verpfändung
3. Gültigkeit des verpfändeten Rechts 4. Registerliche Eintragung 5. Internationalprivatrechtliche Besonderheiten 6. Probleme der Pfandverwertung V. Zusammenfassung
I. Grundlegendes Der Schweizer Gesetzgeber hat Urheberrechte bewusst als wirtschaftliche Werte ausgestaltet, ebenso wie Patente, Marken und Designs. Folgerichtig sind Urheberrechte nach Art. 16 Abs. 1 des Schweizer Urheberrechtsgesetzes (URG) vom 19.10.1992 übertragbar: „Das Urheberrecht ist übertragbar und vererblich“. Unübertragbar sind lediglich die Urheberpersönlichkeitsrechte. Diese umfassen die Anerkennung der Urheberschaft (Art. 9 Abs. 1 URG), das Recht auf Erstveröffentlichung (Art. 9 Abs. 2 URG), den Schutz vor entstellenden oder persönlichkeitsverletzenden Änderungen des Werks (Art. 11 Abs. 2 URG) und das Recht auf Rücknahme von Unikaten, wenn deren Eigentümer sie zerstören will (Art. 15 URG). In der Literatur werden die vielfältigen Verwendungsrechte, das Änderungsrecht, und der Erlaubnisvorbehalt betreffend die Erstellung eines Werks zweiter Hand (Bearbeitung) und betreffend die Aufnahme des Werks in ein Sammelwerk als „Vermögensrechte“ zusammengefasst. Verpfändbar ist gemäss Art. 899 des Schweizer Zivilgesetzbuches (ZGB) alles, was übertragbar ist. Da man die urheberrechtlichen Vermögensrechte übertragen kann, können sie demnach auch Gegenstand einer Sicherungsübereignung sein, und können nach Art. 899 ZGB auch verpfändet werden. _________________
* Nach einem Referat anlässlich des Drei-Länder-Treffens der DGRI in Wien, 18. Juni 2011. Die Referatsform wurde beibehalten, einschliesslich der Beschränkung auf die wichtigsten Belegstellen.
93
Robert G. Briner
II. Vorbehalte bei Zwangsverwertung Eine Pfandverwertung erfolgt nach Schweizer Recht grundsätzlich im Rahmen einer behördlichen Zwangsvollstreckung. Damit wird Art. 18 URG beachtlich, gemäß welchem Urheberrechte der Zwangsvollstreckung zwar zugänglich sind, allerdings mit gewissen Einschränkungen. Zwangsverwertung ist nur für veröffentlichte Werke möglich, und zusätzlich muss der Urheber die zu verwertenden Rechte bereits „ausgeübt“ haben. Damit stellen sich die vom Gesetz selber nicht beantworteten Fragen, wann ein Werk veröffentlicht ist, und wann Urheberrechte ausgeübt sind. Einfach zu beantworten ist die Frage, wann Urheberrechte ausgeübt worden sind. Nach im wesentlichen einhelliger Auffassung ist es der Fall, wenn der Urheber Verwendungsrechte ausgeübt oder einem Dritten Verwendungsbefugnisse eingeräumt hat (Beispiel: eine Lizenz einräumen), oder wenn er Rechte daran abgetreten hat. Das dürfte bei Software der Regelfall sein. Weil bei Software normalerweise und vereinfachend gesprochen der Programmierer nicht der Verwerter ist, erfolgt eine Ausübung von Rechten bereits bei der Rechteübertragung an den Arbeitgeber. Deutlich unschärfer ist die Rechtslage bezüglich Veröffentlichung. In der seinerzeitigen Botschaft (erläuternde Bemerkungen zum Gesetzesentwurf) von 1989 schrieb der Bundesrat auf Seite 528, ein Werk sei veröffentlicht, wenn es der Urheber einem Kreis von Personen zur Kenntnis gebracht habe, den er nicht mehr kontrollieren könne. Im Verkauf eines Werks oder Werkexemplars soll ferner vermutungsweise die Einwilligung zur Veröffentlichung durch den Erwerber mitenthalten sein. Da stellen sich schon bei einem Werk der Literatur, Musik oder bildenden Kunst Fragen. Die Lesung im Literaturverein, die Uraufführung oder die Ausstellung für geladene Gäste haben nicht zwingend zur Folge, dass der Urheber den Personenkreis nicht mehr kontrollieren kann. Bei Software sind die Verhältnisse erst recht nicht trivial. Zwar werden Werkexemplare von Software lizenziert, was wohl in Analogie zum Verkauf als Einwilligung zur Veröffentlichung gelten kann. Aber was kann der Lizenznehmer veröffentlichen? Genügt Veröffentlichung im Object Code? Genügt die Veröffentlichung eines Setup-Files? Welche Folgen haben die verbreiteten Vertraulichkeitsklauseln in Lizenzverträgen? Ist Software, die nicht im Massengeschäft zu Standardbedin94
Sicherungsrechte und Software – Länderbericht Schweiz
gungen an jedermann lizenziert („verkauft“) wird, sondern nur fallweise, überhaupt je veröffentlicht? Gerichtliche Entscheidungen zu diesen Fragen fehlen vollständig, und die Literatur ritzt nicht einmal die Oberfläche der Problematik. Diese grundsätzlichen Überlegungen führen zu folgenden Erkenntnissen, auf welchen aufgebaut werden kann: –
die urheberrechtlichen Vermögensrechte an Software sind übertragbar, und die Übertragung bedeutet eine Ausübung;
–
eine Sicherungsübereignung von Software ist daher möglich, und damit auch eine Verpfändung;
–
es kann unklar sein, ob bzw. wann Software veröffentlicht wurde, was dann allenfalls eine Zwangsverwertung hindert, wobei Literatur und Judikatur dazu fehlen.
III. Lizenzverträge Software ist Bestandteil des Wirtschaftslebens mit deutlich anderen Rahmenbedingungen als Literatur, Musik oder Malerei. In der Praxis wurden zumindest in wirtschaftlichen besseren Zeiten sehr oft Lizenzverträge als Sicherheiten für Kredite akzeptiert. Aber sind Lizenzverträge übertragbar? Die Übertragung eines Vertrags beinhaltet auch eine Schuldübernahme, und diese erfordert die Zustimmung des Gläubigers. Es kann nicht davon ausgegangen werden, dass der Lizenznehmer als Gläubiger jeweils – oder gar ohne Anfrage – damit einverstanden ist, dass die ihm lizenzierte Software einem Dritten verpfändet wird und potentiell entweder in die Hände dieses Dritten oder gar nach amtlicher Zwangsverwertung in irgendwelche Hände gerät. Lizenzverträge mit laufenden (z. B. monatlichen) Lizenzgebühren und ebenso zugehörige Wartungsverträge würden sich an sich wegen des regelmässigen Einkommensstroms als Sicherheiten sehr eignen. Vertragsrechtlich ist aber nicht daran vorbeizukommen, dass eine solche Verpfändung ohne die Einwilligung des Lizenznehmers unwirksam ist. Zu beachten sind auch die in vielen Lizenzverträgen ausserhalb des Massengeschäfts vorkommenden „Change of Control“-Klauseln, gemäß welchen eine Änderung in den Herrschaftsverhältnissen einer Partei ein Recht zur Vertragsauflösung geben kann.
95
Robert G. Briner
Darf eine Software überhaupt übertragen bzw. verpfändet werden, wenn Lizenzverträge bestehen, die sich auf diese Software beziehen? Man wird annehmen müssen, dass eine solche Übertragung bzw. Verpfändung mindestens (!) potentiell mit den Vertragspflichten des Lizenzgebers unverträglich ist, denn er entäussert sich der Herrschaftsmacht. Ungeklärt ist freilich, ob es in Anbetracht der beliebigen Spaltbarkeit von Urheberrechten möglich ist, die Urheberrechte nur soweit zu verpfänden, als sie nicht lizenziert sind. Lizenzierung schmälert ja das beim Rechteinhaber verbleibende Recht nicht, er kann beliebig oft lizenzieren. Eine Verpfändung hätte dann nur Auswirkungen auf den Abschluss weiterer Lizenzverträge. Der im Wirtschaftsleben allgegenwärtige Software-Lizenzvertrag wirft somit eine Reihe von Fragen bezüglich der Sicherungsübereignung und Verpfändbarkeit von Software auf.
IV. Was wird verpfändet? Nach Schweizer Auffassung wird nur das verpfändete Recht per se von einer Verpfändungsklausel erfasst. Verpfändungsklauseln werden zudem generell restriktiv ausgelegt. Sogenannte „natürliche Früchte der Pfandsache“ gehören trotz Verpfändung dem Eigentümer, wenn sie abtrennbar sind (Art. 892 des Schweizer Zivilgesetzbuchs, ZGB). Daher sind bereits bestehende oder zukünftige Forderungen wegen erlaubter Nutzung der Software (Lizenzgebühren) oder wegen Verletzung des Urheberrechts im Zweifel nicht mitverpfändet. Aus derselben Bestimmung wird abgeleitet, dass der Pfandgläubiger das verpfändete Recht selber nicht nutzen und daher selber keine Lizenzverträge abschliessen darf. Diese Grundhaltung ist im ZGB durchgängig. So ist beispielsweise gemäss Art. 905 ZGB mit verpfändeten Aktien an der Generalversammlung nach wie vor der Aktionär (Verpfänder) stimmberechtigt, nicht der Pfandgläubiger. Diese Regeln gelten aber nur mangels klarer anderer Regelung. Es ist zum Beispiel zulässig, verbundene Forderungen mitzuverpfänden. Auch zukünftige Forderungen können mitverpfändet werden; einzige Voraussetzung ist, dass bei deren Entstehen klar bestimmbar ist, ob sie von der Pfandhaft erfasst werden oder nicht. Werden nebst der Software Forderungen mitverpfändet, ist zu beachten, dass sie möglicherweise einem anderen Recht unterstehen als das Recht selbst. Das Urheberrecht untersteht wohl in Anbetracht des Schutz96
Sicherungsrechte und Software – Länderbericht Schweiz
landprinzips der RBUe dem Recht am Ort der Zwangsvollstreckung, Lizenzforderungen werden aber dessenungeachtet dem für diese anwendbaren oder gewählten Recht unterstehen. Das kann zu sehr erheblichen Komplexitäten führen. 1. Wertbestimmung des verpfändeten Rechts Der Praktiker weiss, dass die Bewertung von Immaterialgüterrechten ganz generell ein dorniges Thema ist. Das rührt zunächst daher, dass Immaterialgüter oft gar nicht eingebucht sind, oder dann mit einem pro-memoria-Wert. Auch wenn Software eingebucht ist, ist der Buchwert selten je brauchbar, weil internationale Buchungs-Regelwerke wie GAAP nur eine sehr tiefe Bewertung gestatten. Für eine sinnvolle Bewertung von Software als Sicherheit für einen Kredit muss also auf andere Bewertungsmöglichkeiten zurückgegriffen werden. Das kann beispielsweise der Buchwert zusammen mit einem buchmässigen „Goodwill“ sein; Unternehmen mit wertvollen Marken (z. B. Nestlé, Coca Cola, Apple) buchen den Markenwert nicht selten so ein, und für Software kann dasselbe gelten. Bei grossem Lizenzgebührenaufkommen kann dieses kapitalisert werden. Eine allerdings aufwendige Bewertung kann sich im Rahmen einer Unternehmensbewertung ergeben; das lässt sich rechnerisch relativ klar und insbesondere nachvollziehbar herleiten. Aber alle diese Werte sind nicht gleichbedeutend mit dem, was sich bei einer Zwangsverwertung erzielen lässt. Hinzu kommt, dass die Zwangsverwertung zwar im amtlichen Zwangsvollstreckungsverfahren erfolgt, dass dieses aber auch den Freihandverkauf gestattet. Der erzielbare Wert im Freihandverkauf nach Verhandlungen mit Interessenten weicht potentiell sehr stark vom Wert ab, der sich bei konkursamtlicher Versteigerung erzielen lässt. Auch die zahlreichen weiteren Bewertungsmodelle helfen alle nicht wirklich weiter. Genannt seien hier die Kosten einer Neuentwicklung, der Einbezug eines „Brand“ („Apple“-Software), die kapitalisierten gemäß Bewertung erzielbaren Erträge. Jede Bewertung ist mit grossen Unsicherheiten behaftet. Eine Verpfändung macht nur Sinn, wenn einigermaßen klar feststeht, welchen Wert das verpfändete Gut hat. Es führt daher kein Weg daran vorbei, dass aus einer grossen Anzahl und Vielfalt von Modellen, die praktisch immer auf Hypothesen fußen, zwangsläufig eines gewählt werden muss. 97
Robert G. Briner
2. Steuerbarkeit einer Verpfändung Der Verkauf von Immaterialgüterrechten hat fast immer Steuerfolgen. Weil Buchungs-Regelwerke restriktive Regeln vorschreiben, führt der Verkauf eines Immaterialguts praktisch immer zu einem Buchgewinn, der in der Schweiz als „Realisierung stiller Reserven“ besteuert wird. Der Verpfänder von Software tut gut daran, die anwendbaren Steuergesetze daraufhin zu prüfen, ob bereits die Verpfändung steuerliche Folgen hat, sei es als Realisierung stiller Reserven oder anderswie. Er tut auch gut daran zu prüfen, welches die steuerlichen Folgen einer Verwertung sein werden, wenn er eine Schuld von beispielsweise CHF 1 Mio durch Verwertung einer Software mit einem Buchwert von CHF 1.– tilgen kann. 3. Gültigkeit des verpfändeten Rechts Die formelle Gültigkeit des Urheberrechts an Software ist kein Thema, weil Urheberrechte keine Registerrechte sind. Nach allgemeiner Auffassung genügt bereits ein tiefes schöpferisches Niveau für die Erlangung von urheberrechtlichem Schutz. Auch in der Schweiz spricht man bei Software von der „kleinen Münze“ des Urheberrechts. Für den Pfandnehmer verbleibt mangels Registereintrag dennoch eine grössere Unsicherheit als bei Patent, Marken oder Designs. Hinzu kommt, dass Software vielfach wenig „greifbar“ ist, und dass gerade bei noch in Entwicklung befindlicher Software der Pfandnehmer (typischerweise eine Bank) im Ernst den Stand der Dinge gar nicht beurteilen kann. Die materielle Gültigkeit muss in das Bewertungsverfahren einfliessen. Die wesentlichen Faktoren sind pendente oder (erfolgreich) überstandene gerichtliche Auseinandersetzungen und der Markterfolg. Vertragskautelarisch sind entsprechende Zusicherungen oder umgekehrt Freizeichnungen im Pfandvertrag denkbar. Es ist an sich empfehlenswert, im Pfandvertrag zu regeln, was die Folgen einer erstellten Ungültigkeit sind, aber in der Praxis wird das kaum je gemacht. Sehr schwierig kann auch die Frage sein, ob der Pfandgläubiger berechtigt sein soll, den Pfandeigentümer anzuweisen, bei Verletzungen sein Urheberrecht gerichtlich geltend zu machen, oder ob er dort Mitwirkungsrechte hat.
98
Sicherungsrechte und Software – Länderbericht Schweiz
4. Registerliche Eintragung Während für Marken, Patente und Designs die Verpfändung registerlich eingetragen werden kann, ist das für Urheberrechte offensichtlich nicht möglich. Nach Schweizer Auffassung ist aber die einzige Folge eines Registervermerks, dass er den guten Glauben eines Erwerbers zerstört. Ein Registervermerk ist somit nicht konstitutiv, und daher auch nicht erforderlich. 5. Internationalprivatrechtliche Besonderheiten Der Schweizer Gesetzgeber hat für die Verpfändung von Rechten in Art. 105 des Bundesgesetzes über das Internationale Privatrecht (IPRG) eine Lösung gewählt, die in den umliegenden Ländern soweit ersichtlich bewusst nicht gewählt wurde. Sie scheint auf den ersten Blick einfach, schafft aber mehr Probleme als sie löst. Grundregel ist (Art. 105 Abs. 2 IPRG), dass auf den Pfandvertrag (einschliesslich des nicht vertragsrechtlichen, sondern sachenrechtlichen Vorgangs der Verpfändung als solcher) dasjenige Recht angewendet wird, dem das verpfändete Recht untersteht. Das scheitert bei Software am Schutzlandprinzip der RBUe, wobei man ersatzweise davon ausgehen kann, dass es sich um das Recht am Ort der Pfandverwertung handelt. Betreffend Forderungen gilt nach Art. 105 Abs. 2 IPRG das Recht am gewöhnlichen Aufenthaltsort des Pfandgläubigers (!). Das führt im Falle von Software, bei welcher Lizenzforderungen mitverpfändet werden, zum gefürchteten sogenannten „Splitting“, weil die Pfandsache zwei verschiedenen Rechten unterstehen kann. Der Gesetzgeber wollte daher eine Flexibilisierung, und erlaubt deswegen in Art. 105 Abs. 1 IPRG eine Rechtswahl der Parteien. Er fügt aber gleich bei, dass diese Rechtswahl Dritten nicht entgegengehalten werden kann. Und weil sich auch der Gesetzgeber bewusst ist, dass Forderungen wie zum Beispiel Lizenzgebühren aufgrund von ganz unabhängig abgeschlossenen Verträgen entstehen, fügt er in Art. 105 Abs. 3 IPRG bei, dass dem Schuldner (Lizenznehmer) nur das Recht entgegengehalten werden könne, das für diese Forderung anwendbar sei. Das Resultat ist ein Alptraum. Die Verpfändung von Software samt Lizenzgebühren endet in potentiell nicht nur zwei, sondern unbestimmt vielen Rechtsordnungen. Literatur und Gerichtspraxis fehlen vollständig. Vollends unüberschaubar werden die Verhältnisse in den typischen Drei-Parteien-Verhältnissen, wo z. B. der Konzern einen 99
Robert G. Briner
Kredit bei der Bank aufnimmt, und für diesen Kredit seine SoftwareTochter veranlasst, deren Software als Sicherheit zu verpfänden. Wie man sieht, versucht Art. 105 IPRG die Dinge durch Rechtswahl zu vereinfachen, muss dann aber zum Schutz des Pfandgläubigers (typischerweise des Kreditgebers) soviel Gegensteuer geben, dass die Regelung im Endergebnis nur als gründlich misslungen bezeichnet werden kann. 6. Probleme der Pfandverwertung Für die Pfandverwertung als solche ist zweifellos die lex fori bzw. lex situ anwendbar. Im Fall von Konkurs hat schon das ein grosses Konfliktpotential, weil es damit nicht auf das vereinbarte oder gesetzlich auf den Pfandvertrag anwendbare Recht ankommt, von den Herausforderungen des internationalen Konkursrechts noch ganz abgesehen. Ein jahrelanges Verwertungsverfahren wird jedenfalls die Software entscheidend entwerten. Es ist nach Schweizer Recht zulässig, eine sogenannte Freihandverwertung durch den Pfandgläubiger selber zu vereinbaren (Art. 890/891 ZGB). Eine solche bringt dem Verpfänder Chancen, weil der Pfandgläubiger ein eigenes Interesse an einer bestmöglichen Verwertung hat. Die Kehrseite ist das Risiko, dass der Pfandgläubiger den Markt wohl nicht so gut kennt wie der Verpfänder, und sich für den Pfandausfall dann erneut an den Verpfänder hält. Kooperative Regelungen – Mithilfe oder gar Mitspracherecht des Verpfänders in der Freihandverwertung – sind durchaus denkbar und zulässig. Kommt es zur amtlichen Pfandverwertung, gilt hierfür nach Schweizer Schuldbetreibungs- und Konkursrecht (SchKG) eine Art von Blankettklausel für das Konkursamt (Art. 132 SchKG), wonach dieses das geeignete Verfahren weitgehend frei festlegen kann. Der Ermessensspielraum ist gross. Gerichtspraxis besteht nur für untergeordnete Punkte, und auch die Aufsichtsbehörden über die Konkursämter lassen den Dingen den Lauf. Erfahrungen der Praxis zeigen, dass die Konkursämter auch noch in der heutigen Zeit über praktische keine Erfahrungen verfügen. Dem Autor ist ein Fall der Verwertung bekannt, wo das Konkursamt einer Konkurrentin des konkursiten Unternehmens die PCs gegen billiges Geld freihändig verkaufte, obwohl sich darauf Spezialsoftware im Wert von einigen hunderttausend Franken befand.
100
Sicherungsrechte und Software – Länderbericht Schweiz
V. Zusammenfassung Software ist als urheberrechtlich geschützter Vermögenswert übertragbar und kann daher Gegenstand einer Sicherungsübereignung oder Verpfändung sein. Diese einfache und klare Ausgangslage wird im praktischen Wirtschaftsleben bereits dann komplex, wenn es Lizenzverträge bezüglich der Software gibt, besonders in internationalen Verhältnissen, weil dann leicht zwei oder noch mehr Rechtsordnungen anwendbar werden. Schwierigkeiten bereiten auch die Bestimmung des Werts der Software, die möglichen steuerlichen Folgen, und die Pfandverwertung. Es ergibt sich, dass Software aus der rechtlichen Perspektive als Sicherheit taugt, dass sich aber aus der praktisch-wirtschaftlichen Sicht grosse Schwierigkeiten auftürmen.
101
.
Software als Kreditsicherheit Dr. Kai-Uwe Plath, LL.M. (Columbia University) KNPZ Rechtsanwälte Hamburg
I. Einleitung II. Sicherungsinstrumente im Überblick 1. Sicherungszession der Rechte an Software a) Konzept der Sicherungszession b) Übertragbarkeit der Rechte an Software als Voraussetzung für die Sicherungszession c) Zustimmungserfordernis des Urhebers d) Zustimmungserfordernis weiterer Parteien in der Rechtekette e) Verwertung der Software im Sicherungsfall 2. Verpfändung der Rechte an Software a) Konzept der Verpfändung b) Übertragbarkeit der Rechte an Software als Voraussetzung für die Verpfändung c) Weitere Voraussetzung für die Verpfändung der Software d) Verwertung der Software im Sicherungsfall
3. Nießbrauch an Software a) Konzept des Nießbrauchs b) Übertragbarkeit der Rechte an Software als Voraussetzung für die Einräumung des Nießbrauchs c) Verwertung der Software im Sicherungsfall 4. Zusammenfassung zu den Sicherungsinstrumenten III. Ausgestaltung des Sicherungsvertrages 1. Bestimmung des Sicherungsgegenstands 2. Verknüpfung mit dem Kreditvertrag 3. Haftung, Gewährleistung und Aufrechterhaltung 4. Nutzungsrechte bis zum Sicherungsfall 5. Definition des Sicherungsfalls und Verwertungsrechte 6. Beendigung der Sicherheit IV. Zusammenfassung
Literatur: Beucher/Frentz, Kreditsicherung bei Filmproduktionen, ZUM 2002, 511; Klawitter/Hombrecher, Gewerbliche Schutzrechte und Urheberrechte als Kreditsicherheiten, WM 2005, 1213; Kotthoff/Pauly, Software als Kreditsicherheit, WM 2007, 2085; McGuire/von Zumbusch/Joachim, Verträge über Schutzrechte des geistigen Eigentums (Übertragung und Lizenzen) und dritte Parteien, GRUR Int 2006, 682; Palandt, Bürgerliches Gesetzbuch, 70. Auflage, 2011; Plath, Nießbrauch an Software, CR 2005, 613; Plath, Pfandrechte an Software, CR 2006, 217; Schricker/Loewenheim, Urheberrecht, 4. Auflage, 2010.
103
Kai-Uwe Plath
I. Einleitung In Zeiten der Finanzkrise stehen viele Unternehmen vor einem erhöhten Finanzierungsbedarf. Banken und sonstige Kreditgeber gewähren die benötigten Kredite in der Regel jedoch nicht ohne die Bestellung von Sicherheiten. Im Zuge der allgemeinen wirtschaftlichen Entwicklung hin zur Dienstleistungsgesellschaft verfügen viele Unternehmen kaum noch über geeignete „Assets“, die sich zur Besicherung von Krediten eignen. Dies gilt nicht nur für junge Start-ups im Online-Bereich, sondern mittlerweile auch für viele Unternehmen des produzierenden Gewerbes. Vor diesem Hintergrund wird Software seit vielen Jahren zunehmend zur Besicherung von Krediten eingesetzt. Erstaunlicherweise hat die Ausgestaltung der entsprechenden Verträge dieser Entwicklung jedoch nur bedingt stand gehalten. Vielfach wird lediglich pauschal auf eine Gesamtheit von Gegenständen und Rechten verwiesen, die als Sicherheit gewährt werden sollen. Doch auch wenn gewerbliche Schutzrechte und sonstige Immaterialgüterrechte in diesen Verträgen spezifische Erwähnung finden, lässt sich häufig feststellen, dass die Besonderheiten des Softwarerechts nicht oder nur bedingt berücksichtigt worden sind. Der vorliegende Beitrag soll daher aufzeigen, inwieweit sich Software als Sicherheit eignet, welche Instrumente zur Verfügung stehen und welche Besonderheiten bei der Vertragsgestaltung zu berücksichtigen sind.
II. Sicherungsinstrumente im Überblick Nachfolgend sollen zunächst die maßgeblichen Sicherungsinstrumente vorgestellt werden, namentlich die Sicherungszession (Ziffer 1.), die Sicherungsverpfändung (Ziffer 2.) und der Sicherungsnießbrauch (Ziffer 3.). Maßgeblich ist dabei stets, wenn nachfolgend von „Software“ die Rede ist, ob die aus dem Urheberrecht folgenden Rechte an der Software den Gegenstand eines entsprechenden Sicherungsrechts bilden können. Dagegen ist die Frage, ob die Datenträger, in denen die Software verkörpert ist, als Sicherheit herangezogen werden können, von lediglich untergeordneter Bedeutung.1
_________________
1 So auch bereits Kotthoff/Pauly, WM 2007, 2086; Plath, CR 2005, 613, 616.
104
Software als Kreditsicherheit
1. Sicherungszession der Rechte an Software a) Konzept der Sicherungszession Die Sicherungsabtretung richtet sich nach den §§ 398, 413 BGB. Nach § 398 BGB kann eine Forderung von dem bisherigen Gläubiger (Zedent) durch Vertrag auf einen Dritten (Zessionar) übertragen werden mit der Konsequenz, dass der neue Gläubiger an die Stelle des bisherigen Gläubigers tritt. Die Regelungen über die Forderungsabtretung gelten nach § 413 BGB für die Übertragung von Rechten entsprechend. Die Übertragung selbst stellt dabei das dingliche Verfügungsgeschäft dar. Sie ist rechtlich von dem zugrundeliegenden schuldrechtlichen Verpflichtungsgeschäft zu unterscheiden. Rechtsgrund der Abtretung kann dabei grundsätzlich jeder schuldrechtliche Vertrag sein. Der typische Fall dürfte bei der hier in Rede stehenden Konstellation der Kreditgewährung ein Sicherungsvertrag sein, unter dem sich der Inhaber der Rechte an der zu übereigenden Software gegenüber dem Kreditgeber zur Sicherungsabtretung dieser Rechte als Gegenleistung für die Gewährung des Darlehens oder eines sonstigen Kredits verpflichtet. Bei der Sicherungszession erwirbt der Sicherungsnehmer im Außenverhältnis die volle Gläubigerstellung, also die Stellung als neuer Rechtsinhaber. Allerdings ist diese Stellung im Innenverhältnis gegenüber dem bisherigen Rechteinhaber beschränkt. Kennzeichnend für die Sicherungszession ist dabei, dass der neue Rechtsinhaber über die erworbenen Rechte nur nach Maßgabe des Sicherungsvertrages verfügen kann. Man geht hier davon aus, dass ihm damit eine Stellung ähnlich der des Pfandgläubigers verschafft werden soll.2 b) Übertragbarkeit der Rechte an Software als Voraussetzung für die Sicherungszession Eine wirksame Sicherungszession setzt naturgemäß voraus, dass die in Rede stehenden Rechte übertragbar sind. Software unterfällt als „Computerprogramm“ dem Schutz des Urheberrechts, wenn sie ein individuelles Werk in dem Sinne darstellt, dass sie das Ergebnis der eigenen geistigen Schöpfung ihres Urhebers ist (§ 69a Abs. 3 UrhG). Allerdings sind Urheberrechte nach § 29 Abs. 1 UrhG unter Lebenden nicht übertragbar, so dass eine wirksame Sicherungszession an dem Urheberrechts selbst ausscheidet. Übertragbar sind indes die von dem Urheber eingeräumten Rechte zur Nutzung der Software, also die Nutzungsrechte _________________
2 Palandt/Grüneberg, BGB, § 398, Rn. 23.
105
Kai-Uwe Plath
nach § 31 Abs. 1 UrhG. Dies folgt aus § 34 Abs. 1 UrhG, wonach für die Übertragung der Nutzungsrechte lediglich die Zustimmung des Urhebers erforderlich ist. Damit ist in der praktischen Konsequenz auch eine Sicherungszession an Software, genauer gesagt an den daran bestehenden Nutzungsrechten, möglich.3 c) Zustimmungserfordernis des Urhebers Voraussetzung für eine solche Sicherungszession ist jedoch wiederum, dass der Zedent, wenn er nicht selber Urheber der Software ist, was in der Praxis selten vorkommen wird, über ein übertragbares Nutzungsrecht an der Software verfügt. Dies richtet sich danach, welche Rechte ihm von dem Urheber eingeräumt worden ist, also konkret, ob das ihm gewährte Nutzungsrecht nur ihm persönlich zusteht, oder ob er über das Recht verfügt, das ihm von dem Urheber eingeräumte Nutzungsrecht weiter zu übertragen. Selbstverständlich ist für eine solche Weiterübertragung nicht jeweils eine gesonderte Zustimmung des Urhebers, also des einzelnen Programmierers, erforderlich. Vielmehr hat dieser die Möglichkeit, dem Ersterwerber, also bei freien Programmierern z. B. seinem Auftraggeber, ein weiter übertragbares Nutzungsrecht einzuräumen (vgl. § 34 Abs. 5 S. 1 UrhG).4 Fehlt es an einer solchen Berechtigung zur Übertragung des Nutzungsrechts, so geht die Sicherungszession ins Leere bzw. ist zunächst schwebend unwirksam, denn ein gutgläubiger Erwerb an Rechten ist nicht wirksam möglich.5 Der Kreditgeber ist daher in der Praxis gut beraten, wenn er sich die Berechtigung zur Übertragung der Nutzungsrechte des Kreditnehmers durch Vorlage der entsprechenden Verträge nachweisen lässt. Häufig wird dazu eine Prüfung mehrerer Verträge in der Rechtekette erforderlich sein, denn zunächst fragt sich, ob die Rechte von dem jeweiligen Programmierer auf das betreffende Unternehmen übergegangen sind.6 Soweit die Software im Rahmen von Arbeits- oder Dienstverhältnissen entwickelt worden ist, hilft die Regelung des § 69b UrhG, wonach sämt_________________
3 Allgemeine Ansicht, vgl. z. B. Schricker/Loewenheim, UrhG, § 34, Rn. 21; Klawitter/Hombrecher, WM 2004, 1218; Kotthoff/Pauly, WM 2007, 2086. 4 Vgl. dazu auch Kotthoff/Pauly, WM 2007, 2090. 5 BGHZ 5, 116, 119 – Parkstraße 13; BGH v. 26.3.2009 – ZUM 2009, 852 Rn. 19 – Reifen Progressiv, BGH ZUM 2011, 397 Rn. 15 – Handel mit „gebrauchten“ Softwarelizenzen; Kotthoff/Pauly, WM 2007, 2086. 6 So auch bereits Kotthoff/Pauly, WM 2007, 2086.
106
Software als Kreditsicherheit
liche vermögensrechtlichen Befugnisse an dem Computerprogramm automatisch auf den Arbeitgeber übergehen, ohne dass es dazu einer weiteren vertraglichen Abrede bedürfte. Allerdings gilt dies nur für solche Computerprogramme, die der Arbeitnehmer „in Wahrnehmung seiner Aufgaben oder nach Anweisung des Arbeitgebers“ geschaffen hat (§ 69b Abs. 1 UrhG). Bei Entwicklungen in der Freizeit oder außerhalb des Aufgabenbereichs des Arbeitnehmers gilt die Regelung des § 69b UrhG also nicht, so dass es insoweit eines gesonderten Vertrages bedürfte. Ebenso findet der § 69b UrhG keine Anwendung, wenn die Software – wie in der Branche recht üblich – durch freie Mitarbeiter entwickelt wird.7 Schließlich ist eine abweichende vertragliche Regelung wirksam möglich, so dass sich auch bei der durch Arbeitnehmer entwickelten Software eine Prüfung der Arbeitsverträge empfiehlt, da diese einen Rechtevorbehalt zugunsten der Arbeitnehmer enthalten könnten. d) Zustimmungserfordernis weiterer Parteien in der Rechtekette Die vorstehend erwähnte Due Diligence Prüfung wird in der Praxis – wenn überhaupt – nur dann möglich sein, wenn beispielsweise ein mittelständiges Unternehmen die „In-house“ entwickelte Software als Kreditsicherheit verwenden möchte. Soll hingegen eine kommerziell verbreitete Standardsoftware als Kreditsicherheit genutzt werden, scheidet dieser Weg aus, wobei freilich mit einiger Wahrscheinlichkeit davon ausgegangen werden kann, dass der kommerzielle Anbieter über die erforderlichen Rechte verfügt. In diesen Fällen verlagert sich das Problem vielmehr dahin, dass die Nutzungsbedingungen der Hersteller in der Regel Übertragungsbeschränkungen vorsehen, mit denen die hier in Rede stehende Weiterübertragung der Nutzungsrechte – und sei es auch „nur“ zu Sicherungszwecken – ausgeschlossen werden soll. Fraglich ist in diesen Fällen, ob die entsprechenden Nutzungsbeschränkungen wirksam vereinbart worden sind. Angesprochen ist damit die derzeit heftig umstrittene Frage der Zulässigkeit des Handels mit „gebrauchter“ Software, die den BGH zuletzt veranlasst hat, die Thematik dem Europäischen Gerichtshof zur Vorabentscheidung vorzulegen.8 Wegen der Einzelheiten dieser Auseinandersetzung sei auf die Entscheidung des BGH und die dort aufgeführten weiteren Nachweise zum Meinungsstand in Rechtsprechung und Literatur verwiesen. Fest steht aber jedenfalls, dass _________________
7 Zur Problematik der Erstellung der Software durch freie Mitarbeiter und bei Auftragsentwicklungen vgl. Kotthoff/Pauly, WM 2007, 2088. 8 BGH v. 3.2.2011 – ZUM 2011, 397 Rn. 15 – Handel mit „gebrauchten“ Softwarelizenzen.
107
Kai-Uwe Plath
die Parteien bei einer geplanten Sicherungsübereignung von Standardsoftware die Frage der Zulässigkeit etwaiger Übertragungsverbote im Lichte der Entscheidung des BGH und der zu erwartenden Entscheidung des Europäischen Gerichtshofs im Lichte des konkreten Einzelfalls analysieren sollten, um zu verhindern, dass die Sicherungsübertragung mangels Übertragbarkeit der Nutzungsrechte an der Software scheitert. e) Verwertung der Software im Sicherungsfall Wann, in welcher Form und unter welchen Voraussetzungen der Kreditgeber zur Verwertung der Software berechtigt ist, obliegt der Vertragsfreiheit der Parteien und ist im Sicherungsvertrag zu regeln. Denkbar ist zum einen, dass der Kreditgeber die übereignete Software selber für eigene Zwecke nutzt. Allerdings dürfte dies in der Praxis die Ausnahme darstellen. Naheliegender ist eine Verwertung der Software im Wege des Weiterverkaufs oder der Vergabe von Lizenzen. 2. Verpfändung der Rechte an Software a) Konzept der Verpfändung Das Pfandrecht stellt ein dingliches Recht dar, welches den Pfandgläubiger berechtigt, sich wegen einer Forderung gegen den Verpfänder oder einen Dritten durch Verwertung des verpfändeten Gegenstands zu befriedigen (§ 1204 Abs. 1 BGB). Gegenstand des Pfandrechts kann auch ein Recht sein (§ 1273 Abs. 1 BGB). Die Bestellung des Pfandrechts an einem Recht erfolgt nach den für die Übertragung des Rechts geltenden Vorschriften (§ 1274 Abs. 1 BGB), im Bereich der urheberrechtlichen Nutzungsrechte also nach den §§ 398, 413 BGB. Anders als bei der Sicherungsabtretung verbleiben die Nutzungsrechte bei dem Pfandgeber. Diese sind lediglich durch das Pfandrecht belastet. Der Pfandgeber ist also weiterhin berechtigt, die Software zu nutzen. Die Interessen des Kreditgebers sind hingegen durch das Pfandrecht und die daraus folgenden Verwertungsbefugnisse gesichert. b) Übertragbarkeit der Rechte an Software als Voraussetzung für die Verpfändung Soweit ein Recht nicht übertragbar ist, kann ein Pfandrecht an diesem Recht nicht bestellt werden (§ 1274 Abs. 2 BGB). Damit ist, wie auch bei der Sicherungszession, die Übertragbarkeit des Nutzungsrechts Voraussetzung für eine Verpfändung. Diese ist, wie dargestellt, grundsätz108
Software als Kreditsicherheit
lich gegeben. Erforderlich ist allerdings auch bei der Verpfändung die Zustimmung des Urhebers. Denn nach h. M. ist diese Zustimmung gemäß § 34 UrhG nicht nur Voraussetzung für die wirksame Übertragung von Nutzungsrechten, sondern auch für die konstitutive Begründung dinglicher Rechte.9 Nutzungsrechte an Software sind damit grundsätzlich verpfändbar, soweit die entsprechende Zustimmung des Urhebers vorliegt.10 c) Weitere Voraussetzung für die Verpfändung der Software Zur Bestellung des Pfandrechts an einer Sache ist eine Übergabe der Sache erforderlich (§ 1205 Abs. 1 BGB). Aus § 1274 Abs. 1 BGB folgt allerdings, dass bei der Bestellung von Pfandrechten an Rechten eine Übergabe nur dann erforderlich ist, wenn diese Übergabe Voraussetzung für die Übertragung des Rechts ist. Im Bereich der urheberrechtlichen Nutzungsrechte ist dies nicht der Fall. Insofern kann ein Pfandrecht an dem Recht zur Nutzung einer Software also eingeräumt werden, ohne dass der Kreditgeber dazu z. B. eine Kopie des Softwarecodes erhalten müsste. Fraglich ist allerdings weiter, ob der Kreditnehmer die Verpfändung dem Urheber bzw. demjenigen, von dem er die Nutzungsrechte an der Software ableitet, anzuzeigen hat. Eine entsprechende Anzeigepflicht könnte sich aus § 1280 BGB ergeben. Danach ist die Verpfändung einer Forderung, zu deren Übertragung der Abtretungsvertrag genügt, nur wirksam, wenn der Gläubiger sie dem Schuldner anzeigt. Teilweise wird vertreten, dass eine solche Anzeigepflicht auch im Bereich der urheberrechtlichen Nutzungsrechte gelten soll.11 Allerdings gilt die Regelung des § 1280 BGB nur für Pfandrechte an Forderungen i. S. d. § 1279 BGB. Das Gesetz differenziert also zwischen Pfandrechten an Rechten im Allgemeinen, für die die Sonderregelungen der § 1273 ff. BGB gelten, und den weiteren Sonderregelungen speziell für Forderungen, für die die §§ 1280 bis 1290 BGB gelten. Insoweit wird vertreten, dass Immaterialgüterrechte, ebenso wie andere dingliche Rechte, nicht zu den von § 1280 BGB erfassten Forderungen gehören. Zu Begründung wird angeführt, dass bei diesen Rechten der Schutz des Schuldners entweder durch Koppelung von Leistungspflicht und Herausgabe von Urkunden oder _________________
9 Beucher/Frentz, ZUM 2002, 511, 514. 10 Für urheberrechtliche Nutzungsrechte so auch bereits Klawitter/Hombrecher, WM 2004, 1218; Schricker/Loewenheim, UrhG, § 34, Rn. 21. 11 So etwa Beucher/Frentz, ZUM 2002, 511, 516.
109
Kai-Uwe Plath
durch die Möglichkeit der Grundbucheinsicht erfolge.12 Für den Bereich der Immaterialgüterrechte überzeugt diese Begründung nicht, da insbesondere im Bereich der urheberrechtlichen Nutzungsrechte weder eine Übergabe der Software zur Bestellung des Pfandrechts erforderlich ist, noch die Einsicht in ein Register Aufschluss über die Rechtslage bringen könnte. Es besteht damit jedenfalls mit Blick auf den Schutzzweck der Norm eine gewisse Indikation dafür, dass auch im Bereich der urheberrechtlichen Nutzungsrechte eine Anzeige Voraussetzung für die wirksame Bestellung eines Pfandrechts ist. In der Praxis empfiehlt es sich daher in jedem Fall, eine Anzeige zu tätigen, um das Risiko der Unwirksamkeit nach § 1280 BGB zu vermeiden. Bei der Bestellung eines Pfandrechts ist weiter zu berücksichtigen, dass die Bestellung eines Pfandrechts der Einräumung von Lizenzen an der Software durch den Rechteinhaber nicht entgegen steht.13 Daher besteht das Risiko einer wirtschaftlichen Entwertung des Pfandrechts, wenn der Kreditnehmer vor Eintritt des Sicherungsfalls Dritten eine ausschließliche Lizenz an der Software erteilt, denn der Kreditgeber könnte die Software anschließend nur belastet verwerten. d) Verwertung der Software im Sicherungsfall Voraussetzung der Verwertung der Software ist die Pfandreife, also nach dem Gesetz die Fälligkeit der besicherten Forderung (vgl. §§ 1273 Abs. 2, 1228 Abs. 2 BGB). Abweichend davon wird das Recht zur Verwertung in der Praxis häufig an weitere Voraussetzungen geknüpft, etwa dahingehend, dass eine Verwertung erst im Falle des Verzuges bei der Rückzahlung der besicherten Darlehensforderung erfolgen darf.14 Die Verwertung der Software bei Pfandreife richtet sich nach § 1277 BGB. Danach erfolgt die Befriedigung des Pfandgläubigers aus dem verpfändeten Recht, und zwar – anders als bei Verwertung eines Faustpfandes gemäß §§ 1228, 1233 – aufgrund eines vollstreckbaren Titels im Wege der Zwangsvollstreckung. Ziel dieser Regelung ist es, den Schuldner vor der Verschleuderung seines Vermögens schützen, da man davon _________________
12 Sosnitza in Bamberger/Roth, Beck’scher Online-Kommentar BGB, Stand 1.3.2011, § 1280 Rn. 2. 13 Siehe dazu McGuire/von Zumbusch/Joachim, GRUR Int 2006, 682, 689, m. w. N. auch zur Gegenansicht. 14 Eine solche Vereinbarung hat allerdings lediglich schuldrechtlichen Charakter, d. h. der Pfandverkauf bleibt weiter „rechtmäßig“ i. S. d. § 1242 BGB, vgl. Palandt/Bassenge, BGB, § 1228, Rn. 2.
110
Software als Kreditsicherheit
ausgeht, dass der Privatverkauf wegen der Unsicherheit der Schätzung des Rechtes regelmäßig zu keinem angemessenen Ergebnis führen würde.15 Diese Art der Verwertung im Wege der Zwangsvollstreckung ist für den Kreditgeber – gerade im Vergleich zur Sicherungsabtretung – freilich recht aufwändig und zeitintensiv. Es besteht daher das Bedürfnis nach einer abweichenden vertraglichen Regelung. Eine solche ist grundsätzlich möglich, allerdings nur innerhalb der Grenzen der §§ 1229, 1245 Abs. 2 BGB (vgl. § 1277 BGB). Aus § 1229 BGB folgt das Verbot der Verfallvereinbarung. Dies bedeutet, dass vor Eintritt der Verkaufsberechtigung keine wirksame Einigung getroffen werden kann, wonach dem Pfandgläubiger das Eigentum der Sache bzw. bei der hier in Rede stehenden Konstellation das Nutzungsrecht an der Software zufallen oder übertragen werden soll, falls er nicht rechtzeitig befriedigt wird. Aus § 1245 Abs. 2 BGB folgt darüber hinaus, dass vor Eintritt der Verkaufsberechtigung u. a. auch nicht auf die Regelung des § 1235 BGB verzichtet werden kann, wonach der Verkauf des Pfandes grundsätzlich im Wege öffentlicher Versteigerung zu bewirken ist (vgl. § 1235 Abs. 1 BGB). Eine Ausnahme von diesem Verbot des freihändigen Verkaufs gilt nach § 1235 Abs. 2 BGB nur dann, wenn das Pfand einen Börsen- oder Marktpreis hat. In diesem Fall kann der Pfandgläubiger ausnahmsweise den Verkauf aus freier Hand bewirken (§ 1221 BGB). Ein Börsen- oder Marktpreis besteht, wenn der Pfandsache entsprechende Gegenstände am Markt so häufig verkauft werden, dass sich Durchschnittspreise bilden.16 Im Falle einer Individualsoftware wird dies – wenn überhaupt – nur in den seltensten Fällen anzunehmen sein. Abhängig von der Entwicklung zur Frage der Rechtmäßigkeit des Verkaufs „gebrauchter“ Software ist es im Bereich der Standardsoftware hingegen eher denkbar, dass sich ein Markpreis bildet. Allerdings gilt selbst dann, dass der Kreditgeber die Software nicht selber verwerten darf, sondern dazu einen öffentlich ermächtigten Handelsmakler (§ 93 HGB) oder eine zur öffentlichen Versteigerung befugte Person, also z. B. einen Gerichtsvollzieher (§ 383 Abs. 3 BGB) oder einen Notar (§ 20 Abs. 3 BNotO), mit dem Verkauf zu beauftragen hat.
_________________
15 Damrau in Münchener Kommentar zum BGB, 5. Auflage 2009, § 1277 Rn. 1. 16 Sosnitza in Bamberger/Roth, Beck’scher Online-Kommentar BGB, Stand 1.3.2011, § 1221 Rn. 2.
111
Kai-Uwe Plath
3. Nießbrauch an Software a) Konzept des Nießbrauchs Der Nießbrauch stellt ein dingliches Recht dar, welches den Nießbraucher dazu berechtigt, die Nutzungen einer Sache zu ziehen (§ 1030 Abs. 1 BGB). Ein Nießbrauch kann auch an Rechten gewährt werden (§ 1068 Abs. 1 BGB). Der Nießbrauch eignet sich insofern grundsätzlich als Sicherungsrecht in der Weise, dass der Nießbraucher und Sicherungsgeber in die Lage versetzt wird, die Software im Sicherungsfall in Ausübung des Nießbrauchs zu nutzen. b) Übertragbarkeit der Rechte an Software als Voraussetzung für die Einräumung des Nießbrauchs Voraussetzung für die wirksame Einräumung eines Nießbrauchs an Rechten ist die Übertragbarkeit des Rechts (§ 1069 Abs. 2 BGB). Diese ist bei den hier in Rede stehenden urheberrechtlichen Nutzungsrechten grundsätzlich gegeben. Wegen der Einzelheiten sei auf die obigen Ausführungen verwiesen. Ein Nießbrauch an Software ist also grundsätzlich möglich.17 c) Verwertung der Software im Sicherungsfall Der Nießbrauch ist nicht übertragbar (§ 1059 S. 1 BGB). Diese Regelung ist zwingend.18 Damit eignet sich der Nießbrauch in der Regel nur bedingt als Sicherungsinstrument im Bereich des Softwarerechts, soweit nicht der Sicherungsgeber beabsichtigt, die Software selbst zu nutzen. Soweit er nämlich beabsichtigt, die Software im Sicherungsfall gegen Entgelt zu verwerten, scheitert eine solche Verwertung an der zwingenden Unübertragbarkeit des Nießbrauchs. Ebenso kann nach dem Gesetz auch die „Ausübung des Nießbrauchs“ nicht einem anderen überlassen werden (§ 1059 S. 2 BGB). Allerdings ist diese Regelung mit dinglicher Wirkung abdingbar.19 Insofern ist es dem Nießbraucher also grundsätzlich möglich, Dritten die Nutzung der Software zu ermöglichen. Der Nachteil dieser Lösung liegt darin begründet, dass dieses Nutzungsrecht lediglich als schuldrechtlicher Anspruch gegen _________________
17 Vgl. z. B. Schricker/Loewenheim, UrhG, § 34, Rn. 21. 18 Palandt/Bassenge, BGB, § 1059, Rn. 1; zu den Ausnahmen siehe § 1059a ff. 19 BGH v. 21.6.1985, NJW 85, 2827; Palandt/Bassenge, BGB, § 1059, Rn. 2.
112
Software als Kreditsicherheit
den Nießbraucher auf Duldung der Nießbrauchsausübung ausgestaltet werden kann, somit also keine Vollrechtübertragung stattfindet.20 4. Zusammenfassung zu den Sicherungsinstrumenten Die vorgestellten Sicherungsinstrumente haben gemeinsam, dass sie jeweils die Übertragbarkeit der Rechte an Software voraussetzen. Wie dargestellt, ist diese Anforderung erfüllt, wenn man nicht auf das Urheberpersönlichkeitsrecht des Entwicklers, sondern eben auf die Nutzungsrechte an der Software nach § 31 Abs. 1 UrhG abstellt. In der Praxis indes hat die Sicherungszession das Instrument der Sicherungsverpfändung weitgehend verdrängt. Auslöser dafür ist der Umstand, dass es zu einer wirksamen Forderungsverpfändung der Anzeige an den Schuldner der zu verpfändenden Forderung bedarf und jedenfalls nicht ausgeschlossen werden kann, dass diese Anzeigepflicht auch bei der Verpfändung von Nutzungsrechten an Software zur Anwendung kommen würde. Die im Bereich der Sicherungszession mögliche „stille Zession“ bietet demgegenüber den Vorteil, dass die Bestellung der Sicherheit Dritten gegenüber nicht offen gelegt werden muss.21 Weiter hat sich gezeigt, dass sich bei der Verpfändung sowie bei der Gewährung eines Nießbrauchs gewisse Einschränkungen bei der Verwertbarkeit ergeben. Zwar sind diese nicht unüberbrückbar, so dass diese Sicherungsinstrumente je nach Interessenlage durchaus ihren Anwendungsbereich finden können.22 Indes bietet die Sicherungszession fraglos den größten Spielraum bei der Ausgestaltung des Sicherungsvertrages und dürfte daher auch in der Praxis vielfach die geeignetste Lösung darstellen.23
_________________
20 Palandt/Bassenge, BGB, § 1059, Rn. 3. 21 So auch bereits Beucher/Frentz, ZUM 2002, 511, 517. 22 Enger Kotthoff/Pauly, WM 2007, 2089, wonach die Sicherungszession das einzig geeignete Mittel in der Praxis darstellen soll. 23 Abgesehen von den dargestellten Erwägungen mag sich die Wahl des geeigneten Sicherungsinstruments freilich auch nach der Frage der Insolvenzfestigkeit richten, gerade wenn die Gewährung der Rechte der Sicherung von Krediten dienen soll. Zu den Einzelheiten der insolvenzrechtlichen Fragestellung vgl. Beucher/Frentz, ZUM 2002, 511, 520 ff.; speziell zum Nießbrauch an Software Plath, CR 2005, 613, 616; speziell zu Pfandrechten an Software Plath, CR 206, 217, 218.
113
Kai-Uwe Plath
III. Ausgestaltung des Sicherungsvertrages 1. Bestimmung des Sicherungsgegenstands Zur Wahrung des sachenrechtlichen Bestimmtheitsgrundsatzes ist es zunächst erforderlich, die Software bzw. die als Sicherheit verwendeten Nutzungsrechte an der Software konkret zu beschreiben.24 Mindestens ist dazu eine konkrete Beschreibung der Software erforderlich unter Angabe von Versionsnummer und sonstigen Spezifikationsmerkmalen. Sicherer dürfte es indes sein, dem Vertrag als Anlage einen Datenträger beizufügen, auf dem die Software verkörpert ist.25 Darüber hinaus ist selbstverständlich klarzustellen, ob sich die Sicherungsrechte lediglich auf den Objektcode der Software beziehen sollen oder ob auch der Quellcode mit umfasst ist.26 Darüber hinaus ist zu regeln, ob auch zukünftige Updates, Upgrades oder sonstige Programme mit umfasst sein sollen, die während der Vertragslaufzeit entstehen.27 Ist dies gewollt, sollte der Sicherungsgeber vertraglich dazu verpflichtet werden, die Software entsprechend zu pflegen.28 Schließlich empfiehlt es sich aus Sicht des Sicherungsnehmers, die Sicherheiten nicht allein auf die dargestellten Rechte zu erstrecken, sondern auch die entsprechenden Datenträger und Dokumentationen sowie ggf. sonstige Begleitmaterialien, die zur Nutzung der Software erforderlich sind, mit zu erfassen.29 Ggf. kann diese Regelung noch durch eine weitergehende Klausel flankiert werden, wonach sich der Sicherungsgeber verpflichtet, dem Sicherungsnehmer das zur Nutzung der Software notwendige Know-how zur Verfügung zu stellen und den Sicherungsnehmer in die Nutzung der Software einzuweisen.
_________________
24 Näher zu den rechtlichen Anforderungen an die Bestimmbarkeit siehe Beucher/Frentz, ZUM 2002, 511, 517; Kotthoff/Pauly, WM 2007, 2085. 25 So auch Kotthoff/Pauly, WM 2007, 2089. 26 Zur Option der Einschaltung eines Escrow-Agents siehe Kotthoff/Pauly, WM 2007, 2090. 27 Zur Frage der Bestellung von Pfandrechten an zukünftigen Rechten vgl. Beucher/Frentz, ZUM 2002, 511, 514. Zur Frage der Bestimmtheit bzw. Bestimmbarkeit siehe auch Kotthoff/Pauly, WM 2007, 2090. 28 So auch Kotthoff/Pauly, WM 2007, 2090. 29 Vgl. zur Frage, ob diese bereits bei Verwendung des Begriffs „Software“ in Abgrenzung zu dem Begriff „Computerprogramm“ der Fall wäre, vgl. Kotthoff/ Pauly, WM 2007, 2085.
114
Software als Kreditsicherheit
2. Verknüpfung mit dem Kreditvertrag Darüber hinaus ist eine eindeutige Verknüpfung der Bestellung der Sicherheit mit dem zugrundeliegenden Kreditvertrag herzustellen, der die besicherte Forderung regelt. Im Falle des akzessorischen Pfandrechts ist diese Verknüpfung sogar Wirksamkeitsvoraussetzung für die Bestellung der Sicherheit. Dabei ist insbesondere zu regeln, inwieweit neben der Hauptforderung auch Zinsen und weitere Gebühren besichert werden. Soweit Kreditvergabe und Gewährung der Sicherheit nicht in derselben Vertragsurkunde erfolgen, ist über gegenseitige Verweisungen sicherzustellen, dass ein Gleichlauf der definierten Begrifflichkeiten erfolgt und die Verträge auch hinsichtlich ihres Inkrafttretens, ihrer Durchführung und Beendigung nahtlos ineinandergreifen. 3. Haftung, Gewährleistung und Aufrechterhaltung Weiter ist zu regeln, in welchem Umfang der Sicherungsgeber für Sachund Rechtsmängel der Software haftet und welche Rechte und Pflichten die Parteien im Falle von Angriffen Dritter haben sollen. Dies kann insbesondere dann relevant werden, wenn Dritte die Berechtigung des Sicherungsgebers in Frage stellen, die Software als Sicherheit zu verwenden, zumal viele Softwareüberlassungsverträge die Berechtigung zur Nutzung der Software als Kreditsicherheit nicht ausdrücklich ansprechen.30 Soweit die Software durch eingetragene Schutzrechte geschützt ist, ist weiter zu regeln, welche Partei für die Aufrechterhaltung dieser Rechte und die Zahlung der entsprechenden Gebühren verantwortlich ist. 4. Nutzungsrechte bis zum Sicherungsfall Bei der Gewährung von Sicherungsrechten an Software ist weiter zu regeln, inwieweit der Sicherungsgeber bis zum Sicherungsfall in der Lage bleiben soll, die Software weiter selbst zu nutzen. In aller Regel wird gewünscht sein, dass dem Sicherungsgeber ein Nutzungsrecht jedenfalls für eigene Zwecke verbleibt, denn er soll ja die Möglichkeit erhalten, seine Geschäftstätigkeit weiter ungehindert fortzusetzen, um die besicherte Forderung begleichen zu können. Dazu ist, bei der Sicherungszession im Wege der Rücklizenz, konkret zu regeln, welche Rechte dem Sicherungsgeber weiter zustehen sollen, also ob diese Rechte ex_________________
30 Zur Spezialthematik des sog. Fairness-Ausgleichs siehe Kotthoff/Pauly, WM 2007, 2091.
115
Kai-Uwe Plath
klusiv oder nicht exklusiv ausgestaltet sind, ob diese Rechte auf eine Nutzung für eigene Zwecke beschränkt sind oder auch die Vergabe weiterer Rechte an Dritte gestattet bleibt, etc.31 Aus Sicht des Kreditgebers sollte die Rücklizenz unter Ausschluss jeglicher Haftung für Sach- und Rechtsmängel erfolgen. Im Umkehrschluss werden sich in dem Vertrag in der Regel Bestimmungen dazu finden, wonach der Sicherungsnehmer bis zum Eintritt des Sicherungsfalles nicht berechtigt ist, die ihm lediglich sicherungshalber gewährten Rechte an der Software selbst zu nutzen. 5. Definition des Sicherungsfalls und Verwertungsrechte Ein zentrales Element bei der Vertragsgestaltung ist die Definition des Sicherungsfalls. Die Vertragsparteien sind grundsätzlich frei darin, den Sicherungsfall zu definieren und die Voraussetzungen mehr oder weniger streng zu gestalten. Denkbar ist es z. B., dass der Sicherungsfall stets dann eintritt, sobald der Kreditnehmer lediglich mit einer Rate zur Rückzahlung des gewährten Darlehens in Verzug gerät oder eine sonstige – zu definierende – Leistungsstörung des Kreditvertrages eintritt. Der Kreditnehmer wird hingegen eher darauf drängen, die Hürden für den Eintritt des Sicherungsfalles höher zu setzen, z. B. durch Einfügung einer – zu definierenden – Wesentlichkeitsschwelle bzw. die Möglichkeit der Heilung des Verzuges und sonstiger Vertragsverstöße. Weiter ist dann zu regeln, in welcher Form der Sicherungsnehmer die Software verwerten darf, d. h. insbesondere, ob dies freihändig erfolgt oder er bestimmten Beschränkungen unterliegt. 6. Beendigung der Sicherheit Schließlich ist zu regeln, wann und unter welchen Voraussetzungen die Sicherheit endet.32 In der Regel wird dies der Fall sein, wenn der Kreditnehmer sämtliche Forderungen aus dem Kreditvertrag erfüllt und insbesondere das gewährte Darlehen zurückgezahlt hat. Darüber hinaus ist aus Sicht des Kreditgebers darauf zu achten, eine mögliche Übersicherung zu vermeiden, was wiederum dazu führen kann, dass die Sicher_________________
31 Zur Nutzungsbefugnis des Sicherungsgebers siehe auch Kotthoff/Pauly, WM 2007, 2091. 32 Dies kann im Fall der Sicherungszession z. B. unmittelbar durch eine auflösende Bedingung geregelt werden, näher dazu Kotthoff/Pauly, WM 2007, 2092.
116
Software als Kreditsicherheit
heit entsprechend dem Fortschritt bei der Rückzahlung des Darlehens freizugeben ist. Je nach Art der gewählten Sicherheit sind dabei die sachenrechtlichen Anforderungen an die Beendigung des Rechts zu wahren, im Falle des Nießbrauch z. B. die Pflicht zur Abgabe der Beendigungserklärung nach § 1064 BGB.
IV. Zusammenfassung Software kann grundsätzlich als Mittel zur Kreditsicherung eingesetzt werden. Die Nichtübertragbarkeit des Urheberrechts steht dem nicht entgegen, denn als Sicherungsmittel dienen die – mit Zustimmung des Urhebers – übertragbaren Nutzungsrechte an der Software. Mit Blick auf das Zustimmungserfordernis sollte aus Sicht des Kreditgebers und Sicherungsnehmers eine Due Diligence bezüglich der Übertragbarkeit der Nutzungsrechte durchgeführt werden, welche sich auf diese gesamte Rechtekette erstrecken sollte. Unter den zur Auswahl stehenden Sicherungsinstrumenten – Sicherungszession, Verpfändung und Nießbrauch – hat sich die Sicherungszession als flexibelste Lösung herausgestellt. Bei der Ausgestaltung des Sicherungsvertrages ist darauf zu achten, den Besonderheiten der Softwareüberlassung Rechnung zu tragen, die nur bedingt mit sonstigen Sicherungsmitteln vergleichbar ist.
117
.
Formen Agilen Programmierens Prof. Dr. Stefan Jähnichen Fachgebiet Softwaretechnik, Technische Universität Berlin
I. Einführung II. 1. 2. 3.
Ausgangssituation V-Modelle Anforderungsmanagement Erfolgsraten
III. 1. 2. 3.
Ansätze agiler Methoden Grundannahmen Partizipative Entwicklung SCRUM als konkrete Ausprägung agiler Verfahren 4. Nutzen
Literatur: Christian Bartelt, Thomas Ternité, Matthias Zieger: Modellbasierte Entwicklung mit dem V-Modell XT, in: OBJEKTspektrum 05/2005; Kent Beck: Extreme Programming. Die revolutionäre Methode für Softwareentwicklung in kleinen Teams. Addison-Wesley, München u. a. 2000; Alistair Cockburn: Crystal Clear. Addison Wesley, 2005; Ivar Jacobson, Grady Booch, James Rumbaugh: The unified software development process. UML. Addison-Wesley, Reading MA u. a. 1999; Philippe Kruchten: The rational unified process. (An introduction). Addison-Wesley, Reading MA u. a. 1998; Andreas Rausch, Manfred Broy, Klaus Bergner, Reinhard Höhn, Stephan Höppner: Das V-Modell XT. Grundlagen, Methodik und Anwendungen. Springer, Heidelberg 2007; Ken Schwaber: Agiles Projektmanagement mit Scrum. Microsoft Press, Unterschleißheim 2007; Ken Schwaber: Scrum Development Process, Advanced Development Methods, 131 Middlesex Turnpike Burlington, MA01803; Standish Group: Chaos Report 2008; Henning Wolf, Stefan Roock, Martin Lippert: eXtreme Programming: eine Einführung mit Empfehlungen und Erfahrungen aus der Praxis dpunkt, 2., überarb. u. erw. Aufl., 2005; uml.org: UML 2.0, The Current Official Version.
I. Einführung „AGILE“ Methoden sind das neue Schlagwort der Informatik bzw. der Softwaretechnik. Methoden zur Erstellung qualitativ hochwertiger Software standen zwar schon immer im Zentrum der Forschung und ein Resultat dieser Arbeiten sind Vorgehensmodelle der Softwaretechnik in vielen unterschiedlichen Ausprägungen. Im Vordergrund dieser Modelle standen weniger technische Aspekte zur Konstruktion von Software sondern die Aufteilung des Entwicklungsprozesses in Teile, die separat bearbeitet und damit auch kosten- und qualitätsmäßig einzeln prüfbar waren. Die Modelle erweisen sich damit auch geeignet zur Gestaltung 119
Stefan Jähnichen
von Verträgen, zur Vorbereitung von Teilabnahmen und vor allem zur kostenmäßigen Abwicklung großer Projekte und, nicht zu vernachlässigen, zur Risikobewertung in frühen Entwicklungsständen.
II. Ausgangssituation 1. V-Modelle Der Bedarf, ein Softwareprojekt sowohl in der Bieterphase in Aufwand und Kosten abschätzen zu können als auch in der Entwicklungsphase zu fest definierten Zeitpunkten (Meilensteinen) den Stand der Entwicklung beurteilen zu können, führte zu Entwicklungsmodellen, wie dem in Deutschland weit verbreiteten V-Modell, später (ca. Jahr 2002) V-Modell XT [1]. Beiden gemeinsam ist die Vorstellung der Entwicklung in Phasen, sowohl bei der Analyse, Spezifikation und Implementierung der Komponenten (linker Bügel des V) als auch deren Integration, Test und Auslieferung bzw. Wartung (rechter Bügel des V). Beide Entwicklungsmodelle erwiesen sich für industrielle Anwendungen aus administrativer und vertraglicher Sicht als geeignet, da sie Schnittpunkte setzten, die prüfbar waren und darüber hinaus auch für die Gestaltung der Vertragverhältnisse mit Unterauftragnehmern eine geeignete Basis bildeten. Wichtige Voraussetzung für ein Vorgehen nach diesen Modellen sind (unter anderem): –
ein von Beginn fester Satz von Anforderungen an das zu entwickelnde System,
–
ein Vorgehen, in dem eine neue Phase immer auf den Ergebnissen der jeweils vorhergehenden Phase aufbaut und demnach auch erst nach Abschluss dieser Phase beginnen kann.
Da die industrielle Praxis schon immer auch Überlappungen zwischen den Phasen erlaubt, sieht das weiter entwickelte V-Modell XT entsprechende zeitliche und inhaltliche Überlappungen vor. Im Anforderungsmanagement resultierte aus diesem Vorgehensmodell (wir fassen in diesem Bericht beide V-Modelle zusammen) die Produktbeschreibung in Form von Lasten- und Pflichtenheft. Das Lastenheft beschreibt die Lasten, die ein Auftragnehmer aus Sicht des Auftraggebers zu übernehmen hat; das Pflichtenheft beschreibt, welche Pflichten sich der Auftragnehmer aus seiner Sicht unterwirft. Er legt damit auch eine erste Spezifikation des zu entwickelnden Produkts vor. 120
Formen Agilen Programmierens
2. Anforderungsmanagement Anforderungsmanagement im Bereich der Informatik erweist sich allerdings als ein hartes Problem: Anforderungen sind im frühen Stadium einer Produktentwicklung nur schwer präzise und eindeutig zu beschreiben und, noch schwerwiegender, lassen sich häufig erst während der Entwicklung vollständig konkretisieren. Daraus resultierende Anforderungsänderungen – zum Teil sogar erst nach der Auslieferung des Produkts – führen zu sogenannten „Change Requests“ an den Auftragnehmer, damit häufig zu Änderungen der vertraglichen Basis und konsequent auch zu Fragen der Interpretation der vertraglichen Texte und letztlich der Bezahlung des Änderungsverlangens. Auch technisch erwiesen sich die sehr sequentiell angelegten Vorgehensmodelle allerdings als nicht optimal (die Diskussion hierüber verläuft allerdings immer noch heftig) und als Alternative verkündete Kent Beck 1999 in seinem Artikel über „Extreme Programming“ [2] eine agile Vorgehensweise, die zielorientiertes Arbeiten hervorhebt und versucht, „bürokratisches“ Vorgehen zu vermeiden. 3. Erfolgsraten Ebenso kritisch sind die im Standish Report [9] veröffentlichten und seit 1995 fast unveränderten Statistiken zu Softwareprojekten, die scheitern, nicht im Zeit- oder Kostenbudget bleiben oder erfolgreich abgeschlossen werden. Der Bericht zeigt, dass im Jahr 2008 die Zahl der gescheiterten Softwareprojekte immer noch bei ca. 25 % der untersuchten Projekte liegt (gegenüber ca. 30 % in 1996) und die Anzahl der nicht in den Vorgaben (Zeit, Budget, Funktionalität, …) liegenden Projektabschlüsse gleichbleibend schlecht bei ca. 40 % liegt. Diese für die Softwaretechnik schlechten, ja alarmierenden Zahlen rufen nach Veränderung der gängigen Praxis und haben zur Proklamation des agilen Vorgehens im so genannten „Agilen Manifest“ beigetragen.
III. Ansätze agiler Methoden 1. Grundannahmen Agiles Vorgehen basiert darin auf vier Grundannahmen: – –
Individuen und Interaktionen haben Vorrang vor Prozessen und Werkzeugen Lauffähige Software hat Vorrang vor ausgedehnter Dokumentation 121
Stefan Jähnichen
– –
Zusammenarbeit mit dem Kunden hat Vorrang vor Vertragsverhandlungen Das Eingehen auf Änderungen hat Vorrang vor strikter Planverfolgung
Konsequenzen daraus sind vor allem eine sehr viel bessere und stärkere Einbindung von Kunden und Nutzern in den Entwicklungsprozess und, daraus ableitbar, eine stärkere Fokussierung auf Veränderungsprozesse speziell im Anforderungsbereich oder, anders formuliert, eine wesentlich schwächere Verbindlichkeit von Anforderungsdokumenten als sie Lasten- und Pflichtenhefte bisher hatten. Die Protagonisten agilen Vorgehens kompensieren diese fehlende Verbindlichkeit durch iterative Prozesse, in denen Produkt und Anforderungen inkrementell entwickelt und ständig verbessert werden und zusätzlich durch sehr spezifische Rollen und Verantwortungen, die den agil operierenden Personen zugeordnet werden. 2. Partizipative Entwicklung Interessant, speziell für Juristen, ist der Vorrang, den die Zusammenarbeit zwischen Kunden und Auftragnehmer gegenüber einer Vertragsverhandlung hat. Dies ist einerseits sehr charmant, weil mit dem Vorgehensmodell eine den Entwicklungszyklus begleitende Zusammenarbeit erzwungen wird, die schon in frühen Jahren der Softwaretechnik als partizipative Entwicklung bezeichnet und propagiert wurde. Sie führt im Erfolgsfall mit großer Wahrscheinlichkeit zu besseren Ergebnissen, weil der Abgleich zwischen Kundenwunsch und Umsetzungsrealität als ein kontinuierlicher Prozess gesehen wird. Beim Scheitern eines Projektes oder auch nur bei der Überziehung von Kosten- und Zeitbudget dürften allerdings schwer handhabbare Probleme mit ebenso schwer handhabbaren juristischen Konsequenzen entstehen. Gleiches gilt natürlich für die vierte Annahme des agilen Manifests, denn das Eingehen auf Änderungen hat entsprechende Auswirkungen auf Kosten und Zeit und erfordert Zugeständnisse seitens der Kunden ebenso wie beim Auftragnehmer. Trotzdem ist die Gesamtsicht auf agile Techniken auch in der Industrie durchaus positiv und wir finden mehr und mehr Firmen, die ihre Projekte in Form von „Sprints“ bearbeiten und damit zu durchaus positiven Resultaten kommen. Begründet ist dies aus meiner Sicht zum einen durch die große Kundennähe der agilen Verfahren und die Probleme, die sich bei „normaler“ Projektabwicklung (Softwareprojekte sind in die122
Formen Agilen Programmierens
sem Sinne wohl nicht normal) allein schon durch die schwierige Phase einer konkreten und von allen akzeptierten Anforderungsermittlung und – beschreibung ergeben. Als Sprint werden die Entwicklungszyklen bezeichnet, in denen Teilergebnisse eines Produkts erarbeitet werden. 3. SCRUM als konkrete Ausprägung agiler Verfahren Es gibt inzwischen viele Ausprägungen des agilen Vorgehens. Prominente Beispiele sind „Crystal“ [3] als eine ganze Familie solcher Verfahren oder XP [2] als bekanntestes Beispiel des „Extreme Programming“ oder „Scrum“ [8] als derzeit wohl prominentesten Vertreter der agilen Vorgehensmodelle. Betrachten wir im Folgenden SCRUM (steht englisch für Gedränge im Rugby) als eine konkrete Ausprägung des agilen Vorgehens. Aufgrund der nicht an sequentiellem Vorgehen orientierten Methodik definiert SCRUM drei wesentliche Rollen im agilen Projekt: – – –
den „Product Owner“, den „Scrum Master“ und das Entwicklungsteam.
Die ersten beiden Rollen legen Verantwortlichkeiten nach außen und nach innen fest. Der „Product Owner“ ist für das Produkt und damit auch für die Kommunikation mit Kunden und Anwendern zuständig. Die vertraglichen Gestaltungen im Prozess liegen damit in seiner Hand ebenso wie die wirtschaftlichen Erwartungen des Auftragnehmers. Aus juristischer Sicht ist der „Product Owner“ wohl die wesentliche Rolle zur kontinuierlichen Anpassung von Vertragsgegenständen und zur Abwicklung der finanziellen Verpflichtungen. Der „Scrum Master“ ist für die interne Abwicklung des Projektes zuständig. Er verwaltet also alle Ressourcen und verantwortet damit auch alle Fragen des Budgets und organisiert den Prozess. Das Entwicklungsteam arbeitet sehr selbstorganisiert und soll einerseits die Kompetenzen aller Mitglieder optimal nutzen, andererseits aber diese Kompetenzen auch strategisch weiterentwickeln. Vorgabe für das Team ist eine Produktvision, die während der Entwicklung kontinuierlich konkretisiert und umgesetzt wird. Die Entwicklung selbst erfolgt in sogenannten Sprints, bis zu vier Wochen dauernden Entwicklungszyklen, deren Resultat jeweils ein fertiges Teilprodukt ist. Die Teamarbeit steht während der Sprints stark im Vordergrund und wird durch tägliche Besprechungen zum Projekt123
Stefan Jähnichen
stand (so genannte „Daily Scrums“ mit harter Zeitbegrenzung) und Reviews unterstützt. Am Ende eines jeden Sprints werden die Ergebnisse präsentiert und ggf. durch den „Product Owner“ abgenommen oder entsprechend angepasst. Die Planung der Arbeiten in jedem Scrum orientiert sich an der Produktvision bzw. den schon genannten „User Stories“ und deren Priorität im Produktkontext. Im Gegensatz zu der häufig geäußerten Meinung, dass bei agilem Vorgehen ohne Dokumentation lediglich am Code gearbeitet wird, werden beim Durchlaufen der Sprints zwei Dokumente inkrementell fortgeschrieben. Zum einen ist dies das so genannte „Product Backlog“, in dem der jeweilige Entwicklungsstand des Produkts und damit auch die Anforderungen an selbiges dargestellt und vervollständigt werden, zum zweiten beschreibt das „Sprint Backlog“ die Ergebnisse und Probleme eines Sprints und dient damit als Entwicklungsdokumentation. Beide Dokumente erheben keinen Anspruch auf Vollständigkeit, sondern werden inkrementell erweitert. 4. Nutzen Der Einsatz agiler Methoden kann zu besseren Produkten führen, weil er eine wesentliche Eigenschaft von Software unterstützt: die schnelle Änderbarkeit, damit aber auch die Veränderlichkeit des Produktes selbst und seine Konformität zu den Anforderungen des Kunden. Gerade der Kunde muss bei agilem Vorgehen aber weit mehr Aufwand in ein Projekt investieren als bei einem normalem Auftraggeber-/Auftragnehmerverhältnis. Allein der Startpunkt eines Projekts mit einer Vision (beim Extreme Programming nennt man dies „User Stories) anstelle eines harten Anforderungsdokuments dürfte zu Unsicherheiten bei fast allen Stakeholdern führen, die dann allerdings durch eine starke Einbeziehung in das Projektgeschehen kompensiert werden kann. In meiner Sicht sind die Unterschiede hier allerdings nicht so groß wie allgemein behauptet, da ein gutes Anforderungsdokument seine Vision in Form von Anwendungsfällen beschreibt – ein deutsches Wort für die User Stories? In der Praxis erleben wir an dieser Stelle auch, dass agile Methoden zwar intern bei den Firmen als Entwicklungsmethodik eingesetzt werden, das Auftragsverhältnis aber weiterhin durch explizite und allgemeinhin vollständige Lastenhefte fundiert wird und die Erarbeitung der Pflichtenhefte und Spezifikationen in die Zyklen der Entwicklung integriert werden. 124
Formen Agilen Programmierens
Nachteilig ist bei diesem Vorgehen für den Auftragnehmer, dass Spezifikationsdokumente erst spät vervollständigt werden, da dann jeder „Sprint“ auch Beiträge zu diesem Dokument leisten muss. Aufgeweicht gegenüber der reinen Lehre des „Agilen“ wird damit die hohe Bedeutung von Code gegenüber den beschreibenden Dokumenten wie Spezifikationen, „Time-line“-Diagrammen etc., was allerdings den heute propagierten modellbasierten Verfahren der UML Community [5] [11] näher kommt. Bei diesen Verfahren werden alle beschreibenden Dokumente inklusive Code als Modelle des zu erstellenden Systems betrachtet, die jeweils aufeinander aufbauen und die Entwicklung als eine Serie von Modelltransformationen sehen, die manuell oder visionär, semiautomatisch erfolgen kann. Diese Art von Modellorientierung überlädt das agile Vorgehen, weil das Entwicklungsteam nicht nur mit der Erzeugung von Produktversionen, sondern stark auch mit deren Dokumentation betraut ist. Aufgrund agiler Vorgehensweisen auf solche Dokumentationen zu verzichten, halte ich allerdings für leichtfertig, da Softwareprodukte fast immer in eine Softwarelandschaft eingebettet werden und dies ohne entsprechende Dokumentation weder technisch möglich noch administrativ verantwortbar ist. Zusammenfassend kann ich feststellen, dass agile Entwicklungstechniken dem Wesen der Software als ein sehr fragiles Produkt näher kommen als die traditionellen, häufig im Verlauf doch sehr starren Verfahren. Allerdings ist agiles Vorgehen kein Freifahrschein, mit dem auf präzise und möglichst sogar formale Beschreibungstechniken verzichtet werden kann oder soll. Ein Produkt entsteht nicht nur aus Code, sondern besteht aus vielen umfangreichen Dokumenten (Modellen), mit denen sowohl ein sicher und korrektes Verhalten im Betrieb garantiert werden kann als auch die Weiterentwicklung und Anpassung an neue technologische und betriebliche Gegebenheiten.
125
.
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung Dr. Christian Frank I. Einleitung II. Software-Entwicklung in Form eines Gesellschaftsvertrages 1. Projektmanagement als Gesellschafterpflichten 2. Verwertung der Entwicklungsergebnisse 3. Eigenheiten bei Software-Entwicklung 4. Gewährleistung und Risikoabsicherung III. Rein dienst- oder rein werkvertragliche Lösungen 1. Die Abgrenzung von Dienst- und Werkvertrag 2. Konsequenzen für Verträge über Software-Entwicklung nach neuen Projektmethoden
IV. Vorschläge für rechtliche Lösungen zur Abschichtung von Planung und Realisierung 1. Komponenten eines Rahmenvertrages 2. Zusammenarbeit & Projektmanagement im Allgemeinen 3. Regeln über Mindestinhalt der Zyklen und Abgleich in Logs 4. „Bewehrung“ von Bestimmungen 5. Design Freeze und Teilprojektvertrag zur Realisierung V. Wirtschaftliche Lösungen 1. Die Verteilung von Risiken und Erträgen 2. Gewährleistungsrecht VI. Zusammenfassung
I. Einleitung Alle zwei Jahre veröffentlicht die Standish International Group ihren Langzeit Report über den Abschluss von IT Projekten, was entsprechende Meldungen in den einschlägigen Gazetten nach sich zieht. Nach der Meldung über den Report 2009 werden weltweit 32 % aller IT Projekte erfolgreich abgeschlossen, d. h. zeitgereicht, innerhalb des vereinbarten Budgets und mit allen erforderlichen Eigenschaften und Funktionalitäten. 44 % verfehlen zumindest eines der vorgenannten Kriterien; 24 % werden vollständig abgebrochen, die Ergebnisse werden nie eingesetzt.1 Als Gründe für die geringe Erfolgsquote werden u. a. Fehler im Projekt_________________
1 Vgl. hierzu die Pressemeldung der Standish Group, am 11.11.2011 abrufbar unter http://www1.standishgroup.com/newsroom/chaos_2009.php. Die Zahlen haben sich im Berichtszeitraum 2008–2010 anscheinend verbessert, vgl. die Presseerklärung vom 3.3.2011, am 13.12.2011 aufrufbar unter http:// stanishgroup.com/newsroom/chaos_manifesto_2011.php.
127
Christian Frank
management, insbesondere im Bezug auf Kommunikation und Transparenz, mangelndes zeitliches Commitment des Auftraggebers, mangelnde Erfahrung (auf beiden Seiten), unklarer Projektnutzen, ein unzureichendes Pflichtenheft und sich verändernde Vorgaben genannt.2 Neue Projektmethoden versprechen Besserung. Charakteristisch für sie ist, dass das angestrebte Ergebnis des Projektes bei Beginn noch nicht in allen Details fest- und wie in der Vertragsdokumentation zu klassisch durchgeführten Projekten (Lastenheft, Pflichtenheft, Entwicklungsplan, Meilensteine etc.) niedergelegt ist, sondern von den Parteien gemeinsam erarbeitet und teilweise fast parallel realisiert wird. Es wird unter intensiver Einbindung des Auftraggebers in kleinen Teams gearbeitet, welche in spiralförmigern Zyklen auf der Grundlage eines relativ schnell zu erstellenden Prototypen, einem GUI oder einem sonstigen „Rohprodukt“ die Anforderungen und Umsetzung verfeinern, um entsprechende Fehler von Beginn an gemeinsam zu minimieren. Vertragsverhandlungen, Prozesse und Werkzeuge seien weniger wichtig als Abstimmung mit dem Kunden, Personen und Interaktionen; auf eine Produktdokumentation wird hierbei weitgehend verzichtet, ablauffähiger Code ist der Schwerpunkt der gemeinsamen Bemühungen. Für die Frage, ob ein Vorhaben bzw. Unternehmen sich für den Einsatz moderner oder besser klassischer Projektmethoden eignet gibt es zahlreiche Aspekte, deren Bewertung allerdings unter Technikern umstritten ist. Als grober Anhaltspunkt werden häufig folgende Kriterien genannt: Moderne Projektmethoden
Klassische Projektmethoden
Schnelle Ergebnisse, Flexibilität für Änderungen vorrangig
Vorhersehbarkeit, Stabilität, hohe Zuverlässigkeit vorrangig
Fehlertoleranz vorhanden
Produkte ohne Fehlertoleranz
Hohe Verfügbarkeit des Auftraggebers
Geringe Verfügbarkeit des Auftraggebers Öffentliche Ausschreibungen; RFP-Verfahren
Überschaubare Komplexität
Hohe Komplexität des Ergebnisses & Umgebung
Erfahrene Teams auf beiden Seiten
Teams mit wenig Erfahrung
_________________
2 Vgl. u. a den Bericht im Manager Magazin vom 23.6.2009, „Warum IT Projekte immer wieder scheitern“, am 11.11.2011 abrufbar unter http://www.managermagazin.de/unternehmen/it/0,2828,631788,00.html, Höning/Suter, Computerwoche 24.9.2009 am 11.11.2011 abrufbar unter http://www.computerwoche. de/software/erp/1906344/.
128
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung Moderne Projektmethoden
Klassische Projektmethoden
Räumliche, sprachliche und kulturelle Nähe
Räumliche, sprachliche und kulturelle Trennung
Kleine Entwicklerteams
Große Entwicklerteams
Offene (chaotischere) Unternehmenskultur
Autoritäre hierarchische Unternehmenskultur Festpreis
Die Beschreibung der Projektmethodik wirft die Frage nach einer passenden vertraglichen Umsetzung auf, sie ist auch akut, wenn Verträge und Verhandlungen von den Parteien als eher hinderlich für den Erfolg eines Projektes wahrgenommen werden.3 Die tatsächliche Ausgangskonstellation als solche, eine Ungewissheit über das Ergebnis, ist aus Forschungs- und Entwicklungsprojekten in anderen Bereichen durchaus bekannt, ohne dass dort in größerem Umfang der Vertrag als Institution der Zusammenarbeit in Frage gestellt wird. Forschungs- und Entwicklungsverträge (F&E Verträge) werden in der Regel als Gesellschafts-, Werk- oder Dienstverträge gestaltet, offensichtlich aber in einer Weise, welche bei den Beteiligten ein geringeres Maß an Unzufriedenheit auslöst. Es liegt nahe, dass auch Verträge für Software-Entwicklungsprojekte entsprechend gestaltet werden können:4
II. Software-Entwicklung in Form eines Gesellschaftsvertrages Den in den vier Grundregeln des agilen Manifests und seinen zwölf Prinzipien zutage tretenden idealistischen Vorstellungen über die Zusammenarbeit der Parteien5 würde es sicher am besten entsprechen, das Projekt in Form einer Gesellschaft bürgerliches Rechts, eines Joint Venture Vertrages oder eines vergleichbaren Konstruktes zu realisieren. Eine gesellschaftsvertragliche Lösung erscheint sinnvoll bei längerfristiger Zusammenarbeit und erfordert ein Mindestmaß gleichgerichteter _________________
3 Vgl. hierzu die Beiträge von Schneider ITRB 2010, 12 ff.; Witte, IRTB 2010, 44 ff., Lapp, ITRB 2010, 69 ff.; Auer-Reinsdorff, ITRB 2010, 93 ff. Koch, ITRB 2010, 114 ff.; Kremer ITRB 2010, 283 ff.; Müller-Hengstenberg/Kirn, CR 2010, 8 ff.; Beardwood/Shour, CRI 2010, 161 ff. 4 Vgl. zu Entwicklungsverträgen etwa Brandi-Dohrn, CR 1998, 645 ff. 5 „(1) Individuen und Interaktionen sind wichtiger als Prozesse und Werkzeuge. (2) Funktionierende Software ist wichtiger als vollständige Dokumentation (3) Zusammenarbeit mit dem Kunden ist wichtiger als Vertragsverhandlung (4) Reagieren auf Veränderung ist wichtiger als das Befolgen eines Plans.“ vgl. http://agilemanifesto.org/.
129
Christian Frank
Interessen, insbesondere nach der Realisierung der konkreten Entwicklung. Das Szenario der gemeinsamen Verwertung kollidiert aber ggf. mit dem Interesse einer Partei nach Exklusivität hinsichtlich der Nutzung der entwickelten Lösung bzw. der Sicherung des entsprechenden Wettbewerbsvorteils sowie hiermit zusammenhängenden Geheimhaltungsinteresse. Es sollte zudem überlegt werden, ob sich das Szenario einer schnellen kostengeprüften Umsetzung wirklich mit dem Aufwand einer Gesellschaftsgründung vereinbaren lässt. Gesellschaftszweck ist die gemeinsame Entwicklung und Erstellung der gewünschten Anwendung, die Leistungen der beiden Parteien sind ihre Gesellschafterbeiträge und als solche im Vertrag zu bestimmen.6 Es sollte geregelt sein, ob der Gesellschaftszweck allein in der Entwicklung und Erstellung der angestrebten Anwendung besteht, so dass die Gesellschaft danach aufzulösen ist, oder ob etwa eine nachfolgende Verwertung von diesem umfasst ist. 1. Projektmanagement als Gesellschafterpflichten Wer Gesellschaftsverträge entwirft, wird sich immer mit institutionellen Fragen, dem Leben in der Gesellschaft auseinandersetzen. Die Parteien sollten detaillierte Regelungen nicht nur über die Ausgangssituation und die Beiträge zu Beginn des Projektes treffen, sondern auch in eigenen Bestimmungen Regeln für das Projektmanagement vereinbaren. In entsprechenden Klauseln erscheint häufig ein zweistufiges Management Modell sinnvoll:7 Von jeder Parteien wird ein Ansprechpartner als verantwortlicher Projektleiter benannt, der in einem bestimmten Umfang verbindliche Aussagen und Entscheidungen für sein Unternehmen treffen kann und muss. Soweit die Mitglieder des Projektteams nicht vor Ort gemeinsam arbeiten, werden Ort und Häufigkeit von gemeinsamen Treffen bestimmt und Protokollierungs- und Berichtspflichten vereinbart. Soweit es übergeordnete Fragen zu entscheiden gibt oder _________________
6 Lapp, a. a. O., Fn. 3, 70; Koch, a. a. O., Fn. 3, 119; und Kremer a. a. O., Fn. 3, 288 weisen ausdrücklich auf die Möglichkeit einer entsprechenden Umsetzung hin, ohne hierauf jedoch näher einzugehen. Zu F&E Verträge in Form einer GbR allgemein Rosenberger, Verträge über Forschung und Entwicklung, 2. Auflage 2010, Kap. 6 II 1; Winzer, Forschungs- und Entwicklungsverträge, 1. Aufl. 2006, Einl Teil B I Rz. 4. 7 Vgl. hierzu etwa den „Vertrag über Forschungskooperation“ der BMWI Mustervereinbarungen für Forschungs- und Entwicklungskooperationen, Stand April 2010, am 11.12.2011 abrufbar unter http://www.bmwi.de/BMWi/ Navigation/Service/publikationen,did=342954.html?view=renderPrint; oder das Vertragsbeispiele bei Winzer, a. a. O., Teil 1 B I 2; Witzel in Schneider/ Westphalen, Software-Erstellungsverträge, Teil F Rz. 177 ff.
130
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung
Meinungsverschiedenheiten zwischen den Projektleitern auftreten, erfolgt dies durch das im Vertrag vorgesehene gemeinsame Steuerungskomitee. Dieses ist es auch Adressat der Berichte der Projektleiter. Neben den bereits erwähnten Aspekten sollte der Vertrag Regeln über die Entscheidungsfindung im Steuerungskomitee enthalten. Zudem sollte geregelt sein, ob Mehrheitsentscheidungen oder Pattsituationen besondere Folgen auslösen, wie Kündigungsrechte, Freistellungen zugunsten einer überstimmten Partei oder Anpassungen der Beiträge. 2. Verwertung der Entwicklungsergebnisse F&E Verträge werden vor allem dann gerne als Gesellschaft bürgerlichen Rechts realisiert, wenn beide Parteien Interesse an einer nachfolgenden Verwertung der Projektergebnisse haben. Es muss den Vertragsparteien bewusst sein, dass die §§ 705 ff. BGB auf alle Aspekte Anwendung finden, die sie nicht ausdrücklich abweichend vereinbart haben. Bedeutung hat dies insbesondere im Bereich der Rechteverteilung: Das Entwicklungsergebnis, welches im Rahmen der Gesellschaft geschaffen wird, fällt nach § 718 BGB in das Gesellschaftsvermögen. Da dieses der gesamthänderischen Bindung nach § 719 BGB unterliegt, kann keiner der Gesellschafter hierüber allein verfügen. Ohne eine anderweitige Vereinbarung der Parteien können diese damit das Entwicklungsergebnis nur gemeinsam verwerten. Sofern also eine unabhängige Verwertung gewünscht ist, muss eine entsprechende Rechteaufteilungsklausel aufgenommen werden, die ggf. durch Lizenzerteilungen ergänzt werden kann. Neben der reinen Verteilung sollten auch die üblichen Bestimmungen u. a. über Schutzrechtsanmeldung, Verteidigung gegen Angriffe Dritter und Verfolgungen von Verletzungen Dritter enthalten sein.8 3. Eigenheiten bei Software-Entwicklung Derartige Szenarien sind auch bei der Entwicklung von Software denkbar, etwa wenn zwei Unternehmen aus unterschiedlichen Branchen kooperieren, um einen für beide vollständig neuen Markt zu erobern. Gerade im Bereich der Software-Entwicklungen wird es aber regelmäßig Konstellationen geben, in denen eine der Parteien kein Interesse oder keine Möglichkeit einer entsprechenden Verwertung hat: Gründe hierfür können dem bereits einleitend erwähnten Fernhalten von Konkurrenz liegen, in der fehlenden Verallgemeinerungsfähigkeit des entwickel_________________
8 Vgl. hierzu u. a. Winzer a. a. O., Teil I A IX 2; Groß, Handbuch Technologietransfer, 1. Auflage 2010, Teil C IV; Rosenberger, a. a. O., Kap. 8 II 6–11.
131
Christian Frank
ten Einzelproduktes oder dem mangelnden Interesse des Entwicklers, mit dem Besteller einen neuen Mitspieler am Markt der Verwertung aufzubauen, da sich die aus der Zusammenarbeit gewonnene Branchenerfahrung ja vielleicht auch alleine verwerten lässt. Dem lässt sich aus vertraglicher Sicht – in den Grenzen des kartellrechtlich Zulässigen – durch Ausschließlichkeitsvereinbarungen begegnen.9 Allerdings ist es fraglich, inwieweit ein Unternehmen, dessen Gesellschaftszweck u. a. in der Entwicklung von Software besteht, sich hierauf wirklich einlassen kann. Forschungskooperationen in Form eines Gesellschaftsvertrags werden in der Praxis daher eher von Unternehmen geschlossen, die auf derselben Wirtschaftsstufe stehen und sich gemeinsam neue Märkte erarbeiten. 4. Gewährleistung und Risikoabsicherung Auch das Gewährleistungssystem ist zu überdenken: Gewährleistungsansprüche für Beitragsleistungen, Abnahmen und sonstige, aus Austauschverträgen stammende Mechanismen sind in den §§ 705 ff. BGB per se nicht enthalten. Pflichtverletzungen eines Gesellschafters können Schadensersatzansprüche im Innenverhältnis auslösen, allerdings auf der Grundlage von § 280 BGB.10 Wer eine verschuldensunabhängige Risikoübernahme erreichen will, muss dies daher gesondert vereinbaren.
III. Rein dienst- oder rein werkvertragliche Lösungen Es ist offensichtlich, dass man ein Projekt zur Entwicklung von Software unter Einsatz neuer Projektmethoden als reiner Dienstvertrag umsetzen kann.11 Eine rein dienstvertragliche Umsetzung wird aber häufig dem Interesse des Bestellers nicht gerecht. Er möchte am Ende des Pro_________________
9 Vgl. zu den Grenzen insbesondere die Verordnung (EU) Nr. 1217/2010 der Kommission vom 14.12.2010 über die Anwendung von Artikel 101 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union auf bestimmte Gruppen von Vereinbarungen über Forschung und Entwicklung Text von Bedeutung für den EWR, Amtsblatt Nr. L 335 vom 18/12/2010, 36 ff. 10 Palandt/Sprau, BGB, 70. Auflage 2011, § 705 Rz. 27, 29, 32, Palandt/ Grüneberg, § 280 Rz. 16; BGH NJW 1983, 1188. Vgl. zu einem als Innengesellschaft durchgeführten, gescheiterten Software-Entwicklungsprojektes etwa BGH NJW 2009, 2139 oder OLG Naumburg v. 27.3.2008 – 9 U 156/07, BeckRS 2008, 09168. 11 So u. a. Witte, a. a. O., 47; die Auffassung von Lapp, a. a. O., 70 oben, einen Dienstvertrag werde man relativ einfach ausschließen können, ist aus diesseitiger Sicht daher überraschend.
132
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung
jektes ja ein Ergebnis haben, dass seinen inzwischen klaren Anforderungen entspricht und für dessen Fehlerfreiheit der Entwickler auch einsteht. Idealerweise sollte auch der Realisierungsaufwand kein „Fass ohne Boden“ gewesen sein. Die durchgängige Gestaltung eines kompletten Projektes als einheitlicher Werkvertrag ist möglich, in der Praxis aber wohl schwer zu realisieren: Bei Vertragsschluss sind die Eigenschaften der zu erstellenden Anwendung noch nicht hinreichend konkret bestimmbar, so dass eine Beschaffenheitsvereinbarung i. S. d. § 633 Abs. 2 S. 1 BGB zu Projektbeginn noch nicht getroffen werden kann. Zu den notwendigen Bestandteilen eines Werkvertrages gehört zwar keine Einigung über die Vergütung, jedoch müssen sich die Parteien über Art und Umfang der der zu erbringenden Leistungen geeinigt haben.12 Nun ist es sicher denkbar, parallel zum Fortschritt der Zusammenarbeit den Einigungsprozess der Parteien laufend zu aktualisieren – was aber eigentlich nichts anderes ist, als das in der Softwareentwicklung angeblich so demoralisierende Change Request Verfahren. Es erscheint fraglich, ob es bei neuen Projektmethoden, deren Credo auf einer Reduzierung der Dokumentationspflichten beruht, wirklich gelingt, neben den technischen Fragen auch einen fließenden Vertragsschluss in einer für beide Seiten akzeptablen Weise zu gestalten. Ein einseitiges Leistungsbestimmungsrecht des Bestellers nach § 315 BGB löst die Thematik ebenfalls nur in der Theorie, da sich Entwickler hierauf kaum einlassen werden, insbesondere wenn Zeitplan und vereinbarte Vergütung unverändert bleiben sollen. Die vage Vorstellung des Bestellers zu Projektbeginn heranzunehmen, um hieraus die nach dem Vertrag vorausgesetzte oder gewöhnliche Verwendung abzuleiten, ist per se möglich, wird wegen der „Anforderungsunsicherheit des Kunden“13 ihm allerdings auch nicht die im Regelfall bei Projektende gewünschte Sicherheit bieten: Das bei Vertragsschluss vereinbarte Anforderungsprofil wird in der Regel Spielraum für eine derartige Bandbreite von Umsetzungsmöglichkeiten bieten, so dass der Entwickler letztlich kein wirkliches Risiko eingeht, das Ergebnis unter dem Strich zu verfehlen. Die meisten Gestaltungen basieren daher auf einer Mischung von Elementen aus beiden Vertragstypen des BGB. _________________
12 Palandt/Sprau, BGB, 631 Rz. 1. 13 Vgl. hierzu Stiemerling, ITRB 2010, 289.
133
Christian Frank
1. Die Abgrenzung von Dienst- und Werkvertrag Veröffentlichte Urteile zu Forschungs- und Entwicklungsverträgen sind selten. Grund hierfür mag sein, dass die Parteien ihre Streitigkeiten lieber in Schiedsverfahren beilegen, die den regelmäßig geheimen Charakter des Vorhabens besser wahren lassen, so dass auch die Entscheidungen nicht veröffentlicht werden. Unter den Urteilen staatlicher Gerichte ist insbesondere das des BGH vom 16.7.2002 zur Abgrenzung von Dienstund Werkvertrag anhand eines Forschungs- und Entwicklungsvertrag von Bedeutung.14 In zuvor ergangenen Entscheidungen aus dem SoftwareBereich wurde teilweise ohne nähere Begründung Werkvertragsrecht angewendet; dies entspricht auch einer auch heute noch weit verbreiteten Auffassung in Rechtsprechung und Literatur.15 Dem Urteil vom 16.7.2002 nach folgt aus der Beschreibung des Ziels der Arbeiten, auch aus der Vereinbarung eines Arbeitsplans samt Meilensteinen und Lieferdaten und Regelungen über ein Gesamtfinanzvolumen nicht zwangsläufig, dass ein entsprechender Vertrag als Werkvertrag zu qualifizieren ist, solange sich nicht aus einer ausdrücklichen Vereinbarung der Parteien oder der Auslegung der Einzelfallumstände eindeutig ableiten lässt, dass der Unternehmer die Verantwortung für die Herbeiführung eines bestimmten Erfolges übernommen hat.16
_________________
14 BGH CR 2003, 244. 15 BGH CR 1991, 86; CR 1993, 85; NJW 1997, 61; OLG Düsseldorf v. 18.7.1997 – 22 U 3/97, CR 1997, 732; hierzu Brandi-Dohrn, CR 1998, 645, 647, der allerdings das „Fallweise unpassende Werkvertragsrecht“ rügt. Typisch etwa auch OLG Karlsruhe v. 16.8.2002 – 1 U 250/a, CR 2003, 95, welches die Qualifikation des dort geschlossenen Vertrages als Werkvertrag damit begründet, „die Klägerin wünschte – für den Beklagten erkennbar und von diesem akzeptiert – ein EDV-Programm, das auf die speziellen Bedürfnisse des Autohauses zugeschnitten war“, wobei es kein Pflichtenheft gab und die Arbeiten auf Stundenlohnbasis vergütet wurden; aus der neueren Literatur etwa Lehmann in Loewenheim, Handbuch des Urheberrechts, 2. Auflage 2010, § 76 Rz. 48 „grundsätzlich dem Werkvertragrecht zu unterstellen“; aus der neueren Rechtsprechung etwa OLG München v. 23.9.2009 – 20 U 3515/09, MMR 2010, 649, 650: „Im konkreten Fall soll unstreitig eine Individualsoftware hergestellt werden. Es liegt ein sog. Softwareentwicklungsvertrag vor. Hierbei handelt es sich nach einhelliger Auffassung um einen Werkvertrag. Dies gilt auch dann, wenn ein Standardprogramm den individuellen Bedürfnissen des Anwenders angepasst wird.“ 16 BGH a. a. O., Rz. 22 ff.; überzeugenden Abgrenzung auch bei OLG Karlsruhe v. 24.10.2007 – 7 U 214/06; OLGReport München 2008, 246.
134
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung
2. Konsequenzen für Verträge über Software-Entwicklung nach neuen Projektmethoden Für die Gestaltung eines Vertrages unter Verwendung neuer Projektmethoden, hat dies folgende Konsequenzen: Wer etwa vereinbart, dass und wie „User Stories“ zu erstellen sind, welche Rechte und Pflichten dem „Product Owner“ und dem „Scrum Master“ zustehen bzw. obliegen, dass und wie ein „Product“, ein „Sprint“ und ein „Impediment Backlog“ zu führen sind, dass „Daily Scrums“ abzustimmen und durchzuführen sind etc., legt hiermit zwar detailliert die Regeln für die Durchführung des Vorhabens fest; verlässt hierdurch allein aber nicht den Anwendungsbereich des Dienstvertragsrechts.17 Da der Gegenstand von Softwareentwicklungsverträgen sich aber selten allein mit der Einhaltung einer Methodik begnügt, hilft dies aus Sicht des Bestellers nicht weiter. Verträge nach neuen Projektmethoden umfassen wohl immer auch Programmierungsarbeiten – die Schaffung von ablauffähigem Code ohne große Dokumentation ist ja gerade eines der Credos der Unterstützer dieser Vorgehensweisen.18 Auch das bei der rechtlichen Qualifikation von F&E Verträgen gerne verwandte Kriterium des „Stands der Technik“ hilft bei Software-Entwicklung nach neuen Projektmethoden kaum weiter: Bei F&E Verträgen soll grundsätzlich gelten, dass, wenn ein echter Forschungsaspekt Gegenstand des Projektes ist, das Ziel des Vorhabens damit jenseits des bei Vertragsschluss bekannten Stands der Technik liegt, die technisch-wissenschaftliche Beherrschbarkeit des Entwicklungserfolges folglich unklar ist, was für die Annahme eines Dienstvertrages spreche.19 Liege das gewünschte Projektergebnis dagegen innerhalb des Standes der Technik oder zumindest in einem Bereich, der für den Durchschnittsfachmann nahe gelegen hat, könne Werkvertragsrecht angenommen werden, da keine Ungewissheit über die Möglichkeit der Zielerreichung bestehe.20 Da bei neuen Projektmethoden Ergebnisse ohne große Dokumentation schnell realisiert werden sollen, ist zu ver_________________
17 Im Ergebnis ebenso Müller-Hengstenberg/Kirn a. a. O., 13 oben; a. A. wohl Kremer, a. a. O., Fn. 3, 286; Lapp, a. a. O., Fn. 3, 70. Schneider, kritisiert richtigerweise eine vorschnelle Qualifikation als Dienstvertrag a. a. O., Fn. 3, 20; geht im folgenden dann wohl von einem Werkvertragscharakter aus, ohne allerdings zu begründen, anhand welcher Kriterien er zu diesem Ergebnis kommt. 18 Koch, a. a. O., Fn. 3, 117. 19 Schmeißer/Zirkel, MDR 2003, 849, 851 f. 20 So etwa Schmeißer/Zirkel, MDR 2003, 849, 851 f.
135
Christian Frank
muten, dass die entsprechenden Arbeiten regelmäßig innerhalb des Standes der Technik liegen. Hieraus aber auf die Anwendbarkeit von werkvertraglichen Regeln zu schließen, überzeugt nicht, wenn gleichzeitig der Anwender bei Vertragsschluss noch nicht genau weiß, was er programmiert haben will. In diesen Konstellationen dürfte die Ungewissheit im Regelfall zudem nicht im Bereich der technisch-wissenschaftlichen Realisierbarkeit als solcher liegen, sondern eher im Bereich der bereits erwähnten „Anforderungsunsicherheit des Kunden“ und des Umfangs der geplanten Nutzung des Endproduktes.21 Bei der Gestaltung von Forschungs- und Entwicklungsverträgen wird empfohlen, ausdrücklich festzulegen, welche der Parteien das Erfolgsrisiko trägt.22 Auch dies ist beim Einsatz neuer Projektmethoden in der Praxis nur schwer umzusetzen: Wer übernimmt schon in rechtlich wirklich belastbarer Weise das Risiko für die Herbeiführung eines bei Vertragsunterzeichnung unklaren Erfolges, wenn zudem sowohl der Erfolg als auch der Weg dorthin in maßgeblicher Weise von der anderen Vertragspartei mitbestimmt werden kann? Viele Gestaltungsvorschläge zu neuen Projektmethoden bauen auf Konzepten auf, die weitgehend unter Dienstvertragsrecht fallen. Wenn mehr als „Aufwand gegen Geld“ vereinbart werden soll, setzen die Vorschläge ausländischer Autoren meist daran an, den Leistungsumfang der Arbeiten fest und/oder variabel und einen Maximalbetrag der hierfür anfallenden Vergütung zu vereinbaren.23 Hiermit lässt sich das Kostenrisiko des Bestellers begrenzen, allerdings verträgt sich ein fester Leistungsumfang wohl eher selten mit einer agilen Vorgehensweise, in der der Leistungsumfang sich erst im Laufe des Projektes ergeben soll. Eine Änderung der rechtlichen Einordnung dieses Vertrages im deutschen Recht folgt hieraus allein aber nicht.
_________________
21 Von Stiemerling werden diese beiden Aspekte in seinem Beitrag in ITRB 2010, 289, 290 als 2 von 3 kritischen Charakteristika jedes Softwareprojektes bezeichnet. 22 Schmeißer/Zirkel, a. a. O., 853. 23 Vgl. etwa Peter Stevens die Skizzierung der Konzepte, „10 Contracts for your next Agile Software Project“, am 1.2.2011 abrufbar unter http://agilesoftware development.com/blog/peterstev/10-agile-contracts, dort „Time and Material with Fixed Scope and a Cost Ceiling“; bzw. „Time and Materials with Variable Scope and Cost Ceiling“; bzw. Mary Poppendieck and Tom Poppendieck, „Lean Software Development, An Agile Toolkit“.
136
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung
IV. Vorschläge für rechtliche Lösungen zur Abschichtung von Planung und Realisierung Betrachtet man die Schritte der Zusammenarbeit etwa bei Scrum Projekten, so zerfällt die Realisierung eines Gesamtvorhabens in verschiedene Sequenzen, die nach einem vorgegebenen Verfahren mit zwingenden Iterationen ablaufen. Jeder Sprint beginnt mit der gemeinsamen Definition des Ziels; der Planung der einzelnen Schritte, ihrer Dokumentation im „Sprint Backlog“, der Umsetzung als solcher, dem „Sprint Review“ der „Sprint Retrospective“ und dem Abgleich mit dem „Produkt Backlog“. Die Befürworter der Projektmethoden weisen immer darauf hin, dass die Einhaltung des Verfahrens selber von großer Bedeutung ist und eine hohe Disziplin erfordert. 1. Komponenten eines Rahmenvertrages Vor diesem Hintergrund empfiehlt es sich die Planung und Realisierung nach Möglichkeit in rechtlicher Sicht zu trennen:24 Grundlage der Zusammenarbeit wird ein Rahmenvertrag über die Zusammenarbeit. Dieser sieht sowohl dienstvertraglich ausgestaltete Regelungen über die Zusammenarbeit der Parteien vor als auch den gesonderten Abschluss von Teilprojektverträgen, die dann zur Realisierung einzelner Abschnitte als gesondertes Teilprojekt mit werkvertraglichem Charakter ausgestaltet sind. In den Bestimmungen über die Zusammenarbeit im Allgemeinen wird das von beiden Parteien gewünschte Vorgehensmodell so genau wie möglich vereinbart. Die Einhaltung eines Verfahrens kann ebenfalls Gegenstand eines Werkvertrages werden, wie der BGH ausdrücklich festgestellt hat:25 Dies macht aus Sicht des Verfassers Sinn, wenn die Einhaltung eines festgelegten Verfahrens von so essentieller Bedeutung ist, dass eine Abweichung den Sinn des gesamten Vorhabens gefährdet. Dies liegt etwa nahe bei Verträgen über die Durchführung von Zertifizierungs- oder Prüfungsverfahren. Da bei Software-Entwicklungen ein funktionierendes Endprodukt für den Besteller wichtiger ist als ein nach dem vereinbarten Verfahren verfolgtes, in der Realisierung aber gescheitertes Projekt, ist eine werkvertragliche Ausgestaltung auf dieser Ebene als l’art pour l’art weniger sinnvoll. Die Bestimmungen _________________
24 Das Konzept der Trennung von Planung und Realisierung selber ist bei „klassischen Methoden“ der Software Entwicklung bewährt, vgl. statt vieler etwa Schneider in Schneider/Westphalen, Software-Erstellungsverträge Teil C 1. 25 BGH a. a. O., Rz. 15.
137
Christian Frank
über die Zusammenarbeit im Allgemeinen im Rahmenvertrag werden daher regelmäßig dienstvertraglich zu qualifizieren sein. Für den werkvertraglich ausgestalteten Teilprojektvertrag sollte der Rahmenvertrag in einem Anhang bereits ein Vertragsmuster enthalten, welches von den Parteien dann im jeweiligen Einzelfall gesondert konkretisiert und abgeschlossen wird, näheres unter (4). Im Rahmenvertrag sollte zudem klargestellt werden, dass die Bestimmungen eines Teilprojektvertrags insoweit den Regelungen des Rahmenvertrages vorgehen, um das Risiko eines „Überlagerns“ des Rahmenvertrages bzw. einer „einheitlichen Beurteilung“ durch ein Gericht so weit wie möglich auszuschließen. Dieser „Formalismus“ ist notwendig, um die Einigung über den beschränkten Wechsel des Vertragsregimes zu belegen.26 2. Zusammenarbeit & Projektmanagement im Allgemeinen Die Bestimmungen über die Zusammenarbeit und das Projektmanagement im Rahmenvertrag sollten die Entscheidungsfindung im Projekt regeln und Eskalationsverfahren beinhalten, um bei Meinungsverschiedenheiten schnell Lösungen zu ermöglichen, das Projekt entweder sinnvoll fortzusetzen oder abzubrechen. Hier kann man sich an entsprechende Regelungen aus F&E und/oder Joint Venture Verträgen orientieren.27 Nachdem der Anteil „echten Neulands“ im Projekt erfahrungs-
_________________
26 Beispiel für eine „gesamtheitliche Betrachtung“ u. a. BGH NJW-RR 2006, 1490: „Der Vertrag ist in seiner Gesamtheit nach der vom Auftraggeber gewählten Zielrichtung zu beurteilen. Unter diesem Gesichtspunkt wird nicht schon jede zu erbringende Einzelleistung als Erfolg i. des Werkvertragsrechts (§ 631 Absatz II BGB) geschuldet, selbst wenn sie für sich gesehen auf ein bestimmtes Ergebnis gerichtet ist … Ein Werkvertrag mit Geschäftsbesorgungscharakter ist ausnahmsweise bei Einzelaufträgen anzunehmen, die auf eine einmalige, in sich abgeschlossene Leistung gerichtet sind, etwa die Anfertigung bestimmter Bilanzen, ein Gutachten oder eine Rechtsauskunft zum Gegenstand haben; denn in derartigen Fällen wird der Steuerberater das Risiko im Allgemeinen hinreichend abschätzen können, um für einen bestimmten Erfolg seiner Tätigkeit als Werkleistung i. S. von § 631 BGB einzustehen“; ohne spezifische Darlegung der entsprechenden Konstellationen auch Redeker in Schneider/Westphalen, Softwareentwicklungsverträge, Kap. D Rz. 64 ff. 27 Vgl. insoweit auch die vorstehenden Ausführungen unter Ziffer 1.
138
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung
gemäß häufig eher gering sein wird, kann ein integriertes Schlichtungsverfahren insbesondere hinsichtlich technischer Aspekte sinnvoll sein.28 3. Regeln über Mindestinhalt der Zyklen und Abgleich in Logs Die im Rahmenvertrag aufzunehmenden Vereinbarungen über das Vorgehen selber sollten ein robustes Raster für die Zusammenarbeit bilden. Wenn inhaltliche Anforderungen an das Projektergebnis zu Beginn der Zusammenarbeit grob vereinbart werden, sollten die Parteien zugleich eine Einigung darüber treffen, wie viele Entwicklungszyklen sie für die Umsetzung erwarten, wie viel Zeit hierfür voraussichtlich benötigt wird, und welche Kosten hierfür anfallen. Soweit bereits möglich, sollten Mindest- bzw. zwingend erforderliche Kriterien einerseits und wünschenswerte, aber nicht kritische Funktionalitäten andererseits bestimmt und zugleich vereinbart werden, dass die entsprechende Listen im Laufe der Zusammenarbeit verändert werden. Für jeden einzelnen Entwicklungszyklus sollte dann unmittelbar vor ihrem Beginn ein konkretes Arbeitsziel und der voraussichtliche Aufwand vereinbart werden, in den entsprechenden Logs sollte am Ende jeweils ein Abgleich zu den vereinbarten Vorgaben des konkreten Entwicklungszyklus und zu den übergeordneten Vorgaben festgehalten werden, insbesondere ob inhaltliche Vorgaben nur umgesetzt, weiter konkretisiert, ergänzt oder abgeändert wurden und welche Konsequenzen dies für Kosten und Dauer der Realisierung des Gesamtprojektes hat. 4. „Bewehrung“ von Bestimmungen Um die Bedeutung der Einhaltung des vereinbarten Verfahrens allerdings zu unterstreichen, sollten auch im Rahmenvertrag einige Bestimmungen „bewehrt“ werden:29 Der Erfolg neuer Projektmethoden steht und fällt mit der Auswahl der richtigen Teammitglieder: Der Wunsch nach Kosten- und Zeitersparnis wird es häufig erfordern, dass die Mitglieder auf beiden Seiten über längere Erfahrungen in ihrem jeweiligen Metier verfügen – also sowohl auf Entwicklerseite eine entsprechende Erfah_________________
28 Vgl. Beardwood/Shour, a. a. O., Fn. 3, 167; in nahezu allen F&E Verträgen werden zudem Schiedsklauseln empfohlen, vgl. etwa Rosenbauer Kap. 8 Rz. 681 ff. oder Groß, Handbuch Technologietransfer Teil E; vgl. zur Mediation auch Groß, Mediation um gewerblichen Rechtsschutz und Urheberrecht, München 2009. 29 Im Teilprojektvertrag ist dies wegen des Werkvertragscharakters, insbesondere wegen der Erfolgsabhängigkeit der Vergütung nicht in gleichem Maße erforderlich.
139
Christian Frank
rung mit Programmierungsarbeiten im konkreten Bereich als auch auf Bestellerseite ein „Vertrautsein“ mit den Anforderungen im Unternehmen des Bestellers und idealerweise mit der Realisierung vergleichbarer Projekte auf Bestellerseite. Hieraus folgt, dass die „Mindestkriterien“ auf beiden Seiten explizit im Vertrag geregelt sein sollten. Dies betrifft insbesondere auch einen möglichen Austausch von Mitarbeitern. Aufgrund des Fehlens oder der allenfalls rudimentären Produktdokumentation dürfte es zumindest erhebliche zusätzliche Kosten und Zeit zur Folge haben, wenn ein Unternehmen seinen Mitarbeiter einseitig aus dem Projekt abzieht oder dieser aus anderen Gründen ausscheidet. Hier ist neben Regelungen zur Tragung entsprechender Zusatzaufwände, der Einhaltung eines „Exitverfahrens“ (etwa mit nun doch entstehenden einseitigen Dokumentationspflichten, um eine Fortführung des Projektes überhaupt zu ermöglichen) auch an Vertragsstrafen und Sonderkündigungsrechte zu denken. Ebenso bedeutsam sind Regelungen über einen von dem Vertragspartner gewünschten Austausch eines bestimmten Mitarbeiters, etwa bei mangelnden Qualifikationen oder wiederholten Verstößen gegen das vereinbarte Procedere. 5. Design Freeze und Teilprojektvertrag zur Realisierung Sollte das Projekt es ermöglichen, sollten zunächst die reinen Planungszyklen abgeschlossen werden, dann tritt ein zumindest vorübergehender „Design Freeze“ ein: Auf der Grundlage des gemeinsam verabschiedeten Planungsergebnisses unterbreitet der Entwickler dann ein Realisierungsangebot zu den zuvor abstrakt vereinbarten finanziellen Konditionen, durch dessen Annahme durch den Besteller ein gesonderter Teilprojektvertrag zur Realisierung entsprechend dem im Rahmenvertrag vereinbarten Muster zustande kommt. Die Umsetzung erfolgt dann allein durch den Entwickler. Der Entwickler übernimmt das Erfolgsrisiko, insoweit sollen werkvertragliche Bestimmungen Anwendung finden. Die Anknüpfung an werkvertragliche Bestimmungen bedeutet im konkreten Zusammenhang, dass – weil nun die Lieferung eines entsprechenden Softwareproduktes aufgrund einer eigenständigen Realisierungsvereinbarung geschuldet ist, während die Planung auf eigener vertraglicher Grundlage stattfand – nach den höchstrichterlichen Vorgaben zu § 651 BGB zunächst die kaufrechtlichen Regelungen Anwendung finden. Der BGH hat in der „Silobauteile“-Entscheidung vom 23.7.200930 den An_________________
30 BGH CR 2009, 637.
140
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung
wendungsbereich des Kaufrechts über die Verweisung in § 651 BGB klargestellt: Ist ein Unternehmen allein zur Lieferung von ihm herzustellender Bau- und Anlageteile verpflichtet, unterliegt der Vertrag über die Verweisung in § 651 BGB Kaufrecht. Unbeantwortet konnte bleiben, ob etwas anderes gelte, wenn auch eine Verpflichtung zum Einbau dieser Teile übernommen wurde bzw. wenn wesentliche Planungsleistungen geschuldet waren, die den Schwerpunkt des Vertrages bilden und deshalb die Anwendung von Werkvertragsrecht erfordern.31 Das Abstellen auf dieses „Erfordernis“ erscheint auf den ersten Blick wenig überzeugend, wird jedoch dann durch das Beispiel illustriert, dass es bei einer Beauftragung im Wesentlichen um die allgemein planerische Lösung eines konstruktiven Problems gehe. Die Übertragbarkeit der Ratio dieses Urteils auf Software-Erstellungsverträge ist von verschiedenen Autoren besprochen worden:32 Einigkeit besteht insoweit, dass Werkvertragrecht anzuwenden sei, wenn etwa Planungsaspekte im Vordergrund stehen. Es ist auch zutreffend, dass man bei Verträgen, die neben der Softwareerstellung die erfolgreiche Implementierung eines komplexen Systems ins betriebliche Umfeld des Bestellers umfassen, zur Anwendung des Werkvertragrechts kommen kann, weil der „Montageanteil“ deutlich überwiegt.33 Beide Konstellationen dürften allerdings eher selten anzutreffen sein, wenn die Parteien die Anwendung neuer Projektmethoden vereinbaren: Sie sollen schnell zu ablauffähiger Software führen, durch iterative Zyklen werden Anforderungen und Lösungen nahezu gleichzeitig verfeinert, aber eben an der konkreten Programmierung und nicht an einem Konzept. Wer eine komplexe Anwendung in eine noch komplexere Umgebung implementiert haben möchte, wird wegen der Umgebung das Anforderungsprofil zumindest insoweit detailliert festlegen und zudem kaum auf umfangreiche Dokumentation verzichten wollen. Folglich eignen sich neue Projektmethoden eher weniger für entsprechende Konstellationen. Die Parteien sollten im Teilprojektvertrag eine Regelung treffen, ob sie etwa explizit einerseits eine Abnahme vereinbaren, _________________
31 BGH a. a. O., Rz. 25. 32 U. a. Schneider, a. a. O., Fn. 3; Witte, a. a. O., Fn. 3, vgl. auch Müller-Hengstenberg, NJW 2010, 1181; Zirkel, GRUR Prax 2010, 237; Schweinoch, Urteilsanmerkung in CR 2009, 640 und Beitrag in CR 2010, 1; Urteilsanmerkungen von Hoffmann, MMR 2010, 25. 33 Karger im Beckblog zum Urteil; Schneider, a. a. O., 22; Witte a. a. O., Fn. 3, 47; Müller-Hengstenberg, NJW 2010, 1181, 1182 f.; zustimmend Zirkel, GRUR Prax, 2010, 237.
141
Christian Frank
andererseits das Kündigungsrecht des Bestellers nach § 649 BGB modifizieren oder ausschließen, d. h. diejenigen Regeln treffen, die sie in Abweichung vom gesetzlichen Modell hier anwenden wollen.34
V. Wirtschaftliche Lösungen Sofern die Trennung zwischen Planungs- und Realisierungsphase und damit die Ausgliederung der Umsetzung in separate werkvertraglich ausgestaltete Teilprojektverträge nicht möglich oder nicht sinnvoll ist, erscheint die rechtliche Abgrenzung der einzelnen Arbeiten während der Durchführung des Projektes schwierig. Allerdings lässt sich auch für ein derartiges Vorgehen eine Vereinbarung darüber treffen, dass die Parteien zwischen kritischen, notwendigen Funktionalitäten einerseits und zusätzlichen, wünschenswerten andererseits unterscheiden. Es wird bei Projektbeginn vereinbart, dass die Parteien am Ende des Projekts eine Vereinbarung über den Nachweis aller kritischen, notwendigen Funktionalitäten durch den Entwickler und die Beseitigung von Fehlern bzw. Pflegeleistungen treffen, wobei in AGB-relevanten Konstellationen die Grenze des § 307 BGB zu beachten ist.35 Die Projektdurchführung folgt dann dienstvertraglichen Bestimmungen, die entsprechende, vom Besteller zu bezahlende Vergütung deckt jedoch allein den Nettoaufwand ohne Gewinnmarge des Entwicklers.36 Der erfolgreiche Nachweis durch den Entwickler löst dann eine gesonderte Zahlung an den Entwickler aus, mit welcher er seine Marge bei rechnerischer Gesamtbetrachtung des Projektes erheblich verbessert. Aus Sicht eines Softwareentwicklers ist das Risiko eines Werkvertrages, insbesondere von Abnahme und Gewährleistungspflichten in erster Linie ein kaufmännisches Thema. Dies ist unabhängig davon, ob das Projekt _________________
34 Zirkel äußert in GRUR Prax, 2010, 237 Bedenken gegen die Zulässigkeit der Abweichung von kaufvertragstypischen Elementen, was die Anknüpfung des Gefahrenübergangs an eine Abnahme oder eine Haftungsverschärfung in Anlehnung an § 640 Abs. 2 BGB betrifft. Da Softwareentwicklungsverträge bei klassischen Projektmethoden und entsprechender Regelung problemlos als Werkvertrag qualifiziert würden, wenn eine derart intensive Planung erfolgte, und derartige Vereinbarungen wohl ausschließlich zwischen Unternehmen geschlossen werden, ist aus diesseitiger Sicht ein Verstoß gegen § 307 BGB zwar nicht undenkbar, allerdings auch nicht so naheliegend, dass von entsprechenden Vereinbarungen abgeraten werden müsste. 35 Vgl. hierzu auch Rosenberger, Kap. 6 Rz. 23. 36 Beardwood/Shour schlagen weitere Gestaltungsmöglichkeiten vor, vgl. a. a. O., 167–169.
142
Agile Projektmethoden – Anforderungen an die Vertragsgestaltung
mit klassischen oder neuen Projektmethoden realisiert wird: Eine Vielzahl von Unternehmen bieten für die Realisierung von Entwicklungsprojekten seit Jahren sowohl dienst- als auch werkvertragliche Lösungen an, letztere enthalten aber einen „Risikozuschlag“ und sind insofern teurer.37 Diese Einschätzung kann auch bei der Vertragsgestaltung für neuen Projektmethoden in sinnvolle und kreative Lösungen umgesetzt werden. 1. Die Verteilung von Risiken und Erträgen Dem Charakter der Zusammenarbeit entspricht es wohl am ehesten, wenn auch die Vergütungsabrede im Rahmenvertrag flexibel gestaltet sein kann. So lässt sich etwa ein durch die Realisierungszeit, die Anzahl uneingesetzter Funktionalitäten und ihre jeweilige Leistungsfähigkeit bestimmter Bereich vereinbaren, in welchem die Gesamtkosten des Projektes zu 100 % bezahlt werden. Wird dieser in einem wiederum festzulegenden Rahmen überschritten, kann vereinbart werden, dass nur noch ein Teil der dann eigentlich anfallenden Vergütung zu bezahlen ist; die Parteien sich den zusätzlichen Aufwand also insofern „teilen“. Im Gegenzug sollte bei Unterschreitung der geplanten Gesamtkosten auch die dem Besteller zu Gute kommende „Ersparnis“ geteilt werden, indem etwa eine Bonusregelung zugunsten des Entwicklers getroffen wird. Stattdessen oder zusätzlich lässt sich auch eine feste Grenze der Maximalkosten einerseits oder einer minimalen Pauschalvergütung andererseits entsprechend dem Interesse und freien Spiel der jeweiligen Verhandlungsmacht vereinbaren.38 2. Gewährleistungsrecht Es ist empfehlenswert, im Rahmen der Bestimmung zur Gewährleistung der Teilprojektverträge klarzustellen, dass ein Rücktrittsrecht des Bestellers wegen Schlechtleistung nur den oder ggf. die Summe der von Teilprojektverträgen mit Werkvertragscharakter erfassten Leistungsbereiche umfasst. Das Risiko, mit den Dienstleistungskomponenten in diesem Fall nichts mehr anfangen zu können, verbleibt damit grundsätzlich beim Besteller, was vor dem Hintergrund der Gestaltungsmöglichkeiten im Bereich der Vergütung zumutbar erscheint. _________________
37 Der „Werkvertragszuschlag“ lag nach den Erfahrungen des Unterzeichners in der Vergangenheit häufig zwischen 25 und 40 % der Kosten einer dienstvertraglichen Umsetzung. 38 Vgl. erneut Beardwood/Shour a. a. O., 167–169.
143
Christian Frank
Allerdings lässt sich in einem Rahmenvertrag durchaus auch eine Vereinbarung treffen, derzufolge ein wegen Schlechtleistung der Werkkomponenten erfolgter Rücktritt eine Anpassung der geschuldeten Dienstvergütungen auslöst.
VI. Zusammenfassung Software-Entwicklungsverträge lassen sich auch beim Einsatz von neuen Projektmethoden so gestalten, dass sie einerseits die gewünschte Flexibilität bieten und andererseits auch die „Sicherheit“ eines Werkvertrages. Ob der Einsatz neuer Projektmethoden sinnvoll ist, ist anhand der einleitend dargestellten Aspekte vorab zu überprüfen. Neue Projektmethoden sind ergebnisoffener und in mancher Hinsicht weniger formell, die Anforderungen an das Projektmanagement sind dagegen aber eher höher: Wenn der ausgearbeitete Projektplan der Wasserfallmethode und die sie begleitenden Regelungen im Vertrag fehlen, können letztere kaum inhaltliche Vorgaben enthalten. Deren sorgfältige Erarbeitung und Realisierung „on the fly“ innerhalb eines flexiblen Rahmens obliegt damit dem Projektteam. Dies erfordert ein hohes Maß an eigener Disziplin der Teammitarbeiter, ein Verständnis der Gesamtzusammenhänge und ein hohes Niveau im täglichen Projektmanagement. Insbesondere letzteres würde sicher auch beim Einsatz „klassischer Projektmethoden“ die Zahl erfolgreicher Abschlüsse deutlich heben.
144
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung Wiegand Liesegang/Dr. Siegfried Streitz I. Einleitung II. Spezifika von Software und Softwareentwicklungs-Prozessen 1. Spezifika des Produktes Software 2. Spezifika des Software-Entwicklungsprozesses III. Industrialisierung IV. Auswirkungen auf die Begutachtung 1. Tatsachen 2. Bestimmung des Soll-Zustands 3. Bestimmung der Ist-Situation a) Reproduzierbarkeit von Fehlern b) Fehlerfeststellung
c) Beurteilungsmaßstab 4. Begründung der Ergebnisse a) Fachgerechte Anwendung und Begründung der Bewertungsmethoden b) Darlegung der Quellen von Erfahrungssätzen c) Dokumentation von Unsicherheiten d) Dokumentation der Wertigkeit fachlicher Aussagen e) Zusammenfassung der Anforderungen zur Nachprüfbarkeit 5. Sicherung des Zustands V. Zusammenfassung
Literatur: Auer-Rheinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, 1. Auflage, 2011; Balzert, Lehrbuch der Software-Technik – Softwaremanagement, 2. Auflage, 2008; Bayerlein, Praxishandbuch Sachverständigenrecht, 4. Auflage, 2008; Bleutge, Der gerichtliche Gutachtenauftrag, 8. Auflage, 2007; Liggesmeyer, Software-Qualität, Testen, Analysieren und Verifizieren von Software, 2. Auflage, 2009.
I. Einleitung Die Bedeutung von Software für den unternehmerischen Erfolg oder Misserfolg steigt branchenübergreifend beständig und wird auch in der Zukunft weiter steigen. IT-Projekte scheitern auf breiter Front, in hoher Zahl und auf die unterschiedlichste Art und Weise: Zeitpläne werden überschritten, die Kosten laufen aus dem Ruder oder das Endprodukt entspricht nicht den Erwartungen. Zwischen Software-Herstellern und ihren Auftraggebern besteht großes Konfliktpotenzial. Dieser Artikel möchte dazu beitragen, die Situation an der Schnittstelle zwischen IT und Recht zu verbessern – durch mehr Verständnis aller Beteiligten für die Besonderheiten von Software, den Softwareentwicklungsprozess und 145
Wiegand Liesegang/Siegfried Streitz
den Stand der Industrialisierung in der Softwarebranche. Zu diesem Zweck werden in Kapitel II. ausgewählte Merkmale von Software und Softwareentwicklungsprozessen dargestellt. Kapitel III. widmet sich der Diskussion um die Industrialisierung in der Software-Entwicklung. Auf dieser Basis wird in Kapitel IV. hergeleitet, welche Konsequenzen sich daraus für die Beurteilung von Software und Softwareentwicklungsprozessen ergeben.
II. Spezifika von Software und Softwareentwicklungs-Prozessen Die moderne Informationstechnologie ist integraler Bestandteil des Alltags geworden. Viele Menschen verwenden ganz selbstverständlich Mobiltelefone, Navigationssysteme, Bankautomaten, Webportale, ohne sich Gedanken darüber machen zu müssen, wie die Technik funktioniert. Wie komplex die Programme sind, die dazu gehören, ist für einen Anwender kaum noch vorstellbar. So wies Balzert bereits 2008 darauf hin, dass ein typisches Mobiltelefon zwei Millionen Zeilen Programmanweisungen enthält, und prognostizierte, dass es im Jahr 2010 noch zehnmal mehr Software besitzen werde. Zum gleichen Zeitpunkt erwartete General Motors, dass 2010 jedes seiner Autos 100 Millionen Zeilen Programmanweisungen enthält. Es werden auch immer mehr Systeme integriert. So hängt z. B. ein Luftverkehrsüberwachungssystem von Dutzenden von anderen Netzwerken ab, die Kommunikations-, Wetter-, Navigations- und andere Daten bereitstellen.1 Hinzu kommt, dass der Wissens- und Erfahrungshorizont in Bezug auf Software und -entwicklungsprozesse beim normalen Anwender im Wesentlichen aus der Nutzung der Software erwächst. Zwar installieren auch Endanwender Programme; die dahinter stehenden Mechanismen sind jedoch nur in den seltensten Fällen für diese Anwender verständlich. Die Konfiguration der Software mit Hilfe von Parametern2 erfolgt nur in geringem Umfang. Auch eine Programmierung verlangt spezielle Kenntnisse. Die Möglichkeit für Endanwender, eine Software zu erstellen, beschränkt sich auf technisch einfache Systeme wie beispielsweise eine schlichte Webseite. Hierbei ist zu betonen, dass der Anwender selbst bei diesen einfachen Softwareentwicklungen in der Regel _________________
1 Balzert, Lehrbuch der Software-Technik, S. 154. 2 Mit Hilfe von Konfigurationsparametern kann ein Endanwender das Verhalten einer Software verändern, ohne die eigentliche Programmierung anzupassen. Z. B. kann Microsoft Word von einem Nutzer so konfiguriert werden, dass die Rechtschreibprüfung auf der neuen Rechtschreibung basiert.
146
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
schon auf hoch entwickelte Programmpakete zurückgreift, die den Entwicklungsprozess deutlich erleichtern und dabei technische Details vor dem Anwender verbergen. Vor diesem Hintergrund sind die Herausforderungen an Auftraggeber und Auftragnehmer in allen Phasen des Entwicklungsprozesses einer Software sehr hoch. Darüber hinaus kennzeichnen einige weitere Produkt- und Prozess-Spezifika die IT-Branche, die an der Schnittstelle von IT und Recht Einfluss auf die Beurteilung haben. 1. Spezifika des Produktes Software Eine zentrale Eigenschaft des Produktes Software besteht darin, dass es ein immaterielles Gut ist, das nicht auf naturwissenschaftlichen Prinzipien basiert und daher auch nicht durch diese begrenzt ist: Anders als beispielsweise ein Auto oder ein Haus lässt sich Software nicht durch messbare physikalische Eigenschaften wie Höhe, Breite, Gewicht etc. sinnvoll beschreiben. Software besteht aus Lösungsansätzen, Ideen, Vorstellungswelten, die in Form von Programmcode, Datenstrukturen, Ablaufdiagrammen etc. repräsentiert werden. Software ist das Ergebnis geistiger Arbeit, letztendlich erfahrbar nur in ihrer Verwendung. Dementsprechend existieren auch überwiegend empirisch geprägte Regeln, wie zu Qualität, Aufwand und Änderungsraten. Infolgedessen sind die Messbarkeit und damit die Beurteilung von Software deutlich beschränkt: Wie definiert und misst man Qualität, wie ermittelt man den Entwicklungsfortschritt eines Softwareproduktes? Warum sich die Beurteilung des abstrakten Produktes Software schwierig gestaltet, macht ein Vergleich mit einem konkreten Produkt deutlich, hier am Beispiel der Baubranche: Für die Qualität eines Hauses gibt es aussagekräftige messbare, überwiegend allgemein gültige und sinnlich erfassbare Indizien: Ist der Baukörper dicht? Stehen die Wände gerade? Natürlich gibt es auch in der Programmierung einfache Aspekte, die ermittelt werden können: Sind Programmierrichtlinien eingehalten worden? Sind Dialoge entsprechend den Design-Vorgaben konzipiert und implementiert worden? Der Löwenanteil der Leistung aber besteht in der Entwicklung einer geistigen Vorstellung, die sich im Programmcode, in Diagrammen etc. darstellt. Dies ist eine nur schwer zugängliche Bewertungsgrundlage. In gleicher Weise ist der Entwicklungsfortschritt im Rahmen eines Software-Projektes kaum einzuschätzen. Auch hier liegt wieder die Abgren147
Wiegand Liesegang/Siegfried Streitz
zung zur Baubranche nahe: Ob ein Haus fertig ist oder nicht, kann anhand objektiver Kriterien überprüft werden. In der Software-Entwicklung dagegen verlaufen alle Arbeitsschritte – Problembeschreibung, Lösungsentwicklung, Programmierung und Qualitätssicherung – weitestgehend abstrakt.3 Der Entwicklungsfortschritt ist objektiv nicht zu ermitteln. … Um festzustellen, ob dieses Dokument oder Quellprogramm überhaupt verwendbar ist, ist eine genaue Untersuchung durch einen Experten erforderlich. Um die Qualität zu überprüfen, muss man fast denselben Aufwand betreiben wie bei der Entwicklung. … Es fehlen in der Regel einfache, billige Kontrollmittel …
Doch nicht nur für das Produkt Software sind Besonderheiten festzustellen; auch der Software-Entwicklungsprozess weist erwähnenswerte Merkmale auf. 2. Spezifika des Software-Entwicklungsprozesses Ein wichtiges Merkmal für die Beschreibung eines Entwicklungsprozesses ist der Ablauf der Entwicklungsphasen. Bei vielen Produkten sind so genannte sequentielle Entwicklungsmodelle dominant. Bei dieser Vorgehensweise werden die verschiedenen Entwicklungsphasen (wie Anforderungserhebung, Entwurf, Realisierung) sequenziell abgearbeitet: Eine neue Phase wird erst dann begonnen, wenn die Vorgängerphase vollständig abgeschlossen ist. Ein Beispiel: Beim Bau eines Hauses werden erst verschiedene Planungsphasen (inklusive der Vergabe) durchgeführt, dann wird das Haus gebaut4. In der Regel wird erst das Fundament angefertigt, dann werden die Wände und am Schluss das Dach errichtet. Die physikalischen Eigenschaften dieses Produktes machen eine andere Vorgehensweise weitgehend sinnlos. Der Entwicklungsprozess ist zum größten Teil verstanden und vorhersagbar, nicht zuletzt deshalb, weil die Menschheit im Bauwesen auf mehrere tausend Jahre Erfahrung zurückschaut. Historisch betrachtet ist der Erfahrungshorizont bei der Software-Entwicklung dagegen mit gerade einmal einem halben Jahrhundert sehr gering. Dies und die in Kapitel II.1. Spezifika des Produktes Software angerissenen Eigenschaften sind unter anderem Ursachen für die sich ständig ändernde Palette von Entwicklungs-Modellen (wie Wasserfall_________________
3 Balzert, Lehrbuch der Software-Technik, S. 151. 4 Honorarordnung für Architekten und Ingenieure (HOAI).
148
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
Modell5, Rational Unified Process – RUP6, SCRUM7 etc.), die in der Software-Entwicklung zum Einsatz kommt. Die dargelegten Eigenschaften der Software sind im Grunde die Ursache für einen außergewöhnlich hohen Interpretationsspielraum hinsichtlich des gewünschten Produktes Software. Diesem Phänomen versuchen die verschiedenen Modelle auf unterschiedliche Art und Weise zu begegnen. Eine bewährte Methode, Konflikte zu vermeiden, besteht darin, zum Projektstart eine möglichst umfassende und detaillierte Anforderungserhebung durchzuführen. Auch empfiehlt es sich, allen Beteiligten so früh wie möglich das eigentliche Produkt – zumindest in Teilen – zur Verfügung zu stellen. Denn die Rückmeldungen aus der Praxis fließen in die Entwicklung ein und helfen bei der Annäherung an das definierte Ziel. Hier zeigt sich eine Spezifik des Software-Entwicklungsprozesses:8 Eine Softwareentwicklung verläuft nicht deterministisch. Neue Erkenntnisse während der Entwicklung haben Auswirkungen auf bisherige Ergebnisse. Deshalb ist ein bestimmtes Teilprodukt immer nur bedingt fertig. Diese entwicklungsinternen Zyklen müssen bei der Projektplanung mitberücksichtigt werden. Oft wird die Hälfte der Arbeit zur Überarbeitung bereits erstellter Teilprodukte benötigt.
So haben sich Software-Entwicklungsmodelle entwickelt und etabliert, die versuchen, der Natur der Software in besonderer Weise gerecht zu werden wie RUP oder SCRUM. Bei diesen Modellen werden die Phasen mehrfach durchlaufen (iterativ) und jeweils nur Teilergebnisse (inkrementell) geliefert. Derartige Modelle sind teilweise in ihrer konkreten Ausprägung nur aufgrund der Tatsache möglich, dass Software ein immaterielles Gut ist, das keinen naturwissenschaftlichen Gesetzen unterliegt. Allerdings sind auch bei diesen Modellen erhebliche Unterschiede _________________
5 Das sogenannte Wasserfall-Modell ist die bekannteste Ausprägung eines sequentiellen Entwicklungsmodells in der Softwarebranche. Dieses Modell legt fest, dass Software in sukzessiven Stufen entwickelt wird. 6 Das RUP-Modell (Rational Unified Process) stellt einen generischen Prozessrahmen für die objektorientierte Softwareentwicklung zur Verfügung und orientiert sich hierbei an Prinzipien wie Prozesse adaptieren, konkurrierende Ziele von Beteiligten ausgleichen, Nutzen iterativ nachweisen etc. 7 SCRUM ist ein Prozessmodell, um ein beliebiges Produkt zu entwickeln oder eine Arbeit zu managen. SCRUM ist kein Akronym, sondern ein Begriff aus dem Rugby. Er bezeichnet das Gedränge nach einem erneuten Beginn des Spiels. SCRUM basiert auf Grundannahmen einer schlanken Produktion und überträgt Erfahrungen aus der Automobilbranche auf die Softwareentwicklung. 8 Balzert, Lehrbuch der Software-Technik, S. 151.
149
Wiegand Liesegang/Siegfried Streitz
vorhanden. RUP ist ein umfangreiches Modell und basiert auf über 20 Rollen9und über 20 zu erstellenden Teilprodukten10. Dem gegenüber ist SCRUM ein leichtgewichtiges Modell, das auf Grundannahmen einer schlanken Produktion (lean production) basiert. SCRUM schreibt 6 Rollen11 und weniger als 10 Teilprodukte12 vor. Ein weiterer spezifischer Aspekt bei Software-Entwicklungsprozessen besteht darin, dass sie eine unverwechselbare Handschrift tragen: Die individuellen kreativen Lösungsansätze in der IT-Branche sind weitgehend an die Person des Entwicklers und an sein Spezialwissen gebunden. Natürlich gibt es grundsätzliche Rahmenbedingungen wie ein ingenieurmäßiges Vorgehen – aber innerhalb dieses Rahmens gibt es bei IT-Projekten aufgrund der Bindung an den Entwickler eine Tendenz zur „Unteilbarkeit“ der Arbeit, wie Balzert ausführt.13 Um eine Software-Aufgabe zu lösen, muß sich der Entwickler intensiv mit dem Problem beschäftigen. Dadurch wird die Übertragung von Aufgaben an einen anderen Mitarbeiter teuer, da der neue Mitarbeiter die Einarbeitungszeit des alten Mitarbeiters wiederholen muss. Aufgaben sind also nicht voll austauschbar.
An dieser Stelle ist festzuhalten, dass noch kein allgemein anerkanntes Verständnis des Software-Entwicklungsprozesses existiert.
III. Industrialisierung Seit einigen Jahren wird der Begriff der Industrialisierung in Bezug auf Software-Entwicklung diskutiert. Allgemein versteht man unter der Industrialisierung die Einführung und Verbreitung industrieller Formen der Produktion und Distribution von Waren und Dienstleistungen. Balzert definiert den Begriff Software-Industrialisierung wie folgt.14 Software-Industrialisierung ist die Erstellung von Software mit industriellen Mitteln.
_________________
9 Z. B. Prozessingenieur, System-Administrator, Werkzeug-Spezialist, Entwickler. 10 Z. B. Entwurfsmodell, Datenmodell, Implementierungsmodell. 11 Z. B. Entwicklungsteam, Auftraggeber, Nutzer. 12 Z. B. eine Liste der Eigenschaften/Ziele des Produkts, eine Liste Eigenschaften/Ziele, die im nächsten Schritt bearbeitet werden sollen. 13 Balzert, Lehrbuch der Software-Technik, S. 152. 14 Balzert, Lehrbuch der Software-Technik, S. 153.
150
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
Wie schon in anderen Bereichen geht es bei der Industrialisierung um die zentrale Frage: Wie kann man die Effizienz und die Effektivität steigern? Eine Einschätzung zum aktuellen Stand der Effizienz in der Softwareentwicklung lautet.15 Die Produktentwicklung selbst – also die Softwareentwicklung – hingegen ist bis heute kostenintensiv und nur selten exakt zu kalkulieren und erfüllt damit nicht die Forderung nach gesteigerter Effizienz. Die Entwicklung eines ingenieurmäßigen Vorgehens auf der einen Seite und die Verlagerung von Softwareentwicklung in Länder mit deutlich geringeren Lohnkosten sind die Folgen dieser Effizienzfokussierung. Sie sind gleichzeitig Indizien für eine einsetzende Industrialisierung der Softwareindustrie.
Einige Beispiele sollen zeigen, was zurzeit in dieser Hinsicht in der Informationstechnologie bereits Realität ist. Um die Verständlichkeit zu erhöhen, werden Vergleiche der Industrialisierung aus „älteren“ Branchen herangezogen, hier aus der Automobil-Branche und aus dem Bauwesen. Nachfolgend ist die Gegenüberstellung der Beispiele übersichtlich in Form einer Tabelle dargestellt. Ansatz Standardisierung (Produkt)
Konzept Module/Komponenten
Software
Automobil-/Bau-Branche 16
Frameworks , 17 Bibliotheken
Radios, Felgen, Reifen
_________________
15 Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM), Industrielle Softwareentwicklung, Leitfaden und Orientierungshilfe, S. 6. 16 Ein Framework ist ein Programmiergerüst, das insbesondere in der objektorientierten Softwareentwicklung zum Einsatz kommt. Es gibt in der Regel eine technische Anwendungsarchitektur vor. Frameworks haben den Zweck, Bestandteile einer Softwarearchitektur für die Wiederverwendung zur Verfügung zu stellen. 17 Bibliotheken haben das Ziel, funktionale Bestandteile für die Wiederverwendung zur Verfügung zu stellen.
151
Wiegand Liesegang/Siegfried Streitz Ansatz
Konzept
Software
Automobil-/Bau-Branche
Standardisierung (Produkt)
Plattformen
Serviceorientierte Archi18 tektur (SOA) , Java 2 Enterprise Edition 19 (J2EE)
Eine Plattform ist eine technische Basis, auf der äußerlich unterschiedliche Modelle (auch herstellerübergreifend) aufbauen. Mögliche technische Komponenten sind Motor, Getriebe, Achsen etc.
Standardisierung (Produkt)
Normen/Modelle
Unified Modeling Notation 20 (UML) , ISO/IEC 25000 (Software product Quality Requirements and Evaluation – SQuaRE)
DIN 18195-1 Bauwerksabdichtungen
Standardisierung (Prozess)
Normen/Modelle
DIN 69901 (Projektmanagement) RUP, SCRUM
Vorgehensmodelle für die Entwicklung von Prototypen, Produktionsplanung und Serienfertigung
Automatisierung
Automatisierte Build-Pro21 zesse , Software-Generierung auf Basis von fachlichen Modellen
Automatische Lackierung eines KFZ
Spezialisierung
Zukauf von Komponenten (Verringerung der Fertigungstiefe), Outsourcing von Entwicklungsarbeiten
Zukauf von Komponenten (Verringerung der Fertigungstiefe), Mögliche Komponenten für ein Fertighaus sind Wände, Fenster, Treppen etc.
_________________
18 Der zentrale Gedanke einer serviceorientierten Architektur besteht darin, eine Aufgabe bzw. einen Geschäftsprozesses durch das Zusammenspiel verschiedener fachlich orientierter Dienste (z. B. Überweisung erfassen, prüfen und ausführen) zu realisieren. Die technische Realisierung wird als Bestandteil des Dienstes verstanden und ist daher nicht von Bedeutung. 19 J2EE ist ein technisches Architekturkonzept für die Programmiersprache Java. In diesem Fall stehen die technischen Aspekte im Vordergrund. 20 UML ist eine graphische Modellierungssprache für Software. 21 Ein Build-Prozess ist der Vorgang der automatischen Erstellung einer Version einer Software.
152
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung Ansatz
Konzept
Kontinuierliche Verbesserung
Software
Automobil-/Bau-Branche
DIN EN ISO 9000, Software Process Improvement and Capability Determination (SPICE – 22 ISO/IEC 15504) , Capability Maturity Model Inte23 gration (CMMI)
Automotive SPICE
24
In der Software-Entwicklung sind erste Industrialisierungsansätze erkennbar. Insgesamt hat die Industrialisierung in der IT-Branche aber noch keinen Reifegrad erreicht, der in älteren Branchen vorliegt. Aufgrund der in den vorangegangenen Kapiteln dargestellten Besonderheiten wird außerdem deutlich, dass es immanente Begrenzungen für Industrialisierungsbestrebungen gibt. Um im Bild der Automobilindustrie zu bleiben: Der Aufwand, der für ein völlig neues Programm geleistet werden muss, entspricht eher der Erstellung eines revolutionären Prototypen durch viele hoch qualifizierte Spezialisten als der Produktion eines Serienmodells durch geschulte Facharbeiter – und dies wird auch auf absehbare Zeit so bleiben. Für die Schnittstelle von Recht und IT bedeutet dies: Eine eindeutige offenkundige Basis für die Beurteilung von Software und ihren Entwicklungsprozess ist zum gegenwärtigen Stand durch die teilweise Industrialisierung nur begrenzt vorhanden.
IV. Auswirkungen auf die Begutachtung Häufig werden in IT-Prozessen Parallelen zu Bauprozessen gezogen, um Sachverhalte oder Beurteilungen deutlicher und nachvollziehbarer darzustellen. Gleichwohl besteht eine Reihe teils fundamentaler Unterschiede, die eine kritische Prüfung auslösen sollten, ob die Vergleiche _________________
22 Der Standard SPICE ist ein internationaler Standard zur Bewertung und Verbesserung der Softwareprozesse einer Organisation. 23 Die CMMI-Modelle (Capability Maturity Model Integration) sind Referenzmodelle, die bewährte Praktiken zusammenfassen. Im Gegensatz zu konkreten Vorgehensmodellen definiert CMMI z. B. grundsätzliche Praktiken für eine gute Produktentwicklung, aber keine konkreten Schritte. 24 Automotive SPICE ist eine Variante des internationalen Standards ISO/IEC 15504 (SPICE) für die Bewertung der Leistungsfähigkeit der Entwicklungsprozesse von Steuergerätelieferanten in der Automobilindustrie.
153
Wiegand Liesegang/Siegfried Streitz
gezogen werden können oder ob unzutreffende Folgerungen aufgrund falscher Annahmen und Voraussetzungen vorliegen. Die Autoren skizzieren die wesentlichen Elemente der Gutachtenerstellung und analysieren auf dieser Basis, welche Anforderungen an Gutachten bestehen. Die Tatsachen (Befundtatsachen, Anknüpfungstatsachen und Zusatztatsachen25), stellen die Basis für die Gutachtenerstattung dar; es schließt sich die Bestimmung des Soll-Zustands und der IstSituation an. Die Gegenüberstellung der Abweichungen liefert die Sachverhalte, die Gegenstand einer Sachverständigenbeurteilung sind. Die Betrachtung der Software als ingenieurmäßiges Industrieprodukt führt zu einer Reihe von Besonderheiten bei der Begutachtung von Sachverhalten, die wir im Folgenden näher darstellen. Dabei behandeln wir IT-typische Problemfälle wie die Reproduzierbarkeit von Fehlern und die Sicherung von Zuständen. 1. Tatsachen Als Beispiel für die Feststellung von Tatsachen behandeln wir in diesem Abschnitt die Beschreibung und die Sicherung der Identität eines zu begutachtenden Objekts. Die sorgfältige Sachverhaltsermittlung durch den Sachverständigen setzt voraus, dass er alle relevanten Daten heranziehen muss. Damit schafft der Sachverständige die Basis der Gutachtenerstattung. Soweit dem Sachverständigen die Anknüpfungstatsachen nicht vorgegeben werden, hat er diese sorgfältig zu erarbeiten und darzulegen26. Üblicherweise geschieht dies im technischen Bereich durch die Angabe einer eindeutigen Nummer (beispielsweise Fahrgestellnummer eines Kraftfahrzeuges, Seriennummer eines technischen Geräts) sowie einer Modellbezeichnung zur näheren Bestimmung des Objekts. Im Baubereich ist dies noch unkomplizierter, da die Lage eines Bauobjekts eindeutig bestimmt ist (anhand einer Adresse oder geografischer Koordinaten). Diese Vorgehensweise ist im IT-Bereich – mit einigen Einschränkungen – auch anwendbar. So besitzen Personalcomputer von Markenherstellern eine Seriennummer; schwieriger wird es bei speziell konfigurierten Systemen, die nicht auf der Baureihe eines Herstellers beruhen, sondern aus Bauteilen zusammengestellt werden. Auch wenn Erweiterungs- und _________________
25 Bayerlein, Praxishandbuch Sachverständigenrecht, § 15 RdNr. 1. 26 Bayerlein, Praxishandbuch Sachverständigenrecht, § 29 RdNr. 11.
154
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
Zusatzmodule oder -karten verwendet werden, müssen diese gesondert aufgenommen werden, gegebenenfalls durch Öffnen des Gehäuses. Weitaus schwieriger ist die Situation im Softwarebereich. Die Hersteller verwenden hier Versionsnummern sowie weitere Unterversions- oder Revisionsnummern, die den jeweiligen Stand im Rahmen des Entwicklungszyklus näher beschreiben. Hinzu kommen spezielle Softwareergänzungen zur Beseitigung von Fehlern (sogenannte Patches), die auch teilweise, besonders in dringenden Fällen (sogenannter Hotpatch oder Hotfix), ohne eine Versionsbezeichnung eingespielt werden. Eine nachvollziehbare exakte Bezeichnung ist die Build-Nummer, die den Fortschritt der Entwicklungsarbeiten in Einzelschritten bezeichnet. Ein Problem ist, dass nicht alle Hersteller eine derartige genaue Versionsbezeichnung unterstützen; darüber hinaus wird auch nicht von allen Herstellern erzwungen, dass alle Patches eingespielt werden müssen. Zur Kennzeichnung einer bestimmten Version sind daher umfangreichere Ermittlungsarbeiten notwendig. Diese werden in vielen Fällen noch dadurch beeinträchtigt, dass die Hersteller die Informationen für die Versionsführung nicht in ausreichendem Umfang offenlegen. Ein weiterer erschwerender Faktor zur Identifikation einer Software besteht darin, dass eine Software in der weitaus überwiegenden Zahl der Fälle nicht alleine auf einem Rechner installiert ist, sondern andere Software-Pakete braucht. Dazu gehören beispielsweise das Betriebssystem, Unterstützungsprogramme für die Ansteuerung von Hard- und Software (sogenannte Systemsoftware) oder Schnittstellensoftware zu anderen Anwendungsprogrammen. Hierin liegt die Ursache für viele Funktionsstörungen und Fehler beim Softwareeinsatz, so dass auf eine Bestimmung der Umgebungssituation in der Regel nicht verzichtet werden kann. Dieser Bereich ist jedoch noch weitaus weniger dokumentiert als die Versionsführung; beispielsweise denke man an eine Liste der notwendigen Treiber mit Versionen für eine bestimmte Anwendungssoftware. In vielen Fällen hilft man sich in der Praxis damit, dass man eine definierte Systemumgebung herstellt, indem beispielsweise eine bestimmte Betriebssystemversion neu installiert wird. Ein weiteres Merkmal von IT-Systemen ist, dass gewisse (Fehler-)Situationen nur bei bestimmten Konstellationen auftreten, wobei es auf die Daten ankommt, die in dieser Situation verarbeitet werden. Einige Phänomene werden nur dargestellt, wenn eine besondere Datenkonstellation vorliegt. Hierbei ist zu unterscheiden zwischen vergleichsweise statischen Daten, die im Rahmen einer Systemkonfiguration eingegeben 155
Wiegand Liesegang/Siegfried Streitz
werden (sogenannte Parametrierung), und den eigentlichen (Bewegungs-) Daten, die Gegenstand des Datenverarbeitungsprozesses sind und beispielsweise in Datenbanken gespeichert werden. Hinzu kommen noch kaum vorhersehbare Einflüsse von Schadsoftware (wie Viren oder Trojaner), die im Regelfall vor einer Begutachtung entfernt werden. Die Identifikation von IT-Komponenten und IT-Systemen als nachprüfbare Anknüpfungstatsache erfordert mithin einen erheblich weiteren Betrachtungskreis, als es bei anderen Begutachtungsobjekten der Fall ist. 2. Bestimmung des Soll-Zustands Die nur teilweise Durchdringung des Software-Entwicklungsprozesses mit standardisierten Vorgehensweisen führt dazu, dass auch die Bestimmung des Soll-Zustands erschwert ist. Es ist keine Seltenheit, dass die Ermittlung der Soll-Anforderungen einer Software wesentlich mehr Aufwand erfordert als die Bestimmung des Ist-Zustandes. Gerade in ITProjekten, in denen Anpassungen des Standards erfolgen oder individuelle Teillösungen erarbeitet werden, liegt eine große Dynamik der Anforderungen vor. Die dem Vertrag zugrundeliegende Leistungsbeschreibung enthält häufig nur schlagwortartige Angaben, die selbst für die Bestimmung der mittleren Art und Güte unzureichend sind. Während der Projektdurchführung soll eine nähere Spezifikation erfolgen, die der Realisierung zugrunde liegen soll. In Projektbesprechungen, Protokollen oder informellen Abstimmungen erfolgt dann mit unterschiedlichen Dokumentationsformen die Festlegung weiterer Details, so dass am Ende unklar ist, welche Eigenschaften die Software besitzen soll. Auch das Schriftformerfordernis hilft hier nur selten weiter, da es im Regelfall konkludent vernachlässigt wird. Das Fehlen einschlägiger Normen und Anforderungen, beispielsweise in Form allgemein anerkannter Regeln der Technik27 führt dazu, dass häufig unklar ist, wie im konkreten Einzelfall der Soll-Zustand beschaffen ist. Typische Beispiele für den IT-Bereich sind beispielweise die Anlage von Rollen für bestimmte Personengruppen mit den dazu gehörenden Berechtigungen (beispielsweise soll eine Person, die für die Erfassung von Finanzbuchhaltungsbelegen zuständig ist, nicht den Konzernumsatz _________________
27 Abkürzung aaRdT: Regel der Technik, die nach wissenschaftlicher Erkenntnis für richtig gehalten wird und in der Praxis bewährt ist; Bayerlein, § 10 RdNr. 11.
156
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
ermitteln können). In vielen Verträgen fehlen Regelungen dazu, welcher Vertragspartner auf welche Weise diese Rollen ermitteln, anlegen und umsetzen muss. So ist zum Beispiel das Betriebssystem Windows 7 des Herstellers Microsoft seit mehreren Jahren auf dem Markt. Es enthält ein differenziertes Berechtigungssystem, das in weiten Bereichen anpassbar und einstellbar ist28. Für die Bestimmung des Soll-Zustands der Einbindung einer Anwendungssoftware ist somit zunächst herauszuarbeiten, ob die am Anfang bei der Installation des Betriebssystems als Standard vergebene Administratorberechtigung zugrunde zu legen ist. Alternativ kann für die Bestimmung der Eigenschaften der Anwendungssoftware bestimmt werden, dass eine Änderung der Rechtevergabe auch – zumindest in einem gewissen und definierten Umfang – von der Anwendungssoftware unterstützt werden muss. Bis heute haben es jedoch viele Hersteller von Standardsoftware versäumt, ihre Anwendungssoftware entsprechend anzupassen; sie gehen immer noch davon aus, dass jeder Benutzer Administratorrechte hat. Wenn nunmehr die Rechte an die Unternehmensstruktur angepasst werden und – nahezu zwangsläufig – die Administratorrechte für die einzelnen Benutzer nicht mehr zur Verfügung stehen, funktioniert die Anwendungssoftware nicht mehr. Eine Parallele mit der Errichtung von Bauwerken zeigt ein hohes Maß an Regelungen, die von der Beschaffenheit des Untergrundes über die Ausgestaltung der Hausanschlüsse bis zur Anbindung an das Wegenetz reichen und faktisch das gesamte Umfeld mit Regelungen abdecken. Probleme bereitet häufig auch die Bestimmung des Zeitpunktes, der bei einer Beurteilung zugrunde zu legen ist. Typische Fragestellungen, die bei einer zeitlichen Festlegung zu beachten sind, lauten: Welcher Systemzustand hinsichtlich des Betriebssystems ist zugrunde zu legen – bis zu welchem Zeitpunkt sind Fehlerbeseitigungen der Anwendungssoftware und/oder des Betriebssystems einzuspielen? Welcher Datenbestand ist für eine Beurteilung zugrunde zu legen – bis zu welchem Datum müssen Änderungen, Korrekturen oder Ergänzungen des Datenbestandes berücksichtigt werden? Eine weitere Besonderheit im IT-Umfeld liegt darin, dass für viele defacto-Standards keine wissenschaftlichen Organisationen zuständig sind, sondern Gremien mit unterschiedlichen Regelungen zur Mitgliedschaft. So leistet beispielsweise das World Wide Web Konsortium _________________
28 Mit Hilfe der Benutzerkontensteuerung (UAC-User Account Control).
157
Wiegand Liesegang/Siegfried Streitz
(W3C)29 den Großteil der Standardisierung des World Wide Webs, der sogenannten Hypertext Documente30, die miteinander verknüpft sind und einen wesentlichen Bestandteil des Internets darstellen. Diese Organisation kann keine Normen festlegen (wie beispielsweise die ISONormen der International Organization for Standardization31) und gibt daher nur Empfehlungen heraus. Diese haben aber faktisch den Status einer Norm, da sie die Basis für die Funktionsfähigkeit des World Wide Web darstellen und damit die Funktionalität für alle angeschlossenen Teilnehmer gewährleisten. 3. Bestimmung der Ist-Situation Die Bestimmung der Ist-Situation bereitet im IT-Bereich häufig Probleme. In vielen Fällen ist es nicht möglich, einen bestimmten Systemzustand zu reproduzieren oder eine zuvor beobachtete Fehlersituation zu provozieren. Eine weitere Schwierigkeit liegt darin, die Ursache eines Fehlers zu bestimmen. Hier bestehen grundsätzliche Unterschiede zu anderen technischen Bereichen. Schließlich ist es nicht immer einfach, einen Beurteilungsmaßstab festzulegen, an dem eine Ist-Situation eingeordnet werden kann. a) Reproduzierbarkeit von Fehlern Im Anschluss an die Bestimmung der Software-Version erfolgt die Analyse, wie sich die Software in einer bestimmten Situation verhält. Häufig müssen bestimmte Phänomene reproduziert werden, die bei Abweichungen von der Soll-Beschaffenheit Fehler darstellen und hinsichtlich ihrer Erheblichkeit zu beurteilen sind. Ein wesentliches Problem liegt darin, dass eine Software ein sehr komplexes Gebilde ist, das im Zusammenwirken mit anderen Programmen (wie Betriebssystem, Schnittstellen) ausgeführt wird. Der Ausführungsstand32einer Software kann nicht durch eine bestimmte Stelle im Code bezeichnet werden, sondern setzt sich aus einer Vielzahl einzelner Funktionen zusammen, die jeweils einen eigenen Ausführungsstand besitzen. Zusätzlich zu der _________________
29 30 31 32
www.w3c.org. Mit den Protokollen http und https. www.iso.org. Ausführungstand: Bezeichnung der Quellcodefunktion, die gerade vom Prozessor ausgeführt wird. Ein Programm ist eine Folge von Anweisungen, die in einer bestimmten Programmiersprache formuliert sind. Diese Programmiersprache wird in Befehle umgewandelt, die von einem Prozessor ausgeführt werden können.
158
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
oben genannten Komplexität der Versionsbestimmung (mit der Umgebungssoftware und den Daten) kommt eine weitere Dimension hinzu, die die Ausführungskomponente darstellt. Dazu gehört nicht nur die Bezeichnung des Fensters mit der gerade ausgeführten Funktion, sondern auch eine Reihe weiterer Angaben wie Rolle/Rechte des Benutzers, bearbeiteter Mandant zur Charakterisierung des Datenbestandes, in Bearbeitung befindliche Datenmenge wie Auftrag oder Adressdaten, Zugriff nach außen oder von außen zu anderen Programmen etc. Software ist somit nicht nur von der Natur her flüchtig, sondern liegt immer in einer spezifischen Umgebungs- und Ausführungssituation vor, die im Regelfall essentiell für das Beobachten von Phänomenen33 ist. Bereits kleinste Veränderungen der Gesamtsituation können das Verhalten der Software entscheidend verändern und zu drastischen Auswirkungen führen34. Es ist somit schwierig, die Ist-Situation so darzustellen, dass das Phänomen beobachtet werden kann. Soweit nicht näher bestimmbare Einflüsse von außen vorliegen (beispielsweise durch eine fehlerhafte Netzwerkverkabelung), ist eine Sicherung des Zustands zur Reproduktion faktisch nur mit erheblichen Aufwendungen möglich. Die Fehler müssen zur Aufrechterhaltung der Unternehmensfunktionalität beseitigt werden, so dass fehlerhafte Zustände nicht konserviert werden können; eine zusätzliche Netzwerkverkabelung scheidet aus wirtschaftlichen und faktischen Gründen im Regelfall aus. Im Ergebnis ist die Reproduzierbarkeit der für das jeweilige Phänomen relevanten Komponenten und Daten in vielen Fällen nicht gegeben. Häufig müssen umfangreiche und länger dauernde Analysen durchgeführt werden, um eine bestimmte Situation festzustellen. Gerade sporadisch auftretende Phänomene verlangen häufig eine lange Beobachtungszeit. Für den Hardware-Bereich stehen hier Hilfsmittel wie Analyseprogramme zur Verfügung, die einen Rechner so beanspruchen, dass in wenigen Stunden eine Wochenbenutzungszeit nachgestellt werden kann. Dies ist ein wesentlicher Unterschied zu anderen technischen Bereichen. Die Zustände sind häufig statischer. Allerdings gibt es auch bei komplizierteren technischen Systemen (wie auch in Kraftfahrzeugen) _________________
33 Als Phänomen wird ein bestimmtes Verhalten von Software bezeichnet, bei dem eine Abweichung zwischen dem Soll-Zustand und der Ist-Situation vorliegen soll. 34 So führte beispielsweise das Fehlen eines Bindestrichs zum Absturz der Raumsonde Mariner 1; www.en.wikipedia.org/wiki/Mariner_1.
159
Wiegand Liesegang/Siegfried Streitz
Fehlersituationen, die bei einem Werkstattbesuch nicht leicht reproduziert werden können. Der Einsatz der Informationstechnik in Kraftfahrzeugen steigt rapide an; in modernen Fahrzeugen sind durchaus mehr als 100 IT-Komponenten eingebaut. Damit übertragen sich die Schwierigkeiten des Software-Bereiches in andere technische Bereiche. b) Fehlerfeststellung In eher statisch orientierten technischen Bereichen wie Feuchtigkeitsschäden in Bauwerken kommt nur eine relativ kleine Zahl von Ursachen in Betracht, die sich darüber hinaus häufig leicht abgrenzen lassen (beispielsweise ein schiefes Fliesen-Fugenbild aufgrund nicht rechtwinklig zueinander stehender Wände oder unterschiedlicher Fugenbreiten). Hingegen bietet der IT-Bereich eine Vielzahl möglicher Fehlerursachen, die häufig auch in Kombination auftreten. Mögliche Fehlerquellen können sein: – – – – – – – –
Schwankungen oder Störungen in der Stromversorgung Hardwarefehler wie sich verändernde Speicherinhalte, insbesondere auf magnetischen Datenträgern (Festplatten) Betriebssystemfehler Anwendungssoftwarefehler Fehler im Datenbestand (wie ein falsch formatiertes Datum) Fehler in Treiberprogrammen (zur Ansteuerung externer Geräte) Fehler in verbundenen Programmen (Anwendungsprogramme, die über Schnittstellen verbunden sind) Eingabefehler, die nicht durch die Software abgefangen werden
Wesentlich ist, dass Eingabe- oder Bedienungsfehler eine untergeordnete Rolle spielen, da die Verbesserungen bei der Software-Ergonomie auch zu einer Erhöhung der Fehlertoleranz führen. Das bedeutet, dass Fehler zu einem frühestmöglichen Zeitpunkt erkannt und – wenn möglich – vom System automatisch korrigiert werden. Im Ergebnis liegt eine Vielzahl möglicher Fehlerursachen vor, die nicht analytisch bestimmt werden können. Daher müssen Fehler im Allgemeinen zur sicheren Feststellung der Fehlerursache behoben werden.35 Wichtig ist, dass die Software für den beabsichtigten Zweck geeignet und brauchbar ist. Hier besteht eine Parallele zum Baurecht. Es ist für _________________
35 Auer-Rheinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, § 35 RdNr. 59.
160
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
eine fachgerechte Leistungserbringung nicht alleine ausreichend, alle Normen und anerkannten Regeln der Technik einzuhalten; der Lieferant bleibt verpflichtet, das Werk ohne erhebliche Fehler herzustellen.36 Auch die Betrachtung der wesentlichen Fehlerursachen liefert ein differenziertes Bild. Im IT-Bereich ist es der Normalfall, dass Projekte scheitern oder Kosten und/oder Zeitrahmen deutlich überschritten werden; nur ein Viertel aller Projekte wird weitgehend im vorgesehenen Rahmen abgeschlossen. Eine wesentliche Ursache37 liegt in unzureichenden Spezifikationen, die zu wenig detailliert sind oder nur rudimentär vorliegen. Es handelt sich somit um Defizite in der Planung und Vorbereitung, die zu den schlechten Ergebniszahlen führen. Die im Baubereich aufgetretenen vermeidbaren Mängel und Schäden unterteilen sich zu mehr als zwei Dritteln auf Außenwände, Außenkonstruktionen, Dächer, Dachkonstruktionen, Bauteile im Erdreich sowie Fußböden38. Es handelt sich um statische Komponenten, die einer Besichtigung zugänglich sind und ein im Vergleich zu IT-Systemen statisches Verhalten haben. Wesentliche Fehlerquellen liegen im Bereich des Personals (Qualifikation, Erfahrung), Verstöße gegen die anerkannten Regeln der Technik sowie Abweichungen von den Bauplänen und der fortwährenden Wiederholung alter Fehler. Es fällt auf, dass es sich hier im Wesentlichen um Qualifikations- und handwerkliche Fehler handelt. Der Vergleich zeigt, dass die Industrialisierung von Projekten im IT-Bereich bei weitem noch nicht so fortgeschritten ist wie in anderen technischen Bereichen; es werden sehr häufig Planungsdefizite verzeichnet. c) Beurteilungsmaßstab Bei der Bestimmung der Ist-Situation tritt ein weiteres Problem auf, wenn der Erfüllungsgrad von Leistungen bestimmt werden muss. Da es kein einheitliches Vorgehensmodell gibt (siehe oben Abschnitt II.2. Spezifika des Software-Entwicklungsprozesses) und die Vorgehensmodelle auch deutlich voneinander abweichen, ist in vielen Fällen ein individueller, auf das jeweilige Projekt bezogener Maßstab zu entwickeln, an dem die jeweiligen Beurteilungen wie beispielsweise der Grad der Fertigstellung vorgenommen werden können. Dabei ist auch _________________
36 Blasbachtalbrücke, NJW 1983, 4. 37 Gaulke, Risikomanagement in IT-Projekten, 1. Auflage, 2002, S. 34 ff. und Bayerlein, Praxishandbuch Sachverständigenrecht, § 10 RdNr. 13. 38 Bayerlein, Praxishandbuch Sachverständigenrecht, § 46 RdNr. 3.
161
Wiegand Liesegang/Siegfried Streitz
eine Festlegung notwendig, die erhebliche Abweichungen zwischen SollZustand und Ist-Situation von unerheblichen abgrenzt und damit die Voraussetzungen für das Vorliegen eines Mangels schafft (siehe nachfolgenden Abschnitt IV.4.a) Fachgerechte Anwendung und Begründung der Bewertungsmethoden). Auch die Bestimmung einer Softwarequalität ist in vielen Fällen schwierig. Dazu sind bereits im Entwicklungszeitraum Ziele, Maße und Maßnahmen festzulegen, da Qualität nicht in ein Produkt hineingeprüft werden kann, sondern im Entstehungsprozess sicher zu stellen ist. Eine Beurteilung der Qualität orientiert sich somit an den festgelegten, projektspezifischen Anforderungen und Zielen. Falls diese nicht vorhanden sind, ist es sehr schwierig, hierfür eine gültige Beurteilungsgrundlage festzulegen. Ein Bezug auf Ergonomienormen39 führt hier nicht wesentlich weiter, da damit nur Basisanforderung abgedeckt, aber keine konkreten Anforderungen aufgestellt werden können, die sich auf die mit der zu entwickelnden Software angestrebte Lösung beziehen. Dem gegenüber steht im Baubereich ein anerkannter und seit vielen Jahren bewährter Maßstab zur Verfügung, mit dem etwa der Fertigstellungsgrad von Bauwerken bestimmt werden kann (siehe oben Abschnitt II.2. Spezifika des Software-Entwicklungsprozesses). 4. Begründung der Ergebnisse Eine zentrale Anforderung an Sachverständigengutachten ist, dass die Ergebnisse nachvollziehbar begründet werden40. Das bedeutet, dass das Gutachten für den Laien nachvollziehbar und für Fachleute nachprüfbar sein muss41; die das Gutachten tragenden Feststellungen und Schlussfolgerungen sind so darzustellen, dass sie von einem Fachmann ohne Schwierigkeiten als richtig oder falsch erkannt werden können42. Dazu ist eine Reihe von Regeln zu beachten. Sie beginnt mit der Auswertung aller relevanten Daten; das heißt mit der sorgfältigen Ermittlung des Ausgangssachverhalts. Ist und Soll sind gegenüber zu stellen, die Differenz ist herauszuarbeiten und technisch _________________
39 Wie die Normenreihe DIN EN ISO 9241 Ergonomie der Mensch-SystemInteraktion. 40 Mustersachverständigenordnung (SVO) § 8 Absatz 3 Satz 2. 41 Empfehlungen zum Aufbau eines Sachverständigengutachtens, Institut für Sachverständigenwesen (IfS), www.ifsforum.de/ifsforum/publikationen---ifsaktuell/infodownloads, IV Absatz 3 letzter Satz. 42 Bayerlein, Praxishandbuch Sachverständigenrecht, § 28 RdNr. 25.
162
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
zu bewerten; bei streitigem Parteivortrag ist eine Klärung des Gerichts herbeizuführen oder eine tatsachenalternative Beantwortung vorzunehmen. Der Sachverständige muss seine Schlussfolgerungen im Gutachten so klar und verständlich darlegen, dass der Fachmann sie ohne Schwierigkeit auf ihre Zuverlässigkeit überprüfen kann und dass sich dem um Verständnis bemühten Nichtfachmann zumindest ihre Plausibilität erschließt43. Dazu muss der Sachverständige eine Reihe weiterer Voraussetzungen beachten. a) Fachgerechte Anwendung und Begründung der Bewertungsmethoden Soweit keine Weisung des Gerichts bezüglich des Lösungsweges vorliegt und verschiedene Möglichkeiten in Betracht kommen, muss der Sachverständige im Gutachten begründen, weshalb er sich für den von ihm eingeschlagenen Weg entschieden hat44. Im Gutachten müssen eine Begründung für den Lösungsweg und eine Auseinandersetzung mit abweichenden Fachmeinungen erfolgen. Besonderes Augenmerk erfordern allgemein anerkannte Regeln der Technik45, die aufgrund der schnellen Weiterentwicklung im IT-Bereich eine große Rolle spielen. Eine wesentliche Aufgabe im Rahmen der Gutachtenerstattung ist die technische Bewertung der Differenz von Ist und Soll46. Es gibt Differenzen, die von wesentlicher Bedeutung für den Projektablauf sind (wie die Nichtlieferung einer vertraglich vereinbarten Funktionalität, die für den Routinebetrieb notwendig ist) sowie Differenzen von untergeordneter Bedeutung (beispielsweise Rechtschreibfehler in Dokumentationen). Daher sind auch Aussagen zur Tragweite von Differenzen bzw. zu den Auswirkungen von Fehlern sowie ihre Bedeutung für den Projektablauf notwendig. Andernfalls mangelt es an einer wesentlichen Voraussetzung, um eine Nachprüfung der Bewertung durchführen zu können. Bei einer fachgerechten Beurteilung ist auch mit einzubeziehen, wie umfangreich und wie komplex die Aufgabenstellung ist, damit eine praxisgerechte Relation zwischen dem Gesamtlieferumfang und den Differenzen zwischen Soll und Ist gebildet wird. Daher ist bei Aussagen zu den Auswirkungen bzw. zum Schweregrad von Fehlern der Lieferumfang in die Beurteilung aufzunehmen. _________________
43 44 45 46
Bayerlein, Praxishandbuch Sachverständigenrecht, § 28 RdNr. 26. Bayerlein, Praxishandbuch Sachverständigenrecht, § 29 RdNr. 8. Siehe Fußnote 27. Empfehlungen IV Absatz 2.
163
Wiegand Liesegang/Siegfried Streitz
Im IT-Bereich ist es für eine wirtschaftliche sinnvolle Beurteilung häufig notwendig, Stichproben zu verwenden – dies stellt keinen Unterschied zu anderen technischen Bereichen wie beispielsweise Bauwerken dar, bei denen auch nur einzelne Stellen gleichartiger Bauteile näher untersucht werden. Falls beispielsweise eine Dachfläche undicht ist, werden an einigen Stellen Dachöffnungen vorgenommen, um das Ausmaß zu bestimmen. Dazu ist es nicht notwendig, das gesamte Dach zu öffnen beziehungsweise abzudecken. Im IT-Bereich stellt sich jedoch die Schwierigkeit, eine Stichprobe zu bestimmen. In der Regel ist es nicht so offensichtlich wie bei Bauteilen, welche Datenkonstellationen zu einem Fehler gehören und welche Daten gleichartig sind. Aufgrund der Vielzahl von Wechselwirkungen und der Komplexität in IT-Systemen ist daher die Auswahl einer Stichprobe eine anspruchsvolle Fragestellung, deren Beantwortung im Einzelnen begründet werden muss. Auch bei der Verwendung von Stichproben oder Aussagen über die Folgen eines Fehlers ist der Umfang der Ergebnisse zu dokumentieren, um die Aussagekraft der Stichprobe, das Ausmaß der Folgen oder Umgehungsund Vermeidungsmechanismen nachvollziehen und beurteilen zu können. b) Darlegung der Quellen von Erfahrungssätzen Soweit der Sachverständige auf Erfahrungssätze verweist, muss er die Quellen der Erfahrungssätze, gegebenenfalls mit Literaturfundstellen, offen legen. Soweit sich der Sachverständige auf eigenes Wissen bezieht, soll mitgeteilt werden, worauf es sich gründet (langjährige Erfahrung als Sachverständiger, berufliche Praxis, eigene Experimente, Studium, gängige Fachliteratur usw.)47. Pauschalbeurteilungen ohne Begründungen reichen nicht aus48. Bei der Auswertung von Messungen ist die Verlässlichkeit vordergründig plausibel erscheinender, aber nicht empirisch bewiesener Regeln sehr problematisch. Liggesmeyer49 führt dazu aus: Bei der Auswertung von Messungen sollten einfache, auf Plausibilität beruhende Regeln mit großer Zurückhaltung verwendet werden. Viele auf den ersten Blick einleuchtende Regeln halten einer empirischen Überprüfung nicht stand. In /Basili, Perricone 84/ sind Ergebnisse einer empirischen Untersuchung publiziert, die in Abb 7.17 zusammenfassend dargestellt sind. Verblüffend ist, dass die Anzahl der gefundenen Fehler pro Lines of Code mit der Modulgröße abnimmt. _________________
47 Bayerlein, Praxishandbuch Sachverständigenrecht, § 16 RdNr. 38. 48 Empfehlungen IV Absatz 4. 49 Liggesmeyer, Software-Qualität, S. 267.
164
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung Intuitiv würde man vermutlich eher erwarten, dass ein Anstieg zu verzeichnen sein wird. Das Ergebnis der Studie von Basili und Perricone mag einen realen Effekt zeigen. Es ist aber auch denkbar, dass die Fehler in den wenig umfangreichen Modulen einfacher zu finden waren, während in den umfangreichen Modulen nur ein geringerer Anteil der Fehler erkannt wurde. Entscheidend ist, dass bei der Auswertung von Messungen sorgfältig vorzugehen ist und die Verwendung plausibel erscheinender aber unbewiesener Regeln als kritisch anzusehen ist.
Die Verwendung plausibel erscheinender Regeln, die nicht bewiesen sind, ist selbst dann als kritisch einzustufen, wenn die verwendeten Größen – hier gefundene Fehler, Lines of Code50 und Modulgröße – sehr präzise definiert sind. c) Dokumentation von Unsicherheiten Falls die Gutachtenaussagen mit eventuellen Fehlerquellen und Unsicherheiten verbunden sind, müssen diese ebenfalls dokumentiert werden; gegebenenfalls ist auch deutlich auf die Grenze wissenschaftlicher Erkenntnismöglichkeiten und der eigenen Sachkunde hinzuweisen51. Diese Gutachtenanforderung ist besonders wichtig für die Nachprüfung der Zuverlässigkeit der Ergebnisse. Im sich schnell entwickelnden IT-Bereich verschieben sich verlaufend die Grenzen wissenschaftlicher Erkenntnismöglichkeiten, allerdings kann nicht auf eine über viele Jahrzehnte gewachsene Erfahrungsbildung zurückgeblickt werden. Zur Bestimmung des Grades an Unsicherheit kommt daher dieser Dokumentation eine wichtige Rolle zu. d) Dokumentation der Wertigkeit fachlicher Aussagen Eine wesentliche Rolle im Rahmen der Nachprüfung von Gutachtenaussagen ist die Angabe des Sicherheitsgrads der Ergebnisse, die als Wertigkeit bezeichnet wird. Die fachlichen Aussagen sind daher mit verständlicher, genauer, nachvollziehbarer Begründung darzustellen52. Dazu gehört eine Aussage, mit welchem Sicherheitsgrad das Ergebnis bestimmt wurde. Dies kann beispielsweise durch Wahrscheinlichkeitsangaben (unwahrscheinlich, sehr wahrscheinlich etc.) erfolgen53.
_________________
50 51 52 53
Anzahl an Quellcode-/Sourcecode-Zeilen. Empfehlungen IV Absatz 4. Empfehlungen IV Absatz 4. Bayerlein, Praxishandbuch Sachverständigenrecht, § 28 RdNr. 7.
165
Wiegand Liesegang/Siegfried Streitz
Hierzu führt Bayerlein54aus, dass besondere Sorgfalt die Antwort auf die Frage verlange, wie sich Ungenauigkeiten und bloße Wahrscheinlichkeiten einzelner Elemente auf die Feststellung komplexer Tatsachen oder Geschehensabläufe auswirken. Das gelte vor allem, wenn mehrere Faktoren nur ungenau festzustellen sind. Besonders erwähnt wird die Kumulierung bloßer Wahrscheinlichkeiten. Wesentlich ist daher, dass in keinem Fall davon ausgegangen werden kann, dass sich Ungenauigkeiten „gegeneinander aufheben“ oder „neutralisieren“. e) Zusammenfassung der Anforderungen zur Nachprüfbarkeit Im Ergebnis ist die sachverständige Begutachtung nur nachprüfbar, wenn alle genannten Anforderungen mit einer entsprechenden Begründung eingehalten werden. Bleutge55erläutert dazu: Ein Gutachten, das dem Gericht nicht ermöglicht, den Gedankengängen des Sachverständigen nachzugehen, sie zu prüfen und sich ihnen entweder anzuschließen oder sie abzulehnen, ist für den Rechtsstreit nicht verwertbar.
Bayerlein56fasst diese Anforderung unter der Bildung der sachverständigen Überzeugung zusammen; das Gutachten muss erkennen lassen, auf welcher Grundlage und auf welche Weise der Sachverständige seine Überzeugung gewonnen hat. Die Grundlage für die Bildung der Überzeugung ist das nachvollziehbare Abwägen der Argumente, die für oder gegen bestimmte Vermutungen sprechen. Im IT-Bereich führt die nur teilweise durchgeführte Industrialisierung dazu, dass die Gutachtenerstattung ein deutlich höheres Maß an Begründungen für die einzelnen Folgerungen verlangt. Es liegt kein Werk vor, das durch bloße Inaugenscheinnahme in den Eckdaten zu bestimmen ist, wie es beispielsweise bei einer Industrieanlage oder einem Bauwerk der Fall ist. Vielmehr muss erst ein Bewertungsmaßstab entwickelt werden, ehe eine Beurteilung erfolgen kann. Da allgemein verbreitete Standards nicht im ausreichenden Umfang vorhanden sind, verlangt auch die Herleitung des Beurteilungsmaßstabs eine gesonderte Begründung. _________________
54 Bayerlein, Praxishandbuch Sachverständigenrecht, § 28 RdNr. 11. Bayerlein weist auch in § 28 RdNr. 5 auf Scheingenauigkeiten hin, die sich allein aus Berechnungsvorgängen begründen. 55 Bleutge, Der gerichtliche Gutachtenauftrag, S. 34 8.7. 56 Bayerlein, Praxishandbuch Sachverständigenrecht, § 10 RdNr. 17.
166
Software: Kunstwerk oder Industrieprodukt? Auswirkungen auf die Beurteilung
5. Sicherung des Zustands Die Sicherung des Zustands bereitet im IT-Bereich erhebliche Probleme. Wie im Abschnitt IV.1. Tatsachen dargestellt wurde, ist schon die Bestimmung der Anknüpfungstatsachen schwierig. Eine Systemidentifikation verlangt einen erheblichen Aufwand. Ferner ist eine Sicherung des Zustandes nur sinnvoll, wenn daran später Fehler beurteilt werden können, was aber hinsichtlich der tatsächlichen Gegebenheiten schwierig ist (siehe oben Abschnitt IV.3.a) Reproduzierbarkeit von Fehlern). Daher wird im Regelfall nur eine Beweissicherung in Betracht kommen, bei der aber sorgfältig und vorausschauend bestimmt werden muss, um welche Sachverhalte es in einem möglichen Hauptsacheverfahren ankommt. Aufgrund der Schwierigkeit oder im Regelfall Unmöglichkeit, zurückliegende Systemzustände wieder herzustellen, muss der Antragsteller unbedingt anstreben, alle diejenigen Sachverhalte und Phänomene im Rahmen der Beweissicherung zu erfassen, auf die es in einem eventuellen nachfolgenden Rechtsstreit ankommen kann. Hier werden häufig die Grenzen der wirtschaftlichen Machbarkeit erreicht, wenn es beispielsweise notwendig wird, einen zurückliegenden Zustand eines Großrechnersystems wiederherzustellen. Die Reproduktion von Zuständen der Hardware (einschließlich Firmware) sowie des Betriebssystems verlangt in der Regel die Aufgabe des Produktionsbetriebs des Großrechnersystems für eine Reihe von Tagen und eine sehr sorgfältige Sicherung des Zustands. Andernfalls kann die ursprüngliche Situation nicht mehr hergestellt werden; darüber hinaus ist es in vielen Fällen faktisch unmöglich, den Produktionsbetrieb auszusetzen. Entsprechende ähnliche Hardware-Systeme stehen nur sehr begrenzt zur Verfügung. Aus diesen Gründen ist daher möglichst im Vorfeld eine Konzentration auf die tatsächlichen Phänomene vorzunehmen, um etwas unabhängiger von der tatsächlichen Umgebung zu werden. Im Baubereich ist die Situation wesentlich einfacher, da der Fehler in der Regel bestehen bleibt. Ein zu befürchtender Untergang beruht häufig auf der Durchführung nachfolgender Arbeiten und hat in der Regel keine technische Ursache. Auch die Umgebungsbedingungen ändern sich nicht so schnell wie im IT-Bereich.
V. Zusammenfassung Die Softwareentwicklung ist auf dem Weg der Industrialisierung. Derzeit ist keine eindeutige Basis für die Beurteilung von Software und 167
Wiegand Liesegang/Siegfried Streitz
ihren Entwicklungsprozess vorhanden. Im IT-Bereich liegt bei der Beurteilung des Soll-Zustands, der Ist-Situation und der Begründung der Ergebnisse eine sehr hohe Komplexität mit einer Reihe von Besonderheiten vor. Wirtschaftlich vertretbare Analysemöglichkeiten und der im Vergleich zu anderen technischen Bereichen noch nicht sehr weit fortgeschrittene Grad wissenschaftlicher Erkenntnisse begrenzen die Beurteilungsmöglichkeiten. In IT-Projekten kommt es nach wie vor zu einer Reihe von Defiziten bei Leistungsspezifikationen; das im Zeitrahmen und vorab geplanten Budget durchgeführte IT-Projekt ist der Ausnahmefall.
168
Software-Urheberrecht und Virtualisierung Dr. Malte Grützmacher, LL.M. (London)* A. Einleitung B. Grundlagen I. Virtualisierung als technisches Phänomen II. Die Wirtschaftliche Motivation bei der Virtualisierung III. Rechtliche Beurteilung 1. Urheberrecht a) Das Ablaufenlassen als primär lizenzpflichtige Handlung aa) Lizenzierung nach Zahl der Instanzen bb) Einsatz in einer virtualisierten Umgebung als eigenständige Nutzungsart? b) Sicherungskopien
c) Virtualisierung des Arbeitsplatz-PCs und Remotezugriff d) Virtualisierung und sonstige hardwarebezogene Lizenzbeschränkungen, insbesondere Virtualisierung im Serververbund 2. Vertragsgestaltung a) Vertragliche Regelungen zur Zahl der Instanzen b) Verbot der Nutzung in virtualisierter Umgebung c) Vertragliche Beschränkungen durch Lizenzmetriken oder sonstige hardwarebezogene Lizenzbeschränkungen IV. Fazit
A. Einleitung Seit Jahren schon werden Server einerseits immer leistungsfähiger und anderseits mehr und mehr Systeme für verschiedenste Applikationen benötigt. Dieses erklärt den Trend einer zunehmenden Virtualisierung von Serverumgebungen. Darüber hinaus wird seit einiger Zeit über eine Renaissance der Mainframe-Rechner als Auswuchs der Virtualisierungstechniken spekuliert.1 Es ist damit ein Trend durch Zentralisierung verbunden. Durch die Virtualisierung können Ressourcen, namentlich im Bereich Hardware, Strom und vor allem Personal zur Betreuung der Server, eingespart werden. Auch lässt sich die Verfügbarkeit der Systeme steigern, weil sie schneller wiederhergestellt oder notfalls sogar verschoben wer_________________
* Der Beitrag beruht auf der Veröffentlichung des Verfassers in ITRB 2010, 193. Der Verfasser dankt dem Verlag Dr. Otto Schmidt für seine Erlaubnis zum Abdruck in der vorliegenden überarbeiteten und erweiterten Fassung. 1 S. www.zdnet.com.au/will-virtualisation-create-a-mainframe-renaissance-339 289547.htm (Januar 2012).
169
Malte Grützmacher
den können. Schließlich ermöglicht die Virtualisierung eine hohe Auslastung von im Verbund laufenden Servern oder eben den Einsatz eines Mainframes. Lizenzrechtliche hingegen wird Neuland betreten.
B. Grundlagen Da der Schutz des Urheberrechts – im anglo-amerikanischen Raum „Copyright“ – bekanntlich vornehmlich bei der Vervielfältigung ansetzt, ist es zwingend, sich der technischen Grundlagen der Virtualisierung zu nähern. Daneben interessieren natürlich auch die ökonomischen Aspekte dieser Technologie. I. Virtualisierung als technisches Phänomen Bei der Servervirtualisierung werden mittels Software- oder Hardwaretechniken mehrere Instanzen eines Betriebssystems auf einem Rechner betrieben. Alternativ oder zusätzlich lassen sich sogar unterschiedliche Betriebssysteme betreiben. Die einzelne Instanz fungiert dabei letztlich wie ein eigenständiger Rechner, also so, als ob direkt auf der Hardware oder dem Betriebssystem aufgesetzt würde. Tatsächlich wird aber eine Zwischenschicht geschaffen. Dabei kommen verschiedene Techniken zum Einsatz: –
Es können Systeme (zumeist bei Mainframes) auf der Ebene der Hardware ressourcenmäßig aufgeteilt werden, um so die Hardware für mehrere Betriebssysteme oder Betriebssysteminstanzen zu virtualisieren.2 Die Ressourcen werden den Betriebssystemen dann durch eine entsprechende hardwarenahe Software zugeteilt. Den Betriebssystemen jeder Instanz werden die Komponenten als eigenständige Hardware vorgespiegelt.
–
Ein anderes Modell ist es, auf der Softwareebene zu virtualisieren.3 Das Betriebssystem wird auf eine durch Software simulierte virtuelle Maschine portiert und dort ausgeführt. Die in dieser virtuellen Um-
_________________
2 Dazu Bengel/Baun/Kunze/Stucky, Masterkurs Parallele und Verteilte Systeme, Wiesbaden 2008, S. 396 ff. Z. B. durch Partitionierung mittels LPAR. An dieser Stelle sei zur Vermeidung von Missverständnissen darauf hingewiesen, dass die LPAR-Technologie auch zu anderen Zwecken als zur Virtualisierung eingesetzt werden kann, u. a. mit lediglich einem Betriebssystem. S. de.wiki pedia.org/wiki/LPAR sowie www.itwissen.info/definition/lexikon/LogischePartitionierung-LPAR-logical-partition.html (jeweils Januar 2012). 3 Z. B. VMware Workingstation.
170
Software-Urheberrecht und Virtualisierung
gebung gestarteten Betriebssysteme greifen zwar auf gemeinsame Hardwareressourcen zu. Ihnen wird aber ebenfalls ein kompletter, eigenständiger Rechner vorgespiegelt. So wird eine Abstraktion von der Hardwareschicht erreicht. –
Schließlich kann oberhalb des Betriebssystems durch sog. OS-Container, die dann auf eine gemeinsame Betriebssystemschicht zurückgreifen, für eine Virtualisierung des Betriebssystems gesorgt werden.4 Den jeweiligen Applikationen eines Containers wird also ein Betriebssystem vorgespiegelt. Dabei wird nur ein Betriebssystem gestartet. Die parallele Nutzung unterschiedlicher Betriebssysteme ist allein auf Basis dieser Technik nicht möglich. Nachteil dieser Form der Virtualisierung ist weiter, dass für alle Container mit den gleichen Treibern und Ständen des Betriebssystems gearbeitet werden muss, was zu Inkompatibilitäten mit Anwendungen führen kann. Denn möglicherweise verlangen unterschiedliche Applikationen nach einem unterschiedlichen Stand des Betriebssystems bzw. unterschiedlichen Treibern.
Einen Überblick über die verschiedenen Techniken gibt das folgende Schaubild:
_________________
4 Dazu Bengel/Baun/Kunze/Stucky, Masterkurs Parallele und Verteilte Systeme, Wiesbaden 2008, S. 400; z. B. Sun Solaris Container.
171
Malte Grützmacher
II. Die Wirtschaftliche Motivation bei der Virtualisierung Hintergrund der Virtualisierung ist, dass die Konsolidierung einer Serverlandschaft auf wenige Rechner zu einer Senkung der Betriebskosten führen kann. Angestrebt wird dabei im Zweifel die Nutzung von möglichst wenigen Rechnern.5 Die Gründe für die Virtualisierung sind insbesondere die Reduzierung der Kosten für Hardware und Software, die Vereinfachung der Administration6 (und damit die Verringerung der Administrationskosten), die Erleichterung des Handlings, die Möglichkeit der Lastverteilung sowie die Verbesserung von Backup- und Restore-Vorgängen. Möglich ist es, Server kurzfristig (innerhalb von Minuten) bereit zu stellen.7 Schließlich können Altanwendungen, nämlich solche auf alten Betriebssystemen auch auf neuen Rechnern betrieben werden. III. Rechtliche Beurteilung Soweit es um die aus juristischer Sicht entscheidende Frage der Lizenzierung geht, ist zu unterscheiden zwischen der urheberrechtlichen und der rein vertraglichen Ebene.8 1. Urheberrecht Das Urheberrecht setzt dabei im Wortsinne des Copyrights primär bei der Frage an, ob eine Kopie bzw. ein zusätzliches Vervielfältigungsstück i. S. v. § 69c Nr. 3 UrhG erstellt wird, wenn eine Software in einer virtualisierten Umgebung genutzt wird. Erst in einem nächsten Schritt ist zu fragen, ob die Nutzung ggf. bestimmungemäß und damit erlaubt i. S. v. § 69d Abs. 1 UrhG ist. a) Das Ablaufenlassen als primär lizenzpflichtige Handlung Für die Frage, inwieweit der Einsatz der Software in einer virtualisierten Umgebung (gesondert) lizenzpflichtig ist, ist die Frage nach der Lizenzierung einer bestimmten Anzahl von Instanzen (dazu aa) von der des _________________
5 Bengel/Baun/Kunze/Stucky, Masterkurs Parallele und Verteilte Systeme, Wiesbaden 2008, S. 395. 6 Bengel/Baun/Kunze/Stucky, Masterkurs Parallele und Verteilte Systeme, Wiesbaden 2008, S. 395. 7 Bengel/Baun/Kunze/Stucky, Masterkurs Parallele und Verteilte Systeme, Wiesbaden 2008, S. 395. 8 Dazu ausführlich Grützmacher CR 2011, 485 ff.
172
Software-Urheberrecht und Virtualisierung
grundsätzlichen Einsatzes in einer solchen Umgebung (dazu bb) zu unterscheiden. aa) Lizenzierung nach Zahl der Instanzen Vor diesem Hintergrund ist der Befund in der Hinsicht relativ eindeutig, dass sowohl die Betriebssystemkomponenten als auch die Applikationen entsprechend der Anzahl der Instanzen (bzw. Betriebssysteme), in (bzw. auf) denen sie ablaufen, zu lizenzieren sind. Denn für das Betreiben der verschiedenen Instanzen (bzw. Betriebssysteme) ist die Software (zumindest in Teilen) mehrfach im Arbeitsspeicher (ggf. auch im Storage) vorzuhalten. Insoweit wird nach ganz h. M.9 in das Vervielfältigungsrecht gem. § 69c Nr. 1 UrhG eingegriffen. Zu einem anderen Ergebnis würde man allenfalls kommen, wenn man mit der nicht haltbaren Mindermeinung im Schrifttum10 vertritt, dass das Kopieren der Applikationen in den Arbeitsspeicher keine Vervielfältigung darstellt. Dementsprechend kann der Softwarehersteller etwa eines proprietären Betriebssystems vorgeben, bis zu welcher Anzahl von Instanzen seine Software lizenziert ist. Ohne explizite Erlaubnis ist die Anzahl auf die lizenzierte Stückzahl begrenzt. Auch § 69d Abs. 1 UrhG führt nicht zu einer weitgehenden Erlaubnis. Denn es kann nicht die Rede davon sein, dass das mehrfache Betreiben einer Software in einer virtuellen Umgebung eines Rechners eine „bestimmungsgemäße Nutzung“ des Computerprogramms i. S. d. Norm darstellt. Bestimmungsgemäß ist bei der Lizenzierung einer Kopie eben auch allenfalls der Betrieb in einer Instanz. Dies gilt unabhängig von der Frage, ob man sich zur insoweit streitigen Auslegung dieses Rechtsbegriffs primär auf die wirtschaftlichen Partizipationsinteressen des Herstellers,11 die vertraglichen Regelungen und den Überlassungszweck12 oder die berechtigten Belange des Nutzers beruft und insofern darauf abstellt, ob die Handlungen „funktionsgerichtet“ sind und lediglich dem _________________
9 OLG Celle v. 2.9.1994 – 13 W 54/94, CR 1995, 16; Dreier in Dreier/Schulze, UrhR, 3. Aufl. 2008, § 69c Rz. 8; Grützmacher in Wandtke/Bullinger, UrhR, 3. Aufl. 2009, § 69c Rz. 5 m. w. N.; Haberstumpf in Mestmäcker/Schulze, UrhR, Loseblatt, § 69c Rz. 5. 10 So Hoeren in Möhring/Nicolini, UrhR, 2. Aufl. 2000, § 69c Rz. 5. 11 So etwa Lehmann, GRUR-Int. 1991, 327 (333). 12 OLG Düsseldorf v. 29.5.2001 – 20 U 166/00 – Mitarbeiterschulung, CR 2002, 95 (96 f.); Dreier in Dreier/Schulze, UrhR, 3. Aufl. 2009, § 69d Rz. 7; Hoeren in Möhring/Nicolini, UrhR, 2. Aufl. 2000, § 69d Rz. 6.
173
Malte Grützmacher
technischen Fortschritt dienen.13 Deutlich wird dieses auch daran, dass dem Anbieter sonst potenziell Einnahmemöglichkeiten verloren gingen. Lizenzen können also die Anzahl der Instanzen beschränken bzw. sich an diesen orientieren. Teilweise finden sich im Markt aber auch Lizenzen, die den Einsatz für einen Server mit einer unbeschränkten Zahl von virtuellen Betriebssysteminstanzen vorsehen. – So heißt es etwa in den Erläuterungen der Lizenzbedingungen für Server bei Microsoft: „Die richtige Wahl der Windows Server-Edition ist sowohl für den Einsatz des Windows Server-Betriebssystems in einer virtuellen Umgebung als auch für die Anzahl der zusätzlich eingesetzten virtuellen Instanzen der Windows ServerSoftware ausschlaggebend.“ Die Datacenter-Edition des Windows Server bietet hierbei die größte Flexibilität mit einer unbeschränkten Anzahl virtueller Instanzen.“14
Für die Nutzung in mehreren Instanzen bedarf es also einer entsprechenden Erlaubnis. bb) Einsatz in einer virtualisierten Umgebung als eigenständige Nutzungsart? Demgegenüber spricht alles dafür, dass allein der Einsatz im Rahmen einer virtualisierten Umgebung noch kein gesonderter Lizenztatbestand ist.15 Die eine Betriebssystemlizenz, die historisch für den Einsatz auf einem PC vorgesehen war, erlaubt alternativ auch das Betreiben der Software im Rahmen einer Instanz einer virtualisierten Umgebung. Für eine eigenständige Nutzungsart, die eine wirtschaftliche-technische Abgrenzbarkeit der Nutzung erforderte, fehlt es an einer besonderen wirtschaftlich16 eigenständigen Bedeutung der Nutzung. Denn nach wird vor wird eine Kopie genutzt. b) Sicherungskopien Schwerer zu klären ist die Frage, ob es eigentlich erlaubt ist, die virtuelle Umgebung als Sicherungskopie gem. §§ 69d Abs. 1 und 2 UrhG zu speichern, um sie später bei Bedarf wieder aufzurufen. Insofern gilt: _________________
13 Marly, Urheberrechtsschutz für Computersoftware in der EU, München 1995, S. 227; Grützmacher CR 2011, 485. 14 S. u. www.microsoft.com/de-de/licensing/about-licensing/virtualization.aspx #tab=2 (Januar 2012). 15 A. A. tendenziell Koch, Computer-Vertragsrecht, 7. Aufl. 2009, S. 917. 16 Der technisch andersartige Einsatz lässt sich demgegenüber noch darstellen.
174
Software-Urheberrecht und Virtualisierung
–
Werden solche Kopien nur im Netzwerk gespeichert, stehen sie also jederzeit zur Nutzung bereit, ist die Gefahr groß, dass sie auch operativ genutzt werden können. Das spricht tendenziell dafür, dass sich der Nutzer in dieser Situation nicht auf § 69d Abs. 1 und 2 UrhG berufen kann, sondern entsprechende weitere Lizenzen benötigt. Die Situation ist vergleichbar der eines „warm“- oder „hot“- Standby im Rahmen eine Rechenzentrumsbetriebs, für den auch eher von einer zusätzlichen Lizenzpflicht ausgegangen wird.17 In dieser Situation könnte der Anbieter auch kaum kontrollieren, ob die Software wirklich als Backup oder nicht vielmehr mehr oder minder parallel genutzt wird.
–
Anders sieht es aus, wenn letztlich nicht der Zustand eines solchen „warm“- oder „hot“- Standby geschaffen, sondern echte Backups erstellt werden, die später zur Nutzung zurückgespielt werden. Hier käme die Forderung nach einer zusätzlichen Lizenz eher einer „Schikane“ gleich. Natürlich könnten hier auch Daten und Applikationen einerseits und etwa die Betriebssysteminstanz anderseits weggespeichert werden. Nur ist dieses eben ineffizient. Die Gefahr aber, dass mehr oder minder parallel eine Lizenz für zwei Instanzen genutzt wird, besteht nicht. Schwierigkeiten bereitet es dabei nur, dass die Identifikation über Seriennummern in diesem Fall nicht mehr sauber gewährleistet würde. Beim Zurückspielen könnten mithin auf zwei Rechnern die gleichen Seriennummern installiert sein. Urheberrechtlich erscheint dieses aber – von Beweisproblemen abgesehen – ohne Bedeutung.
c) Virtualisierung des Arbeitsplatz-PCs und Remotezugriff Technisch lässt sich auch der Arbeitsplatz virtualisieren. Er wird dann auf dem Server vorgehalten und ferngenutzt. Es fragt sich, ob es dafür eines speziellen Nutzungsrechts bedarf. Microsoft etwa spricht von einem „Roaming-Use“-Recht.18 Entscheidend dafür ist, ob man davon ausgeht, dass die auf dem Client wiedergegebene Bildschirmmaske (das GUI) mit der Vervielfältigung oder gar öffentlichen Zugänglichmachung des Computerprogramms ein_________________
17 S. auch die vergleichbare Differenzierung von Schneider, Handbuch des EDV-Rechts, 4. Aufl. 2009, Rz. C 224 zu Backup-Rechenzentren (dazu auch Grützmacher CR 2011, 697 [702]). 18 S. www.microsoft.com/de-de/licensing/about-licensing/virtualization.aspx# tab=1 (Januar 2012).
175
Malte Grützmacher
hergeht.19 Allerdings ist die Bildschirmmaske bzw. das GUI als solches – weil nach ganz h. M.20 nicht unter § 69a UrhG fallend – im Zweifel nicht urheberrechtlich (§ 2 Abs. 1 Nr. 4 oder 7 und Abs. 2 UrhG) geschützt. Allein diese wird aber übertragen und damit vervielfältigt und zugänglich gemacht.21 Hinzu kommt, dass bei der Zugänglichmachung des Arbeitsplatzes gegenüber einem spezifischen User eine Eins-zu-einsKommunikation stattfindet und damit keine „öffentliche“ Zugänglichmachung.22 Auch spräche sonst mit Blick auf die Nutzung von Applikationen jedenfalls bei der Vereinbarung eines Concurrent-User-Modells23 viel dafür, dass eine bestimmungsgemäße Nutzung i. S. v. § 69d Abs. 1 UrhG vorliegt. Auch um eine eigenständige Nutzungsart i. S. v. § 31 Abs. 5 UrhG dürfte es sich nicht handeln, denn es fehlt an der wirtschaftlich eigenständigen Bedeutung. Die Zahl der Nutzer bleibt unabhängig davon die gleiche, ob der Arbeitsplatz virtualisiert wird oder nicht. _________________
19 Das hat das OLG München in dem technisch ähnlich gelagerten Fall eines ASP-Angebots fälschlich angenommen, s. OLG München v. 7.2.2008 – 29 U 3520/07, CR 2009, 500. 20 Jüngst bestätigt durch den EuGH v. 22.12.2010 – Rs. C-393/09 – Bezpeènostní softwarová asociace – Svaz softwarové ochrany./.Ministerstvo kultury, GRUR 2001, 220 (dazu auch Barnitzke/Möller/Nordmeyer, CR 2011, 277) sowie das OLG Karlsruhe v. 14.4.2010 – 6 U 46/09 CR 2010, 427 – OnlineReisebuchungssoftware; weitere Nachweise bei Wandtke/Bullinger, UrhR, 3. Aufl. 2009, § 69a Rz. 14 m. w. N. 21 Vgl. auch die Argumentation des OLG Hamburg v. 18.8.2010 – Autobingoo II, CR 2011, 47 (50 ff.), zur Problematik des Screen-Scrapings bei Datenbanken; bestätigt in der nächsten Instanz durch den BGH v. 25.3.2010 – I ZR 47/08, CR 2011, 43 – Autobahnmaut. 22 Vgl. zur öffentlichen Zugänglichmachung von Datenbanken BGH v. 20.2.2008 – I ZR 47/08 – Autobahnmaut, CR 2009, 43 (45): „Auf die Gesamtheit der Tankkartenkunden kann aber nicht abgestellt werden. Dem steht entgegen, dass jeder einzelne Kunde nur Zugriff auf die ihn selbst betreffenden Daten hat und vom Zugriff auf alle anderen Datensätze ausgeschlossen ist. Daher wird weder ein einzelner Datensatz noch die Datenbank in ihrer Gesamtheit einer Mehrzahl von Mitgliedern der Öffentlichkeit zugänglich gemacht (vgl. auch BGH v. 22.4.2009 – I ZR 216/06 – Internet-Videorecorder – Tz. 26 f., CR 2009, 598 m. Anm. Lüghausen = GRUR 2009, 845 = WRP 2009, 1001).“, der im konkreten Fall aber in Ansehung der spezifischen datenbankrechtlichen Vorschriften doch noch über eine europarechtskonforme Auslegung des § 87b UrhG zu einer Verletzung kam. 23 Dazu Grützmacher CR 2011, 697 f.
176
Software-Urheberrecht und Virtualisierung
d) Virtualisierung und sonstige hardwarebezogene Lizenzbeschränkungen, insbesondere Virtualisierung im Serververbund Schon frühzeitig hat die Praxis erkannt, dass in Lizenzverträgen übliche Hardwarebeschränkungen – sprich: Lizenzmodelle, bei denen etwa nach der Zahl der Prozessoren abgerechnet wird – das Einsparpotenzial durch eine Visualisierung im Bereich der Ressourcen dezimiert.24 Auf Applikationsebene fordern Anbieter im Fall der softwaretechnischen Virtualisierung teils, dass ihre Anwendungen für den gesamten Server bzw. für den Serververbund lizenziert werden und nicht nur für die Prozessoren, denen die Applikation zugewiesen ist; so hat etwa Oracle die softwarebasierenden Virtualisierungslösungen seiner Konkurrenten als sog „SoftPartitionierung“ eingestuft.25 Zumindest urheberrechtlich erscheint diese Forderung zweifelhaft. Denn hier kommt es, wie oben unter a) dargestellt, allein auf die Zahl der genutzten Vervielfältigungsstücke an. Diese erhöht sich aber nicht dadurch, dass im Verbund mehrere Prozessoren zusammenarbeiten könnten. Gleiches würde etwa für CPUKlauseln, die Begrenzung auf Cores oder nach auf Rechenkapazitäten (MIPS) in Lizenzverträgen gelten. Denn entscheidend ist urheberrechtlich, ob derartige Regelungen überhaupt dinglich-urheberrechtliche Wirkung haben. Koch hat insofern für prozessor-bezogene Lizenzmodelle zu Recht darauf hingewiesen, dass diesen eine dingliche Wirkung nur zukommen könnte, wenn beim Einsatz in einer virtuellen Umgebung tatsächlich verschiedene Programmkopien installiert würden.26 Allein die Tatsache, dass mehrere Prozessoren für eine virtuelle Umgebung genutzt werden, führt hierzu aber regelmäßig noch nicht. Und mit Blick auf MIPS-Klauseln hat der BGH anerkannt, dass es an einer urheberrechtlichen Beschränkung fehlt.27 Diese Rechtsprechung dürfte im Zweifel auch für die Beschränkung auf eine bestimmte Zahl von Cores gelten; jedenfalls greift hier sonst § 69d
_________________
24 So Schmitz, Computerwoche, 26/2005, 14. 25 So etwa Oracle; s. dazu www.silicon.de/management/mittelstand/0,390440 10,41551311,00/oracle_enttaeuscht_anwender_mit_virtualisierungslizenzen. htm (Dezember 2011). 26 Koch, Computer-Vertragsrecht, 7. Aufl. 2009, S. 917. Nicht überzeugend ist deshalb auch die von Koch, a. a. O. jedoch angestellte Erwägung, es könnte eventuell eine eigenständige Nutzungsart vorliegen. 27 BGH v. 24.10.2002 – I ZR 3/00, CR 2003, 323 (325) – CPU-Klausel.
177
Malte Grützmacher
Abs. 1 UrhG.28 Sicherheit haben die Anwender in diesem Punkt aber erst, wenn sich die Gerichte mit diesen Fragestellungen beschäftigt haben. 2. Vertragsgestaltung Mit Blick auf (rein) vertragliche Regelungen zum Thema „Virtualisierung“ in Lizenzverträgen sind folgende Fragestellungen zu unterscheiden: a) Vertragliche Regelungen zur Zahl der Instanzen Vertragliche Regelungen zur Beschränkung des Einsatzes von Software auf eine Instanz sind nach dem unter 1. Gesagten eigentlich nicht nötig. Denn eine Klarstellung der Art, dass die Betriebssysteme bzw. Anwendungen beim Einsatz in mehreren Instanzen auch in diesem Umfang lizenziert werden müssen, ist eigentlich überflüssig. Dieses ergibt sich schon aus dem Urheberrecht. Gleichwohl empfehlen sich derartige Regelungen aus Sicht des Anbieters, um Diskussionen mit den Anwendern zu vermeiden. Zu regeln ist schließlich eine über § 69d Abs. 1 UrhG hinausgehende Erlaubnis des Einsatzes einer Software auf mehreren oder einer unbeschränkten Anzahl von Instanzen. b) Verbot der Nutzung in virtualisierter Umgebung Andersherum wäre eine Beschränkung einer Lizenz derart, dass für eine Software ein Verbot der Nutzung in einer virtuellen Umgebung vorgesehen wird, schon aufgrund von § 69d Abs. 1 UrhG wegen dessen zwingenden Kerns29 unwirksam.30 c) Vertragliche Beschränkungen durch Lizenzmetriken oder sonstige hardwarebezogene Lizenzbeschränkungen Selbst wenn wie oben unter 1. d) beschrieben Hardwarebeschränkungen in Lizenzverträgen (etwa für die in der virtuellen Umgebung genutzte _________________
28 Dazu Grützmacher CR 2011, 697 (698 ff.); vgl. auch Koch, Computer-Vertragsrecht, 7. Aufl. 2009, S. 916; Schneider, Handbuch des EDV-Rechts, 4. Aufl. 2009, Rn. C 166; Frank/Wimmers, in: Berger, Urhebervertragsrecht, § 24 Rn. 116 f. 29 Dazu Grützmacher in Wandtke/Bullinger, UrhR, 3. Aufl. 2009, § 69d Rz. 34 m. w. N. 30 Anderer Auffassung wohl tendenziell Koch, Computer-Vertragsrecht, 7. Aufl. 2009, S. 917.
178
Software-Urheberrecht und Virtualisierung
Applikation) keine urheberrechtliche Wirkung entfalten, so fragt sich doch, wie es sich insofern auf der vertraglichen Ebene mit derartigen Klauseln verhält. Für Kaufverträge wird insofern in der Rechtsprechung teils anerkannt, dass nämliche Beschränkungen in Form von CPUKlauseln in Kaufverträgen unwirksam sind.31 Bei Mietverträgen hingegen stellt sich die Situation anders dar. Zumindest bei Verträgen mit Upgrade-Möglichkeit hat sich der BGH hier für die Zulässigkeit von (vertraglich begründeten) CPU-Klauseln ausgesprochen.32 Für die Lizenzierung nach CPUs oder gar Cores ist nicht auszuschließen, dass die Rechtsprechung ähnlich entscheiden würde.33 Mithin ist bei einer ins Auge gefassten Umstellung auf eine virtualisierte Umgebung immer zu prüfen, ob derartige Lizenzverträge, die Kostenvorteile der Virtualisierung nicht wieder zu Nichte machen. IV. Fazit Die technischen Vorteile der Servervirtualisierung sind unbestritten. Bei der Frage, wie mit dieser Technik „wirtschaftlich“ umzugehen ist, ist aus Sicht des Lizenzmanagements Vorsicht geboten. Denn es wird juristisches Neuland betreten. Viele Fragen sind noch nicht entschieden. In der Praxis erfordert die juristische Aufarbeitung der Fragestellungen eine hohe ökonomische und technische Expertise. Es bleibt zu hoffen, dass die Gerichte diese im Streitfall auch bekommen.
_________________
31 So zu Recht OLG Frankfurt v. 10.3.1994 – 6 U 18/93, CR 1994, 398; a. A. wohl Metzger, NJW 2003, 1994. 32 BGHv. 24.10.2002 – I ZR 3/00, CR 2003, 323 (325 f.) – CPU-Klausel. 33 Grützmacher CR 2011, 697 (698 ff.).
179
.
Die technischen Potenziale analytischer Informationssysteme – eine Grundlage für den interdisziplinären Dialog Prof. Dr. Frank Bensberg Hochschule für Telekommunikation, Leipzig
I. Einführung II. Business Intelligence als technischer Bezugsrahmen für analytische Informationssysteme III. Data Mining 1. Überblick über den Data MiningProzess
2. Structured Data Mining 3. Web Mining 4. Text Mining IV. Erfolgsfaktoren analytischer Informationssysteme
Literatur: Agrawal/Mannila/Srikant/Toivonen/Verkamo, Fast Discovery of Association Rules, Advances in Knowledge Discovery and Data Mining, 1996, 307; Alpar/Alt/Bensberg/Grob/Weimann/Winter, Anwendungsorientierte Wirtschaftsinformatik – Strategische Planung, Entwicklung und Nutzung von Informationssystemen, 6. Aufl., 2011; Beged-Dov, An Overview of Management Science and Information Systems, Management Science, 13, 817; Bensberg, Bildungsbedarfsanalyse auf Grundlage von Stellenanzeigen – Potenziale des Text Mining für das Lern-Service-Engineering, Beitrag zur Multikonferenz Wirtschaftsinformatik 2012, 1; Bensberg, BI-Portfoliocontrolling – Konzeption, Methodik und Softwareunterstützung, 2010; Bensberg, Warenkorbanalyse im Online-Handel, Tagungsband zur 5. internationalen Tagung Wirtschaftsinformatik 2001, 103; Bensberg, Web Log Mining als Instrument der Marketingforschung – Ein systemgestaltender Ansatz für internetbasierte Märkte, 2001; Bensberg/Weiß, Web Log Mining als Marktforschungsinstrument für das World Wide Web, Wirtschaftsinformatik, 41, 426; Davenport, Competing on Analytics, Harvard Business Review, 84, 98; Hagedorn/Bissantz/Mertens, Data Mining (Datenmustererkennung) – Stand der Forschung und Entwicklung, Wirtschaftsinformatik, 39, 601; Hand, Statistics and Data Mining – Intersecting Disciplines, SIGKDD Explorations, 1, 16; Hochstein/Zarnekow/Brenner, ITIL als Common-Practice-Referenzmodell für das ITService-Management – Formale Beurteilung und Implikationen für die Praxis, Wirtschaftsinformatik, 46, 382; Holten, Entwicklung von Führungsinformationssystemen – Ein methodenorientierter Ansatz, 1999; Kemper/Baars/Mehanna, Business Intelligence – Grundlagen und praktische Anwendungen, 3. Aufl., 2010; Manyika/Chui/Brown/Bughin/Dobbs/Roxburgh/Byers, Big Data – The next frontier for innovation, competition, and productivity, 2011.
181
Frank Bensberg
I. Einführung Der zunehmende Einsatz von rechnergestützten Informationssystemen zur Abwicklung von Geschäftsprozessen hat in Unternehmen zum Phänomen der Datenflut geführt. Aus sektoraler Perspektive tritt dieses Phänomen vor allem in dienstleistungsorientierten und informationsintensiven Branchen wie Telekommunikation, Handel und Finanzen auf. In diesen Branchen produzieren selbst einfache Transaktionen – wie beispielsweise der Einkauf im Supermarkt oder der Besuch eines OnlineShops – eine Vielzahl von Daten, die für Dokumentations- und Auswertungszwecke gespeichert werden. Infolgedessen steigt das Interesse der Wirtschaft an analytischen Informationssystemen, mit denen aus großen Datenbeständen möglichst automatisch relevantes Wissen gewonnen werden kann. Mit dem Einsatz entsprechender Analysetechnologien geht letztlich die Zielsetzung einher, die Qualität betrieblicher Entscheidungsprozesse zu verbessern und möglichst nachhaltige Vorteile im globalen Wettbewerb zu erzielen.1 Zur Entwicklung analytischer Informationssysteme haben sich im letzten Jahrzehnt die Konzepte des Business Intelligence und des Data Mining etabliert. Unter Business Intelligence ist dabei ein integrierter Ansatz zur technischen Ausgestaltung der betrieblichen Entscheidungsunterstützung zu verstehen. Kennzeichnend für diesen Ansatz ist, dass Daten aus unternehmensinternen und -externen Quellen kontinuierlich gesammelt und in einer einheitlichen Datenbasis zusammengeführt werden. Mit dieser Datenbasis, die auch als Data Warehouse bezeichnet wird, entsteht ein qualitativ hochwertiger Datenspeicher, der zur Managementunterstützung in sämtlichen Bereichen der Unternehmung eingesetzt werden kann. Voraussetzung hierfür sind allerdings geeignete Analysesysteme, die auch komplexe Zusammenhänge – z. B. im Konsumenten- und Lieferantenverhalten – aufdecken können. Solche Systeme werden unter dem Terminus technicus des Data Mining thematisiert und bieten Unternehmen die Möglichkeit, mathematisch anspruchsvolle Analyseverfahren auf Datenbestände anzuwenden. Typische Aufgabenstellungen für das Data Mining sind z. B. die Identifikation wirtschaftlich attraktiver Käufergruppen für die Neukundengewinnung, die frühzeitige Prognose _________________
1 Manyika/Chui/Brown/Bughin/Dobbs/Roxburgh/Byers, Big Data – The next frontier for innovation, competition, and productivity, S. 4.
182
Die technischen Potenziale analytischer Informationssysteme
des Kündigungsverhaltens sowie die Aufdeckung von Verbundeffekten im Konsumentenverhalten durch gezielte Analyse der Warenkörbe am Point of Sale. Mit diesem Beitrag wird die Zielsetzung verfolgt, die Eigenschaften und Potenziale moderner Analysetechnologien im betrieblichen Anwendungskontext darzustellen. Zu diesem Zweck wird zunächst in das Konzept des Business Intelligence eingeführt, das sich in der Wirtschaftsinformatik als Bezugsrahmen für analytische Informationssysteme etabliert hat. Hierauf aufbauend werden Ansätze des Data Minings vorgestellt, die in der Lage sind, komplexe Zusammenhänge in betrieblichen Datenbeständen aufzudecken. Der Beitrag schließt mit der Identifikation zentraler Erfolgsfaktoren für die Gestaltung analytischer Informationssysteme.
II. Business Intelligence als technischer Bezugsrahmen für analytische Informationssysteme Business Intelligence wird in der Wirtschaftspraxis häufig als Sammelbegriff für Technologien und Informationssysteme zur analytischen Datenverarbeitung verwendet. In der wissenschaftlichen Auseinandersetzung mit solchen Informationssystemen, die sich bis in die sechziger Jahre des letzten Jahrhunderts zurückverfolgen lässt,2 wird insbesondere der Integrationsaspekt hervorgehoben. So ist unter Bussiness Intelligence ein integrierter Gesamtansatz zu verstehen, mit dem Komponenten für die Beschaffung, Aufbereitung und Bereitstellung von Daten zur Unterstützung betrieblicher Entscheidungsprozesse zusammengeführt werden.3 Als kennzeichnend für BI-Systeme ist dabei eine schichtenorientierte Anordnung der einzelnen Systemkomponenten anzusehen.4 Diese Komponenten dienen der Extraktion entscheidungsrelevanter Daten aus verfügbaren Quellen, deren Vorbereitung und Speicherung und schließlich deren Bereitstellung für Entscheidungsträger. Abb. 1 stellt diese Auffassung in Form eines Architekturmodells für BI-Systeme dar.
_________________
2 Beged-Dov, An Overview of Management Science and Information Systems, S. 828. 3 Kemper/Baars/Mehanna, Business Intelligence, S. 8. 4 Bensberg, BI-Portfoliocontrolling, S. 42.
183
Frank Bensberg
Abb. 1: BI-Architekturmodell5
In diesem Architekturmodell sind drei Schichten voneinander abzugrenzen. Die Grundlage von BI-Systemen bildet die originäre Datenschicht. Diese umfasst sämtliche Datenbestände, die für die Entscheidungsunterstützung aufzubereiten sind und aus unternehmensinternen bzw. -externen Quellen stammen können. Bei internen Datenquellen handelt es sich um Daten, die durch die Geschäftsprozesse der Unternehmung generiert werden und in deren operativen Systemen gespeichert werden. Externe Datenquellen umfassen hingegen solche Daten, die von externen Anbietern in die Unternehmung gelangen, beispielsweise über das Internet. Eine wesentliche Problematik unternehmensinterner und -externer Datenquellen ist darin zu sehen, dass die Daten häufigen Änderungen unterliegen. So werden z. B. in den operativen Systemen Datensätze gespeichert, bei denen vorherige Werte bei einer Aktualisierung überschrieben werden. Infolgedessen werden Datenmodifikationen – beispielsweise die Adressänderungen eines Kunden – nicht als auswertbare Historie geführt.6 Dieses Problemfeld wird durch die Schaffung eines Data Warehouse abgebaut, das als zentraler Datenspeicher dient und somit die Bereitstellungsschicht darstellt. Der Zweck des Data Warehouse-Datenbestands, der auch als Kern- bzw. Core Data Warehouse bezeichnet wird, besteht darin, eine möglichst _________________
5 Abbildung entnommen aus Alpar/Alt/Bensberg/Grob/Weimann/Winter, Anwendungsorientierte Wirtschaftsinformatik, S. 236. 6 Alpar/Alt/Bensberg/Grob/Weimann/Winter, Anwendungsorientierte Wirtschaftsinformatik, S. 237.
184
Die technischen Potenziale analytischer Informationssysteme
zweckneutrale, historisierte und vielfältig auswertbare Datenbasis zur betrieblichen Entscheidungsunterstützung zur Verfügung zu stellen.7 Infolgedessen sind die Data Warehouse-Daten in einem hinreichenden Detaillierungsgrad zu speichern. Eine verdichtete Speicherung von Daten würde dazu führen, dass Freiheitsgrade bei anschließenden Analysen eingeschränkt werden und Informationsbedarfe betrieblicher Entscheidungsträger eventuell nicht abgedeckt werden können. Mit dieser Datenbasis können nicht nur die Akteure einzelner Abteilungen oder Organisationsbereiche, sondern im Extremfall auch des gesamten Unternehmens versorgt werden (Enterprise Data Warehouse).8 Um diese Datenbasis für Entscheidungszwecke zu erschließen, sind Analysesysteme erforderlich, die im BI-Architekturmodell (Abb. 1) auf der Dialog- und Analyseschicht eingeordnet werden.9 Dabei sind drei Systemkategorien zu differenzieren: (1) Die elementare Informationsversorgung des Managements mit unternehmensbezogenen Fakten wird durch Informationssysteme realisiert, die inhaltlich richtige und relevante Informationen in Form von Berichten (Reports) zeitgerecht und formal adäquat zur Verfügung stellen. Derartige Berichtssysteme dienen zur Berechnung und Zusammenstellung von Kennzahlen, die als numerische Daten zur prägnanten Beschreibung betriebswirtschaftlicher Sachverhalte fungieren. Sie liefern die notwendigen Funktionalitäten zur Erstellung von Berichten und führen die erforderlichen logistischen Prozesse zur Berichtsübertragung an die jeweiligen Empfänger aus. Dabei ist zu berücksichtigen, dass zur Realisierung eines unternehmensweiten Berichtswesens üblicherweise mehrere hundert oder gar tausende Berichte im Monat zu generieren sind. (2) OLAP (OnLine Analytical Processing)-Systeme zielen darauf ab, Daten für analytische, multidimensionale Fragestellungen des Managements aufzubereiten. Die grundlegende Idee besteht in der dimensionsorientierten Betrachtung der Daten. Dabei werden die Erfolgsgrößen der Unternehmen so strukturiert, dass logisch unabhängige Dimensionen zur Verfügung gestellt werden, in denen der Anwender navigieren kann. Bei den Dimensionen handelt es sich z. B. um Produkt- oder Kundenhierarchien sowie um zeitliche Hierar_________________
7 Holten, Entwicklung von Führungsinformationssystemen, S. 76–78. 8 Bensberg, BI-Portfoliocontrolling, S. 46. 9 Alpar/Alt/Bensberg/Grob/Weimann/Winter, Anwendungsorientierte Wirtschaftsinformatik, S. 240.
185
Frank Bensberg
chien. Einzelne Dimensionen lassen sich miteinander kombinieren, sodass komplexe Bezugsobjekte für die Ermittlung betriebswirtschaftlicher Kennzahlen konstruiert werden können. Ein Beispiel hierfür ist etwa die Berechnung der Kennzahl Deckungsbeitrag für eine bestimmte Produktgruppe (Dimension Produkte) in einem bestimmten Zeitraum (Dimension Zeit). (3) Data Mining-Systeme verfolgen die Zielsetzung, komplexe Zusammenhänge in den zugrunde liegenden Datenbeständen aufzudecken. Zu diesem Zweck setzen diese Systeme insbesondere solche Analysemethoden ein, die in der Lage sind, in einem Datenbestand implizit vorhandene, aber bislang unentdeckte, nützliche Muster zu extrahieren. Durch diese Datenmustererkennung sollen Massendaten systematisch in Bezug auf betriebswirtschaftlich relevante Beziehungszusammenhänge untersucht werden. Aus der Darstellung der drei Systemkategorien wird deutlich, dass Berichtssysteme sowie OLAP-Systeme insbesondere der Bereitstellung betriebswirtschaftlicher Kennzahlen dienen und damit einen Beitrag zur grundlegenden Informationsversorgung des Managements liefern. Hingegen sind Data Mining-Systeme in der Lage, komplexe Beziehungszusammenhänge in der Datenbasis aufzudecken und eine Informationsgrundlage zu schaffen, die neues Wissen über unternehmensinterne und -externe Strukturen sowie Prozesse erschließt. Infolgedessen wird im Folgenden das Konzept des Data Mining eingehender erörtert. Zu diesem Zweck wird zunächst auf den Data Mining-Prozess eingegangen und die informatorischen Potenziale dieses Konzepts anhand praxisbezogener Fallbeispiele aufgezeigt.
III. Data Mining 1. Überblick über den Data Mining-Prozess Unter dem ursprünglich aus der Statistik stammenden Begriff des Data Mining werden meist Verfahren und Informationssysteme zur Datenmustererkennung diskutiert.10 In der Praxis lassen sich Datenbestände jedoch nicht ohne weiteres analysieren. Eine sinnvolle Anwendung der Data Mining-Methoden ist oft erst möglich, wenn die Daten bereinigt, transformiert und ggf. durch externe Quellen vervollständigt worden sind. Aus diesem Grund ist Data Mining als integrierter Prozess zu verstehen, der durch Anwendung von Methoden auf einen Datenbestand _________________
10 Hagedorn/Bissantz/Mertens, Wirtschaftsinformatik, 39, 739.
186
Die technischen Potenziale analytischer Informationssysteme
Muster entdeckt.11 Ein Muster ist, synonym zum Begriff der statistischen Hypothese, eine zusammenfassende, nicht-trivale Aussage über eine Untermenge der untersuchten Datenbasis.
Abb. 2: Data Mining-Prozess12
In der ersten Phase des Data Mining-Prozesses (Abb. 2) findet die Selektion und Extraktion der analyserelevanten Daten statt. Im Zuge der Selektion wird eine Menge von Datensätzen (vertikale Selektion) und Attributen (horizontale Selektion) ausgewählt. Data Mining-Systeme sollten sinnvollerweise mit vorhandenen Data Warehouse-Systemen gekoppelt werden, sind aber nicht auf den ausschließlichen Zugriff auf ein Data Warehouse beschränkt. So können die Daten auch direkt aus den operativen Systemen oder aus externen Datenquellen beschafft werden. Diese Phase ist für die Mustererkennung von ausschlaggebender Bedeutung, da in ihr die Datengrundlage für den gesamten Data Mining-Prozess festgelegt wird. In der Phase der Vorbereitung und Transformation (Preprocessing) wird zunächst die Datenqualität des selektierten Datenpools untersucht. Aufgrund technischer oder menschlicher Fehler können Daten falsche Elemente enthalten. Fehlerhafte oder gar fehlende Elemente des Datenbestands sind in dieser Phase korrigieren bzw. zu ergänzen, um die Qualität der Analyseergebnisse sicherzustellen. Damit die Daten von dem in der nächsten Phase anzuwendenden Mustererkennungswerkzeug verarbeitet werden können, ist außerdem die Transformation in ein geeignetes Datenformat notwendig. In der Phase der Mustererkennung erfolgt die Methodenauswahl und -parametrisierung sowie deren Anwendung auf der Basis des vorbereiteten Datenbestands. Die Methodenauswahl wird von der Art der gesuch_________________
11 Bensberg, Web Log Mining als Instrument der Marketingforschung, S. 64. 12 Abbildung in enger Anlehnung an Bensberg, Web Log Mining als Instrument der Marketingforschung.
187
Frank Bensberg
ten Zusammenhänge bestimmt und weist daher eine starke situative Problemorientierung auf. Dabei stehen zahlreiche Methoden zur Verfügung, die der Klassifikation, Segmentierung, Prognose, Abhängigkeitsund Abweichungsanalyse dienen. Da im Zuge der Methodenanwendung eine große Anzahl von Mustern generiert werden kann, sind diese hinsichtlich ihrer Interessantheit für den Anwender zu bewerten (Evaluation). Die Muster werden anschließend visualisiert (Präsentation) und stehen dem Anwender zur Interpretation zur Verfügung. Anzumerken ist, dass die der Mustererkennung vorgelagerten Phasen zwar „nur“ der Datenvorbereitung dienen, doch verbrauchen diese Aktivitäten einen erheblichen Teil der Gesamtressourcen des Data Mining-Prozesses. Oft wird ein Großteil der verfügbaren Zeit für diese Vorarbeiten aufgewendet. Der erforderliche Aufwand zur Datenvorbereitung hängt dabei maßgeblich von der qualitativen und quantitativen Beschaffenheit der Datengrundlage ab. Durch die Evolution des Internet als Kommunikations- und Prozessplattform für die digitale Ökonomie haben sich mittlerweile zahlreiche Ansätze des Data Mining herausgebildet, die eine differenzierte Analyse unterschiedlicher Datenbestände gestatten. In Abb. 3 werden drei Ausprägungsformen des Data Mining dargestellt und im Folgenden kurz erörtert.
Abb. 3: Ansätze des Data Mining
–
Als Structured Data Mining werden üblicherweise solche Techniken bezeichnet, die der Analyse gut strukturierter Datenbestände dienen. Hierzu sind beispielsweise die Kunden- und Auftragsdatenbestände von Unternehmen zu zählen, die das historische Konsumentenverhalten detailliert abbilden und deren Analyse Aufschluss über die kundeninviduellen Präferenzen liefert.
–
Das Web Mining nutzt hingegen das World Wide Web (WWW) als Datenquelle für die Wissensgewinnung. Besonders interessant sind dabei die Protokolldateien (log files, clickstream) von Web-Servern,
188
Die technischen Potenziale analytischer Informationssysteme
die die Aktivitäten von Online-Besuchern aufzeichnen. Durch Analyse dieser Daten können Besucherprofile erstellt werden, die Aufschluss über das individuelle Such- und Informationsverhalten geben. –
Unter dem Begriff des Text Mining werden statistisch-linguistische Verfahren thematisiert, mit denen elektronisch gespeicherte Dokumente auf interessante Begriffe bzw. Begriffsfolgen untersucht werden können. Diese Verfahren gestatten es, Trendentwicklungen aufzuspüren und Dokumente zu klassifizieren.
In den folgenden Abschnitten werden die skizzierten Ansätze des Data Minings erörtert und anhand von Fallbeispielen vertieft. 2. Structured Data Mining Data Mining-Techniken haben bereits seit den neunziger Jahren weite Verbreitung in der betrieblichen Praxis gefunden. Dabei standen diejenigen Unternehmensbereiche im Anwendungsmittelpunkt, in denen qualitativ hochwertige und strukturierte Datenbestände vorlagen. Solche Datenbestände sind insbesondere im Vertriebs- bzw. Absatzbereich von Unternehmen anzutreffen und dokumentieren die einzelnen Kauftransaktionen von Kunden. Ein typisches Anwendungsfeld für das Data Mining ist dabei die Analyse von Warenkörben, um Verbundbeziehungen zwischen Produkten transparent machen kann. Zur Identifikation von Verbundbeziehungen kann die Assoziationsanalyse eingesetzt werden, mit der Abhängigkeiten (Assoziationen) zwischen Teilmengen eines Datenbestands ermittelt werden. Die Darstellung dieser Abhängigkeiten erfolgt in Form von Assoziationsregeln, die die Struktur und die Signifikanz der Abhängigkeit beschreiben.13 Die strukturellen Komponenten einer Assoziationsregel sind die Prämisse (antecedent) und die Konsequenz (consequent). Diese beiden Komponenten, die die Musterstruktur beschreiben, können beliebig viele Elemente umfassen, die durch logische Operatoren verknüpft werden. Die Signifikanz von Assoziationsregeln wird durch den Support- und den Konfidenzfaktor erfasst. Der Supportfaktor trifft Aussagen über die Häufigkeit der festgestellten Regel. Der Konfidenzfaktor ist ein Maß für die Zuverlässigkeit bzw. die Strenge der Regel. Ein Beispiel für eine Assoziationsregel lautet beispielsweise _________________
13 Agrawal/Mannila/Srikant/Toivonen/Verkamo, Advances in Knowledge Discovery and Data Mining, 308.
189
Frank Bensberg
Brot → Butter 0,9;0,2 . Diese Assoziationsregel liefert auf der Basis eines (hypothetischen) Datenbestands von Warenkörben die Aussage, dass ein Kunde, der Brot kauft, mit einer bedingten Wahrscheinlichkeit von 90 % auch Butter erwirbt (Konfidenz). Diese Assoziationsregel lässt sich in 20 % der Transaktionen nachweisen (Support). Die Anwendung der Assoziationsanalyse wird nun anhand eines Beispiels aus dem Versandhandel dargestellt.14 Voraussetzung für den Einsatz dieser Analysemethode ist eine Datengrundlage, aus der die einzelnen Warenkörbe hervorgehen. Eine solche Datenbasis wird exemplarisch in Abb. 4 dargestellt. Transaktions- Artikelnummer nummer
Artikelbezeichnung
Warengruppe
1
976830
SEITENSCHNEIDER
11
1
345286
HP TINTE 51649A
24
2
486746
MEMORY CARD
16
2
757536
NETZTEIL-GEHAEUSE
02
3
424098
ANTENNE
15
…
…
…
…
Abb. 4: Exemplarische Datengrundlage für die Assoziationsanalyse
In dieser Tabelle nummeriert die Transaktionsnummer die einzelnen Warenkörbe, während die Artikelnummer bzw. die Artikelbezeichnung den erworbenen Artikel abbildet. Außerdem wird der Bezug zur Warengruppe hergestellt, sodass auch Verbundbeziehungen zwischen Warengruppen ermittelt werden können. Die Anwendung der Assoziationsanalyse liefert in der Praxis meist eine große Anzahl von Assoziationsregeln, die mithilfe gerichteter Graphen übersichtlich visualisiert werden können. In Abb. 5 wird eine Menge von 15 Regeln präsentiert, welche Zusammenhänge zwischen unterschiedlichen Werkzeugartikeln erfasst. Dabei geben Kantenstärke und -farbe Aufschluss über die Güte des ermittelten Zusammenhangs. Je _________________
14 Bensberg, Tagungsband zur 5. internationalen Tagung Wirtschaftsinformatik, 103.
190
Die technischen Potenziale analytischer Informationssysteme
stärker die Kante, desto höher die Konfidenz und somit die Zuverlässigkeit der Assoziationsregel. Der Supportfaktor der Assoziationsregel wird durch die Kantenfarbe abgebildet. Beispielsweise führt der Erwerb einer Beisszange immer auch zum Kauf der Artikel Spitzzange gerade, Spitzzange gebogen und Seitenschneider (Konfidenz=100 %).
Abb. 5: Verbundbeziehungen zwischen Artikeln
Aus anwendungsorientierter Perspektive stellt die Assoziationsanalyse ein leistungsfähiges Instrument zur Identifikation komplementärer Produkte zur Verfügung. Die entdeckten Verbundbeziehungen liefern Erkenntnisse über die Konsumentenbedürfnisse und bilden damit eine Entscheidungsgrundlage zur bedarfsgerechten Ausgestaltung marketingpolitischer Maßnahmen. So können Maßnahmen der Verkaufsraumgestaltung (Store Layout) und der Produktplatzierung die gemeinsame Präsenz der komplementären Güter steigern und auf diese Weise zur Intensivierung der Produktwahrnehmung beitragen. Von der Intensivierung der Produktwahrnehmung sind schließlich positive Einflüsse auf die Absatzmenge zu erwarten. Darüber hinaus können auf Basis der identifizierten Verbundbeziehungen Handlungsmaßnahmen für die Logistik formuliert werden. Da sich bei der Nachdisposition von Kern191
Frank Bensberg
produkten der Bedarf der assoziierten Produkte ableiten lässt, können potentielle Präsenzlücken vermieden werden. Da mittlerweile effiziente Algorithmen und Analysesysteme für die Assoziationsanalyse existieren, ist diese Methode in der betrieblichen Praxis relativ einfach umzusetzen. Dabei ist aus ökonomischer Perspektive allerdings zu berücksichtigen, dass Verbundbeziehungen lediglich den quantitativen Zusammenhang zwischen Produkten abbilden, aus dem sich noch keine monetären Wirkungen ableiten lassen. 3. Web Mining Ansätze des Data Mining, die das World Wide Web (WWW) als Datenquelle für die Mustererkennung nutzen, werden allgemein unter dem Themenfeld des Web Mining subsumiert. Eine wichtige Datenquelle bilden dabei die Protokolldateien von Web-Servern, die die Interaktion von Besuchern mit der Website aufzeichnen.15 Diese Protokolldateien verzeichnen die Zugriffe, die von Online-Besuchern an einen Web-Server gerichtet werden. Abb. 6 zeigt einen exemplarischen Auszug einer Protokolldatei, die auf einer Website mit Produktangeboten aus dem Finanzdienstleistungsbereich aufgezeichnet worden ist. 195.145.74.150 [30/Jan/2012:10:12:08] "GET /de/Privatkonto.html HTTP/1.1" 200 25702 195.145.74.150 [30/Jan/2012:10:14:33] "GET /de/Vorsorge.html HTTP/1.1" 200 25699 195.145.74.150 [30/Jan/2012:10:15:51] "GET /de/Emissionen.html HTTP/1.1" 200 25338 195.145.74.150 [30/Jan/2012:10:16:59] "GET /de/FondsRenten.html HTTP/1.1" 200 25321 195.145.74.150 [30/Jan/2012:10:16:06] "GET /de/Depot.html HTTP/1.1" 200 26364
Abb. 6: Auszug aus einer Protokolldatei
Jede Zeile dieser Protokolldatei dokumentiert einen Zugriff, der von dem Browser eines Online-Besuchers an den Server gesendet wurde. Dabei werden die folgenden Attribute aufgezeichnet: –
– –
die Internetadresse (z. B. 195.145.74.150) als numerische Adresse, die das Rechnersystem kennzeichnen, von dem die Anforderung gesendet wurde, das Datum und den Zeitpunkt des Zugriffs (Zeitstempel), die Operation, die der Konsument vom Server anfordert (z. B. GET zum Abruf von Informationsressourcen der Website),
_________________
15 Bensberg/Weiß, Wirtschaftsinformatik, 426.
192
Die technischen Potenziale analytischer Informationssysteme
– – – –
die angeforderte Ressource (z. B. /de/Privatkonto.html), die Version des verwendeten Kommunikationsprotokolls (z. B. HTTP/1.1), den Status, der eventuell auftretende Störungen anzeigt (z. B. 200) sowie die Anzahl der Byte, die vom Server an das Rechnersystem des Konsumenten übertragen wurden (z. B. 25702).
Durch Analyse der skizzierten Datenbasis können kennzahlenbasierte Besucherstatistiken erstellt werden, die beispielsweise Auskunft über den Abruf einzelner Seiten oder die Verweildauer der Online-Kunden liefern. Darüber hinaus eröffnen Protokolldateien aber auch die Möglichkeit, Besucherprofile zu erstellen, die differenziertere Einblicke in das Such- und Informationsverhalten geben. Zu diesem Zweck bieten sich Segmentierungsverfahren an, die anhand der abgerufenen Ressourcen charakteristische Besuchergruppen ableiten. Abb. 7 zeigt ein exemplarisches Segmentierungsergebnis, das auf Grundlage der abgerufenen Informationen zu Finanzprodukten sechs unterschiedliche Interessenprofile von Online-Besuchern identifiziert.
Abb. 7: Segmentierung von Online-Kunden nach ihrem Informationsverhalten
In der Abbildung werden horizontal sechs unterschiedliche Segmente dargestellt, die sich in Bezug auf das Informationsverhalten deutlich voneinander abgrenzen. Das größte Segment, das 28 % der Besucher reprä193
Frank Bensberg
sentiert, zeichnet sich dadurch aus, dass keinerlei Informationen zu den angebotenen Finanzprodukten abgerufen werden (Besucher ohne Produktinteresse). Dieses Segment umfasst solche Besucher, die nach dem Betreten der Website keinerlei produktbezogene Informationen abrufen. Das zweitgrößte Segment (23 % der Besucher), wählt hingegen produktbezogene Informationen zu den Bereichen Privatkonto und Vorsorge aus. Das kleinste Segment (5 % der Besucher) zeigt hingegen diversifiziertes Interesse an Emissionen, Geschäftskonten, Fonds u. Renten, Wertpapierdepots und Vorsorgeprodukten. Diese Segmentierung der Online-Besucher nach ihrem produktbezogenen Informationsverhalten liefert eine Grundlage zur spezifischen Ansprache bestimmter Kundengruppen. Wird die Segmentzugehörigkeit eines Online-Besuchers in Echtzeit bestimmt, können Produkt- und Informationsangebote eingeblendet werden, die den Präferenzen des ermittelten Segments entsprechen. Online-Besucher, die sich für Produkte der Rubrik Vorsorge, wie z. B. Lebensversicherungen und Bausparverträge interessieren, können beispielsweise mit flankierenden, an das Kundensegment angepassten Informationen über Vermögensaufbau, Fonds und Rentenpapiere, Sparpläne oder Berufsunfähigkeitsversicherungen versorgt werden. Ist zudem die E-Mail-Adresse des Besuchers verfügbar, ist es möglich, affine Informations- und Produktangebote elektronisch zu versenden (Kampagnenmanagement). Auf diese Weise können Cross Selling-Potenziale realisiert werden. Darüber hinaus sind von einer segment-spezifischen Ansprache kundenbindende Effekte zu erwarten, die jedoch kontinuierlich zu überprüfen sind. 4. Text Mining Unter dem Begriff des Text Mining ist ein weitgehend automatisierter, analytischer Prozess zu verstehen, der zur Gewinnung von neuem und potenziell nützlichem Wissen aus Textdokumenten dient. Beim Text Mining stellt sich die Herausforderung, mithilfe statistischer und linguistischer Analysemethoden unstrukturierte Daten zu verarbeiten. Diese liegen typischerweise in Form elektronisch gespeicherter Dokumente vor, deren Inhalte nur relativ schwach ausgeprägte Beziehungen zueinander aufweisen, und z. B. über das Internet ausgelesen werden können (etwa in Form von HTML- oder XML-Dateien).16 Zur Untersuchung solcher Dokumente stehen unterschiedliche Methoden zur Textanalyse zur Verfügung. Geläufig sind hierzu etwa Verfahren zur Häufigkeits_________________
16 Bensberg, Multikonferenz Wirtschaftsinformatik 2012, 2.
194
Die technischen Potenziale analytischer Informationssysteme
analyse von Worten bzw. Wortarten, zur Identifikation von Assoziationen zwischen Begriffen sowie zur Segmentierung und Klassifikation von Dokumenten. Als Beispiel für das Text Mining wird hier ein Anwendungsbeispiel vorgestellt, mit dem Stellenanzeigen aus dem Internet ausgelesen und mithilfe des Text Mining untersucht werden. Dabei handelt es sich um Stellenanzeigen der Deutschen Telekom AG, die in einem Job-Portal unter dem URL http://www.telekom.com/your-chance vorgehalten werden. Dieses Jobportal informiert interessierte Bewerber über Vakanzen und stellt die stellenbezogenen Informationen in textueller Form dar (Abb. 8). Die Stellenanzeigen des Job-Portals sind über einen Zeitraum von drei Monaten regelmäßig ausgelesen und als Datenbasis für das Text Mining vorbereitet worden. Mithilfe des Text Mining-Werkzeugs IBM Content Analytics sind insgesamt 1.108 Stellenanzeigen untersucht worden, um Anhaltspunkte über die nachgefragten, fachlichen Ausbildungsinhalte potenzieller Bewerber zu gewinnen. Dabei standen die Nennungen einzelner Fachbegriffe im Mittelpunkt, die die grundlegende Analyseeinheit darstellen und bei Stellenanzeigen insbesondere in der Beschreibung der Anforderungen (Abb. 8) auftreten. Diese Aufgabenstellung wird von dem Text Mining-System durch eine grammatikalische Analyse unterstützt, die aus den Stellenanzeigen automatisch Substantive, Verben, Adjektive und andere Wortarten extrahiert. Zur Analyse der fachlichen Ausbildungsinhalte sind die Substantive herangezogen worden, die vom Text Mining-System listenorientiert dargestellt und mit Häufigkeiten ausgezeichnet werden (Abb. 9). Die Häufigkeitsangabe bezieht sich dabei auf die Anzahl der Stellenanzeigen, in denen das Schlüsselwort aufzufinden ist. So kann der dargestellten Liste z. B. entnommen werden, dass das Schlüsselwort Excel in 85 der Stellenanzeigen auftritt (ca. 8 % sämtlicher Stellenanzeigen). Diese Ergebnisse weisen die Problematik auf, dass sie sich auf sämtliche Stellenzeigen der untersuchten Datengrundlage beziehen. Infolgedessen können keine Aussagen über die zeitliche Entwicklung einzelner Ausbildungsthemen getroffen werden. Infolgedessen ist die zuvor dargestellte Analyse um die zeitliche Dimension zu ergänzen, damit themenbezogene Trends frühzeitig erkannt werden können. Zu diesem Zweck können trendanalytische Methoden des Text Mining eingesetzt werden, die die Häufigkeiten von Schlüsselwörtern im Zeitablauf visualisiert und starke Häufigkeitszunahmen gesondert signalisieren. Als Beispiel 195
Frank Bensberg
Abb. 8: Exemplarische Stellenanzeige im Job-Portal der Deutschen Telekom AG17
_________________
17 Abbildung entnommen aus Bensberg, Multikonferenz Wirtschaftsinformatik 2012, 5.
196
Die technischen Potenziale analytischer Informationssysteme
Abb. 9: Häufigkeitsorientierte Darstellung der Substantive18
für die Trendvisualisierung wird in Abb. 10 die zeitliche Entwicklung des Schlüsselworts ITIL in den Stellenanzeigen mit einer Auflösung auf Tagesebene dargestellt. Dieser Begriff bezeichnet die IT Infrastructure Library, die als de facto-Standard für das Management von IT-Dienstleistungen gilt.19 In dem Balkendiagramm wird die absolute Häufigkeit derjenigen Stellenanzeigen über die Zeitachse dargestellt, in denen das Schlüsselwort ITIL aufgetreten ist. So kann z. B. dem ersten Datenpunkt des Diagramms entnommen werden, dass sechs Stellenanzeigen (Skalierung auf der linken Ordinatenachse) mit dem Bewerbungsschluss 10.7.2011 das Fachthema ITIL enthalten. Darüber hinaus wird dieses Balkendiagramm durch ein Liniendiagramm ergänzt, das einen Indexwert für die Häufigkeitszunahme abbildet (Skalierung auf der rechten Ordinatenachse). Dieser Zunahmeindex drückt aus, in welchem Ausmaß die tatsächliche Häufigkeit von der erwarteten, durchschnittlichen Häufigkeit abweicht, die auf Grundlage der Ist-Werte der vergangenen Perioden ermittelt wird. Ein hoher Zunahmeindexwert wird im Balkendiagramm zudem durch eine farbliche Codierung (Color Coding) des entsprechenden Balkens in intensiver werdenden Farbtönen signalisiert.
_________________
18 Abbildung entnommen aus Bensberg, Multikonferenz Wirtschaftsinformatik 2012, 7. 19 Hochstein/Zarnekow/Brenner, Wirtschaftsinformatik, 382.
197
Frank Bensberg
Abb. 10: Zeitliche Entwicklung des Schlüsselworts ITIL20
Insgesamt ist der Zeitreihe zu entnehmen, dass an den meisten Tagen überhaupt keine oder nur sehr wenige Begriffsnennungen auftreten, die dann allerdings an einigen wenigen Tagen sprunghaft ansteigen. Dabei konzentrieren sich die Werte auf den letzten Analysemonat, der folglich ein Ballungsintervall bildet. Das skizzierte Beispiel verdeutlicht, dass der Anwender mit der Trendanalyse in die Lage versetzt wird, Häufigkeitsveränderungen auf der Ebene einzelner Bildungsthemen visuell zu entdecken (Visual Data Mining) und daraufhin entsprechende Maßnahmen zu ergreifen. Anhaltende Häufigkeitszunahmen können aus Sicht eines Bildungsanbieters z. B. zum Anlass genommen werden, um das eigene Ausbildungsportfolio in Bezug auf die Abdeckung des Themas kritisch zu prüfen. Andererseits können Häufigkeitsabnahmen ein Signal dafür sein, dass bestimmte Themen verfallen und dem Ende ihres Lebenszyklus entgegenschreiten.
IV. Erfolgsfaktoren analytischer Informationssysteme Die skizzierten Anwendungsbeispiele des Data Mining unterstreichen die facettenreichen Möglichkeiten bei der Analyse betrieblicher Datenbestände. Zahlreiche prominente Beispiele aus der Unternehmenspraxis _________________
20 Abbildung entnommen aus Bensberg, Multikonferenz Wirtschaftsinformatik 2012, 9.
198
Die technischen Potenziale analytischer Informationssysteme
deuten dabei darauf hin, dass durch konsequente Nutzung dieser Analysepotenziale nicht nur kurzfristige Qualitätssteigerungen in den Managementprozessen erzielbar sind, sondern vielmehr auch nachhaltige, strategische Wettbewerbsvorteile etabliert werden können.21 Voraussetzung hierfür ist allerdings, dass Unternehmen die notwendigen Ressourcen aufbauen, um analytische Informationssysteme zielorientiert zu gestalten und kontinuierlich in ihre Kernprozesse zu integrieren. Die als wesentlich erachteten Erfolgsfaktoren für das Design solcher Systeme werden in Abb. 11 dargestellt.
Talente mit Fach- und Methodenwissen
analytische Informationssysteme qualitativ hochwertige Daten
leistungsfähige Analyse- infrastruktur
Abb. 11: Erfolgsfaktoren analytischer Informationssysteme
Die im Rahmen dieses Beitrags vorgestellten Ansätze des Data Minings zeigen, dass die Analyse betrieblicher Datenbestände Talente mit entsprechendem Wissen über geeignete Softwaresysteme und deren mathematisch-statistische Methoden voraussetzt. Jedoch ist diese technisch geprägte Wissensbasis stets durch adäquates Domänenwissen über den jeweiligen betriebswirtschaftlichen Gegenstandsbereich zu ergänzen. Erst dann sind die Voraussetzungen dafür gegeben, dass die Ergebnisse analytischer Prozesse im situativen Problemkontext angemessen interpretiert und in wirtschaftlich sinnvolle Maßnahmen übersetzt werden können.22 _________________
21 Davenport, Harvard Business Review, 98. 22 Manyika/Chui/Brown/Bughin/Dobbs/Roxburgh/Byers, Big Data – The next frontier for innovation, competition, and productivity, S. 114.
199
Frank Bensberg
Neben diesem menschlichen Faktor ist außerdem dafür zu sorgen, dass qualitativ hochwertige Datenbestände als Input für den Data MiningProzess zur Verfügung stehen. Sofern dies nicht der Fall ist, drohen Analyseprojekte an dem sogenannten GIGO-Prinzip zu scheitern (Garbage in, Garbage out). Demzufolge führt eine defizitäre Datenbasis zu nicht verwertbaren Analyseergebnissen.23 Um eine angemessene Datenqualität sicherzustellen, stehen einerseits technische Instrumente zur Verfügung, die eine systematische Messung und Verbesserung der Datenqualität gestatten. Andererseits machen Unternehmen in verstärktem Maße auch von organisatorischen Maßnahmen Gebrauch, indem etwa die Verantwortlichkeiten für betriebliche Datenbestände explizit geregelt werden (Data Governance). Darüber hinaus ist sicherzustellen, dass eine analytische Infrastruktur etabliert wird, die den betrieblichen Anforderungen entspricht. So existieren für die unterschiedlichen Aufgabenstellungen und Methoden des Data Mining mittlerweile zahlreiche Softwareprodukte, die teilweise auch als quelloffene Lösungen (Open Source-Software) angeboten werden. Infolgedessen stehen zwar die grundlegenden Analysetechnologien zur Verfügung, indes erfordert die Exploration großvolumiger Datenbestände (Big Data) meist immense Investitionen in Rechen- und Speicherkapazitäten. Angesichts des anhaltenden Kostendrucks im IT-Bereich verfügen nur wenige Organisationseinheiten über die erforderliche Ressourcenausstattung, um eine anforderungsgerechte Analyseinfrastruktur aufzubauen und zu betreiben. Zum Abbau dieser Investitionsbarriere bietet sich der Einsatz von Mechanismen des Cloud Computings an, mit denen die notwendigen Ressourcen (Rechenzeit, Speicherkapazität) bei Bedarf von einem IT-Dienstleister (Cloud Provider) bezogen und beanspruchungsbezogen abgerechnet werden. Neben den skizzierten Erfolgsfaktoren sind beim Aufbau analytischer Informationssysteme stets auch deren Risiken zu berücksichtigen. So werden durch die integrierte Speicherung großvolumiger Datenbestände, deren Auswertung oder gar deren Auslagerung an einen IT-Dienstleister insbesondere auch potenzielle rechtliche Risiken induziert. Diese Risiken relativieren die ökonomischen Nutzeffekte analytischer Informationssysteme und sind im Rahmen einer verantwortungsvollen, auf Nachhaltigkeit ausgerichteten Unternehmensführung systematisch zu handhaben. _________________
23 Hand, SIGKDD Explorations, 1, 18.
200
Moderne Softwareentwicklungsmethoden und ihre Konsequenzen für den Softwareschutz Dr. Oliver Stiemerling I. Einleitung II. Vier aktuelle Trends in der Softwareentwicklung 1. Trend: Auch Individualsoftware besteht heute in zunehmendem Maße aus Fremdkomponenten 2. Trend: Der Source-Code einer Software besteht heute aus mehr als nur „Folgen von Befehlen“ 3. Trend: Neue Softwaresysteme entstehen heute immer häufiger
durch die Anpassung von Standardsoftware 4. Trend: Source-Code wird heute oft nicht mehr von Menschen geschrieben sondern von Werkzeugen automatisch generiert III. Schlussfolgerungen und mögliche Konsequenzen für den Softwareschutz
Literatur: Leistner/Bettinger, Beilage CR 12/1999, S. 1, 12. Nachdruck in GRUR Int. 1978, 290; Maes, P., „Computational Reflection“, Ph.D. Thesis, Department of Computer Science Brussels: University of Brussels, 1987; J. M. Buxton, P. Naur, and B. Randell „Mass-produced software components“ in: Proceedings of North Atlantic Treaty Organization (NATO) Conference on Software Engineering, Eds., Garmisch-Partenkirchen, Germany, 1968; Möhring/Nicolini/ Hoeren, § 69a Rdn 2, Kommentar zum Urheberrechtsgesetz, 2. Auflage, 2000.
I. Einleitung Dieser Beitrag ist die Ausarbeitung eines Vortrags des Autors auf dem Dreiländertreffen 2011 der DGRI in Wien zum Thema Softwareschutz. Motiviert durch die Feststellung von Dr. Robert G. Briner auf der DGRI Jahrestagung 2010 in Nürnberg, dass heute viele umfangreiche und oft teuer bezahlte Arbeitsergebnisse von Informatikern möglicherweise überhaupt nicht dem Schutz durch das Urheberrecht unterliegen, werden hier aktuelle Softwareentwicklungsmethoden mit ihren für den Softwareschutz relevanten Eigenschaften dargestellt. Insbesondere wird aufgezeigt, dass sich durch – – – –
die ausgeprägte Nutzung von Fremdkomponenten, die zunehmende Verwendung und Anpassung von Standardsoftware, die automatische Erzeugung von Source-Code und aktuelle, in der Programmierung verwendete formale Sprachen 201
Oliver Stiemerling
aus technischer Sicht signifikante Veränderungen bei der Erstellung von Computerprogrammen ergeben haben, die für die aktuellen rechtlichen Diskussionen interessant sein könnten. Dieser Beitrag soll und kann keine rechtliche Bewertung abgeben (der Autor ist Informatiker und kein Jurist), sondern hat zum Ziel, für den Softwareschutz bedeutsame technische Trends zu beschreiben. Zudem wird aus Sicht der Informatikpraxis aufgezeigt, welcher Schutz der entsprechenden Arbeitsergebnisse unter Anwendung technischer und ökonomischer Kriterien sinnvoll und pragmatisch wäre. Der Beitrag sollte also nur als Ausgangspunkt für eine rechtliche Betrachtung des Themas angesehen werden.
II. Vier aktuelle Trends in der Softwareentwicklung 1. Trend: Auch Individualsoftware besteht heute in zunehmendem Maße aus Fremdkomponenten In der Anfangszeit der Informatik wurde bei der Entwicklung einer Software oft „von Null“ mit dem Programmieren begonnen: Der Programmierer konnte nur auf die mit der Computerhardware gelieferten Funktionen (Prozessorfunktionen) zurückgreifen. Die Erstellung aus heutiger Sicht einfachster Programme war dadurch sehr aufwändig und kostenintensiv. 1968: Die Idee wiederverwendbarer Softwarekomponenten wird geboren Mit der weiteren Verbreitung von Computern waren die frühen Informatiker es jedoch schnell leid, immer wieder die gleichen Programmbausteine neu zu schreiben. Ein Blick in die klassischen Ingenieursdisziplinen wie z. B. den Maschinenbau führte schnell zur Idee, Software aus wiederverwendbaren Komponenten zusammenzusetzen. Der erste überlieferte Vorschlag, Software aus Komponenten sozusagen „aus dem Regal“ (engl.: „off-the-shelf“) zusammenzusetzen, kommt aus dem Jahr 1968: Doug McIlroy schlug auf einer NATO Konferenz zum Thema Software Engineering in seiner Präsentation1 „Mass-produced software components“ vor:
_________________
1 Siehe: McIlroy, D. M., „Mass-produced software components“ in: Proceedings of North Atlantic Treaty Organization (NATO) Conference on Software Engineering, J. M. Buxton, P. Naur, and B. Randell, Eds., Garmisch-Partenkirchen, Germany, 1968.
202
Moderne Softwareentwicklungsmethoden und Softwareschutz „When we undertake to write a compiler, we begin by saying ‚What table mechanisms shall we build?‘ Not, ‚What mechanisms shall we use?‘ I claim that we have done enough of this to start taking such things off the shelf.“
Die Wiederverwendung von Software schritt in den 70er und 80er Jahren aufgrund fehlender Standards, Masse und Marktplätze nur langsam voran und beschränkte sich oft auf die Nutzung von mit dem Betriebssystem oder der Programmiersprache gelieferten Programmbibliotheken. Ab den 90er Jahren werden wiederverwendbare Softwarekomponenten zum Erfolgsmodell Mit dem Aufkommen des Internets, weit verbreiteter, standardisierter Programmiersprachen, Open-Source-Software und objektorientierter Programmiermodelle wurden in den 90er Jahren die Grundlagen für die heute rege Verwendung von Softwarekomponenten gelegt. In der Praxis ist zu beobachten, dass fast jede individuell, d. h. für einen einzelnen Endkunden, entwickelte Software zum überwiegenden Teil aus integrierten Softwarekomponenten von Fremdherstellern besteht – selbst wenn man die ebenfalls quasi „mitverwendete“ Software auf den Ebenen Laufzeitumgebung2 und Betriebssystem nicht mitzählt. Ohne Anspruch auf statistische Vollständigkeit zeigt das folgende Beispiel einer kleinen Internetanwendung, wie das Verhältnis von verwendeten Fremdkomponenten und individuell erstellter Software üblicherweise aussehen kann. In einer Internetanwendung der Programmiersprache Java werden eigene Programmteile standardmäßig in einem Dateiordner namens „classes“ abgelegt, während Fremdkomponenten im Dateiordner „lib“ (für Library bzw. Bibliothek) zu finden sind. Typische Fremdkomponenten leisten zum Beispiel den Versand von Emails oder die Anbindung an eine Datenbank. In einer typischen Internetanwendung stellt sich die Größe der Binärdateien in den beiden Verzeichnissen wie folgt dar:
_________________
2 Eine Laufzeitumgebung und ein Betriebssystem werden üblicherweise benötigt, um eine Software auf einem physikalischen Rechner ablauffähig zu installieren. Die Grenzen zwischen Laufzeitumgebung (z. B. die Java Virtual Machine) und Betriebssystem sind dabei nicht immer trennscharf definierbar.
203
Oliver Stiemerling
Tabelle 1: Vergleich der Größe von eigenentwickeltem Code und Fremdkomponenten
Wie in den beiden Screenshots zu sehen ist, umfasst das „classes“-Verzeichnis mit der selbsterstellten Software 90.236 Bytes, während das „lib“-Verzeichnis 3.803.838 Bytes umfasst – das ist ein Verhältnis von 1 zu 42 oder anders ausgedrückt: Nur ungefähr 2,3 % der Gesamtanwendung ist individuell programmiert worden. Dieser Wert ist durchaus nicht ungewöhnlich für heutige Softwareprojekte, so dass sich in Programmiererkreisen der Ausdruck „Coding on the shoulders of giants“ etabliert hat, der auf die wesentlichen Vorarbeiten von anderen Programmierern hinweist. Bedeutung für den Softwareschutz In der Informatikpraxis stellt der erreichte hohe Grad der Wiederverwendung aus technischer und ökonomischer Sicht kein Problem dar – im Gegenteil: Heute können in wenigen Tagen komplexe Anwendungen von Einzelpersonen programmiert werden, die früher ganze Teams mehrere Jahre beschäftigt hätten. Der mögliche Produktivitätsgewinn dieser Vorgehensweise ist atemberaubend, wenn man sich den oben am Beispiel gezeigten Grad der Wiederverwendung vor Augen führt. Aus rechtlicher Sicht stellt sich allerdings die Frage, wie diese massive Nutzung und Weitergabe fremden geistigen Eigentums (konkret: der binären Form der genutzten Libraries) geregelt ist. In der Praxis ist festzustellen, dass Anwendungen häufig Komponenten aus zehn oder mehr verschiedenen Quellen nutzen und diese Komponenten anscheinend verschiedenen Lizenzbedingungen unterliegen. Beispielsweise nutzt ein Programmpaket der Firma Google (das sogenannte GWT bzw. Google Webtoolkit) die folgenden Fremdkomponenten unter den jeweils angegeben Lizenzen3: _________________
3 Siehe: http://code.google.com/intl/de-DE/webtoolkit/terms.html.
204
Moderne Softwareentwicklungsmethoden und Softwareschutz
Tabelle 2: Fremdkomponenten und Lizenzen im Google Webtoolkit.
Hinzu kommt, dass jede dieser Fremdkomponenten sehr wahrscheinlich wieder auf andere Fremdkomponenten zugreift, so dass auch eine Individualsoftware leicht auf hundert oder mehr verwendete Fremdkomponenten mit den zugehörigen Lizenzen kommen kann. Vielen Informatikern sind die grundlegenden Eigenschaften der diversen Lizenzen nicht im Detail bekannt, so dass sich eine gewisse abstrahierende, nicht unbedingt falsche „Folklore“ um den rechtlichen Effekt dieser Lizenzen gebildet hat. Beispielsweise wird die „Lesser General Public License“ (LGPL) als kompatibel mit proprietären Softwareentwicklungsprojekten angesehen, da eine Nutzung im Gegensatz zur vollen „General Public License“ (GPL) nicht zum Zwang der SourceCode-Offenlegung des eigenen Codes führt. Genauso werden die Lizenzen des Apache-Projekts (Apache License) als in proprietären Projekten verwendbar angesehen, da sie ebenfalls eine recht liberale Weiterverwendung erlauben. Da die in obigem Beispiel aufgeführten Lizenzen anscheinend von jedem Nutzer der Google-Software in ihrer Gesamtheit beachtet werden müssen, stellt sich der Rechtsabteilung eines Unternehmens in der Praxis beim Kauf einer so erstellten Software die Frage, welche Rechte an welcher Software nun genau erworben werden und welche Verpflichtungen dabei eingegangen werden. Dem Autor sind zwar keine Fälle bekannt, in denen eine von einem Unternehmen erworbene Software aufgrund von Lizenzen von Fremdsoftware nicht wie vorgesehen nutzbar war. 205
Oliver Stiemerling
Trotzdem sollte beim Erwerb der Software zumindest eine Liste der zugrundliegenden Lizenzen vorliegen. Bezüglich des z. B. nur zu 2,3 % selbst entwickelten Codes ist die Annahme in der Informatikpraxis, dass die massive Verwendung von Fremdkomponenten sich nicht auf die Schutzfähigkeit dieses Codes auswirkt. Dieser Code wurde von einem menschlichen Autor erzeugt und verwendet in einer klar definierten technischen Nutzenbeziehung andere, fremde Komponenten. 2. Trend: Der Source-Code einer Software besteht heute aus mehr als nur „Folgen von Befehlen“ Die Programmierung einer Software bestand in der Anfangszeit der Informatik zumeist in der Eingabe und Speicherung von Folgen von Befehlen, die einen Computer zu einem bestimmten Verhalten bewegen. Daher wird auch heute noch zur Bestimmung des Begriffs Computerprogramm (der im deutschen Urheberrecht nicht weiter festgelegt ist) oft auf die Definition in § 1 (i) der Mustervorschriften der WIPO4 zurückgegriffen: „[Ein Computerprogramm ist]eine Folge von Befehlen, die nach Aufnahme in einem maschinenlesbaren Träger fähig sind zu bewirken, dass eine Maschine mit informationsverarbeitenden Fähigkeiten eine bestimmte Funktion oder Aufgabe oder ein bestimmtes Ergebnis anzeigt, ausführt oder erzielt.“
Während diese Definition auch heute noch eine Vielzahl von Arbeitsergebnissen bei der Programmierung abdeckt, wird in der modernen Programmierung zunehmend mit Sprachen gearbeitet, in denen keine „Folgen von Befehlen“ beschrieben werden, sondern Strukturen, Regeln und Zusammenhänge modelliert werden, die anschließend von einer anderen Software interpretiert oder erst in Folgen von Befehlen umgewandelt werden müssen. Ein Beispiel5 ist eine strukturelle Schnittstellenbeschreibung:
_________________
4 Siehe Möhring/Nicolini/Hoeren, § 69a Rdn 2; Leistner/Bettinger, Beilage CR 12/1999, S. 1, 12. Nachdruck in GRUR Int. 1978, 290. 5 Beispielquelle: http://de.wikipedia.org/wiki/Web_Services_Description_Lan guage.
206
Moderne Softwareentwicklungsmethoden und Softwareschutz
Abbildung 1: Ausschnitt aus einem XML-Dokument zur Schnittstellendefinition zur Preisabfrage eines Wertpapiers
Die oben dargestellte, sogenannte XML6-Datei ist kein Computerprogramm im Sinne der WIPO, sondern, wie das W3C-Konsortium auf seiner Website definiert, ein“ Textformat“: „Extensible Markup Language (XML) is a simple, very flexible text format“7
Es definiert die Struktur einer Nachricht, mit der ein System ein anderes System nach einem Preis eines bestimmten Wertpapiers fragt. Dafür wird im obigen Beispiel ein „tickerSymbol“ an das gefragte System übergeben, das mit einem „price“ antwortet. Es werden also nur die Strukturen des Datenaustausches, aber keine Befehle beschrieben. Die XMLBeschreibung dient quasi als technischer „Vertrag“ zwischen zwei Systemen. Die XML-Dateien steuern das Systemverhalten bei der Interaktion zweier Systeme entweder dadurch, dass sie zur Laufzeit interpretiert werden oder dass sie während der Entwicklung dazu verwendet werden, aus ihnen automatisch Schnittstellen-Source-Code zu erzeugen, der sich dann entsprechend der Vereinbarungen verhält (das ist in einem späteren Kapitel beschrieben). Vergleichbare Dateien werden auch zur Definition von Dateiformaten und zur Archivierung von Daten verwendet. Während das hier dargestellte Beispiel sehr einfach gehalten ist, werden in industriellen Programmierprojekten oft sehr komplexe und umfangreiche Dateien dieser Art produziert, die nicht als „Folgen von Befehlen“ zu interpretieren sind, aber aus technischer Sicht trotzdem als Teil des Computerprogramms angesehen werden und in deren Erstellung oft viel Zeit und Geld investiert werden. _________________
6 XML = eXtensible Markup Language, siehe z. B. www.w3c.org/xml für mehr Informationen. 7 Siehe www.w3c.org/xml.
207
Oliver Stiemerling
Bedeutung für den Softwareschutz Wenn beispielsweise die XML-Schnittstellenvereinbarung dazu verwendet wird, automatisiert Source-Code zur passenden Systeminteraktion zu erzeugen, könnte man diese Dateien als „Entwurfsmaterial“ zur Erstellung von Software im Sinne des Urheberrechts ansehen. Damit wären sie quasi als „Vorprodukte“ der Softwareentwicklung geschützt. Werden XML-Dateien jedoch zur Laufzeit der Software interpretiert, sind sie aus technischer Sicht Teil der Software. Da sie jedoch keine „Folge von Befehlen“ darstellen, wäre zumindest eine Einordnung als Computerprogramm im Sinne der WIPO problematisch. Das deutsche Urheberrecht sieht keine feststehende Definition des Begriffs „Computerprogramm“ vor, so dass hier die Möglichkeit besteht, in der aktuellen Anwendung des Rechts insofern auf einen praxisnahen und aktuellen Begriff von Software abzustellen, dass auch Teile eines Computerprogramms, die nicht unbedingt „Folgen von Befehlen“ sind, geschützt sind. Eine solche erweiterte Definition des Begriffs „Computerprogramm“ führt auch dazu, dass Anpassungen von Software anders betrachtet werden müssen. Dieses Thema wird im folgenden Kapitel behandelt. 3. Trend: Neue Softwaresysteme entstehen heute immer häufiger durch die Anpassung von Standardsoftware Der ökonomische Sinn von Software als Standard bzw. Produkt liegt darin, dass der Entwicklungsaufwand auf viele Kunden verteilt werden kann. Da in vielen Bereichen ein statisches Produkt jedoch nicht den Anforderungen aller relevanten Kunden gerecht wird, wird Software immer häufiger mit Anpassungsmöglichkeiten an verschiedene oder sich über die Zeit ändernde Kundenbedürfnisse ausgestattet. Beispielsweise wird in einem Internetbrowser die Anzahl der in der Historie gespeicherten Internetseiten üblicherweise nicht „hart“ einprogrammiert, sondern als ein über das Menü „Optionen“ veränderbares Datenfeld. Eine Änderung dieser Anzahl wird dabei nicht als normale Nutzung des Browsers, sondern als Veränderung von während der eigentlichen Nutzung stabilen Aspekten der Software angesehen. Die folgende Grafik zeigt ein gedankliches Modell einer anpassbaren Software im Vergleich zu einer „klassischen“, statischen Software:
208
Moderne Softwareentwicklungsmethoden und Softwareschutz
Abbildung 2: Unterschied zwischen „klassischer“, statischer Software und anpassbarer Software
Die klassische Sicht auf eine Software betrachtet die Daten und die auf diesen Daten operierenden Verarbeitungsanweisungen. Daten können im Programmablauf geändert werden; das eigentliche Programm bleibt statisch. In einer anpassbaren Software wird zwischen den Fachdaten und den sogenannten „reflektiven Daten“ unterschieden. Die Fachdaten beziehen sich auf die Nutzungsdomäne des Programms (z. B. Adressen, Texte, Buchhaltungsdaten). Die reflektiven Daten beziehen sich auf das Programm selbst (daher werden solche Daten in der Informatik8 „reflektiv“ genannt). Reflektive Daten können auch nach der Auslieferung des Programms noch geändert werden und verändern so das Verhalten des Programms. In manchen Fällen ist die Abgrenzung zwischen Nutzung und Anpassung einer Software relativ, d. h. es ist eine Definitionsfrage, wo Fachdaten genau aufhören und reflektive Daten anfangen. Beispielsweise stellt sich die Frage, ob die Erstellung firmenspezifischer Dokumentvorlagen in einem Textverarbeitungsprogramm eher als Anpassung oder eher als Nutzung zu charakterisieren ist. Typische Anpassungstechniken Für den Zweck dieses Beitrags ist die genaue Abgrenzung im Einzelfall jedoch nicht relevant. Interessant ist vielmehr, ob die Änderung oder Erweiterung der reflektiven Daten einer Software aus technischer Sicht _________________
8 Siehe z. B. Maes, P., „Computational Reflection“, Ph.D. Thesis, Department of Computer Science Brussels: University of Brussels, 1987.
209
Oliver Stiemerling
als Programmierung verstanden werden kann oder ob eine andere Art von Tätigkeit vorliegt. Die folgende Grafik führt eine Reihe von Anpassungstechniken auf, die auf jeweils verschiedenen Arten von reflektiven Daten basieren:
Abbildung 3: Verschiedene Arten von Anpassungstechniken
Das erste, triviale Beispiel für eine weithin bekannte Anpassungstechnik ist hier die Konfiguration einer Software durch einen einfachen Parameter, der die Werte 0 oder 1 annehmen kann und steuert, ob eine Software mit einer vollständigen Benutzeroberfläche (expertmode = 1) oder mit einer einfachen Benutzeroberfläche mit eingeschränktem Funktionsumfang (expertmode = 0) angezeigt wird. Dieser Parameter wird häufig in einer eigenen Datei gespeichert, die vom Programm beim Start oder zur Laufzeit ausgewertet wird. Je nach Parametereinstellung verhält die Software sich dann entsprechend anders. Aus technischer Sicht ist eine solche Datei mit dem alleinigen Inhalt expertmode = 1 eher als trivial zu bezeichnen, da der „Programmierer“, der diese Datei verändert, keinen nennenswerten Gestaltungsspielraum hat. Er kann nur aus einer Menge von zwei Möglichkeiten, 0 oder 1, wählen. Die Datei kann aber durchaus als Teil des Computerprogramms angesehen werden, da es sich nicht um Fachdaten handelt und eine Änderung dieser Datei wie eine Änderung im Programmcode wirkt. In der Praxis sind allerdings Konfigurationsdateien oder sogar Datenbanken mit vielen hunderten oder sogar tausenden von Parametern mit größeren Wertebereichen (nicht nur 0 oder 1) vollkommen üblich, so 210
Moderne Softwareentwicklungsmethoden und Softwareschutz
dass sich eine für den praktischen Gebrauch fast unendliche Menge von Konfigurationsmöglichkeiten ergibt. Ein Beispiel sind die Konfigurationsdateien im open source Webserver von Apache9 (z. B. die bekannte Datei server.conf). Eine solche, auf einen bestimmten Anwendungsfall zugeschnittene, komplexe Konfigurationsdatei ist aus technischer Sicht nicht mehr als trivial zu beschreiben und kann durchaus das Ergebnis vieler Personentage Recherchen und Experimente sein. Ob eine solche komplexe Konfiguration bzw. Parametrisierung einer Software schützenswert ist, ist zu diskutieren. Am gänzlich anderen Ende des Spektrums der Anpassungstechniken (unterer Rand in der Grafik) liegen Systeme, die komplett im SourceCode inklusive Interpreter oder Übersetzungswerkzeugen zur Verfügung stehen. Bei einem solchen System kann tatsächlich jeder Aspekt der Software angepasst werden, in dem einfach der entsprechende Passus im Source-Code geändert wird. Da hier die Anpassung durch eine direkte Änderung des Source-Codes vorgenommen wird, liegt aus technischer Sicht eine Programmierung vor. Der große Bereich von Anpassungstechniken zwischen skalaren (eindimensionalen) Parametern auf der einen Seite und dem kompletten Source-Code auf der anderen Seite ist durch formale, maschineninterpretierbare Sprachen geprägt, die jeweils die Beschreibung von Teilaspekten des Softwareverhaltens erlauben, d. h. ein Teil der Verarbeitungsanweisungen wird durch Abbildung als reflektive, veränderbare Daten anpassbar gemacht. Das für Juristen naheliegendste Beispiel dürfte die Anpassung einer Software durch Regelsprachen in Form von Wenn-Dann Regeln sein. In diesem Fall kann der Anwender (z. B. ein Administrator) einen Teil des Verhaltens der Software durch die Formulierung von Bedingungen und Konsequenzen (wenn …, dann …) steuern. Diese Art der Anpassungstechnik wird häufig im Bereich von Zugriffsrechten und Sicherheitssystemen verwendet, da die Formulierung von Zugriffsrechten in Form von Wenn-Dann-Regeln nahe an der nicht-technischen Formulierung solcher Regelwerke liegt und so einfach umzusetzen ist. Aus technischer Sicht sind solche Regelmengen keine „Folgen von Befehlen“ im Sinne der WIPO, können jedoch erhebliche Aufwände und Fertigkeiten in der Formulierung verlangen, da ein gutes technisches Regelwerk – wie auch ein Gesetz oder ein Vertrag – alle relevanten in der Praxis auftretenden Faktenkonstellationen abdecken sollte. _________________
9 Siehe z. B. http://httpd.apache.org/docs/2.2/configuring.html.
211
Oliver Stiemerling
Ein weiteres, in der Praxis sehr häufig anzutreffendes Beispiel für formale Sprachen sind domänenspezifische Sprachen, in denen oft die anpassbar gehaltenen Teile von ERP10-Systemen geschrieben sind. Beispielsweise sind Teile der bekannten SAP-Software in einer eigenen Programmiersprache namens ABAP11 („Advanced Business Application Programming“) entwickelt. Insbesondere können in dieser Sprache kundenspezifische Anpassungen der SAP-Software durchgeführt werden. ABAP-Programme sind im Sinne der WIPO „Folgen von Befehlen“, die allerdings nur im Kontext eines SAP-Systems ihre Wirkung entfalten können, d. h. ein ABAP-Programm ist normalerweise nicht ohne ein SAP-System lauffähig. Die anderen in Abbildung 3 beispielhaft aufgeführten Anpassungssprachen (Strukturbeschreibung wie das bereits im vorherigen Abschnitt beschriebene XML, Kompositionssprachen und Geschäftsprozesssprachen) zeichnen sich alle durch einen nahezu unendlich großen Gestaltungspielraum aus, sind aber streng genommen keine „Folgen von Befehlen“. In der Praxis wird in die Erstellung der entsprechenden Dateien im Rahmen einer Programmierung oft sehr viel Aufwand und Fachkompetenz investiert. Bedeutung für den Softwareschutz Die Vielzahl der möglichen und hier nur beispielhaft dargestellten Anpassungstechniken zeigt, dass bis auf triviale Fälle (ein einzelner binärer Parameter) die Anpassung von Software a. einen großen Gestaltungsspielraum eröffnet, b. zum Teil in klassischen, befehlsbasierten Programmiersprachen durchgeführt wird (Source-Code-Anpassung und die sogenannten domänenspezifischen Sprachen), oder zumindest c. hohe kommerzielle Aufwendungen erfordern kann. Die Ergebnisse der Anpassung sind oft in Dateien oder Datenbankeinträgen gespeichert und können einzeln kopiert und verbreitet werden, funktionieren aber in der Regel nur im Kontext der ursprünglichen Software. Sie können daher aus technischer Sicht im Allgemeinen als Teil des Computerprogramms angesehen werden. Ob diese Eigenschaften von Softwareanpassungen eine Schutzwürdigkeit rechtfertigen, bleibt der rechtlichen Betrachtung vorbehalten. _________________
10 ERP = Enterprise Ressource Planning (Systeme zur Verwaltung aller Unternehmens-Ressourcen). 11 Siehe z. B. http://de.wikipedia.org/wiki/ABAP.
212
Moderne Softwareentwicklungsmethoden und Softwareschutz
4. Trend: Source-Code wird heute oft nicht mehr von Menschen geschrieben sondern von Werkzeugen automatisch generiert Während z. B. Java oder C++12 immer noch die Sprachen sind, in der Programmierer komplexe, stark individualisierte Algorithmen für die Kernaufgaben einer Software formulieren, so beschreibt der Source-Code vieler Computerprogramme heute in wesentlichen Teilen – – –
Schnittstellen zu anderen Systemen, Grafische Benutzerschnittstellen oder Datenbankinteraktionen.
Da diese Bereiche in der Art der Implementierung durch Standards stark vorgegeben sind, wird der Source-Code oftmals nicht von Hand geschrieben, sondern mit Hilfe von Werkzeugen erzeugt, die als Eingabe eine Beschreibung der Schnittstelle, Benutzerschnittstelle oder Datenbankstruktur in einer hoch spezialisierten Sprache entgegennehmen und den passenden Source-Code dann automatisch generieren. Das folgende Beispiel verdeutlicht das Prinzip für den Bereich Systemschnittstellen: Automatische Erzeugung von Schnittstellen-Source-Code Es wurde bereits beschrieben, wie die Struktur des Nachrichtenaustausches in einer Systemschnittstelle mit Hilfe von sogenannten XMLDateien13 beschrieben werden kann. Wenn ein Programmierer seiner Software die Eigenschaft geben will, mit einem anderen System zu kommunizieren, so kann er sehr schnell mit einem Werkzeug (WSDL2Java) aus der entsprechenden Schnittstellendatei eine Menge von SourceCode erzeugen, die er einfach nur noch seinem Programm hinzufügen muss, um den entsprechenden Aufruf des Fremdsystems zu erzeugen. Im folgenden Beispiel stellt ein Dienst im Internet Aktienkurse bereit. Diese können beispielsweise von Buchhaltungsprogrammen über den Kurznamen der Aktie („tickersymbol“) abgefragt werden, um in der Buchhaltung eine Bewertung von Aktiendepots zum aktuellen Tageskurs anzuzeigen. _________________
12 Java (siehe www.java.com) und C++ (siehe z. B. http://de.wikipedia.org/ wiki/C%2B%2B) sind in der Praxis weit verbreitete Programmiersprachen. 13 Diese speziellen XML-Dateien werden oft im sogenannten WSDL-Format geschrieben, siehe auch: http://de.wikipedia.org/wiki/Web_Services_Descrip tion_Language.
213
Oliver Stiemerling
Der Dienst stellt eine Schnittstellenbeschreibung in Form einer WSDLDatei bereit, in der wie oben beschrieben die Nachrichtenformate für die Anfrage beim Dienst und die entsprechende Antwort definiert sind. Geschrieben wurde die WSDL-Datei von einem Entwickler des Internetdienstes. Der Entwickler der Buchhaltungssoftware benutzt nun das Werkzeug WSDL2Java, um aus der WSDL-Datei Java-Source-Code zu erzeugen. Dabei ist die Benennung als „Source-Code“ hier irreführend, da dieser Code eben nicht die eigentliche „Quelle“ des Computerprogramms ist, sondern die WSDL-Datei. Die folgende Grafik14 zeigt das Prinzip:
Abbildung 4: Erzeugung von „Source-Code“ aus einer Schnittstellenbeschreibung in Form einer WSDL-Datei _________________
14 Quelle des Beispielcodes: http://de.wikipedia.org/wiki/Web_Services_Des cription_Language.
214
Moderne Softwareentwicklungsmethoden und Softwareschutz
Das Werkzeug WSDL2Java wurde von einem dritten Programmierer entwickelt und enthält vorformulierte Fragmente von Java-Code, die bei der Auswertung einer WSDL-Datei in den vollständigen Java-Code für die Schnittstellenanbindung überführt werden. Bewertung für den Softwareschutz Bei automatisch generiertem Source-Code stellt sich die Frage, wer hier als Autor des Codes im Sinne des Urheberrechts in Frage kommt. Die möglichen Kandidaten sind: –
Der Entwickler des WSDL-Files mit der Schnittstellenbeschreibung des Internetdienstes
–
Der Entwickler des Werkzeugs WSDL2Java
–
Der Entwickler des Buchhaltungsprogramms, der das Werkzeug und das WSDL-File verwendet
Der Entwickler des WSDL2Java-Werkzeugs hat (von Hand) Code-Fragmente geschrieben, die im generierten Source-Code wieder auftauchen. Der Entwickler des Internetdienstes hat die gesamte inhaltliche Struktur des Nachrichtenaustausches (von Hand) in einem WSDL-File definiert. Und der Entwickler des Buchhaltungsprogramms hat (mit Hilfe eines Werkzeugs) Code erzeugt, der nun als Teil seiner Buchhaltungssoftware verwendet wird. Die Erwartungshaltung aus der Informatikpraxis (zumindest die Erwartungshaltung des Autors dieses Artikels) wäre, dass zumindest die WSDL-Datei des Internetdienstes geschützt ist, d. h. nicht einfach von einem anderen Internetdienst kopiert und verwendet werden darf, da beim Internetdienst der tatsächliche kommerzielle Aufwand (Arbeitsstunden des Entwicklers) der Definition der Schnittstelle entstanden ist und die Schnittstelle als kreative Leistung des dortigen Entwicklers angesehen werden kann. Den Entwickler des Werkzeuges WSDL2Java als Mitautor des erzeugten Source-Codes in Erwägung zu ziehen, wäre aus Sicht der Informatik überraschend, da die Verwendung von Programmierwerkzeugen üblicherweise nicht zu Einschränkungen oder Rechten Dritter am eigenen Source-Code führt, genauso wenig wie der Autor eines Textverarbeitungsprogramms irgendwelche Rechte an einem damit erzeugten Text in Anspruch nehmen könnte. Ebenfalls wäre überraschend, den Entwickler des Buchhaltungsprogramms als Autor anzusehen, da er weder den Source-Code noch die 215
Oliver Stiemerling
WSDL-Datei als Vorprodukt selbst geschrieben hat. Aus ökonomischer Sicht hat er wahrscheinlich nur ein paar Sekunden Arbeit in die Verwendung des Werkzeugs WSDL2Java gesteckt, so dass der Source-Code bei vorliegender WSDL-Datei ebenso schnell von einem Dritten wieder neu erzeugt werden könnte. Aus technischer Sicht würde man dieses Beispiel also ähnlich wie bei klassischem „übersetztem“ Source-Code behandeln, d. h. die Ursprungsdatei (die WSDL-Datei) und die daraus erzeugten anderen Formen des „Programms“ (der generierte Java-Source-Code und dann der durch den normalen Java-Compiler generierte Maschinen- bzw. Bytecode) würden als Werke des Autors der WSDL-Datei angesehen werden. Einziger Unterschied ist, dass das WSDL-File im technischen Sinne eigentlich kein Computerprogramm, sondern nur eine Strukturbeschreibung ist, mit der man auch noch andere Sachen als eine Übersetzung in Source-Code machen kann.
III. Schlussfolgerungen und mögliche Konsequenzen für den Softwareschutz Die in diesem Artikel dargestellten Trends im Bereich moderner Softwareentwicklungsmethoden sind geprägt durch – – – –
den hochgradigen Einsatz von Fremdkomponenten formale Sprachen, die nicht der Definition von klassischen Programmiersprachen entsprechen Anpassung von Standardsoftware als umfangreiche und gestaltende Tätigkeit und die automatische Generierung von Source-Code.
Aus Sicht der Informatikpraxis wurde anhand von technischen und ökonomischen Argumenten die Erwartungshaltung (zumindest des Autors dieses Artikels) an die Schützbarkeit der jeweiligen Arbeitsergebnisse dargestellt: Die selbst geschriebenen Teile von Software, auch solcher mit einem extrem hohen Anteil von eingebundenen Fremdkomponenten (z. B. 98 %), sollten genauso schützbar sein, wie Software ohne Fremdkomponenten. Auch die weitreichende Nutzung von Fremdkomponenten darf bezüglich der Schutzfähigkeit nicht auf die selbst geschriebenen CodeAnteile „abfärben“. Aus technischer Sicht kann klar zwischen selbst geschriebenem Code und den genutzten Fremdkomponenten unterschieden werden. 216
Moderne Softwareentwicklungsmethoden und Softwareschutz
Auch die Teile einer Software, die nicht der klassischen WIPO-Definition einer „Folge von Befehlen“ entsprechen, sollten schützbar sein. Aus technischer Sicht ist dies kein Widerspruch zu den Festlegungen zumindest im deutschen Urheberrecht, da dort keine explizite Definition des Begriffs „Computerprogramm“ vorgenommen wird, so dass immer eine relevante, aktuelle Definition verwendet werden kann. Da heute die Anpassung von Standardsoftware in vielen Teilen kommerziell sehr hohe Aufwände verursacht und einen großen Gestaltungsspielraum bietet, sollten die Ergebnisse von Anpassungsleistungen – von trivialen Fällen wie kleineren Parametrisierungen abgesehen – schützbar sein. Die z. B. in Konfigurationsdatenbanken von großen Standardsystemen enthaltenen Einstellungen oder die in domänenspezifischen Programmiersprachen wie ABAP erstellten Anpassungen könnten zusammen mit der entsprechenden Standardsoftware als Werk angesehen werden. Bei der automatischen Generierung von Source-Code aus abstrakteren Beschreibungssprachen sollte aus Sicht der Informatikpraxis auf das bekannte Modell der Übersetzung von Source-Code in Binärcode abgestellt werden, wobei hiermit auch der Schritt der „Übersetzung“ z. B. einer Schnittstellenbeschreibung in Source-Code abgedeckt werden kann. Ausgangspunkt des Schutzes sollte hier immer die Repräsentationsform sein, in deren Erstellung der wesentliche Aufwand geflossen ist.
217
.
Immer im Dienste des IT-Rechts – ein Portrait zum 65. Geburtstag von Michael Bartsch Thomas Heymann I. Der Weg zum Recht II. Erste Schritte
IV. Maßgebliche Veröffentlichungen V. Künftige Themen
III. Verdichtung zum IT-Recht
Wie die meisten Leser dieses Beitrags wissen, hat Michael Bartsch quasi im Alleingang Karlsruhe zu einem Zentrum des IT-Rechts gemacht. Nicht nur durch die von ihm gegründete Kanzlei, die seit vielen Jahren – mit leichten Änderungen in Namen und Firma – eine der wichtigsten Adressen für Mandanten auf dem Gebiet des IT-Rechts geworden ist. Sondern auch durch regelmäßige Fachveranstaltungen, Publikationen („Redaktion von Computer und Recht“ steht seit vielen Jahren neben dem Kanzleieingang). Und – last but not least – durch die akademischen Lehrveranstaltungen die er als Honorarprofessor an der Universität Karlsruhe und an der Staatlichen Hochschule für Gestaltung abhält.
I. Der Weg zum Recht Geboren wurde Michael Bartsch 1946 in Hamburg und zwar in eine typische Flüchtlingsfamilie. Der Vater stammte aus Breslau, die Mutter aus Danzig. Nach dem 2. Juristischen Staatsexamen seines Vaters zog die Familie zunächst nach Freiburg und dann nach Karlsruhe, wo der Vater sich als Anwalt niederließ. Michael Bartsch ging zunächst in Karlsruhe, dann in Ettlingen bei Karlsruhe zur Schule, wo er 1966 sein Abitur absolvierte. Es folgte das Jurastudium in Hamburg, Genf und Freiburg, motiviert durch das Vorbild des Vaters – die Gelegenheit, einen freien Beruf mit den literarischen und sprachlichen Neigungen (und Begabungen) zu verbinden. Während des Studiums kam es auch zur Beschäftigung mit literarischen Themen, die ihn bis heute fesseln. Unvergessen die von ihm in mustergültigen Reimen komponierte und vorgetragene Rede zum 20. Jahrestag der Gründung von „Computer und Recht“ in Köln im Jahr 2005. 219
Thomas Heymann
Das Jahr 1968 hat Michael Bartsch als distanzierter Beobachter erlebt. Kein Wunder, Massenaufläufe entsprechen bis heute nicht seinem Naturell. Die berühmte Semestereröffnung in Hamburg mit dem Spruchband „Unter den Talaren – Muff von 1000 Jahren“ – hereingetragen von jungen konservativ gekleideten und „mit Schlips“ ausgestatteten Kommilitonen hat er (ohne Schlips!) persönlich mit erlebt – aber nicht als befreiend, sondern als „irritierend“. 1972 dann das Erste Staatsexamen und 1975 das Zweite Staatsexamen, danach Anwaltszulassung und Eintritt in die kleine vom Vater begründete Kanzlei in Karlsruhe. Damit schien zumindest sein weiterer beruflicher Lebensweg vorgezeichnet: eine beschauliche Existenz als Anwalt in einem mittelständischen mittelstädtischen Milieu. Es kam dann etwas anders.
II. Erste Schritte Ausgestattet mit einem exzellenten Zweiten Staatsexamen erhielt Bartsch alsbald an der Universität Karlsruhe einen Lehrauftrag (zunächst für Gesellschaftsrecht). Ihn interessierten von Anfang an komplexe Vertragsstrukturen, überhaupt der Vertrag als Mittel der Steuerung und des Ausgleichs. Seine erste Spielwiese war das damals wegen steuerlicher Vorteile propagierte „Bauherren-Modell“; Baurecht als die Mutter des Technikrechts. Seine ersten Veröffentlichungen, auch die Mitwirkung am Münchner Vertragshandbuch ab der ersten Auflage, belegen dies. Dass das Bauherren-Modell aufgrund von Steuerrechts-Änderungen (und Haftungsprozessen gegen die Initiatoren aufgrund der explodierenden weichen Kosten) sehr abrupt endete, war für Bartsch insofern ein Glücksfall, als er zu diesem Zeitpunkt als einer der Ersten sich intensiv mit dem „EDV-Recht“ zu befassen begann. Nach der Einführung des IBM PC und von DOS im Jahr 1981 war für ihn absehbar, dass demnächst „jeder Arbeitsplatz elektronisiert“ würde – eine Erkenntnis, die er den meisten seiner Zeitgenossen voraus hatte. Bartsch gelingt es, erste – wichtige – Kontakte zu knüpfen, beispielsweise zu Prof. Dr. Dr. Fiedler1, der mit seiner Doppelqualifikation als Informatiker und Jurist eine Nische in der Gesellschaft für Informatik (GI) _________________
1 Vgl. Heckmann, DGRI-Jahrbuch 2008, S. 159 ff.
220
Immer im Dienste des IT-Rechts
besetzte. Bartsch kann Herrn Prof. Dr. Stucky von der Informatikfakultät der Universität Karlsruhe davon überzeugen, ihn eine Vorlesung über „Computervertragsrecht“ halten zu lassen, die im Wintersemester 1984/1985 erstmals stattfindet – die erste akademische Veranstaltung auf diesem Gebiet in Deutschland. Ebenfalls 1985 bereiten Prof. Dr. Gorny und Prof. Dr. Kilian für das German Chapter of the ACM (Association for Computing Machinery – netter Name!) eine „Schnittstellentagung“ in Hannover vor. Michael Bartsch reicht zunächst eine Frageliste, dann einen Vortrag ein, der seine erste IT-rechtliche Veröffentlichung wird („Die Haftung des angestellten Programmierers“, Betriebs-Berater 1986, S. 1500 ff.), hält aber spontan auf der Tagung einen anderen Vortrag: „Schadensersatzklauseln in Software-Überlassungs-Verträgen“2. Über diese Kontakte gelangt er in den Vorstand der GRVI, eine der beiden Vorgängergesellschaften der jetzigen DGRI. Und ab diesem Zeitpunkt deckt sich Michael Bartschs Lebensweg stark mit der Entwicklung des IT-Rechts in Deutschland.
III. Verdichtung zum IT-Recht Die Gesellschaft für Rechts- und Verwaltungsinformatik (GRVI) war 1976 gegründet worden3, zu Zeiten der Lochkarten4, und hatte einen sehr klaren Arbeitsschwerpunkt im Datenschutzrecht. Lässt man die Namen ihrer Exponenten Revue passieren (zu denen Michael Bartsch nicht zählte), so wird klar, dass in dieser Phase das IT-Recht im Wesentlichen durch Professoren und Assistenten geprägt war – Bull, Büllesbach, Brinkmann, Kilian, Lutterbeck, Simitis. Bartsch wird kooptiert, aber sein hauptsächliches Interesse liegt in den praktischen Fragen des Rechtsverkehrs, die dieses neue Wirtschaftsgut „Software“ aufwirft. 1985 erfolgt dann zunächst die Gründung von „Computer und Recht“, die Bartsch im Gespräch wie folgt schildert: „Im Sommer 1985 sah ich ein etwas merkwürdiges Inserat in der NJW. Es stellte sich heraus, dass _________________
2 Beitrag für: Gorny/Kilian: Computer-Software und Sachmängelhaftung; 1985 S. 133 ff. 3 Vgl. http://ig.cs.tu-berlin.de/ma/bl/ap/2006/Lutterbeck-HappyBirthdayDgri2006-10-02.pdf. 4 Lutterbeck, „Happy Birthday DGRI“ – Dinner Speach, in: Büchner/Dreier, Von der Lochkarte zum globalen Netzwerk – 30 Jahre DGRI, Köln 2007, S. 11 ff.
221
Thomas Heymann
es Fritz Neske war, der hier Kontakte im Bereich IT-Recht suchte. Er lud mich zu einem konspirativen Mittagessen im „Adria“ in München ein. Auf anderem Wege kam ich in Kontakt zu Jochen Schneider. Nach dem Mittagessen mit Neske fuhr ich in Jochen Schneiders Büro; er verhörte mich ein wenig, ob ich vielleicht auch schon im „Adria“ zum Mittagessen gewesen sei, mit einem gewissen Herrn Neske; und so war es, und so tat sich dann die Truppe zusammen, die die Zeitschrift „Computer und Recht“ publizierte und die DGRI gründete.“ Diese „Truppe“ bestand im Wesentlichen aus Neske, Schneider, Graefe – und eben Michael Bartsch. 1986 gründet die „Truppe“ dann die „Deutsche Gesellschaft für Informationstechnik und Recht e.V.“ (DGIR) – ihr erster Vorsitzender hieß Michael Bartsch. Dem Vorstand wird er bis 1999 angehören, später dann in den Beirat wechseln und schließlich dessen Vorsitz übernehmen. Warum diese Gründung parallel zu der schon bestehenden „Gesellschaft für Rechts- und Verwaltungsinformatik“ (GRVI)? Michael Bartsch: „Weil die GRVI den Professoren, den Verwaltungsfachleuten und den Datenschützern gehörte und Thomas Graefe und ich der Auffassung waren, dass wir dort weder das Zivilrecht noch die Anwaltschaft sachgerecht hineinbringen können und dass wir eine Gesellschaft haben sollten, die nicht nur strikt wissenschaftlich orientiert, sondern auch praxisorientiert ist. Schon damals hatten wir die Idee, in dieser Gesellschaft Dienste anzubieten.“ Der einzige Dienst, zu dem es dann später kam, war die auf Bartsch zurückgehende Idee des Schlichtungsverfahrens, das sich bis heute bewährt hat – übrigens lange vor der Begeisterung für Mediation in den USA. Es folgt eine regelrechte Euphorie für das neue Rechtsgebiet. Hunderte zahlen ganz erhebliche Beträge, um Bartsch – inzwischen eine Koryphäe – auf Veranstaltungen professioneller Seminarveranstalter sprechen zu hören. Sein Witz und seine Schlagfertigkeit machen ihn zum idealen Sprecher und Konferenzleiter. Und plötzlich ist er eben nicht einfach „Karlsruher Anwalt“, sondern eine berühmte Größe. Dass er dies bis heute geblieben ist, liegt vor allem an der klugen Balance, die er zwischen seiner praktischen Tätigkeit als Anwalt und der von ihm weiter betriebenen Lehre und Wissenschaft hält. Zu seinen Mandanten zählen seit dieser Zeit IT-Unternehmen, für die er vor allem immer wieder neue Vertragstypen möglichst ABG-fest rechtlich gestaltet, und Kunden, die er bei der Beschaffung von Hardware, 222
Immer im Dienste des IT-Rechts
Software und der Abwicklung großer Projekte unterstützt. Aus diesem Spannungsbogen entstehen viele neue Fragen, die er auch wissenschaftlich adressiert.
IV. Maßgebliche Veröffentlichungen Davon zeugen die zahlreichen Publikationen die folgen und über die Jahre nicht abreißen. Darunter findet sich eine ganze Reihe von Grundsatzaufsätzen, die für die Entwicklung des IT-Rechts (einschließlich der Rechtsprechung) richtungweisend sind. Davon können hier nur einige wenige genannt werden: Der erste einschlägige Fachaufsatz diskutiert die „Haftung des angestellten Programmierers“ (Betriebs-Berater 1986 S. 1500 ff.). Er vertritt die These, dass die damals noch gültige Unterscheidung nach gefahrgeneigter Arbeit und anderer Arbeit nicht tauglich ist – acht Jahre bevor das Bundesarbeitsgericht seine diesbezügliche Rechtsprechung (im wesentlichen aus den von Bartsch vorgetragenen Gründen) kassieren wird. Der Beitrag „Weitergabeverbote in AGB-Verträgen zur Überlassung von Standardsoftware“ (Computer und Recht 1987 S. 8 ff.) ist ein typischer „Bartsch“. Die diversen Fallkonstellationen werden dargestellt und thesenartig abgehandelt. Kernaussage zum damalige Gesetzesstand: „Der Erschöpfungsgrundsatz ist also von einer Verkörperung des Werks unabhängig.“, § 17 Abs. 2 UrhG findet daher auch Anwendung, wenn „das Werkstück“ nicht „körperlich“ überlassen wurde. Eine Aussage, die Bartsch heute in dieser Allgemeinheit wohl nicht mehr treffen würde. Aber: der knappe Beitrag steckt den begrifflichen Rahmen ab, in dem sich die bis heute nicht abgeschlossene Diskussion in den nächsten Jahren entwickeln wird. Michael Bartsch heute im Gespräch zum Thema Erschöpfung: „Dass der Urheber den Erstverkauf eines Werkstückes verbieten kann, ist eine gesetzliche Ausnahme zum Grundsatz des § 137 BGB, wonach es keine res extra commercium geben darf. Aus diesem systematischen Gedanken ergibt sich zunächst, den Erschöpfungsgedanken nur auf Werkstücke anzuwenden, also nicht auf online übertragene Werke. Aber das alles kommt aus einer Welt, in welcher körperliche Rechtsgüter und unkörperliche Rechtsgüter als radikale Gegensätze angesehen wurden. Deshalb der extreme Regelungsunterschied in Bezug auf körperliche Sachen (kein dingliches Verfügungsverbot möglich) und in Bezug auf Rechte (die Verfügung kann beliebig ausgeschlossen werden). 223
Thomas Heymann
Die heutigen Nutzer von Software, Filmen, Bildern, Musik usw. verbinden mit dieser Dichotomie keinen praktischen Sinn mehr. Wer den neuesten Schlager hören möchte, möchte nicht ein Stück Materie kaufen, sondern die technische Möglichkeit erwerben, diesen Schlager immer, zu Hause, im Auto, über den iPod usw. zu hören, und er möchte nicht, dass die Nutzung aus Rechtsgründen gegen jede technische Vernunft am Datenträger klebt. In einer solchen Welt ist die radikale Unterscheidung zwischen körperlichen und unkörperlichen Rechtsgütern auch in Bezug auf die Verfügungssperre nicht mehr sinnvoll. Sie ist zwar noch Gesetz, aber das Gesetz bildet eine sinnvolle Güterzuweisung nicht mehr ab, muss sich auf die neue Technik einstellen und gehört deshalb geändert.“ Aber ist „diese Dichothomie“ nicht trotzdem legitim, weil das Urheberrecht unterschiedliche Distributionsmodelle schützen sollte – bspw. einen per individuellem Download tarifierten Konsum, der aber nicht mit einer Speicherung beim Nutzer verbunden ist vs. dem Download aus einer Datenbank zur Speicherung (und individuellen Nutzung) wie etwa bei iTunes? Michael Bartsch: „Einer solchen Nutzungsfreiheit müssen sachgerechte Schranken gesetzt werden können, insbesondere um dem urheberrechtlichen Grundsatz des Partizipationsinteresses des Urhebers Rechnung zu tragen. Wer einen Film aus der Videothek leiht (vermutlich ein sterbendes Geschäftsmodell), darf schon wegen seiner nur temporären Nutzungsberechtigung keine dauerhaften Kopien erstellen.“ „Das Schlichtungsverfahren der DGIR“ (CR 1988, S. 692 ff.) stellt das von Bartsch konzipierte Schlichtungsverfahren sowie die von ihm entworfene Schlichtungsordnung der DGIR (heute DGRI) vor. Kern: „Der technische Sachverstand des Sachverständigen wird … nicht in Form eines Gutachtens hinzugeholt, sondern ist Teil des Verfahrens.“ Bemerkenswert ist hier vor allem der Zeitpunkt: Idee und Beitrag entstehen lange vor der (im Wesentlichen durch die irrwitzigen Verfahrenskosten provozierten) amerikanischen Diskussion um eine Mediation. Es folgen Aufsätze zur vertraglichen Einordnung von Softwareüberlassung (CR 1992, S. 393), zum Verschrottungsvertrag (CR 1993, S. 616) und zum Thema „Grad der Marktdurchdringung von Software als rechtliches Kriterium“ (CR 1994, S. 667 ff.). Unter diesem etwas sibyllinisch anmutenden Titel diskutiert er die Zulässigkeit, Softwarenutzung an individuelle CPU’s oder Rechnerklassen zu binden und die Nutzung auf leistungsfähigeren Rechnern von der Zahlung höherer Lizenzgebühren 224
Immer im Dienste des IT-Rechts
abhängig zu machen. Die auch von mir früher vertretene Aussage, dass die Nutzung auf einem stärkeren Rechner dann keine Nachforderung rechtfertigt, wenn die konkrete Nutzungsintensität gleich bleibt, entspricht allerdings nicht mehr der (späteren) BGH-Rechtsprechung (BGH, CR 2003, S. 323 ff.). Zu Recht hat der BGH es abgelehnt, dass der Lizenzgeber in Diskussionen mit jedem einzelnen Lizenznehmer über die konkrete Nutzung eintritt. Es nähert sich das Jahr 2000. Michael Bartsch wird das Millenium mit zahlreichen Publikationen, Gutachten und Vorträgen zum Thema feiern. Gestoßen war er auf das Thema relativ früh, nämlich im Sommer 1998 durch die Anfrage einer Versicherung für ein Gutachten zu den haftungsrechtlichen Implikationen der mangelnden Jahr-2000-Fähigkeit von Software. Als großer „Trendschnüffler“ hat er die Brisanz des Themas sofort erkannt. So folgt eine erste große Tagung zum Thema, auf der er das Hauptreferat zu halten hat. Vor allem aber erstellt er nach Abstimmung mit seinem Mentor Stucky innerhalb weniger Monate ein Manuskript von 300 Seiten, das auch auf wirtschaftliche Bezüge eingeht (Bartsch: „um die Promotion an der wirtschaftswissenschaftlichen Fakultät zu ermöglichen“ – in Wahrheit seinen Neigungen entsprechend). Und so promoviert er noch im alten Jahrtausend zum Thema. Die Dissertation erscheint als Buch „Software und das Jahr 2000“; in kurzer Zeit werden 3000 Exemplare verkauft. Aufgrund der jahrelangen Publikations- und Lehrtätigkeit folgt wenig später die Ernennung zum Professor h.c. Ein weiterer und dauerhafter Themenkomplex eröffnet sich ihm mit der Schuldrechtsreform von 2000. In einem Übersichtsaufsatz („Das neue Schuldrecht – Auswirkungen auf das EDV-Vertragsrecht“, CR 2001, S. 649 ff.) wird ein erster Problemaufriss gegeben. Resümee: „Dass der Abbruch des Leistungsbandes an zu einfache und unklare Voraussetzungen gebunden und dass dieses Recht noch dazu AGB-fest ist, ist der größte Fehler des neuen Rechts. Der zweitgrößte ist die monströse Gewährleistungszeit bei Verträgen über nichtkörperliche Werke. Auch die Entleerung des werkvertraglichen Typus ist verfehlt. In einer Branche, in der Kooperation auch in schwierigen Situationen aufrechterhalten bleiben muss, kann sich diese Schwächung der Vertragsfreiheit und des Vertragsbandes übel auswirken. Die Vertragsjuristen haben hier nach Möglichkeit vorzubeugen. Hilfe der Justiz dabei ist allerdings nur eine Hoffnung.“ CR 2001, S. 649 (S. 657).
225
Thomas Heymann
Ebenfalls in das Jahr 2000 fällt sein – nach eigenen Worten – Lieblingsaufsatz: „Das BGB und die modernen Vertragstypen“, CR 2000, S 3 ff. Hier wird besonders deutlich seine Vorstellung vom Recht als einem starken, aber elastischen und an die Situation anpassbaren Gerüst. Ausgangspunkt ist die Kritik daran, „daß in einer Welt der BGB-fernen Verträge dasselbe Prüfmuster benutzt wird wie bei BGB-typischen Verträgen“ (S. 6). Soweit Verträge dem jeweiligen Leitmodell des BGB entsprechen, können sie traditionell ausgelegt werden. Für die neueren Vertragstypen gelingt dies aber in der Regel nicht. Hier gilt: „Je komplexer der zu behandelnde Sachverhalt ist, desto komplexer müssen die anzuwendenden Werkzeuge und Theorien sein. Top-down-Entwürfe sind für einfache Strukturen richtig. In komplexen Strukturen bleiben sie mit beschränktem Einsatzbereich nützlich. Moderne Problemlösungsverfahren sind modular. Sie arbeiten eher in der Fläche und in vielfachen Beziehungen, nicht in einer einfachen Über- und Unterordnungsrelation. Sie entwerfen so ein der Komplexität der Lebenswelt entsprechendes komplexes Modell.“ CR 2000, S. 3 (S. 8, 9). Seit 2002 stellt Bartsch das IT-Recht im „Beck’schen Formularbuch Bürgerliches, Handels- und Wirtschaftsrecht“ dar, seit der 10. Auflage (2010) mit mehr als 100 Seiten. Wie auch die Besprechung von Frank5 betont, fasst diese zentrale Veröffentlichung den Erfahrungsschatz von 25 Jahren zusammen. Spezifische Folgen der Schuldrechtsreform (im Wesentlichen die Abgrenzung zwischen Gewährleistungsansprüchen bei Sachmangelhaftung, Rechtsmangelhaftung und Schadensersatzansprüchen) werden in „Rechtsmängelhaftung bei der Überlassung von Software“ (CR 2005, S. 1 ff.) diskutiert. Anhand von 16 Beispielsfällen fächert Bartsch alle Konstellationen auf, beispielsweise ob die Verjährungsfrist zwei oder bis zu zehn Jahre beträgt, und Fragen des internationalen Softwarehandels. Er gibt Hinweise zur Vertragsgestaltung, die aber in der Wirklichkeit der AGB-Gestaltung weiterhin ignoriert werden. Anlässlich des 20-jährigen Jubiläums von „Computer und Recht“ folgt die gemeinsam mit Thomas Dreier verfasste Übersicht: „20 Jahre Urheberrecht in ‚Computer und Recht‘“ (CR 2005, S. 690 ff.). Fazit: „Während früher außerhalb des professionellen Bereichs praktisch keine urheberrechtlich relevanten Handlungen vorkamen, also auch Verstöße _________________
5 Frank, CR 2010, R82.
226
Immer im Dienste des IT-Rechts
gegen das Urheberrecht durch Konsumenten selten waren, bringt die Welt der neuen Medien jeden in die Rolle eines urheberrechtlich relevanten Verwerters. Das ganze Konzept der Rechtszuweisungen und Schranken muss neu begutachtet werden.“ (CR 2005, S. 694). Dazu Bartsch heute im Gespräch: Die Entscheidung, Software dem Urheberrecht zu unterstellen, war dogmatisch eigentlich nicht vertretbar. Bartsch: „Der Bundestag hat 1985 die Datenverarbeitungsprogramme in § 1 Abs. 1 Nr. 1 Urheberrechtsgesetz als Werksart eingetragen mit der Begründung, Cobol sei ja auch eine Sprache, deshalb sei ein Programm ein Sprachwerk. Jetzt stand das im Gesetz. Das war eine Liebedienerei gegenüber den Amerikanern, die dringend verlangt haben, dass die Software geschützt wird. Sie ist nur durch die US-Rechtsprechung und den Lobbyismus der US-Softwarehersteller zu erklären.“ In den USA, muss man hinzufügen, war diese Entscheidung vermutlich weniger problematisch, da die persönlichkeitsrechtlichen Komponenten des Urheberrechtsschutzes im common law weniger ausgeprägt sind. Insbesondere ist es problematisch, ein mehr und mehr „industriell“ hergestelltes Immaterialgut Regeln zu unterstellen, die im Kern auf das Paradigma des Künstlers und seiner Beziehung zum Werk zurück zu führen sind. Gegen den eigentlich angemessenen Schutz sui generis sprach damals aber der fehlende Konventionenschutz, der die internationale Marktgängigkeit stark beeinträchtigt hätte. Bartsch: „Die Systembrüche zwischen dem geltenden Urheberrecht und der praktischen Handhabung der Software-Überlassung sind zahlreich und groß. Dass es praktisch keine Rechtsprechung zu diesem Themenbereich gibt, ist keineswegs ein Zeichen einer befriedeten Rechtslage, im Gegenteil, es ist ein Zeichen, dass die Akteure wegen der Unklarheit und der fehlenden Passung nicht zu Gericht gehen oder sich dort vergleichen.“ Daran knüpft der programmatische Artikel „Software als Rechtsgut“ (CR 2010, S. 553 ff.) an, der Bartschs heutige Positionen zusammenfasst. Zu Recht weist er darauf hin, dass die Frage, ob Software eine Sache „sei“, eine falsche Ontologisierung enthält. Die Frage hat immer nur Sinn im Kontext eines bestimmten Regelungsbereichs. Aber auch dort lässt sie sich nicht aus der zugrunde zu legenden Norm beantworten, das kann immer nur zu einem Zirkelschluss führen: „Wie beispielsweise § 651 BGB in Bezug auf Software zu verstehen ist, lässt sich also nicht einfach aus der Norm entnehmen, denn es steht nicht im Text. Es ist eine Wertungs- und Zweckmäßigkeitserwägung vorzunehmen, also eine Zutat.“ (a. a. O., S. 558). So ist die Frage nach den Ge227
Thomas Heymann
währleistungregeln für Software sicher nach Sachmängelrecht zu beurteilen. Das trifft aber eben nicht für die Folgen von Verletzungshandlungen zu, die die Zuordnung der Nutzungs- und Verwertungsrechte betreffen, oder – wiederum eine andere Fallgruppe die „Vertraulichkeit und Integrität informationstechnischer Systeme“. Die dogmatische Einordnung hängt also nicht von einer Definition der „Software an sich“ ab, sondern von der Angemessenheit der jeweils einschlägigen Rechtsfolge auf eine Fallgestaltung. Hier knüpft Bartsch an die insbesondere im Aufsatz „Das BGB und die modernen Vertragstypen“ (CR 2000, S. 3) dargestellte Elastizität und Funktionalität eines an den Erfordernissen des Lebens orientierten Rechts an. Der zugrundeliegende ontologische Fehlschluss wird insbesondere durch die grundsätzliche Unterscheidung zwischen Rechten und Sachen begünstigt. In den Worten von Michael Bartsch: „Immateriell ist, was beim Kopieren übernommen wird. Materiell ist, was beim Kopieren nicht übernommen wird. Mischformen zwischen Sache und Recht sind seit jeher bekannt (z. B. das Wertpapier). Interessant ist ein Changieren zwischen diesen Einstufungen.“ (a. a. O., S. 556). Bartsch schreibt pointiert, mit Eleganz und nicht immer ohne Emotionen (so beispielsweise in seiner „Kurzen Geschichte der Privatheit“ im DGRI-Jahrbuch 2010, S. 31 ff.). Die Lektüre seiner Veröffentlichung ist immer ein Vergnügen und Gewinn.
V. Künftige Themen Was werden aus Bartschs Sicht die beherrschenden Themen der kommenden Jahre sein? Zunächst das Datenschutzrecht. Das Datenschutzrecht ist aus seiner Sicht überzogen. „Die Deutschen wollten und wollen Weltmeister auf dem Feld des Datenschutzes sein. Eine gewisse Überspanntheit und eine Bürokratisierung haften deshalb diesem Rechtsgebiet an, das sich, wie auch andere „modische“ Rechtsgebiete, in dauernden Verschärfungen gefällt.“ Aber die ganz großen Fische schwimmen frei herum. Google darf weiterhin den öffentlichen Straßenraum fotografieren und die Daten in die USA transferieren, obwohl schon das in Bezug auf die vielen urheberrechtsfähigen Gebäude eine Straftat ist. Denn die erhöhte Filmvorrichtung auf den Fahrzeugen von Google geht über das nach § 59 UrhG erlaubte Maß hinaus.“ 228
Immer im Dienste des IT-Rechts
Dann das Strafrecht. Das Strafrecht ist im IT-Recht vernachlässigt worden, nachdem in seinen Anfängen Ulrich Sieber hier bahnbrechende Pionierarbeit geleistet hatte. Durch die Universalität des Internets haben sich drastische Schutzdefizite entwickelt, denen wir noch ratlos gegenüber stehen, da Straftraten im Schutze von Auslandsjurisdiktionen und im Schutze der technisch ermöglichten Anonymität begangen werden können. Es wäre gut, wenn DGRI und „Computer und Recht“ dies enger begleiten würden. Und schließlich im Zivilrecht. Viele der neueren Vertragstypen sind Dauerschuldverhältnisse. Das gilt für Nutzungsvereinbarungen, für die Nutzung von Cloud-Angeboten, für Rechenzentrumsverträge oder Pflegeverträge. Seit der Schuldrechtsreform haben wir für das Dauerschuldverhältnis „einen einzigen mageren Paragraphen für eine einzige Schwierigkeit im Laufe dieses Vertragstypus“. Sonst wissen wir von diesem Dauerschuldverhältnis von Gesetzes wegen gar nichts. Die Analogien zu anderen gesetzlich geregelten Dauerschuldverhältnissen führen nicht viel weiter, u. a. weil es kein sicheres Regelwerk gibt, welche Analogie man ziehen soll. Dafür gibt es mehrere Theorien, aber keine Meta-Theroie, welche dieser Theorien anwendbar wäre. Die Dauerschuldverhältnisse haben aber eine Reihe von gemeinsamen Regelungsbedürfnissen, die juristisch zu erfassen wären, zum Beispiel die Notwendigkeit der Leistungsänderung. Sowohl der Anbieter eine Rechenzentrumsleistung als auch der Kunde müssen ein Recht zur Leistungsänderung haben. Dazu fällt uns Juristen noch nichts ein. Das ist aber ein extrem praxisrelevantes Thema, bei dem die Praxisrelevanz zu einem großen juristischen Aufgabenfeld wird. Michael Bartsch ist im vergangenen Jahr 65 Jahre alt geworden, und hat seine Kanzlei neu begründet. Seine Interessen haben sich im Laufe der Jahre nicht verengt, wie meist bei berühmten „Spezialanwälten“, sondern ausgeweitet. Nein, ein typischer Jubilar ist er nicht. Sondern einer, der heute noch mit dem gleichen Vergnügen gegen den Stachel liebgewonnener dogmatischer Vorurteile löckt wie vor 30 Jahren.
229
.
Aktuelle Entwicklungen im IT-Recht Jan Schneider Rechtsanwalt und Fachanwalt für IT-Recht SKW Schwarz Rechtsanwälte, Düsseldorf
Einführung I. Von Anbietern, Käufern und Fußballhelden: Neues im Onlinerecht 1. Rechtsfragen zu Online-Marktplätzen 2. Providerverantwortlichkeit 3. Online-Bewertungen 4. Zulässigkeit von Thumbnails 5. Hartplatzhelden II. Von „Buttons“ und „Opt in’s“: Entwicklungen im Verbraucherschutzrecht 1. Änderung des Widerrufsrechts 2. Button-Lösung 3. Double-opt-in. 4. Telekommunikation 5. Internationaler Gerichtsstand bei grenzüberschreitendem Onlineverkauf
2. Facebook zum Zweiten: Der „Gefällt mir-Button“ 3. Facebook zum Dritten: Die automatische Gesichtserkennung 4. Und dann war da noch … Google Analytics 5. Von Wolken und anderen Datennebeln 6. Diskussionsentwurf zur Vorratsdatenspeicherung IV. Und dann war da noch … in Kürze 1. … Der BGH zu der Kündigung von Internet-Systemverträgen … 2. … der EuGH zu dem urheberechtlichen Schutz von Benutzeroberflächen … 3. … und der Gesetzgeber zu De-Mail-Diensten …
III. Facebook, Facebook und … Facebook: Entwicklungen im Datenschutzrecht 1. Facebook zum Ersten: Das „FriendFinder-Verfahren“
Einführung Die Informationstechnologie entwickelt sich nach wie vor rasant und beeinflusst zunehmend – mal sichtbar, mal unbemerkt – das berufliche Umfeld ebenso, wie den privaten Lebensbereich. Demgemäß ist auch das IT-Recht einer ständigen Weiterentwicklung unterworfen und stellt Rechtsprechung sowie Gesetzgebung stetig vor neue Herausforderungen. Die rechtliche Bewältigung dieser rasanten Entwicklung ist eine der großen Herausforderungen der Rechtspraxis. 231
Jan Schneider
In dem Berichtszeitraum Oktober 2010 bis Oktober 2011 standen wiederholt die Herausforderungen des Social Networkings und hierunter insbesondere datenschutzrechtliche Fragen im Fokus der rechtlichen Betrachtung – befeuert nicht zuletzt von der öffentlichen Berichterstattung über Facebook und andere „Datenkraken“1. Nicht zuletzt mit der Diskussion um datenschutzrechtliche Bestimmungen eng verbunden waren Anpassungen bei verbraucherschutzrechtlichen Regelungen, insbesondere im Fernabsatzgeschäft. Auch im Übrigen dokumentiert die weiterhin stark zunehmende Befassung der IT-Rechtspraxis mit den Fragen des Internetrechts die mittlerweile erhebliche wirtschaftliche Bedeutung der Online-Anbieter. Dagegen stand das Cloud Computing im Jahre 2011 hierzulande noch in den Startlöchern. Hier war im Berichtszeitraum immerhin eine Wandlung der rechtlichen, insbesondere datenschutzrechtlichen Diskussion zu mehr Konstruktivität und Praxistauglichkeit wahrnehmbar, wozu nicht zuletzt die „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder aus September 20112 beigetragen haben dürfte. Dieser Beitrag gibt einen kleinen Überblick über bedeutsame Gerichtsentscheidungen, Gesetzesänderungen bzw. -vorhaben und sonstige praxisrelevante Ereignisse im Bereich des IT-Rechts innerhalb des Berichtszeitraums.
I. Von Anbietern, Käufern und Fußballhelden: Neues im Onlinerecht Wie bereits die Jahre zuvor waren auch innerhalb des aktuellen Berichtszeitraums der E-Commerce und Fragen der Providerverantwortlichkeit wieder Gegenstand von Literatur und Rechtsprechung. 1. Rechtsfragen zu Online-Marktplätzen Das Shopping-Portal eBay war erneut Gegenstand höchstrichterlicher Rechtsprechung. So hatte der BGH im Mai 2011 über die Frage zu entscheiden, unter welchen Voraussetzungen der Inhaber eines eBay-Mit_________________
1 Vgl. z. B. http://www.stern.de/wissen/technik/facebook-datenkrake-oder-ge schuetzter-raum-kritik-an-facebook-1670417.html. 2 Zu finden unter www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf.
232
Aktuelle Entwicklungen im IT-Recht
gliedskontos für Erklärungen haftet, die ein Dritter unter unbefugter Verwendung dieses Kontos abgegeben hat3. Obwohl nach einer Klausel in den eBay-AGB die angemeldeten Nutzer grundsätzlich für die unter Verwendung Ihres Mitgliedskontos vorgenommene Aktivitäten haften, war der BGH anderer Auffassung: Eine Inanspruchnahme des Kontoinhabers komme bei unbefugter Verwendung des Kontos durch einen Dritten nur dann in Betracht, wenn die Erklärung des Dritten im Rahmen einer bestehenden Vertretungsmacht erfolgt oder vom Kontoinhaber nachträglich genehmigt wurde, oder wenn die Grundsätze über die Duldungs- bzw. die Anscheinsvollmacht eingreifen. Im darauffolgenden Monat entschied der BGH, dass ein Anbieter die von ihm initiierte Auktion vorzeitig beenden darf, wenn ihm während der Durchführung der Auktion der angebotene Gegenstand gestohlen wird4. Die Karlsruher Richter beriefen sich auf einen Passus in den Allgemeinen Geschäftsbedingungen und auf zugehörige Hinweise von eBay, nach welchen der Verlust des Verkaufsgegenstandes als Rechtfertigung für eine vorzeitige Angebotsbeendigung gilt. 2. Providerverantwortlichkeit eBay stand ebenfalls im Fokus in einem womöglich folgenschweren Urteil des EuGH5, nach welchem Betreiber von Online-Marktplätzen weitreichend für (hier: Marken-)Rechtsverletzungen ihrer Nutzer haften sollen. Nach Auffassung des EuGH kann sich der Marktplatz-Betreiber auf die Haftungsprivilegierung eines Hostproviders – hierzulande umgesetzt in § 10 TMG – nur dann berufen, wenn er lediglich passiv als „Vermittler“ zwischen den auf dem Marktplatz agierenden Anbietern und deren Kunden auftritt, und nicht etwa eine aktive Rolle übernimmt, die ihm eine Kenntnis oder Kontrolle über die Kunden- bzw. Transaktionsdaten verschafft. Eine aktive Rolle übernimmt der Betreiber nach Auffassung des EuGH z. B. dann, wenn er die Anbieter durch entsprechende Dienste bei dem Verkauf ihrer Produkte unterstützt (z. B. durch eine Optimierung des Webauftritts). Aber auch der reine „Vermittler“ muss, so der EuGH, bereits dann tätig werden, wenn er aufgrund etwaiger ihm bewusst werdender Tatsachen oder Umstände die in Rede stehende Rechtswidrigkeit hätte feststellen können. Darüber hinaus soll er wirksame vorbeugende Maßnahmen treffen. _________________
3 BGH v. 11.5.2011 – VIII ZR 289/09. 4 BGH v. 8.6.2011 – VIII ZR 305/10. 5 EuGH v. 12.7.2011 – C-324/09.
233
Jan Schneider
Demgegenüber steht die Entscheidung des BGH aus Oktober 20116, in deren Zusammenhang der BGH – erfreulich klare – Regeln für Hostprovider und Betreiber von Internetseiten mit Blog- bzw. Forumsfunktion aufgestellt hat, unter welchen Voraussetzungen kritische Beiträge bzw. unwahre Behauptungen zu löschen sind und wie Beanstandungen durch Betroffene zu prüfen sind. So hat der BGH im Zusammenhang mit einem Internetblog ausgeführt, dass der Plattformbetreiber eine beanstandete Behauptungen grundsätzlich nur dann löschen muss, wenn die Beanstandung so konkret gefasst ist, dass der Rechtsverstoß auf Grundlage der Beanstandung ohne eingehende rechtliche und tatsächliche Überprüfung bejaht werden kann. Regelmäßig sei die Beanstandung an dem für den Blog Verantwortlichen weiterzuleiten. Antwortet dieser innerhalb einer angemessenen Frist nicht, sei der beanstandete Beitrag zu löschen. Ergeben sich dagegen aus der Antwort des Verantwortlichen berechtigte Zweifel, habe der Plattformbetreiber diese dem Betroffenen mitzuteilen und um weitere Nachweise zu ersuchen. Bleiben diese aus, sei eine weitere Prüfung nicht veranlasst. So begrüßenswert eine Steigerung der Rechtssicherheit für Hostprovider auch ist, führen die neuen Regeln des BGH in der Praxis auch zu einem gesteigerten Aufwand für Hostprovider, weil diese nach Maßgabe des BGH nunmehr eine vermittelnde Rolle zwischen den Streitenden einnehmen müssen. Nach wie vor unklar bleibt für die Diensteanbieter, welche vorbeugenden Maßnahmen sie treffen müssen, um Rechtsverstöße auf den von ihnen betriebenen bzw. gehosteten Plattformen, Diensten oder Webseiten von vornherein zu unterbinden oder zumindest zu erschweren. Hier wäre insbesondere seitens des EuGH die Definition grundsätzlicher Anforderungen und Grenzen wünschenswert gewesen. 3. Online-Bewertungen Immer öfter stehen im Fokus der Rechtsprechung nutzerseitige Bewertungen von Produkten und Leistungen auf öffentlich zugänglichen Bewertungsportalen oder anderen Onlineplattformen. Die zunehmende Anzahl von Streitigkeiten um derartige Meinungsäußerungen dokumentieren deren wachsende Bedeutung für das Konsumverhalten der Internetnutzer und damit gleichzeitig den zunehmenden Einfluss der Nutzer auf wirtschaftliche Belange. _________________
6 BGHv. 25.10.2011 – VI ZR 93/10.
234
Aktuelle Entwicklungen im IT-Recht
So tendiert das beispielsweise das OLG Düsseldorf7 dazu, in der Bewertung „Finger weg!“ ein der freien Meinungsäußerung unterliegendes und damit grundsätzlich zulässiges Werturteil zu sehen, mit welchem die Grenze zur Schmähkritik nicht überschritten wird. Das KG Berlin8 ist der Auffassung, dass ein Online-Bewertungsportal für die Äußerungen seiner Nutzer nicht auf Unterlassung nach § 4 Nr. 8 UWG in Anspruch genommen werden kann. Hintergrund des Rechtsstreits war die Bewertung eines Hotels, dessen Zimmer von einem Forumsteilnehmer unter anderem als „durch Bettwanzen“ befallen und „verseucht“ bezeichnet worden waren. Nach Auffassung des Gerichts sei das Bewertungsportal weder verpflichtet, Nachforschungen hinsichtlich der Richtigkeit eingesandter Hotelbewertungen vor deren Veröffentlichung anzustellen, noch vor Veröffentlichung den betroffenen Tourismusunternehmen Gelegenheit zur Stellungnahme hierzu zugeben. 4. Zulässigkeit von Thumbnails Hinsichtlich der Zulässigkeit von Vorschaubildern – engl. „Thumbnails“ – in Bildersuchmaschinen fand die höchstrichterliche Rechtsprechung des Jahres 20109 im Berichtszeitraum ihre konsequente Fortsetzung, als der BGH erneut bestätigte10, dass die Darstellung von Vorschaubildern innerhalb einer Suchmaschine nicht die Rechte des jeweiligen Urhebers verletzt, wenn die (Original-)Bilder zuvor mit dessen Zustimmung in das Internet gestellt wurden. Einem Fotografen bzw. Künstler, der eine Erfassung seiner Bildwerke durch Suchmaschinen unterbinden möchte, bleibt damit nur die Ergreifung präventiver technischer Schutzmaßnahmen gegen einen solchen automatisierten Zugriff. Unterlässt er diese, so der BGH bereits im Jahre 2010, liegt darin eine konkludente Einwilligung in die Erfassung seiner Werke durch die Suchmaschinen. Das gilt nach der aktuellen höchstrichterlichen Entscheidung sogar dann, wenn die Fotos auf Webseiten Dritter rechtswidrig vorgehalten – und dort von der Suchmaschine erfasst – werden. Entscheidend ist, dass der Urheber einem Dritten ursprünglich einmal die online-Nutzung des Fotos gestattet hatte. Google und andere Suchmaschinenbetreiber dürften angesichts dieser Entscheidung aufgeatmet haben. _________________
7 8 9 10
OLG Düsseldorf v. 28.2.2011 – I-15 W 14/11. KG Berlin v. 15.7.2011 – 5 U 193/10. BGH v. 29.4.2010 – I ZR 69/08. BGH v. 19.10.2011 – I ZR 140/10.
235
Jan Schneider
5. Hartplatzhelden Eine Niederlage erlitt im Oktober 2010 der Württembergische Fußballverband e.V., nachdem dieser versucht hatte, dem Betreiber des Internetportals „hartplatzhelden.de“ die Veröffentlichung von Fußball-Videos zu untersagen11. Unter der Domain können Besucher von Amateurfußballspielen die von ihnen aufgenommenen Videofilme öffentlich zugänglich machen. Während die Vorinstanz12 dem Verband noch recht gegeben hatte, ist der BGH der Auffassung, dass die Veröffentlichung der Filmausschnitte keine unlautere Nachahmung eines geschützten Leistungsergebnisses13 darstellt. Insofern sei der Verband hinsichtlich der Organisation und Durchführung der Fußballspiele nicht schutzbedürftig. Durch Ausübung ihres Hausrechts könnten die dem Verband angehörenden Vereine Filmaufnahmen untersagen und sich damit eine eigene, auch filmische Verwertung der Spiele sichern. „Heute ist ein Stück Freiheit für das Internet erkämpft worden, aber auch für Vereine und Spieler“, so seinerzeit der Hartplatzhelden-Betreiber Oliver Fritsch.
II. Von „Buttons“ und „Opt in’s“: Entwicklungen im Verbraucherschutzrecht 1. Änderung des Widerrufsrechts Zum 4.8.2011 trat – wieder einmal – eine gesetzliche Änderung des Widerrufsrechts in Kraft. Demgemäß waren zum 4.11.2011 die von den Online-Shops verwendeten Widerrufsbelehrungen anzupassen. Neu geregelt wurden in Umsetzung der EuGH-Rechtsprechung insbesondere die Vorschriften zum Wertersatz. Zu einer Vereinfachung des gesetzlich vorgegebenen Musters der Widerrufsbelehrung hat die neue Regelung – man muss nicht überrascht sein – indes nicht geführt. Dabei wäre eine solche Vereinfachung nicht zuletzt im Hinblick auf die zunehmende Nutzung von Online-Shops über mobile Endgeräte und die damit einhergehenden Herausforderungen bei der Umsetzung der ausufernden gesetzlichen Informationspflichten erheblich zu wünschen gewesen. Mit der Änderung des Widerrufsrechts hat auch eine Entscheidung des OLG Brandenburg14 aus Februar 2011 „Gesetzesrang“ erhalten, wonach eine in AGB enthaltene Pflicht des Verbrauchers zur Tragung der Rück_________________
11 12 13 14
BGH v. 28.10.2010 – I ZR 60/09 – Hartplatzhelden. OLG Stuttgart v. 19.3.2009 – 2 U 47/08. I. S. d. § 4 Nr. 9 lit b) UWG. OLG Brandenburg v. 22.2.2011 – Az. 6 U 80/10.
236
Aktuelle Entwicklungen im IT-Recht
sendekosten bei Ausübung des Widerrufsrechts unwirksam ist, wenn die zu tragenden Kosten nicht ausdrücklich auf die „regelmäßigen Kosten“ der Rücksendung beschränkt werden. 2. Button-Lösung Am 24.8.2011 wurde nach langer Diskussion die „Button-Lösung“ verabschiedet, mit der die Bundesregierung den Verbrauchern mehr Schutz vor Internet-Abofallen bieten möchte. Der im Oktober 2010 vorgelegte Gesetzesentwurf war zuvor Gegenstand heftiger Kritik gewesen, u. A. von Seiten des Deutschen Anwaltsvereins, der die „Button-Lösung“ als ungeeignete und überflüssige Maßnahme bezeichnete, die am Ende nur die seriösen Internetanbieter treffe. Die schließlich mit einigen Änderungen verabschiedete Fassung verpflichtet Online-Anbieter, die Verbraucher bei Einkäufen im Internet unmittelbar vor Abgabe der Bestellung auf die hierdurch entstehenden Kosten und weitere wesentliche Vertragsinformationen hinzuweisen. Soweit die Bestellerklärung durch Aktivierung einer Schaltfläche („Button“) erfolgt, muss diese gut lesbar mit den Worten „Zahlungspflichtig bestellen“ oder einer entsprechend eindeutigen Information beschriftet werden. Damit setzt die Button-Lösung auf einer bei seriösen Online-Shops mittlerweile ohnehin weit verbreiteten Gestaltung des Bestellvorgangs auf, nach welcher der Verbraucher die Bestellung durch Betätigung eines entsprechend beschrifteten Buttons erst dann abschließen kann, nachdem ihm eine Übersicht über die ausgesuchten Artikel und die Kosten angezeigt wurde. Ohne eine ausdrückliche Bestätigung der Zahlungspflicht durch den Verbraucher kommt der Vertrag laut der „Button-Lösung“ nicht zustande. Die Informationen müssen gut verständlich und einfach erkennbar sowie unmittelbar vor Abgabe der Bestellung, d. h. in direktem zeitlichem Zusammenhang mit der Abgabe der Bestellerklärung des Verbrauchers erteilt werden. Nicht ausreichend ist eine Information zu Beginn oder im Verlauf des Bestellprozesses. Die Gestaltung der betreffenden Webseite darf auch nicht zu einer Trennung in der Wahrnehmung von Information und Button führen. Im Ergebnis müssen Information und Button damit auf handelsüblichen Bildschirmen bei üblicher Bildschirmauflösung gleichzeitig zu sehen und gut lesbar sein. Gut ist grundsätzlich, dass die Anforderungen der Button-Lösung deutlich auf weit verbreitete Praktiken der „Internet-Abzocker“ zielen, die sich durch eine mehr oder minder kreative Gestaltung ihrer Webseiten 237
Jan Schneider
um eine Verschleierung einer unauffällig platzierten Zahlungsklausel bemühen. Für den zunehmend bedeutsamen Mobile Commerce könnte die Umsetzung der „Button-Lösung“ angesichts der eingeschränkten Darstellungsmöglichkeiten mobiler Endgeräte allerdings eine gewisse Herausforderung darstellen. 3. Double-opt-in Im Februar 2011 hatte der BGH sich mit den Anforderungen an die Dokumentationspflichten sowie der Darlegungs- und Beweislast bei dem sog. Double-opt-in-Verfahren zu befassen15. Im Ergebnis werden den (Telefon-)Werbenden bei der Einholung der Einwilligungserklärungen weitgehende Prüfungspflichten und Dokumentationspflichten auferlegt. Etwaigen Beweiserleichterungen hat der BGH eine Absage erteilt. Damit müssen Werbende das Einverständnis der Adressaten und dessen Reichweite vollumfänglich nachweisen. Angesichts der zunehmend durch die Rechtsprechung aufgestellten Anforderungen fragt es sich allerdings, ob Telefonwerbung und die hierfür erforderliche Einwilligung der Adressaten derzeit überhaupt noch rechtssicher gestaltet und durchgeführt werden kann. 4. Telekommunikation Neues gab es auch zu der Gestaltung von Allgemeinen Geschäftsbedingungen im Telekommunikationsbereich: Im Februar 2011 hatte der BGH über die Wirksamkeit mehrerer Klauseln in den AGB eines TKUnternehmens zu entscheiden16. Während der BGH die Klauseln „Der Kunde hat auch die Preise zu zahlen, die durch unbefugte Nutzung der überlassenen Leistungen durch Dritte entstanden sind, wenn und soweit in diese Nutzung zu vertreten hat.“
und „Nach Verlust der Karte hat der Kunde nur die Verbindungspreise zu zahlen, die bis zum Eingang der Meldung über den Verlust der Karte bei … angefallen sind. Das gleiche gilt für Preise über Dienste, zu denen … den Zugang vermittelt.“
als zulässig erachtet, wurde die Klausel _________________
15 BGH v. 10.2.2011 – I ZR 164/09 – Double-opt-in-Verfahren. 16 BGH v. 17.2.2011 – III ZR 35/10.
238
Aktuelle Entwicklungen im IT-Recht „Ist der Kunde mit Zahlungsverpflichtungen in Höhe von mindestens 15,50 Euro in Verzug, kann … den Mobilfunkanschluss auf Kosten des Kunden sperren.“
für unwirksam befunden. Des Weiteren entschied der BGH, dass der Inhaber eines DSL-Anschlusses vor Ablauf der vereinbarten Mindestvertragslaufzeit auch dann kein Recht zur Vertragskündigung hat, wenn er an einen Ort umzieht, an dem die Nutzung der DSL-Technik nicht möglich ist17. Da die zweijährige Vertragsbindung die wirtschaftliche Gegenleistung des Kunden für einen niedrigen Grundpreis darstelle, trage dieser grundsätzlich das Risiko, die vertraglichen Leistungen aufgrund einer Veränderung seiner persönlichen Lebensverhältnisse nicht mehr nutzen zu können. 5. Internationaler Gerichtsstand bei grenzüberschreitendem Onlineverkauf Heiß ersehnt wurde die im Dezember 2010 ergangene Grundsatzentscheidung des EuGH18 zu der Frage nach dem internationalen Gerichtsstand bei einem grenzüberschreitenden Onlineverkauf. In den der Entscheidung zugrunde liegenden Verfahren ging es um die Auslegung des Art. 15 Abs. 1 lit. c EuGVVO, nach welchem sich bei Verbraucherverträgen die internationale gerichtliche Zuständigkeit nach dem Verbraucherwohnsitz richtet, wenn der Unternehmer seine berufliche Tätigkeit im Verbraucherstatt „ausübt“ oder „auf diesen ausrichtet“. Nach dem EuGH kommt es maßgeblich darauf an, ob bereits vor Vertragsschluss aus dem Webauftritt des Unternehmers hervorgeht, dass dieser seine Leistungen auch gegenüber den ausländischen Verbrauchern erbringen („ausrichten“) möchte. Diesbezüglich hat der EuGH einen ausführlichen Indizienkatalog definiert. Bei Vorliegen der Indizien kann der Verbraucher hinsichtlich der Vertragserfüllung in seinem Heimatstaat klagen, und nur dort verklagt werden. Die Entscheidung des EuGH hat Bedeutung für den europaweiten Online-Versandhandel und für Webseiten, auf denen Leistungen angeboten werden, die am „ausländischen Ort“ erfüllt werden.
_________________
17 BGH v. 11.11.2010 – III ZR 57/10. 18 EuGH v. 7.12.2010 – Rs. C-585/08, Rs. C-144/09 – Pammer ./. Reederei Schlüter u. Hotel Alpenhof ./. Heller.
239
Jan Schneider
III. Facebook, Facebook und … Facebook: Entwicklungen im Datenschutzrecht Die mittlerweile erheblich populären Social Networks19 sind im Berichtszeitraum zunehmend unter Gesichtspunkten des Datenschutzes in die Kritik geraten. Insbesondere das weltgrößte Online-Netzwerk Facebook musste sich, unter erheblicher Aufmerksamkeit von Presse und Öffentlichkeit, auf Veranlassung der zuständigen Datenschutzbehörden immer wieder mit datenschutzrechtlichen Fragen auseinandersetzen. 1. Facebook zum Ersten: Das „Friend-Finder-Verfahren“ Im Januar 2011 setzte der hamburgische Datenschutzbeauftragte Johannes Casper mittels der Einleitung eines Bußgeldverfahrens die Anpassung von Facebook’s „Friend-Finder-Verfahren“ durch20. Mittels dieses Feature erhält Facebook Zugriff auf das E-Mail-Adressbuch der Nutzer und versendet sodann eine Facebook-Einladung an sämtliche Kontakte des Adressbuchs. Dabei wurden Einladungen auch an Dritte verschickt, die gar nicht bei Facebook registriert waren und demgemäß von derartigen Einladungen häufig überrascht wurden. Nach dem von Facebook angepassten Verfahren können die Nutzer nun selbst entscheiden, welchen ihrer Kontakte sie zu Facebook einladen möchten. Zudem erhalten die Eingeladenen einen Hinweis, woher Facebook die Adresse hat, und können veranlassen, keine weiteren Nachrichten von Facebook zu erhalten. Ob diese Gestaltung sämtliche datenschutzrechtlichen Bedenken zerstreut, darf herzlich bezweifelt werden. Der hamburgische Datenschutzbeauftragte konstatierte seinerzeit selbst, dass weitergehende Zugeständnisse von Facebook auf dem Verhandlungswege nicht zu erreichen waren. 2. Facebook zum Zweiten: Der „Gefällt mir-Button“ Im Jahre 2011 wurde es für die Verwender des bekannten „Gefällt mir“Buttons (engl. „Like“-Button) von Facebook zunehmend ernst: Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) drohte den im Bundesland ansässigen Unternehmen ein Bußgeld an für den Fall, dass die betreffenden Unternehmen den „Gefällt mir“-Button _________________
19 Zu Rechtsfragen Jochen Schneider, Aktuelle Serie Rechtsfragen von Social Networks, ab ITRB 1/2011, S. 10 ff. 20 http://www.abendblatt.de/wirtschaft/article1766454/Facebook-muss-FriendFinder-nachbessern.html.
240
Aktuelle Entwicklungen im IT-Recht
nicht ihren Internetseiten entfernen. Dieser Vorstoß des ULD ist allerdings nicht ohne Kritik geblieben21. Die Drohung stellt einen weiteren Schritt in dem zähen Ringen zwischen Facebook und den Datenschutzbehörden dar. Vorliegend war insbesondere der Umstand maßgeblich, dass der Facebook-Programmcode automatisiert personenbezogene Information der Webseitennutzer sammelt und diese u. A. an Facebook-Server in die USA übermittelt. Es spricht Einiges dafür, dass hierfür im deutschen Recht eine Ermächtigungsgrundlage nicht auffindbar ist. Eine rechtmäßige Auftragsdatenverarbeitung nach § 11 BDSG zwischen Facebook und dem Webseitenbetreiber kommt im Ergebnis wohl eher nicht in Betracht. Ob in Zukunft tatsächlich Unternehmen für die Nutzung des „Gefällt mir“-Buttons zur Rechenschaft gezogen werden, darf mit Spannung verfolgt werden. Bis sich hier eine von den Datenschutzbehörden abgesegnete Lösung abzeichnet, setzt eine datenschutzkonforme Nutzung des „Gefällt mir“-Buttons im Zweifel die vorherige, ausführliche Information der betroffenen Nutzer und die Einholung deren Einwilligungen in die Datenerhebung- und Übermittlung voraus. Derweil hat sich das KG Berlin der Auffassung zugetan, dass die Verwendung des „Gefällt mir“Buttons durch die Webseitenbetreiber zumindest keinen Wettbewerbsverstoß nach § 8 Abs. 1 u. 3 Nr. 1 i. V. m. §§ 3, 4 Nr. 11 UWG darstellt22. 3. Facebook zum Dritten: Die automatische Gesichtserkennung Auch die im Sommer 2011 von Facebook eingeführte automatische Gesichtserkennung stand im Berichtszeitraum auf dem Datenschutzprüfstand. Die Funktion ermöglicht eine automatische Erkennung von „Facebook-Freunden“, die auf den von Nutzern hochgeladenen Fotos abgebildet sind. Hierfür wählt Facebook zu den Gesichtern biometrische Merkmale aus und speichert sie – wodurch eine Datenbank mit den biometrischen Merkmalen unzähliger Personen entsteht. Jedes neu in das Netzwerk hochgeladene Foto wird mit der biometrischen Datenbank abgeglichen. Findet die Funktion Übereinstimmungen, erfolgt ein Vorschlag für die namentliche Markierung der erkannten Person. Die automatische Gesichtserkennung ist zunächst bei jedem Nutzer voreingestellt. Mittels eines – umständlich erreichbaren – Opt-out werden lediglich die Markierungsvorschläge unterdrückt, während die biometri_________________
21 Härting, Öffentlichkeitsarbeit einer Landesbehörde, CR 2011 S. 585 ff. 22 KG Berlin v. 29.4.2011 – 5 W 88/11.
241
Jan Schneider
schen Daten offenbar gespeichert bleiben. Eine Löschung dieser Daten kann der Nutzer – wenn überhaupt – nur über eine umständliche Direktansprache von Facebook erreichen. Die Datenschutzbeauftragten in Kiel und Hamburg haben die Gesichtserkennungsfunktion von Facebook zu recht als Verstoß gegen europäisches und deutsches Datenschutzrecht bezeichnet und Facebook u. A. aufgefordert, die über die Gesichtserkennung gespeicherten biometrischen Daten zu löschen, oder aber die Funktion an europäisches und nationales Datenschutzrecht anzupassen. Im Oktober 2011 setzte der Hamburger Datenschutzbeauftragte Johannes Caspar Facebook für die Erfüllung der datenschutzrechtlichen Vorgaben eine Frist bis zum 7. November. Die weitere Entwicklung bleibt abzuwarten. 4. Und dann war da noch … Google Analytics Entwarnung gab es dagegen im Jahre 2011 für Google’s WebseitenAnalysetool „Google Analytics“: Nach fast dreijähriger Auseinandersetzung über die datenschutzrechtlichen Bedenken des Einsatzes des Tools einigten sich Google und der Hamburger Datenschutzbeauftragte Johannes Casper im September 2011 auf eine datenschutzkonforme Einsatzmöglichkeit. Hierfür müssen die das Tool einsetzenden Unternehmen den Besuchern ihrer Webseiten insbesondere eine Möglichkeit zum Widerspruch gegen die Erfassung der Nutzungsdaten einräumen. Google stellt zu diesem Zweck ein Add-On für die gängigen InternetBrowser zur Verfügung23. Des Weiteren müssen die Unternehmen mittels der Aktivierung einer Funktion dafür Sorge tragen, dass die IPAdresse der Nutzer nur in teilweise anonymisierter Form gespeichert und an Google übermittelt wird. Die damit nunmehr „amtliche“ Datenschutzkonformität von Google Analytics bringt eine erfreuliche Rechtssicherheit für den in der Praxis weitverbreiteten Einsatz des Analysetools. 5. Von Wolken und anderen Datennebeln Das Jahr 2011 stand nicht zuletzt auch im Zeichen des „Cloud Computing“. Während sich nach Auffassung vieler IT-Fachleute der Siegeszug der abstrahierten, hoch skalierbaren, verwalteten und bedarfsgerecht nutzbaren IT-Infrastrukturen kaum noch aufhalten lässt, taten sich viele Datenschützer im Jahre 2011 mit der „Wolke“ noch herzlich _________________
23 Siehe http://tools.google.com/dlpage/gaoptout?hl=de.
242
Aktuelle Entwicklungen im IT-Recht
schwer. Denn eines der typischen Merkmale des Cloud Computing ist die dynamisch wechselnde Vorhaltung der Daten und Informationen – darunter häufig auch personenbezogene Daten – der Kunden auf Serverfarmen, deren Standorte den Kunden häufig gar nicht bekannt sind und die sich oftmals außerhalb der EU befinden. Nicht zuletzt damit stellen sich für die Übermittlung von personenbezogenen Daten in die „Cloud“ einige rechtliche Herausforderungen. Erfreulicherweise ist die datenschutzrechtliche Diskussion im Jahre 2011 zunehmend konstruktiver geworden. So besteht mittlerweile wohl weitgehend Einigkeit darüber, dass eine Datenübermittlung in die Wolke unter gewissen Voraussetzungen durchaus als rechtmäßige Auftragsdatenverarbeitung im Sinne des § 11 BDSG gestaltet werden kann. Am ehesten erscheint dies als möglich, soweit sich die Server des Cloud Providers innerhalb der EU befinden. Immer mehr Provider bieten derartige „European Clouds“ an. Aber auch hinsichtlich der Datenübermittlung „nach Übersee“ wurden zunehmend interessante Lösungsansätze diskutiert. Bereits im April 2010 hat der Düsseldorfer Kreis Anforderungen definiert, unter welchen eine Datenübertragung in die USA bei Einhaltung der Grundsätze des „Safe Harbor“ aus Sicht der obersten Datenschutzbehörden zulässig erfolgen kann. Eine Alternative für die Herstellung eines angemessenen Datenschutzniveaus stellen die EU-Standardvertragsklauseln sowie die Vereinbarung sogenannter Binding Corporate Rules dar. Derzeit ist noch offen, welcher dieser Lösungsansätze sich für das Cloud Computing langfristig durchsetzen wird. Während sich Google und andere Cloud Service Provider Apps zu den Grundsätzen des „Safe Harbor“ bekannten, setzt Microsoft für Office 365 seit Dezember 2011 auf die EU-Standardvertragsklauseln24. Gemäß § 11 Abs. 2. S. 4 BDSG muss der Auftraggeber die von dem (Cloud-)Anbieter getroffenen technischen und organisatorischen Maßnahmen zur Datensicherheit zu Beginn der Datenverarbeitung und hiernach regelmäßig überprüfen. Diesbezüglich dürften sich Lösungen durchsetzen, wonach eine – in der Wolke zumeist kaum durchführbare – Überprüfung vor Ort durch geeignete und regelmäßige Prüfungen bzw. Zertifizierungen des Cloud Providers ersetzt werden. Im Gespräch sind u. A. Zertifizierungen nach ISO 27001, SSAE 16, ISAE 3402 und SAS 70 Type II, aber auch Auditierungen durch Datenschutzauditoren. _________________
24 http://www.microsoft.com/germany/presseservice/news/pressemitteilung.ms px?id=533455.
243
Jan Schneider
Für die Zukunft ist es herzlich zu wünschen, dass rechtliche Berater, Datenschutzbeauftragte und nicht zuletzt der Gesetzgeber gemeinsam sachdienliche Lösungen für einen angemessenen Cloud-Datenschutz erarbeiten, damit die Unternehmen auch hierzulande endlich ohne rechtliche Bedenken von dem Potential der Cloud profitieren können. 6. Diskussionsentwurf zur Vorratsdatenspeicherung Nachdem das Bundesverfassungsgericht die deutschen Vorschriften zur Vorratsdatenspeicherung im März 2010 für verfassungswidrig und nichtig erklärt25, gleichzeitig jedoch klargestellt hatte, dass eine Vorratsdatenspeicherung nicht generell gegen das Grundgesetz verstoße, war im Jahre 2011 eine Neuregelung der Vorschriften Gegenstand einer mitunter hitzig geführten politischen Diskussion. Nach Auffassung der EU-Kommission ist Deutschland gleichwohl weiterhin zur Umsetzung der umstrittenen Richtlinie zur Vorratsdatenspeicherung verpflichtet26. Justizministerin Sabine Leutheusser-Schnarrenberger (FDP) hielt dem entgegen, dass sich die EU-Richtlinie noch in der Überarbeitung befindet und ihre (vollständige) Umsetzung daher den Bürgern nicht vermittelbar sei. Im Mai 2012 ist die EU-Kommission wie angedroht gegen Deutschland vor den Europäischen Gerichtshof gezogen.
IV. Und dann war da noch … in Kürze 1. … Der BGH zu der Kündigung von Internet-Systemverträgen … Im Januar 2011 äußerte sich der BGH zu der Kündigung eines Werkvertrags mit dreijähriger Mindestvertragsvertragslaufzeit27. Die Beklagte hatte mit einer Web-Agentur einen „Internet-Systemvertrag“ über die Bereitstellung, Gestaltung und Betreuung einer Internetpräsenz geschlossen. Nachdem die Beklagte den Vertrag vor Ablauf der Mindestvertragslaufzeit von 36 Monaten gekündigt hatte, machte die Agentur die Vergütung für die ersten beiden Vertragsjahre geltend. Nach Auffassung des BGH durfte die Beklagte den Werkvertrag trotz der vereinbarten Mindestvertragslaufzeit und trotz Beschränkung der vorzeitigen Kündigung auf ein außerordentliches Kündigungsrecht jederzeit nach § 649 S. 1 BGB kündigen. Die Bemessung der nach § 649 S. 2 _________________
25 BVerfG v. 2.3.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08. 26 http://www.focus.de/politik/deutschland/innere-sicherheit-eu-erinnert-anpflicht-zur-vorratsdatenspeicherung_aid_698156.html. 27 BGH v. 27.1.2011 – VII ZR 133/10.
244
Aktuelle Entwicklungen im IT-Recht
BGB zu zahlenden Vergütung orientiert sich dann nicht an den vereinbarten Zahlungsmodalitäten, sondern an dem Betrag, der dem auf die erbrachten Leistungen entfallenden Teil der vereinbarten Vergütung entspricht. Vorliegend war das relevant, weil die Agentur den ganz überwiegenden Teil der von ihr geschuldeten Leistungen am Beginn der Vertragslaufzeit erbracht hatte. Die Entscheidung des BGH dürfte übertragbar sein auf weitere Werkvertrags-Konstellationen des IT- und Internetrechts, beispielsweise auf Softwarepflegeverträge, soweit diese werkvertragliche Leistungsanteile enthalten. 2. … der EuGH zu dem urheberechtlichen Schutz von Benutzeroberflächen … Nach Auffassung des EuGH stellt eine grafische Benutzeroberfläche keine Ausdrucksform eines Computerprogramms im Sinne von Art. 1 Abs. 2 der Richtlinie 91/250/EWG dar. Benutzeroberflächen genießen damit keinen urheberrechtlichen Schutz für Computerprogramme. In Betracht komme aber ein Schutz nach allgemeinem Urheberrecht, wenn die hierfür erforderliche Schöpfungshöhe (EuGH: Kriterium der „Originalität“) vorliegt. Dies sei nicht der Fall, wenn die Gestaltung der Benutzeroberfläche durch die technische Funktion bereits vorgegeben ist. 3. … und der Gesetzgeber zu De-Mail-Diensten … Am 3. Mai 2011 trat das umstrittene Gesetz zur Regelung von De-MailDiensten in Kraft. Das Gesetz zielt auf das Angebot sicherer (und kostenpflichtiger) E-Mail-Dienste, die insbesondere eine rechtsverbindliche Kommunikation zwischen Behörden und Unternehmen ermöglichen sollen. Unternehmen, die einen De-Mail-Dienst anbieten möchten, können sich bei dem Bundesamt für Sicherheit in der Informationstechnik (BSI) akkreditieren lassen. Experten, so u. A. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar, bemängeln insbesondere die fehlende Ende-zu-Ende-Verschlüsselung28.
_________________
28 http://www.datenschutzbeauftragter-info.de/de-mail-gesetz-in-kraft-schaarfordert-bessere-verschluesselung.
245
.
Der Laienjournalismus im Internet als Teil der Medienöffentlichkeit im Strafverfahren Neue Herausforderungen durch die Entwicklung des Web 2.0
Johanna Kujath* I. Einführung II. Allgemeiner Teil 1. Der Grundsatz der Öffentlichkeit 2. Die Charakteristika des neuen Laienjournalismus 3. Verfassungsrechtlicher Hintergrund der Medienöffentlichkeit III. Besonderer Teil 1. Das Informationsinteresse an der strafrechtlichen Verhandlung als
2. 3.
4. 5.
wesentliche Voraussetzung der Auslegung der die Medienöffentlichkeit regelnden Normen Das Recht auf Zugang zu öffentlichen Gerichtsverhandlungen Die Ausgestaltung des Öffentlichkeitsprinzips durch § 169 GVG Die sitzungspolizeiliche Anordnung nach § 176 GVG Das Hausrecht des Gerichtspräsidenten
I. Einführung1 Die Arbeit „Der Laienjournalismus im Internet als Teil der Medienöffentlichkeit im Strafverfahren – Neue Herausforderungen durch die Entwicklung des Web 2.0“ untersucht die Medienöffentlichkeit im Strafverfahren aus dem völlig neuen Blickwinkel der im Internet publizierenden Laienjournalisten2. Diese sind aufgrund der technischen Ent_________________
* Der DSRI-Wissenschaftspreis 2011 wurde an Johanna Kujath für ihre Dissertation zum Thema „Der Laienjournalismus im Internet als Teil der Medienöffentlichkeit im Strafverfahren – Neue Herausforderungen durch die Entwicklung des Web 2.0“ vergeben. Diese wurde von der Juristischen Fakultät der Humboldt-Universität zu Berlin im Wintersemester 2009/2010 angenommen und von Professor Dr. Bernd Heinrich betreut. Sie erschien im Verlag Duncker und Humblot in der Reihe Strafrechtliche Abhandlungen – Neue Folge, Band 223, 2011. 1 Dieser Abdruck der Zusammenfassung der Fragestellungen der Arbeit und eines Ausschnitts der Ergebnisse in verallgemeinerter Form erfolgt mit freundlicher Genehmigung des Verlages. 2 Aus Gründen der besseren Lesbarkeit wird in diesem Text die männliche Form als geschlechtsübergreifende Bezeichnung für Journalistinnen und Journalisten, Zuschauerinnen und Zuschauer, Richterin und Richter, Gerichtspräsidentin und Gerichtspräsident, etc. verwendet.
247
Johanna Kujath
wicklung der letzten Jahre in der Lage, Beiträge mit großer Breitenwirkung zu publizieren. Damit sind sie ein vom Meinungsmarkt nicht mehr wegzudenkender Faktor. Ausgehend von der Behandlung des professionellen Journalismus als Medienöffentlichkeit untersucht die Arbeit im Hinblick auf den neuen Laienjournalismus Fragestellungen wie seine grundrechtliche Schutzfähigkeit, sein Recht auf Zugang zu strafrechtlichen Verhandlungen, die Behandlung der ihm spezifischen Technik, die Anwendung der PoolLösung, die Gleichbehandlung im Rahmen des sitzungspolizeilichen Ermessens und die Anwendung des § 169 Satz 2 GVG, wonach Tonund Bewegtbildaufnahmen während der Verhandlung untersagt sind. Sie kommt zu dem Ergebnis, dass dem neuen Laienjournalismus ein dem grundrechtlichen Schutz professioneller Journalisten ebenbürtiger Schutz durch die Pressefreiheit zuteil werden muss. Weiterhin spricht sich die Autorin dafür aus, in verfassungskonformer Auslegung des § 169 Satz 2 GVG Ausnahmen von dem pauschalen Verbot von Ton- und Bewegtbildaufnahmen während der Verhandlung zuzulassen.
II. Allgemeiner Teil 1. Der Grundsatz der Öffentlichkeit Der Allgemeine Teil der Arbeit befasst sich zunächst mit der Prozessmaxime der Öffentlichkeit. Hier werden neben einem historischen Überblick der Inhalt, die verschiedenen Arten von Öffentlichkeit sowie die Funktionen des Öffentlichkeitsprinzips erläutert. Zudem wird zwischen „unmittelbarer“ und „mittelbarer“ Öffentlichkeit unterschieden und auf die Bedeutung dieser verschiedenen Arten der Öffentlichkeit eingegangen3. Während die unmittelbare Öffentlichkeit die persönlich an der Gerichtsverhandlung teilnehmenden Zuschauer bezeichnet, wird unter dem Begriff der mittelbaren Öffentlichkeit eine Übertragung der Verhandlung durch die Medien in Form von Schrift, Bild oder Film verstanden. In diesem Zusammenhang ergeben sich Abgrenzungsprobleme, so z. B. im Hinblick auf die Übertragung von Filmausschnitten des Verfahrens. Anschließend wird auf die Wahrnehmung der Funktionen der Öffentlichkeit durch die mittelbare Öffentlichkeit sowie auf die durch diese entstehenden Gefahren und deren tatsächliche Auswirkungen eingegangen. Die Verfasserin kommt zu dem Ergebnis, dass besondere Gefahren sowohl für die Persönlichkeitsrechte der Verfahrensbeteiligten, _________________
3 Vgl. S. 41 ff. der Arbeit.
248
Laienjournalismus im Internet als Teil d. Medienöffentlichkeit im Strafverf.
als auch für die Funktionsfähigkeit der Rechtspflege entstehen können. Abschließend werden in diesem Kapitel die Grenzen der Öffentlichkeit und der Entscheidung über die Öffentlichkeit als Revisionsgrund behandelt. 2. Die Charakteristika des neuen Laienjournalismus Thema des folgenden Kapitels sind die Charakteristika des „neuen“ Laienjournalismus – angefangen mit der Entstehungsgeschichte und den Besonderheiten des Web 2.0. Dieses bezeichnet die Teile des Internets, in denen Laien unter Zuhilfenahme von Weblogs – kurz Blogs – und Wikis Inhalte bereitstellen. Jede über einen Computer und einen Internetanschluss verfügende Person ist damit in der Lage, Inhalte frei von Kapazitätsgrenzen mit theoretisch großer Reichweite und räumlich sowie zeitlich ungebunden zu veröffentlichen.4 Dies veranlasste Medienexperten dazu, eine „Demokratisierung der Medienwelt“ und die Entstehung egalitärer Kommunikation zu prognostizieren.5 Kritiker heben dagegen hervor, dass faktisch nur die wenigen sehr populären Blogs eine
_________________
4 Vgl. Brady, Blogging, personal participation in public knowledge building on the web, Chimera Working Paper 2005-02, Colchester: University of Essex, S. 6, abrufbar unter: http://recepzihni.org/..2010=fall=MANAGEMENT.INFOR MATION.SYSTEMS/Knowledge.Society/15949059-CWP-2005-02-Blogging-inthe-Knowledge-Society-MB.pdf, zuletzt abgerufen: 27.7.2011; Grunwald/ Banse/Coenen/Hennen, Internet und Demokratie, Endbericht zum TA-Projekt Analyse netzbasierter Kommunikation unter kulturellen Aspekten, Arbeitsbericht: 100 des Büros für Technikfolgen-Abschätzung beim Deutschen Bundestag, 2005, S. 166 f.; Schmidt, Weblogs – Eine kommunikations-soziologische Studie, Konstanz 2006, S. 128. 5 Vgl. Bullinger, ZUM 2007, 337 (342); Dahinden, in: Jarren/Imhof/Blum, Zerfall der Öffentlichkeit?, Wiesbaden 2000, S. 240 (240); Grossman, Time’s Person of the Year: You, Time Magazine vom 25.12.2006, abrufbar unter: http:// www.time.com/time/magazine/article/0,9171,1569514,00.html, zuletzt abgerufen: 27.7.2011; Herring/Scheidt/Bonus/Wright, Bridging the Gap: A genre analysis of Weblogs, S. 1, abrufbar unter: http://www.csus.edu/indiv/s/ stonerm/genreanalysisofweblogs.pdf, zuletzt abgerufen: 15.12.2011; Meckel, epd medien 2007, Nr. 3, 23 (25); Trute, VVDStRL 57, (1998), 216 (245); Wendland, Nieman Reports, 2003, Vol. 57, 94 (95); Weischenberg, Was soll nun aus dem Journalismus werden?, Eröffnungsrede zum 11. Mainzer Mediendisput, 09. November 2006, S. 81, abrufbar unter: www.mediendisput.de/downloads/ Rede%20S.%20Weischenberg.doc, zuletzt abgerufen: 27.7.2011.
249
Johanna Kujath
große Breitenwirkung erzielten und die Chance egalitärer Kommunikation deshalb nur in der Theorie bestünde.6 Ungeachtet dieser Kritik hat das Web 2.0 eine neue Art des Laienjournalismus hervorgebracht. Dieser wird in der vorliegenden Arbeit zunächst vom professionellen Journalismus abgegrenzt. Anschließend werden die Qualität, die Charakteristika und Funktionen des neuen Laienjournalismus sowie dessen Zusammenspiel mit dem professionellen Journalismus untersucht. Obwohl der neue Laienjournalismus sich nicht nur im Hinblick auf die Qualitätskontrolle stark vom professionellen Journalismus unterscheidet, ist er diesem gegenüber nicht als qualitativ minderwertig einzustufen. Vielmehr haben sich im Web 2.0 andere Mechanismen der Qualitätskontrolle entwickelt. Neben zahlreichen weiteren Charakteristika7 übernimmt der neue Laienjournalismus eine Filterfunktion im Rahmen der steigenden Informationsflut des Internets. Zudem ergänzt er den am Qualitätsmerkmal der Objektivität orientierten professionellen Journalismus durch eine subjektive und authentische Perspektive und bildet ein Forum für die sogenannte Gegenöffentlichkeit. Es wird sowohl darauf eingegangen, welche Funktionen der neue Laienjournalismus im Hinblick auf die Gerichtsöffentlichkeit zu übernehmen geeignet ist, als auch darauf, welche spezifischen Gefahren durch die laienjournalistische Berichterstattung entstehen können. Neben einer Vielzahl weiterer Funktionen8 ist der neue Laienjournalismus vor allem geeignet, eine Kontrolle der professionellen Gerichtsberichterstattung zu übernehmen und damit auch zu deren Qualitätssteigerung beizutragen. Darüber hinaus übernimmt er die Funktion der Information der Bevölkerung über Verfahren von geringerem öffentlichen Interesse, die nur für bestimmte Teile der Allgemeinheit von Bedeutung sind. Allerdings birgt diese neue Art des Journalismus auch eine Vielzahl spezifischer Gefahren9 – nicht nur aufgrund der mangelnden juristischen Kenntnis der Laien, die sowohl zu einer Verletzung der Rechte _________________
6 Hasse/Wehner, in: Becker/Paetau, Virtualisierung des Sozialen – Die Informationsgesellschaft zwischen Fragmentierung und Visualisierung, Frankfurt am Main 1997, S. 53 (61, 76); Neuberger/Nuernbergk/Rischke, MP 2007, 96 (108); Schmidt, Weblogs, – Eine kommunikations-soziologische Studie, Konstanz 2006, S. 137. 7 Vgl. S. 72 ff. der Arbeit. 8 Vgl. S. 83 ff. der Arbeit. 9 Vgl. S. 88 ff. der Arbeit.
250
Laienjournalismus im Internet als Teil d. Medienöffentlichkeit im Strafverf.
der Verfahrensbeteiligten als auch zu einer Fehlinformation der Bevölkerung führen kann. 3. Verfassungsrechtlicher Hintergrund der Medienöffentlichkeit Dieses Kapitel befasst sich mit dem verfassungsrechtlichen Hintergrund der Medienöffentlichkeit. Hier werden zunächst die sich aus Art. 5 Abs. 1 GG ergebenden Kommunikationsgrundrechte, also die Meinungs-, Informations-, Presse- und Rundfunkfreiheit, voneinander abgegrenzt und ihr Schutzbereich erörtert. Im Anschluss daran untersucht die Verfasserin, welchen grundrechtlichen Schutz die im Internet publizierenden Laienjournalisten im Rahmen dieses Systems genießen. Es stellt sich hier die Frage, ob diese – wie andere Privatpersonen auch – ausschließlich durch die Meinungs- und Informationsfreiheit geschützt sind oder ob darüber hinaus – wie bei professionellen Medienvertretern – ein Schutz durch die Rundfunk- bzw. Pressefreiheit in Betracht kommt. Die Verfasserin zieht eine Parallele zu den „alten“ Formen des Laienjournalismus, wie z. B. Schüler- und Vereinszeitungen.10 Anschließend untersucht sie, ob die für diese geltenden Maßstäbe vor dem Hintergrund des Vorliegens einer journalistischen Tätigkeit, der Erfüllung einer öffentlichen Aufgabe im Sinne der Pressefreiheit und trotz der ihnen anhaftenden Besonderheiten, so z. B. des Fehlens der zur Verbreitung bestimmten Druckerzeugnisse, auf die neuen Laienjournalisten übertragbar sind.11 Sie kommt zu dem Ergebnis, dass die neuen Laienjournalisten ebenso wie professionelle Journalisten durch die Pressefreiheit geschützt sind, wobei die spezifischen Gefahren besondere Einschränkungen dieses Grundrechts rechtfertigen können. Einen Schutz der im Internet publizierenden Laienjournalisten durch die Rundfunkfreiheit lehnt die Verfasserin jedoch ab.12 Angesichts der Schwierigkeit der Einordnung elektronischer Kommunikation im Rahmen des bestehenden Grundrechtssystems wird in einem Exkurs die Fragestellung untersucht, ob das Bedürfnis einer Internetfreiheit besteht.13 Abschließend werden die Schranken der Kommunikationsgrundrechte dargestellt.
_________________
10 11 12 13
Vgl. S. 117 f. der Arbeit. Vgl. S. 118 ff. der Arbeit. Vgl. S. 144 ff. der Arbeit. Vgl. S. 146 ff. der Arbeit.
251
Johanna Kujath
III. Besonderer Teil 1. Das Informationsinteresse an der strafrechtlichen Verhandlung als wesentliche Voraussetzung der Auslegung der die Medienöffentlichkeit regelnden Normen Der Besondere Teil der Arbeit beginnt mit einer Darstellung des Informationsinteresses der Allgemeinheit im Bezug auf Gerichtsverhandlungen. Dieses konzentriert sich in erster Linie auf die strafrechtliche Gerichtsverhandlung und umfasst auch ein Interesse an bildlicher Information. 2. Das Recht auf Zugang zu öffentlichen Gerichtsverhandlungen In diesem Kapitel wird das Recht auf Zugang zu öffentlichen Gerichtsverhandlungen thematisiert. Zunächst werden Herleitung und Umfang des Zugangsrechts im Allgemeinen erörtert. Anschließend wird auf die Herleitung des Zugangsrechts der professionellen Medienvertreter sowie der neuen Laienjournalisten eingegangen, welche sich nicht unterscheidet.14 Im Folgenden wird zunächst der Umfang des Zugangsrechts der professionellen Medien behandelt, wobei zwischen dem Betreten, der Reservierung und Kontingentierung spezieller Presseplätze, der Mitnahme audiovisueller Aufnahme- und Übertragungstechnik sowie der Mitnahme von Infomationsspeicherungsmitteln, wie z. B. Laptops unterschieden wird.15 Die Verfasserin kommt u. a. zu dem Ergebnis, dass Medienvertreter aufgrund der Differenzierung von Presse und Rundfunk in Art. 5 Abs. 1 Satz 2 GG einen Anspruch auf die Kontingentierung der Medienplätze nach diesen Kategorien haben. Darüber hinaus haben sie einen Anspruch auf die Mitnahme audiovisueller Aufnahme- und Übertragungstechnik aus Art. 5 Abs. 1 Satz 2 GG. Zulässig ist jedoch eine Beschränkung nach dem Prinzip der „Pool-Lösung“.16 Darauf untersucht die Verfasserin das Zugangsrecht der neuen Laienjournalisten. Obwohl diese, ebenso wie die professionellen Journalisten, durch die Pressefreiheit geschützt sind, könnten sich besondere Einschränkungen hinsichtlich des Zugangs aufgrund der den neuen Laienjournalisten anhaftenden Gefahren ergeben. Erneut werden die verschiedenen Ausprägungen des Zugangs (Betreten, Reservierung usw.) differen_________________
14 Vgl. S. 177 ff. der Arbeit. 15 Vgl. S. 186 ff. der Arbeit. 16 Vgl. S. 195 ff. der Arbeit.
252
Laienjournalismus im Internet als Teil d. Medienöffentlichkeit im Strafverf.
ziert. Ein besonderer Schwerpunkt liegt hier auf der Platzreservierung zugunsten von Medienvertretern. Es stellt sich die Frage, ob und in welcher Weise die neuen Laienjournalisten bei der Vergabe der Presseplätze zu berücksichtigen sind. Die Verfasserin kommt u. a. zu dem Ergebnis, dass eine Platzreservierung zugunsten der neuen Laienjournalisten zulässig ist und ein Anspruch auf eine solche aus den Grundrechten als Schutzpflichten bestehen kann. Eine generelle Nichtberücksichtigung sowie eine gegenüber professionellen Journalisten nachrangige Berücksichtigung der neuen Laienjournalisten bei der Vergabe der Medienplätze sind damit unzulässig. Dies führt zu der Frage, wie der mit der Vergabe der Presseplätze befasste vorsitzende Richter die neuen Laienjournalisten von anderen nicht journalistisch tätigen Laien im Internet abgrenzt. Mangels Existenz eines Presseausweises für Laienjournalisten17 hat der vorsitzende Richter auf der Grundlage vorzulegender Publikationen der jeweiligen Laienjournalisten festzustellen, ob diese als journalistisch einzustufen sind. Im Folgenden wird auf die Frage der Kontingentierung der Medienplätze vor dem Hintergrund der Verpflichtung der Berücksichtigung der neuen Laienjournalisten bei deren Vergabe eingegangen.18 Danach werden die Fragestellungen der Mitnahme audiovisueller Aufnahme- und Übertragungstechnik behandelt.19 Hier wird u. a. auf die Eigenarten der laienjournalistischen Technik, zu der z. B. Webcams anstelle großer Kameras gehören, und die Konsequenz in Bezug auf die Mitnahme dieser Geräte in die strafrechtliche Hauptverhandlung eingegangen. Eigenarten dieser Technik ergeben sich aus dem geringen Raum- und Zeitbedarf und der besonderen Unauffälligkeit der Verwendung, welche dazu führt, dass der Einsatz dieser Technik von außen betrachtet nicht feststellbar ist. Neben weiteren Ergebnissen stellt die Verfasserin fest, dass diese spezifischen Gefahren besondere Einschränkungen der Mitnahme laienjournalistischer Technik rechtfertigen können. Die Verfasserin untersucht auch die Frage, in welcher Weise die PoolLösung auf die neuen Laienjournalisten anzuwenden ist; hier kommt sowohl die Einsetzung eines spezifisch laienjournalistischen Pools als auch die Beteiligung an einem professionellen Pool in Betracht.20 _________________
17 Eine Ausnahme stellt der sogenannte Jugend-Presseausweis dar, siehe dazu: http://www.jugendpresseausweis.de/, zuletzt abgerufen: 27.7.2011. 18 Vgl. S. 213 ff. der Arbeit. 19 Vgl. S. 213 ff. der Arbeit. 20 Vgl. S. 219 ff. der Arbeit.
253
Johanna Kujath
3. Die Ausgestaltung des Öffentlichkeitsprinzips durch § 169 GVG Das folgende Kapitel thematisiert die Ausgestaltung des Öffentlichkeitsprinzips durch § 169 GVG. § 169 Satz 1 GVG normiert die Öffentlichkeit der Verhandlung vor dem erkennenden Gericht einschließlich der Verkündung der Urteile und Beschlüsse. Der 1964 eingeführte § 169 Satz 2 GVG konkretisiert das Öffentlichkeitsprinzip dahingehend, dass er die Unzulässigkeit von „Ton- und Fernseh-Rundfunkaufnahmen sowie Ton- und Filmaufnahmen zum Zwecke der öffentlichen Vorführung oder Veröffentlichung ihres Inhalts“ festschreibt.21 Dieses Verbot gilt nach herrschender Meinung ausnahmslos. Die Verfasserin stellt den Sinn und Zweck dieses Verbots von Ton- und Bewegtbildaufnahmen während der Verhandlung sowie dessen zeitlichen und räumlichen Anwendungsbereich dar. Probleme wirft die Frage des räumlichen Anwendungsbereichs z. B. dann auf, wenn Aufnahmen der Verhandlung von außerhalb des Verhandlungssaals durch Fenster oder Glaswände hergestellt werden, es sich also streng genommen nicht um eine Aufnahme in dem Gerichtssaal selbst handelt. Darüber hinaus wird untersucht, ob § 169 Satz 2 GVG auch für nicht zur Veröffentlichung bestimmte Aufnahmen und für Live-Übertragungen aus dem Gerichtssaal gilt.22 Die Verfasserin behandelt die Fragestellungen der Anwendbarkeit und des Umfangs des Verbots nach § 169 Satz 2 GVG bezüglich der neuen Laienjournalisten und der diesen eigenen Technik.23 Gestützt auf die historische und die teleologische Auslegung der Norm kommt sie zu dem Ergebnis, dass der neue Laienjournalismus ebenso wie der professionelle Journalismus – einschließlich der ihm eigenen Technik – von dem Verbot der Ton- und Bewegtbildaufnahmen erfasst ist. Der Gesetzgeber zielte darauf ab, sämtliche Formen der zur Veröffentlichung bestimmten Ton- und Bewegtbildaufnahmen während der Verhandlung – unabhängig von der Person des die Aufnahmen Herstellenden – zu untersagen. Die durch die Publikationen der neuen Laienjournalisten begründeten Gefahren entsprechen den durch die Veröffentlichungen des professionellen Journalismus begründeten Gefahren, welchen § 169 Satz 2 GVG entgegenzuwirken bezweckt. Die im Wortlaut des § 169 Satz 2 GVG genannten „Ton- und Fernseh-Rundfunkaufnahmen sowie Ton- und Filmaufnahmen“ sind als nicht abschließende Aufzählung der durch die Norm untersagten Aufnahmearten zu verstehen. _________________
21 BGBl. I, 1964, S. 1067. 22 Vgl. S. 232 ff., 234 ff. der Arbeit. 23 Vgl. S. 244 ff. der Arbeit.
254
Laienjournalismus im Internet als Teil d. Medienöffentlichkeit im Strafverf.
Abschließend wird in diesem Kapitel die Verfassungsmäßigkeit des Verbots nach § 169 Satz 2 GVG behandelt. Hier werden zunächst die n-tvEntscheidung des Bundesverfassungsgerichts sowie das dazu gehörende Minderheitenvotum dargestellt, welche die Verfassungsmäßigkeit des Verbots von Ton- und Bewegtbildaufnahmen während der Verhandlung zum Gegenstand haben. Anschließend wird die Verfassungsmäßigkeit der Norm untersucht. Anders als das Bundesverfassungsgericht kommt die Verfasserin zu dem Ergebnis, dass § 169 Satz 2 GVG einen Eingriff in die Rundfunkfreiheit, die Pressefreiheit der elektronischen Presse, zu der auch die neuen Laienjournalisten zählen, die Informationsfreiheit der sich mittelbar aus der Berichterstattung der Medien informierenden Personen sowie die Berufsfreiheit der professionellen Journalisten begründet.24 Es folgt eine Untersuchung der Rechtfertigung der dargestellten Eingriffe.25 Neben weiteren Ergebnissen bezogen auf andere Verfahrensarten ergibt die Prüfung der Rechtfertigung, dass § 169 Satz 2 GVG im Bezug auf das Strafverfahren zwar ein allgemeines Gesetz i. S. d. Art. 5 Abs. 2 GG darstellt, welches eine legitime Zweckrichtung verfolgt und zur Zweckerreichung erforderlich ist; allerdings ist die Norm nicht verhältnismäßig i. e. S. Dies ergibt sich noch nicht aus dem Eingriff in die Grundrechte der Informations-, Berufs- und in die Pressefreiheit derjenigen Teile der elektronischen Presse, die ein gemischtes, nicht ausschließlich auf die Verbreitung von Ton- und Bewegtbildaufnahmen spezialisiertes journalistisches Angebot bereitstellen. Allerdings folgt die Unangemessenheit aus einer Abwägung der durch Tonund Bewegtbildaufnahmen zu befürchtenden Gefahren für die Persönlichkeitsrechte der Verfahrensbeteiligten sowie für die Funktionsfähigkeit der Rechtspflege mit der Rundfunkfreiheit der Rundfunkanbieter und der Pressefreiheit der ausschließlich Ton und Bewegtbilder verbreitenden elektronischen Presse, zu der auch neue Laienjournalisten zählen. Letztere werden in pauschaler Weise sowie gerade hinsichtlich der für diese Medien charakteristischen Informationsübertragungsmittel und zudem ausgerechnet bezogen auf den besonders informationsrelevanten Zeitraum der Verhandlung einschränkt. Mit diesem pauschalen Eingriff verstößt § 169 Satz 2 GVG gegen die Wechselwirkungstheorie als Maßstab der verfassungsmäßigen Einschränkung der Kommunikationsgrundrechte. Die Verfasserin schlägt jedoch eine Herstellung der Verfassungsmäßigkeit durch verfassungskonforme Auslegung vor.26 _________________
24 Vgl. S. 254 ff. der Arbeit. 25 Vgl. S. 260 ff. der Arbeit. 26 Vgl. S. 291 ff. der Arbeit.
255
Johanna Kujath
4. Die sitzungspolizeiliche Anordnung nach § 176 GVG In diesem Kapitel wird die sitzungspolizeiliche Anordnung nach § 176 GVG behandelt. Diese dient der Aufrechterhaltung der Ordnung in der Sitzung. Zunächst werden der Anwendungsbereich, die Angreifbarkeit sitzungspolizeilicher Maßnahmen sowie das Verhältnis zu § 169 Satz 2 GVG dargestellt. Anschließend werden die sitzungspolizeilichen Maßnahmen betreffend die Medienöffentlichkeit im Strafverfahren thematisiert. Hier geht es um die widerstreitenden Interessen, denen die Ermessensentscheidung des Vorsitzenden Rechnung zu tragen hat. Auf der einen Seite stehen die beeinträchtigten Kommunikationsgrundrechte – die Informationsfreiheit und die Mediengrundrechte der Journalisten sowie die mittelbar betroffene Informationsfreiheit der sich aus den Medien informierenden Personen – auf der anderen Seite stehen diejenigen Interessen, die sich unter den Oberbegriffen der Funktionsfähigkeit des Verfahrens und der Persönlichkeitsrechte der Verfahrensbeteiligten, also der Gerichtspersonen, des Angeklagten, der Zeugen, der Sachverständigen, der Verteidiger und der Zuschauer, zusammenfassen lassen. Einen Schwerpunkt stellen hier Fragestellungen in Zusammenhang mit dem Vorliegen eines Bildnisses aus dem Bereich der Zeitgeschichte i. S. d. § 23 Abs. 1 Nr. 1 KUG dar, dessen Veröffentlichung, sofern keine überwiegenden berechtigten Interessen der Abgebildeten entgegenstehen, keiner Erwilligung bedarf. Ein solches kann grundsätzlich bezogen auf sämtliche Verfahrensbeteiligten gegeben sein.27 Des weiteren untersucht die Verfasserin auf welcher rechtlichen Grundlage die Veröffentlichung von Bildnissen der Zuschauer zulässig sein kann.28 Auch in diesem Teil wird auf die neuen Laienjournalisten eingegangen.29 Eine Ungleichbehandlung dieser Gruppe gegenüber der Gruppe der professionellen Journalisten ist unzulässig und stellt einen Verstoß gegen Art. 3 Abs. 1 GG dar. Ihre Rechtfertigung würde an der Verhältnismäßigkeit i. e. S. scheitern, da der neue Laienjournalismus einer erheblichen Beeinträchtigung ausgesetzt wäre, während der Nutzen einer derartigen Einschränkung für die Aufrechterhaltung der Ordnung in der Sitzung von geringem Gewicht ist. Anschließend werden einzelne sitzungspolizeiliche Maßnahmen sowohl betreffend die reine Information aus der Verhandlung als auch betref_________________
27 Vgl. S. 312 ff. der Arbeit. 28 Vgl. S. 326 ff. der Arbeit. 29 Vgl. S. 332 ff. der Arbeit.
256
Laienjournalismus im Internet als Teil d. Medienöffentlichkeit im Strafverf.
fend die Aufnahme von Ton- und Bildinformationen beleuchtet.30 Besondere Schwerpunkte stellen hier die gerade für die neuen Laienjournalisten relevante Untersagung der Verwendung von Laptops, die Anordnung der Anonymisierung sowie die Zulässigkeit eines pauschalen Aufnahmeverbots dar. Bei der Verwendung von Laptops ist zu beachten, dass diese die Gefahr eines unbemerkten Verstoßes gegen § 169 Satz 2 GVG birgt. Auf der anderen Seite hat der vorsitzende Richter zu berücksichtigen, dass die Untersagung der Verwendung von Laptops den neuen Laienjournalismus aufgrund seiner besonderen Angewiesenheit auf die Aktualität seiner Publikationen außerordentlich schwer trifft. Die Anordnung der Anonymisierung ist nach von der Verfasserin vertretener Auffassung dann nicht zulässig, wenn die betroffene Person der Allgemeinheit bereits vor dem Strafverfahren bildlich bekannt war. Die pauschale Untersagung der Herstellung von Ton- und Bildaufnahmen auf der Grundlage des § 176 GVG – also auch außerhalb des Anwendungsbereichs des § 169 Satz 2 GVG im Vorfeld und im Anschluss an die Verhandlung – ist unzulässig, da diese nicht verhältnismäßig i. e. S. ist. 5. Das Hausrecht des Gerichtspräsidenten Abschließend befasst sich die Arbeit mit dem Hausrecht des Gerichtspräsidenten, auf dessen Grundlage die Aktivitäten der Medien ebenfalls eingeschränkt werden können. Dargestellt werden dessen Anwendungsbereich sowie die Möglichkeit, generelle Entscheidungen auf der Grundlage des Hausrechts zu treffen. Das Hausrecht ist subsidiär zum Öffentlichkeitsprinzip und zur sitzungspolizeilichen Gewalt des Vorsitzenden. Es ermächtigt damit nicht zur Beschränkung der Medienöffentlichkeit des Strafverfahrens.
_________________
30 Vgl. S. 337 ff. der Arbeit.
257
.
Zur „Beweiskraft informationstechnologischer Expertise“ (Stand 6/2010)1 Hanno Baur I. Motivation und Grundlagen II. Herausforderungen bei der Untersuchung von Informationssystemen
IV. Herausforderungen beim verdeckten Eingriff in Informationssysteme V. Ausblick
III. Herausforderungen beim Zugriff auf frei zugängliche Informationen
I. Motivation und Grundlagen Durch den technischen Fortschritt ist es notwendig geworden, Beweise über „virtuelle“ Sachverhalte zu führen und diese zu bewerten. Dies ist eine neue Herausforderung an die Beweisbewertung und Erhebung, die in der Praxis zu erheblichen Schwierigkeiten führt.2 Bei der Beweisbewertung wird festgelegt, mit welchem Grad der Beweis zur Überzeugung beiträgt. Die Besonderheiten wurden dabei beispielhaft anhand folgender drei Szenarien betrachtet: –
Untersuchung von Informationssystemen durch einen Sachverständigen
–
Zugriff auf frei zugängliche Informationen im World Wide Web mithilfe von Suchprogrammen
–
Heimliches Eindringen in informationstechnische Systeme, die sogenannte Online-Durchsuchung, bzw. Quellen-TelekommunikationsÜberwachung
_________________
1 Der DSRI-Absolventenpreis 2011 ist für eine Studienarbeit an der Technischen Universität Darmstadt vergeben worden. Die von Hanno Baur verfasste Arbeit, zum Thema „Beweiskraft informationstechnologischer Expertise“, wurde von Prof. Dr. Viola Schmid, LL.M. am Fachgebiet Öffentliches Recht betreut. Die vollständige Arbeit kann auf der Webseite des Fachgebiets an der TU Darmstadt unter http://www.cylaw.tu-darmstadt.de und auf der Webseite der Universitäts- und Landesbibliothek unter http://tuprints.ulb.tu-darm stadt.de/2848/ abgerufen werden. 2 Schmid/Baur, CyLaw-Report XXXIV: Beweisbare IT-Sicherheit – sichere ITBeweise?, 2011, S. 8.
259
Hanno Baur
Als förmliche Beweisverfahren sind für den Strengbeweis folgende Beweismittel zulässig:3 – – – – –
Augenscheinbeweis4 Parteivernehmung, Beteiligtenanhörung oder Aussagen des Beschuldigten Sachverständigenbeweis Urkundenbeweis Zeugenbeweis
Ausschlaggebend für ein Beweismittel ist der in ihm verkörperte Informationswert. Datenträger, als Träger von Informationen, gehören damit zu möglichen Beweismitteln, die sichergestellt5 oder kopiert werden können.6 In der Regel sind sie als Augenscheinobjekte einzustufen.7 Daten eines informationstechnischen Systems sind dabei meist nicht unabhängig voneinander und deswegen müssen die daraus ermittelten Indizien als Indizienfamilie beurteilt werden.8 Eine einfache „Verrechnung“ der Beweiswerte führt zu keinem zulässigen Ergebnis.
II. Herausforderungen bei der Untersuchung von Informationssystemen Fehlt dem Richter nötiges Fachwissen, kann dieses von einem Sachverständigen zur Verfügung gestellt werden. Dabei kann der Sachverständige herangezogen werden, um allgemeine Erfahrungssätze weiterzugeben, um einzelne Tatsachen oder komplette Sachverhalte zu begutachten. Erstreckt sich die Analyse des Sachverständigen auch auf flüchtige Daten, wie z. B. den Inhalt des Arbeitsspeichers, können die Schritte nicht wiederholt und somit überprüft werden.9 Gleichzeitig kann es zu _________________
3 Zeiss/Schreiber, Zivilprozessrecht, 2003, S. 181, Krey, Deutsches Strafverfahrensrecht, 2007, S. 44, Lorenz, Verwaltungsprozessrecht, 2000, S. 575. 4 Der Augenscheinbeweis ist im Normalfall der einzige unmittelbare Beweis, bei dem gegebenenfalls keine Hilfstatsachen gewürdigt werden müssen. Bender/Nack/Treuer, Tatsachenfeststellung vor Gericht, 2007, Rn. 579. 5 BVerfG v. 18.2.2003 – Az. 2 BvR 372/0,1 Rz. 9, Homepage: http://www. bundesverfassungsgericht.de (5.4.2010). 6 BVerfG v. 12.4.2005 – Az. 2 BvR 1027/02, Rz. 100, Homepage: http://www. bundesverfassungsgericht.de (5.4.2010). 7 Eisenberg, Beweisrecht der StPO, 2008, Rn. 2023. 8 Geschonneck, Computer Forensik, 2008, S. 93 ff. 9 Geschonneck, Computer Forensik, 2008, S. 86.
260
Zur „Beweiskraft informationstechnologischer Expertise“ (Stand 6/2010)
Veränderungen am Datenbestand kommen.10 Hier bedarf es weiterer Diskussionen, was genau unter einer forensischen Kopie zu verstehen ist, wie diese durchzuführen ist, welche Veränderungen gegenüber dem Original tolerierbar sind und wie die einzelnen Schritte dokumentiert werden sollen.11 Erfolgt die Feststellung und Auswertung der Daten durch einen Sachverständigen, kommt es zur vertikalen Ausweitung des Beurteilungsspielraums des Sachverständigen. Dabei werden, zusätzlich zu der in der Literatur kritisierten Verlagerung der Recht sprechenden Gewalt, vom Richter zum Sachverständigen,12 von diesem auch Ermittlungsmaßnahmen übernommen und damit die Beweiserhebung und Bewertung vielleicht über Gebühr zentralisiert.
III. Herausforderungen beim Zugriff auf frei zugängliche Informationen Der Datenumfang im World Wide Web verhindert eine effiziente manuelle Suche nach Beweisen. Eine mögliche Lösung ist die Begrenzung der Suche auf Plattformen, wie z. B. Soziale Netzwerke, die Daten sammeln und aufbereiten oder der Einsatz von Suchprogrammen. Dabei können öffentlich verfügbare Suchdatenbanken13 oder speziell ausgerichtete Programme14 verwendet werden. Beide Varianten führen anfangs grundsätzlich die gleichen Arbeitsschritte durch. Zuerst wird eine Seite gefunden, heruntergeladen und aufbereitet, darauf folgend kann der Inhalt ausgewertet werden. Die Auswertung erfolgt nach dem Verwendungszweck und der Art der Speicherung der gefundenen Informationen.15
_________________
10 Murr, Forensically Sound Duplicate, 2.8.2006, http://www.forensicblog.org/ 2006/08/02/forensically-sound-duplicate, (1.7.2010). 11 O. A., Forensically Sound, Yahoo Groups, 9.8.2006, http://tech.groups.yahoo. com/group/forensically_sound/, (1.7.2010). 12 Schmid/Baur, CyLaw-Report XXXIV: Beweisbare IT-Sicherheit – sichere ITBeweise?, 2011, S. 7. 13 Rada, Kommissar Google jagt Terroristen, taz.de, 22.8.2007, http://www.taz. de/?id=start&art=3471&id=detuschland-artikel&cHash=5218eee73a, (16.6.2010). 14 Nowitzky, Xpider (eXtended sPIDER) Internet Steuersündern auf der Spur, 7.2003, http://www.minet.uni-jena.de/dbis/veranstaltungen/datenbanktage2003/DBTage2003-Nowitzky.pdf, S. 1 ff., (1.6.2010). 15 Chakrabarti, Mining the Web: Discovering Knowledge form Hypertext Data, 2003, S. 81 ff.
261
Hanno Baur
Allgemein zugängliche Suchergebnisse werden in der Regel gefiltert.16 Beweise, die auf diesem Weg gewonnen werden, werden oft sehr unterschiedlich bewertet. Die Bundesstaatsanwaltschaft sieht z. B. in der Übereinstimmung von Schlüsselwörtern einen begründeten Tatverdacht,17 während der BGH von einem äußerst geringen Beweiswert ausgeht.18 Durch die Automatisierung kann eine große Anzahl von Webseiten durchsucht und analysiert werden.19 Diese hohe Anzahl der überprüften Webseiten bewirkt jedoch, dass selbst bei einer sehr hohen Genauigkeit, viele Seiten falsch klassifiziert werden.20 Ist die Anfangswahrscheinlichkeit unbekannt und lässt sich diese nicht mit der nötigen Sicherheit eingrenzen, lässt sich auch der Beweiswert nicht näher bestimmen. Eine so ermittelte Seite kann nur einen Anfangsverdacht rechtfertigen, da sie einen, mit der Rasterfahndung vergleichbaren Ansatz verfolgt und somit eher ein Mittel zum Erkenntnisgewinn ist, der sich nur in Ausnahmefällen als Beweismittel eignet.21
IV. Herausforderungen beim verdeckten Eingriff in Informationssysteme Beim verdeckten Eingriff wird heimlich auf ein „Informationssystem“ zugegriffen. Dabei können u. a. Daten vor deren Verschlüsselung oder der geheime Schlüssel für die Entschlüsselung abgegriffen werden. Zu_________________
16 Um beispielsweise mit den eigenen Suchergebnissen keine Beihilfe zu leisten. Bager, Google zensiert Scientology-Kritiker, heise news, 21.3.2002, http://www.heise.de/newsticker/meldung/Google-zensiert-ScientologyKritiker-63741.html, (20.1.2010). 17 Kuri, Durch google-Suche in die Einzelhaft [Update], heise news, 22.8.2007, http://www.heise.de/newsticker/meldung/Durch-Google-Suche-in-dieEinzelhaft-Update-165722.html, (20.1.2010). 18 BGH v. 20.12.2007 – Az. StB 12, 13 und 47/07, Rz. 33 Homepage: http:// www.bundesgerichtshof.de (1.6.2010). 19 Die von den Finanzbehörden eingesetzte Software Xpider, kann z. B. bis zu 2,5 Millionen Webseiten pro Tag verarbeiten. Nowitzky, Xpider (eXtended sPIDER) Internet Steuersündern auf der Spur, 7.2003, http://www.minet.unijena.de/dbis/veranstaltungen/datenbanktage-2003/DBTage2003Nowitzky.pdf, S. 14, (1.6.2010). 20 Die Xpider würden, bei einer willkürlich angenommenen Genauigkeit von 95 %, täglich bis zu 125.000 Seiten falsch klassifizieren. 21 Phel, Die Implementation der Rasterfahndung, Max-Planck-Institut für ausländisches und internationales Strafrecht, 30.1.2008, http://www.iuscrim. mpg.de/ww/de/pub/forschung/forschungsarbeit/kriminologie/rasterfahndung. htm, (1.6.2010).
262
Zur „Beweiskraft informationstechnologischer Expertise“ (Stand 6/2010)
sätzlich können über angeschlossene Sensoren, wie u. a. Kameras oder Mikrofone, die Umgebung des Informationssystems überwacht oder Hinweise über physikalische Speicherorte gewonnen werden.22 Die Definition, was unter Informationssystemen zu verstehen ist, ist dabei recht weit gefasst, so können, von medizinischen Stimmulationsgeräten23 über Mobiltelfone, PKWs oder PCs bis hin zu gesamten Netzwerken, infiltriert werden.24 Vom Bundesministerium des Inneren sind mit der „Quellen-Telekommunikations-Überwachung“, „Online-Durchsuchung“ und „Online-Überwachung“, drei unterschiedliche Einsatzszenarien vorgesehen.25 Während bei der Quellen-TelekommunikationsÜberwachung Kommunikationsverbindungen abgegriffen werden, sollen bei der Online-Durchsicht Daten ermittelt werden, die in der Vergangenheit angefallen sind. Bei der Online-Überwachung sind die Aktivitäten des Nutzers zu protokollieren.26 Die Einbringung erfolgt dabei in der Regel durch die Ausnutzung von Software-Schwachstellen so wie sozialer Manipulation, Unterstützung Dritter oder physischen Zugang zum Informationssystem.27 Wird keine zusätzliche Hardware28 eingebaut, werden Veränderungen an den Daten _________________
22 Ziercke, Pro Online-Durchsuchung, Informatik-Spektrum 2008, 62, 63. 23 Beispielsweise ein Hirnschrittmacher, vgl. Kupsch/Ulm/Funk, „Hirnschrittmacher“ gegen die Parkinson-Erkrankung. Eine Patientenaufklärung, Charité – Universitätsmedizin Berlin, 6.9.2005, http://www.charite.de/ch/neuro/ klinik/patienten/ag_bewegungsstoerungen/pdf/DBS_Aufklaerungsmaterial.pdf, S. 8, (20.1.2010). 24 Stawowy, Fragenkatalog des Bundesministeriums der Justiz, netzpolitik.org, 22.9.2007, http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ. pdf, S. 1 f., (20.1.2010). 25 Die Abgrenzung zwischen Online-Überwachung und Quellen-Telekommunikations-Überwachung scheint willkürlich, da der Aufbau einer Kommunikationsverbindung und die Durchführung der darauf folgenden Kommunikation ebenfalls eine Aktivität eines Nutzers darstellt und für die Überwachung einer möglichen Sprachsteuerung die Daten auch erhoben werden müssen. 26 Stawowy, Fragenkatalog des Bundesministeriums der Justiz, netzpolitik.org, 22.9.2007, http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ. pdf, S. 6, (20.1.2010). 27 Freiling, Schriftliche Stellungnahme zum Fragenkatalog Verfassungsbeschwerden, 27.9.2007, https://pi1.informatik.uni-mannheim.de/filepool/publications/ stellungnahme-online-durchsuchung.pdf, S. 4, (20.1.2010). 28 Ein solche Hardware wäre z. B. ein Keylogger, die zwischen Tastatur und Computer geschaltet wird. Der Keylogger darf über keine Funktionalität für die Datenmanipulation oder zum Senden von eigenen Daten an das Informationssystem verfügen.
263
Hanno Baur
des Informationssystems vorgenommen. Nur bei einem physikalischen Zugriff, lässt sich vor dem Infiltrieren das zu überwachende System eindeutig identifizieren und evtl. vorhandene Datenbestände vor deren Manipulation kopieren. Durch das Einbringen wird immer bewiesen, dass das System erfolgreich infiltriert werden kann. Arbeitet das Überwachungswerkzeug nicht autark und kann von außen gesteuert werden, besteht das Risiko einer Übernahme oder Manipulation durch Dritte. Die, durch das Werkzeug ermittelten Daten, können, wenn ein Kommunikationskanal zur Verfügung steht, z. B. auf einen Server im Netz, ausgleitet werden.29 Dieser Server kann selbst kompromittiert werden. Nach Abschluss des verdeckten Eingriffs sind die eingesetzten Werkzeuge restlos zu entfernen oder zu löschen.30 Dies kann auch nicht möglich sein, weil Datensicherungen, z. B. auf DVDs, nur durch die Zerstörung des Mediums „gelöscht“ werden können.31 Durch das Löschen, kann die Revisionsfähigkeit erheblich eingeschränkt werden und in einer besonderen Konstellation sind aufgetretene Wechselwirkungen32 mit anderen Programmen, nicht mehr festzustellen. Ausgeleitete Passwörter verlieren ihre Schutzfunktion.33 Die evtl. ermittelten Indizien werden im Allgemeinen nicht unabhängig voneinander sein und sind entsprechend als Indizienfamlie zu bewerten. Für die Zurechenbarkeit der Daten sind zusätzliche Erkenntnisse nötig, die gegebenenfalls den Beweiswert reduzieren.34 Bei der Beweisbewertung müssen entsprechend alle Schritte untersucht werden und in die Bewertung einfließen. Durch die große Anzahl der Punkte, die einer Unsicherheit unterliegen können, wirken sich bereits geringe Unsicherheiten erheblich auf den Beweiswert aus. _________________
29 Stawowy, Fragenkatalog des Bundesministeriums der Justiz, netzpolitik.org, 22.9.2007, http://netzpolitik.org/wp-upload/fragen-onlinedurchsuchung-BMJ. pdf, S. 21, (20.1.2010). 30 Ziercke, Pro Online-Durchsuchung, Informatik-Spektrum 2008, 62, 64. 31 So könnten die Werkzeuge komplett oder teilweise auf anderer Informationssysteme übertragen werden. 32 Freiling, Schriftliche Stellungnahme zum Fragenkatalog Verfassungsbeschwerden, 27.9.2007, https://pi1.informatik.uni-mannheim.de/filepool/publications/ stellungnahme-online-durchsuchung.pdf, S. 1, (20.1.2010). 33 Hansen/Pfitzmann in Roggan, Techniken der Online-Durchsuchung: Gebrauch, Missbrauch, Empfehlungen, 2008, 137, 169. 34 Der Staatsanwaltschaft Duisburg unterlief bei einer Anschriftenabfrage für eine IP-Adresse bei einem Provider ein Fehler bei der Nutzererkennung und bekam so eine „falsche“ Anschrift übermittelt. LG Stuttgart v. 16.7.2007 – Az. 17 O 243/07, S. 2, Homepage: http://medien-internet-und-recht.de (14.7.2010).
264
Zur „Beweiskraft informationstechnologischer Expertise“ (Stand 6/2010)
V. Ausblick Die hohe Dynamik im IT Umfeld und die Möglichkeit fertige Programme einzusetzen, erfordert eine individuelle, jeweils dem aktuellen Stand entsprechende, Bewertung des Beweiswertes. Standardisierte Erhebungsverfahren führen dabei nicht automatisch zur Erhöhung des Beweiswerts eines ermittelten Datums. Für eine möglichst genauere Bestimmung des Beweiswerts, sind auch aktuelle Erkenntnisse über die allgemeine Wahrscheinlichkeit zu erheben und zu hinterfragen.
265
.
Jahreschronik 2011 Dr. Peter J. Hoppen I. Jahrestagung der DGRI, München, 10.–12.11.2011 Die diesjährige Jahrestagung beschäftigte sich unter dem Motto „Schutz der Offenheit – Schutz vor Offenheit“ mit Themen rund um die Frage, wie offen Informations- und Kommunikationsprozesse sein sollten und wo Offenheit an ihre Grenzen stößt. Die Jahrestagung begann mit dem traditionellen Begrüßungsabend am Donnerstag im Tagungshotel. Am Freitag führte Marina Weisband, die damalige politische Geschäftsführerin der Piratenpartei, auf lebendige und unkonventionelle, die Diskussion bereichernde Art in das Thema ein. Sie trug vor, wie Offenheit als politischer Auftrag und gleichzeitig zwischenmenschliche Herausforderung von der jungen Partei gesehen und erlebt wird. Der Beitrag findet sich in diesem Jahrbuch im Wortlaut. Anschließend stellte Prof. Dr. Walter Brenner, Direktor des Instituts für Wirtschaftsinformatik an der Universität St. Gallen, 10 Thesen auf, wie sich Offenheit im Internet zukünftig im Spannungsfeld unterschiedlicher Interessen – Stichwort Netzneutralität – entwickeln kann. Dr. Wolfgang Schulz, Hans-Bredow-Institut, Universität Hamburg, bereicherte die Eröffnungssitzung mit einem Bericht zur Entwicklung des Themas im politischen Diskurs in Form der aktuellen Positionen der Enquete-Kommission zu Open Data, Open Access und Open Source. Prof. Dr. Andreas Stascheit, KWI, Ruhr-Universität Essen, gab den Einstieg in die Betrachtung praktischer Fragen, die immer wieder auf den Datenschutz hinauslaufen, und stellte Methoden der Risikoanalyse vor dem Hintergrund des § 42a BDSG vor. Am Nachmittag beschäftigten sich zwei parallele Themenblöcke mit praktischen Fragen des Umgangs mit Offenheit in konkreten IT-Projekten. Prof. Dr.-Ing. Stefan Jähnichen, Präsident der Gesellschaft für Informatik, und RA Dr. Christian Frank beschäftigten sich mit der hochaktuellen Frage, wie Projektabläufe offen gestaltet und trotzdem beherrschbar gehalten werden können. Im parallel laufenden Themenblock wurde die Frage behandelt, welche komplexen Auswertungen mit den heutigen technischen Systemen möglich sind – Stichwort Business Intelligence. Prof. Dr. Benedikt Buchner von der Universität Bremen gab in Form von sieben Thesen Anregungen, wie die Eigentumsrechte 267
Peter J. Hoppen
an persönlichen Daten im Kontext der auch für den betroffenen Einzelnen verlockenden Möglichkeiten einzuordnen und zu entwickeln sind. Am Samstag beschäftigten sich Vorträge von RA Sven-Erik Heun und RA Sascha Kremer mit Fragen der Vertragsgestaltung und analysierten, wie offen bzw. abgeschottet Teilmärkte dadurch werden. Die Tagung wurde abgeschlossen durch ein von RA Prof. Dr. Peter Bräutigam vorgetragenes Plädoyer für eine Modernisierung des Datenschutzrechts auf der Grundlage eines zeitgemäßen Rahmenkonzepts. Hierzu wurden unter der Moderation von Dr. Eugen Ehmann 10 Thesen vorgestellt, die von verschiedenen Mitgliedern der DGRI, darunter RA Prof. Dr. Jochen Schneider, RA Bernd H. Harder und RA Prof. Dr. Peter Bräutigam entwickelt wurden. Das Interesse an der Veranstaltung war auch in 2011 mit über 120 Teilnehmern wieder sehr hoch. Die zur besseren Abstimmung mit den Terminen der DSRI-Herbstakademie erfolgte Verlegung der Tagung vom Oktober in den November hat damit eine gute Aussicht, sich im jährlichen Terminkalender fest zu etablieren. Für die perfekte Tagungsorganisation, bei der die DGRI durch zahlreiche Münchner Sozietäten unterstützt wurde und die durch einen feierlichen Empfang und ein festliches Abendessen in der Pinakothek der Moderne abgerundet wurde, ist allen Beteiligten besonderer Dank auszusprechen. Viele Vorträge wurden im Nachgang weiter ausgearbeitet und finden sich in diesem Jahrbuch als wissenschaftliche Beiträge. Hierfür sei den Autoren ganz herzlich gedankt. Im Rahmen der Jahrestagung fand am frühen Abend des 11.11.2011 die jährliche Mitgliederversammlung der DGRI statt.
II. Weitere Veranstaltungen der DGRI in 2011 18. Drei-Länder-Treffen, Wien 16.–18.6.2011 Das nunmehr bereits 18. Drei-Länder-Treffen 2011 fand in Zusammenarbeit mit Infolaw aus Wien (Forschungsverein für Informationsrecht und Immaterialgüterrecht) in eleganter Atmosphäre im Hotel Imperial im Zentrum von Wien statt und wurde informell bei einem gemeinsamen Abend beim „Heurigen“ eingeleitet. Das auf der vorjährigen Jahrestagung in Straßburg identifizierte Thema, inwieweit Parametrisierungen, Software-Komponenten-Entwicklungen und ähnliche Arbeitsergebnisse, die nicht mehr als Programmierung bezeichnet werden können, 268
Jahreschronik 2011
urheberrechtlichen Schutz genießen können, wurde aus technischer und juristischer Sicht analysiert. Neben den für die DGRI-Drei-LänderTreffen typischen aktuellen ländervergleichenden Berichten zur Entwicklung der Rechtsprechung in der Schweiz, in Österreich und in Deutschland wurde am zweiten Tag des Treffens rechtsvergleichend herausgearbeitet, wie Sicherungsrechte an Softwareprodukten in den DACH-Ländern juristisch gehandhabt werden. Die Beiträge finden sich in diesem Tagungsband. Daneben wurden als weiteres Thema BestPractice-Ansätze in der IT-Governance behandelt. 12. Herbstakademie, Lüneburg, 7.–12.9.2011 Die jährlich unter der Federführung der DSRI veranstaltete Herbstakademie fand bei reger Beteiligung von 180 Teilnehmern unter dem Motto „Die Welt im Netz – Folgen für Wirtschaft und Gesellschaft“ an der Leuphana Universität in Lüneburg statt. Traditionell gab es eine Vielzahl an Vorträgen rund um das IT-Recht, hier mit Schwerpunkt Datenschutzrecht. Die mit der Herbstakademie verfolgte Nachwuchsförderung ist als sehr erfolgreich anzusehen.
III. Aktivitäten der Fachausschüsse in 2011 Die Arbeiten der Fachausschüsse erweiterten sich im Berichtsjahr nochmals deutlich durch die Beteiligung der DGRI an Konsultationen und Erarbeitung von Stellungnahmen zu verschiedenen nationalen und europäischen Gesetzesvorhaben. Die Stellungnahmen wurden dabei zunehmend nicht mehr im Rahmen von Präsenzveranstaltungen, sondern auf Basis virtueller Zusammenarbeit erstellt. Den Berichten der Fachausschüsse und den erarbeiteten Stellungnahmen wurde in diesem Jahrbuch ein größerer Platz als bisher eingeräumt. Dadurch soll die Rolle der Fachausschüsse als wichtige und aktive Organe der DGRI in der Begleitung der Rechtsentwicklung herausgestellt werden. Hier seien die Sitzungen der Fachausschüsse nur knapp aufgelistet. –
21.1.2011: Treffen der Firmenjuristen zu den Themen „Half Life 2 – Neues vom BGH zur Erschöpfung und Online-Vertriebsmodellen“, „Performance-Management in der Rechtsabteilung“, „Unternehmensjuristen in der Rechtsanwaltsversorgung“ und „Durchsuchung von Geschäftsräumen durch Ermittlungsbehörden“ bei der Allianz AMOS in Unterföhring bei München 269
Peter J. Hoppen
–
6.5.2011: Sitzung des Fachausschusses Vertragsrecht zu den Themen „Softwarevertrieb und Kartellrecht – welche GVO gilt?“ und „Verantwortlichkeiten des Anbieters bei unzureichender oder fehlender Installationsanleitung oder Benutzerdokumentation nach aktueller Rechtslage“ bei Waldeck Rechtsanwälte in Frankfurt a. M.
–
17.6.2011: Treffen der Firmenjuristen zum Thema „Ticket Systems – Organisation der Bearbeitung von Anfragen der Rechtsabteilung“ bei der DekaBank in Frankfurt a. M.
–
25.11.2011: Sitzung des Fachausschusses Vertragsrecht zum Thema „Open Source total: Technik – Recht – Praxis“ bei Jones Day in München
Im Einzelnen wird auf die Berichte ab S. 277 verwiesen.
IV. Stellungnahmen der DGRI Die Beteiligung an Konsultationen und Erarbeitung von Stellungnahmen zu Gesetzesvorhaben wurde gegenüber dem Jahr 2010 nochmals verstärkt. Die DGRI wird als kompetente Stimme in der Begleitung der Rechtsentwicklung im IT-Recht wahrgenommen und vermehrt aktiv angesprochen. Die öffentliche Präsenz der DGRI wurde dadurch weiter verstärkt. In den Fachausschüssen bzw. unter deren maßgeblicher Beteiligung wurden die folgenden Stellungnahmen erarbeitet: –
14.1.2011: Stellungnahme der DGRI zur Online-Konsultation „Gesamtkonzept für den Datenschutz der Europäischen Union“
–
26.1.2011: Stellungnahme der DGRI zum Entwurf eines Gesetzes zur Änderung der Vorschriften über Verkündung und Bekanntmachung (VkBmG-E)
–
14.4.2011: Stellungnahme der DGRI zum Grünbuch über die Modernisierung der europäischen Politik im Bereich des öffentlichen Auftragswesens (KOM (2011) 15/4)
–
29.4.2011: Stellungnahme der DGRI zum Entwurf einer zentralen Testamentsregister-Verordnung
–
21.12.2011: Stellungnahme der DGRI zum Entwurf einer EU-Datenschutz-Verordnung
Die Stellungnahmen sind in diesem Jahrbuch abgedruckt und sind auch auf der Website der DGRI (www.dgri.de unter „Stellungnahmen“) abrufbar. 270
Jahreschronik 2011
V. Arbeit der Schlichtungsstelle Die Schlichtungsstelle wird von Prof. Dr. Jürgen Göbel geleitet. Die Zahl der Anfragen und Fälle ist gegenüber 2010 im Berichtszeitraum zurückgegangen, jedoch in 2012 bis zum Zeitpunkt der Drucklegung dieses Jahrbuchs wieder massiv angestiegen. Die Außenarbeit der Schlichtungsstelle wurde in 2011 durch gezielte Aktivitäten verstärkt. In der Zeitschrift Computer und Recht (CR) erschien eine Übersicht über das Schlichtungsverfahren. Im Dezember 2011 wurde das DGRI-Schlichtungsverfahren bei einer Veranstaltung des Arbeitskreises EDV und Recht in Köln über alternative IT-Streitschlichtung vorgestellt. Mit dem Innenministerium wurden Gespräche geführt, ob die DGRI-Schlichtungsklausel in die EVB-IT aufgenommen werden soll. Zudem wurde im Jahr 2011 ein einheitlicher Schlichter-Fragebogen erarbeitet und eine Schlichterdatenbank aufgebaut, in der alle Schlichter systematisch verzeichnet sind. Die Mitglieder sind aufgefordert, sich bei Interesse eintragen zu lassen.
VI. DGRI/CR-Seminare Auch im Berichtsjahr war die DGRI – besonders in der Zusammenarbeit mit dem Verlag Dr. Otto Schmidt, Computer & Recht (CR) – auf zahlreichen Tagungen und unter maßgeblicher Beteiligung von DGRI-Mitgliedern präsent. –
7.4.2011: „Vergabe von IT-Projekten aus Anbietersicht“, Bewältigung öffentlicher Ausschreibungen unter Berücksichtigung der VOL/A und EVB-IT, RAe Norman Müller und Markus Schmidt, Köln
–
19.5.2011: „Softwareverträge heute und morgen“, Projekt-, Nutzungs- und Vergütungsmodelle, RAe Michael Intveen und Prof. Dr. Jochen Schneider, München
–
20.5.2011: „Internetrecht aktuell“, RA Niko Härting, Köln
–
5.7.2011: „IT in Unternehmen“, Anforderungen bei Softwarebeschaffung, Open Source, Cloud und Leasing, RAe Klaus M. Brisch und Dr. Philip Laue, Köln
–
18.10.2011: „Rechtliche Anforderungen an soziale Netze“, RA M. Karger und RA Dr. T. Stögmüller, München
–
25.11.2011: „Verträge zur Lieferung/Überlassung, Anpassung, Erstellung und Pflege von Software“, RA M. Intveen, Köln
271
Peter J. Hoppen
VII. Preise und Auszeichnungen Die DGRI finanziert den jährlich von der Deutschen Stiftung für Recht und Informatik ausgeschriebenen DSRI-Wissenschaftspreis für eine herausragende Dissertation oder Habilitationsschrift und den DSRIAbsolventenpreis für eine herausragende Abschlussarbeit eines Studiums auf dem Gebiet des Informationsrechts oder der Rechtsinformatik. Der DSRI-Wissenschaftspreis 2011 wurde an Dr. Johanna Kujath für ihre Dissertation zum Thema „Der Laienjournalismus im Internet als Teil der Medienöffentlichkeit im Strafverfahren – Neue Herausforderungen durch die Entwicklung des Web 2.0“ an der juristischen Fakultät der Humboldt Universität zu Berlin vergeben. Den DSRI-Absolventenpreis 2011 erhielt Hanno Baur für seine Studienarbeit zum Thema „Beweiskraft informationstechnologischer Expertise“ an der Technischen Universität Darmstadt. Beide Preise wurden – mittlerweile traditionell – bei dem festlichen Diner der Jahrestagung in der Pinakothek der Moderne von Prof. Dr. Alfred Büllesbach, dem Vorsitzenden des Stiftungsrates der DSRI, verliehen. Zusammenfassungen beider Arbeiten aus der Feder der Preisträger finden sich in diesem Jahrbuch.
VIII. Sonstige Aktivitäten Die DGRI war in der einen oder anderen Form direkt, über die Arbeitskreise oder ihre Mitglieder an zahlreichen weiteren Tagungen und Veranstaltungen präsent. Beispielsweise nahm sie an einem von Prof. Dr. Dirk Heckmann, Universität Passau, organisierten Round-Table zur Informationstechnik in Berlin teil und intensivierte die Zusammenarbeit mit der GI. Die DGRI betreibt auch eine XING-Gruppe mit über 100 eingetragenen Mitgliedern. Soziale Netzwerke wie XING sollen verstärkt genutzt werden, um auch Nicht-Mitglieder zu erreichen.
IX. Vorschau auf 2012 Das 19. Drei-Länder-Treffen findet am 3.–5.5.2012 in Zürich statt. Auch diesmal liegt der Schwerpunkt in der rechtsvergleichenden Betrachtung von IT-Rechtsfragen. Neben allgemeinen Überblicken über die Rechtsentwicklung des IT-Rechts sind Themen die neueren Entwicklungen im 272
Jahreschronik 2011
Lizenzvertragsrecht, die Zukunft der IT-Vertragsgestaltung vor dem Hintergrund des Entwurfs des Gemeinsamen Europäischen Kaufrechts und das Zusammenspiel von Datenschutz und Social Media. Die 13. Herbstakademie der DSRI wird am 12.–15.9.2012 in der historischen Statthalle in Wuppertal in Kooperation mit dem Zentrum für interdisziplinäre Sprachforschung der Bergischen Universität Wuppertal stattfinden. Thema ist „IT und Internet – mit Recht gestalten“. Wie gewohnt werden in den Sessions aktuelle Entwicklungen des Informationstechnologierechts behandelt und insbesondere anhand von Case Studies vertieft. Am 20.–22.6.2012 findet in München die IFCLA Conference 2012 statt, an der sich die DGRI als nationaler Gastgeber ideell und auch finanziell fördernd beteiligen wird. Die Jahrestagung 2012 wird am 15.–17.11.2012 in Hamburg stattfinden. Dabei wird im äußeren Ablauf und den Strukturen (Begrüßungsabend, große Themenblöcke, Workshops) an dem bewährten Konzept festgehalten. Unter dem Stichwort „Grenzüberschreitungen“ sollen schwerpunktmäßig europäische Einflüsse im IT-Recht betrachtet werden. Auch hier wird das Thema Datenschutz wieder einen umfassenden Raum einnehmen, ergänzt um praktische Berichte zur Vertragspraxis und zu den technischen Hintergründen. In mehreren Beiträgen sollen auch die Themen Open Innovation, Open Data und die Insolvenz des SoftwareLizenzgebers betrachtet werden.
X. Wissenswertes aus der DGRI 1. Mitgliederentwicklung Per 11.11.2011 betrug die Mitgliederzahl 850 Einzelmitglieder und 49 Firmenmitglieder. Tendenziell werden Großkanzleien Firmenmitglieder, die Zahl der Einzelmitgliedschaften drückt dadurch nicht die Menge der tatsächlich in der DGRI vertretenen Mitglieder und interessierten Einzelpersonen aus. 2. Vorstand Prof. Dr. Andreas Wiebe ist auf der Mitgliederversammlung am 11.11.2011 nach zwölfjähriger Vorstandstätigkeit mit großen Verdiensten und unter allseitigen Dankesbekundungen aus dem Vorstand ausgeschieden. An 273
Peter J. Hoppen
seine Stelle trat Prof. Dr. Axel Metzger, Gottfried Wilhelm Leibnitz Universität Hannover. Der Vorstand besteht seitdem aus dem Vorsitzenden Dr. Anselm BrandiDohrn, den stellvertretenden Vorsitzenden Prof. Dr. Dirk Heckmann und Dr. Helmut Redeker sowie den weiteren Vorstandsmitgliedern Prof. Dr. Peter Bräutigam, Dr. Robert G. Briner, Dr. Axel Funk, Prof. Dr. Axel Metzger, LL.M., Dr. Peter Hoppen und Jörg Wimmers. 3. Beirat Der Beirat hat sich am 6.5.2011 zu seiner jährlichen Sitzung in Frankfurt/Main getroffen. Der Beirat überwacht und begleitet die Arbeit des Vorstandes. Der Vorsitzende, Prof. Dr. Michael Bartsch, hat auf der Mitgliederversammlung die Zufriedenheit des Beirats mit der Arbeit der Gesellschaft zum Ausdruck gebracht. Insbesondere wurden die vom Vorstand verfolgte Linie der Jugendförderung und die große Anzahl von Stellungnahmen zu deutschen und europäischen Gesetzesvorhaben begrüßt. Mit der Mitgliederversammlung am 11.11.2011 schieden Prof. Dr. Michael Bartsch und Prof. Dr. Alfred Büllesbach aus dem Beirat aus, beide Urgesteine der DGRI. Michael Bartsch war Mitinitiator der DGRI und deren Vorläufer-Gesellschaften und hat die Geschicke der DGRI 25 Jahre in verschiedenen Funktionen begleitet und gestaltet. Hier sei auf den Beitrag von Heymann „Immer im Dienste des IT-Rechts – ein Portrait zum 65. Geburtstag von Michael Bartsch“ auf S. 219 in diesem Jahrbuch verwiesen. Auch Alfred Büllesbach hat lange Jahre als Vorsitzender und später als Beirat in der DGRI und in ihren Vorgängergesellschaften sehr aktiv mitgearbeitet. Der Dank für ihre langjährige erfolgreiche und kompetente Tätigkeit kann nicht oft genug ausgesprochen werden. Als neue Mitglieder wurden satzungsgemäß gewählt bzw. vom Vorstand bestimmt: Prof. Dr. Christian Berger, Universität Leipzig, Prof. Dr. Joachim Bornkamm, Vors. Richter am BGH, Dr. Hellmuth Broda, Basel, Prof. Dr. Claudia Eckert, Technische Universität München, Prof. Dr. Gerhard Satzger, KIT Karlsruhe, Prof. Dr. Indra Spiecker genannt Döhmann, LL.M., KIT Karlsruhe, sowie Martin Schallbruch, IT-Direktor Bundesministerium des Inneren, Berlin, und Detlef Ulmer, Göttingen. Daneben gehören dem Beirat noch Dr. Julia Beck, Dr. Otto Schmidt Verlag, Köln, und der Beiratsvorsitzende Dr. Matthias Scholz, LL.M., Baker & McKenzie, Frankfurt a. M., an. 274
Jahreschronik 2011
4. Geschäftsstelle Die Geschäftsstelle wird von RA Prof. Dr. Rupert Vogel in Karlsruhe betrieben und ist zum 1.7.2011 an ihren neuen Standort im Technologiepark Karlsruhe, Emmy-Noether-Straße 17, Karlsruhe, gezogen. Außergewöhnliche Aktivitäten waren in 2011 die Neugestaltung der InternetPräsenz und die Neuorganisation der Prozesse in der Geschäftsstelle. Dazu gehörte die Aufbereitung und Überführung von Datenbeständen in strukturierte Datenbanken. Seit Herbst 2011 hat die Geschäftsstelle auch die Pflege der Homepage übernommen.
275
.
Fachausschuss Datenschutz: Jahresbericht 2011 Dr. Eugen Ehmann Regierungsvizepräsident, Ansbach
Dr. Robert Selk, LL.M. Rechtsanwalt und Fachanwalt für IT-Recht, München
I. Arbeitssitzung Es fand im Berichtsjahr eine Sitzung noch Ende 2010 statt und zwar in Nürnberg zum Thema „Business Intelligence und Datenschutz“. Als Referent konnte mit Herrn Amtage (b.telligent, München) der Geschäftsführer einer auf BI-spezialisierten Consultingfirma gewonnen werden, der mit Herrn RA Dr. Selk im Wechselspiel zwischen technisch Machbaren und rechtlich Möglichem durch verschiedene BI-Themen führte. Es ergab sich eine lange und spannende Diskussion, u. a. mit den eingeladenen Mitarbeitern der Bayerischen Aufsichtsbehörde für den Datenschutz. Für den Sommer 2011 war eine weitere Sitzung zum – aus der Sicht von Anfang 2011 dann voraussichtlich schon vorliegenden – Beschäftigtendatenschutzgesetz geplant. Da dieses Gesetz aber entgegen den Erwartungen nicht mehr vor der Sommerpause verabschiedet, sondern vielmehr angekündigt wurde, dass die Verabschiedung zeitnah nach der Sommerpause erfolgen würde, wurde die Sitzung dann für den Herbst geplant. Da sich die weitere Behandlung des Entwurfs eines Beschäftigtendatenschutzgesetzes aber nach wie vor hinzieht und derzeit ein Ende nicht absehbar ist, wird die nächste Sitzung erst im Januar/Februar 2012 stattfinden und sich zwar auch mit dem (dann) aktuellen Stand des Beschäftigtendatenschutzes schwerpunktmässig aber mit den neuen Datenschutzentwürfen der EU beschäftigen. Der geschilderte Ablauf zeigt einmal mehr, wie dynamisch die Entwicklungen im Datenschutz nach wie vor verlaufen.
II. Stellungnahmen Im Rahmen von Gesetzgebungsvorhaben erfolgte eine Stellungnahme zur datenschutzrechtlichen Seite der geplanten Testamentsregister-Verordnung. 277
Eugen Ehmann/Robert Selk
Betreffend eine öffentliche Anhörung der EU-Kommission zur „Data Breach Notification“ erfolgte eine interne Diskussion zur Beteiligung. Für eine formale Stellungnahme konnten aufgrund des sehr ungünstig gelegenen Abgabetermins in den Sommerferien in der Kürze der zur Verfügung stehenden Zeit keine gemeinsame Position gefunden werden. Das weitere Verfahren wird jedoch beobachtet. Inzwischen ist davon auszugehen, dass die Diskussion über dieses Thema im Rahmen der geplanten Datenschutzverordnung zu führen sein wird.
III. Entwicklungen 2011 Trotz der großen politischen Ereignisse sowohl in Deutschland wie international blieb der Datenschutz auch 2011 in der Politik wie den Medien ein wichtiges Thema. Die Diskussion um ein neues Beschäftigungsdatenschutzgesetz trat im Verhältnis zum Vorjahr aber deutlich in den Hintergrund, auch deswegen, da politisch insofern eher wenig Bewegung erkennbar war. Nennenswert ist der Vorstoß des Bundesrats, das TMG zu novellieren. Die Bundesregierung griff den Gesetzesvorschlag allerdings nicht auf. Dort wäre eine Regelung zur Umsetzung der „Cookie-Richtlinie“ enthalten gewesen, die bekanntlich bis zum 25.5.2011 hätte umgesetzt werden müssen. Eine Umsetzung steht bis heute aus. Der Gesetzesentwurf enthielt auch Vorschläge zum datenschutzrechtlichen Umgang mit sozialen Netzwerken. Die Diskussion um den Datenschutz in sozialen Netzwerken, vor allem bei Facebook, war eines der bestimmenden Datenschutz-Themen in 2011, nicht zuletzt in Hinblick auf den Like-It-Button und die Meinung der Aufsichtsbehörde Schleswig-Holstein dazu. Im zweiten Halbjahr 2011 rückte die Novellierung der EU-DatenschutzRichtlinie sodann in den Focus der Öffentlichkeit, vor allem als Ende 2011 relativ verbindlich kommuniziert wurde, dass es nicht bei einer Richtlinie bleiben würde, sondern der Datenschutz vielmehr in Form einer Verordnung novelliert werden soll und zwar in vielen Bereichen durchaus grundlegend (abhängig vom Stand des Betrachters). Kurz vor dem Jahreswechsel erschien ein inoffizieller Entwurf der geplanten Verordnung, mit dem datenschutzrechtlich das Jahr ausklang.
278
Fachausschuss Datenschutz: Jahresbericht 2011
IV. Ausblick Im nächsten Jahr wird der Entwurf der am 25.1.2012 vorgestellten offiziellen Fassung des Verordnungs-Entwurfs die Datenschutz-Diskussion beherrschen. Ein davon unabhängiges und noch offenes Thema ist die Umsetzung der Cookie-Richtlinie, bei der Dringlichkeit besteht. Andere Länder, wie etwa England, haben bereits vorgemacht, wie sinnvolle Regelungen dazu geschaffen werden können. Ob einem speziellen Beschäftigtendatenschutzgesetz in Anbetracht der Neuordnung durch die angedachte Verordnung viel Zukunft beschieden ist, wird kontrovers diskutiert. Es spricht viel dafür, dass die Politik ihre Ressourcen in die Diskussion um die Verordnung investieren und das Beschäftigungsdatenschutzgesetz – einmal mehr – nach und nach in den Hintergrund treten wird, wenngleich im Bereich des Beschäftigtendatenschutzes nach derzeitigem Stand der Verordnung nationale Regelungen nicht ausgeschlossen wären. Der Fachausschuss wird sich im Jahre 2012 intensiv mit dem Verordnungsentwurf beschäftigen.
279
.
DGRI-Fachausschuss „Firmenjuristen“ Dr. Roland Bömer Rechtsanwalt & Wirtschaftsmediator (IHK)
Mitglieder dieses Fachausschuss sind mehr als 120 Firmenjuristen, die in Unternehmen der IT-, Telekommunikations- und Neue-MedienBranche tätig sind. Der Fachausschuss beschäftigte sich im Jahre 2011 mit aktuellen rechtlichen Fragen der IT-, Telekommunikations- und Neue-Medien-Branche sowie mit konkreten juristischen Fallgestaltungen, die insbesondere Firmenjuristen betreffen (wie z. B. E-Commerce, Gestaltung von elektronischen Vertriebswegen, Urheberrecht, Sicherheit der elektronischen Zahlung, moderne Gestaltung von flexiblen Arbeitszeitmodellen, Datenschutz, etc.). Darüber hinaus diskutierten die Mitglieder dieses Fachausschusses praktische und organisatorische Probleme, die sich in der täglichen Arbeit eines Firmenjuristen stellen (z. B. Einsatz technischer Hilfsmittel in der Rechtsabteilung, Outsourcing von Legal Services, Verbot privater Emails am Arbeitsplatz, Flexibles Büro und Home Office, etc.). Die Höhepunkte des Fachauschusses im Jahre 2011 waren die beiden Arbeits-Treffen, die jeweils von 30–40 Mitgliedern besucht wurden: 1. am 21.1.2011 bei der Allianz Deutschland in Unterföhring (bei München) mit folgenden Themen: –
Vorstellung der Allianz AMOS Frau Christiane Vedder
–
Half Life 2 – Neues vom BGH zu Erschöpfung und Online-Vertriebsmodellen RA Dr. Anselm Brandi-Dohrn (Vorsitzender des Vorstandes der DGRI)
–
Unternehmensjuristen in der Rechtsanwaltsversorgung – Voraussetzungen der Befreiung von der gesetzlichen Rentenversicherung Hans-Peter Berger (General Counsel, Capgemini Deutschland Holding GmbH)
–
Führung durch das Rechenzentrum der Allianz AMOS Lars Radau (Allianz AMOS)
281
Roland Bömer
2. am 17.6.2011 bei der DEKA Bank, Frankfurt, mit folgenden Themen: –
Kurzvorstellung der DEKA Bank, Vorstellung der Teilnehmer Boris Hallik (DEKA Bank)
–
Ticket System – Organisation der Bearbeitung von Anfragen in der Rechtsabteilung, technisch möglich, aber auch gewollt? RA Kai Recke, Sedo GmbH Die Teilnehmer diskutierten kritisch die einzelnen Faktoren eines Ticket Systems und sahen insbesondere die Akzeptanz als problematisch. Herr Recke stellte jedoch fest, dass die Akzeptanz in seinem Hause bei ca. 90 % liege. Die durch die Tickets bestehende Möglichkeit der Mitarbeiterkontrolle wurde als möglich gesehen, aber als in der täglichen Praxis bei der Sedo GmbH verneint.
–
Praxisbericht und Diskussion: Welche Anforderungen sollte ein guter Legal Service haben? IT/ORG, Leiterin Immobilien-, HR- und Logistiksysteme, Frau Dr. Ute Skibbe und Boris Hallik Im Rahmen einer ersten Workshopfrage schrieben alle Teilnehmer die für sie wichtigste Qualifikation der IT-Firmenjuristen auf. Herr Hallik stellte erste mögliche Ideen zur standarisierten Qualifikation von Mitarbeiter der Rechtsabteilung vor und nannte hier insbesondere den Ausbau von Fähigkeit der Präsentation und der Verhandlungstechnik Frau Dr. Skibbe beschrieb die aus Ihrer Sicht wichtigsten Elemente eines guten „IT-Juristen“.Anschließend: Diskussion.
–
Cloud Computing aus Sicht eines Versicherers/Finanzdienstleisters Christiane V. Vedder, Senior Legal, Allianz AMOS Frau Vedder stellte den Teilnehmern Definitionen zum Cloud Computing und die unterschiedlichen Arten von Cloud vor. Die von ihr angeführten Probleme aus dem StGB, KWG und BDSG wurden von den Teilnehmern kritisch diskutiert.
–
Chinesisches Softwarerecht Dr. Thomas Söbbing, Deutsche Leasing IT Herr Dr. Söbbing spiegelte in seinem Vortrag die typischen beiden Bilder über die Software, Softwareindustrie, Qualität der Produkte und das IT-Recht wider. Er stellte fest, dass nach seiner Wertung das chinesische IT-Recht moderner und besser als das deutsche Recht ist und stellte die allgemeinen Grundsätze zum Softwaregesetz und
282
DGRI-Fachausschuss „Firmenjuristen“
dem Urhebergesetzt vor. Zudem erläuterte er kurz das chinesische Vertragsrecht, welches in starker Anlehnung an das dt. Recht entstanden ist. –
Drinks im Loungebereich des 44. OG der DEKA Bank
Neben den beiden genannten Arbeits-Treffen waren die Mitglieder dieses Fachausschuss in regelmäßigem Email-Kontakt zu aktuellen Themen. Die Mitglieder des Fachausschusses Firmenjuristen bedanken sich beim Vorstand der DGRI noch einmal dafür, dass Ihnen durch diesen Fachausschuss ein Forum exklusiv für Kolleg(inn)en mit nachgewiesener Tätigkeit in Unternehmen geboten wird.
283
.
Fachausschuss Internet & eCommerce Prof. Dr. Axel Metzger/Jörg Wimmers Der im Jahr 2009 ins Leben gerufene Fachausschuss Internet & eCommerce widmet sich schwerpunktmäßig rechtlichen Fragen im Zusammenhang mit dem zunehmenden Verschmelzen von Medieninhalten und Technologien, die sich der trennscharfen Unterordnung unter die klassischen Rechtsbereiche Medienrecht einerseits und Informationstechnologie- und Telekommunikationsrecht andererseits entziehen. Ein besonderer Schwerpunkt der Ausschussarbeit liegt seit Beginn bei der rechtlichen Verantwortlichkeit von Internet Service Providern bei Rechtsverletzungen, die durch Nutzer der Dienste begangen werden. Hier stellt sich zunächst die Frage, ob Provider als Störer auf Unterlassung in Anspruch genommen werden können und welche Prüfpflichten bestehen. Diese Fragestellung war Gegenstand der ersten Sitzung des Fachausschusses am 8.6.2009 in Berlin mit dem Titel „Braucht das Netz einen doppelten Boden? Die Verantwortung der Provider im Internet“ (Referenten: Prof. Dr. Matthias Leistner, Universität Bonn; Dr. Arnd Haller, Google, Hamburg; Dr. Oliver Schwenzer, EMI Music Publishing, Hamburg).1 Die zweite Ausschusssitzung am 9.12.2009 befasste sich mit den Auskunftsansprüchen von Rechtsinhabern gem. § 101 UrhG, insbesondere der Pflicht zur Offenlegung der Identität von Nutzern bei dynamischen IP-Adressen: „Ein Jahr (Dritt-)Auskunftsanspruch“ (Referenten: Prof. Dr. Nikolaus Forgó, Leibniz Universität Hannover, Bolko Rachow, VorsRiLG Hamburg, Dr. Till Kreutzer, Hamburg).2 Ein weiterer Themenschwerpunkt des Fachausschusses betrifft die Grenzen der zulässigen Nutzung schutzfähiger Inhalte im Internet und hier insbesondere die Frage, in welcher Weise frei verfügbare Inhalte durch Suchmaschinen und andere Internetdienste weiterverarbeitet werden dürfen. Anlässlich der vielbeachteten BGH-Entscheidung zur Rechtmäßigkeit der Bildersuche im Internet3 stellte der Fachausschuss bei seiner dritten Sitzung am 14.6.2010 die „Einwilligung im Urheberrecht _________________
1 Siehe den ausführlichen Bericht von Barudi/Fiedler in Computer und Recht 2009, S. R-92–93. 2 Siehe den ausführlichen Bericht von Barudi in Computer und Recht 2010, R-20–21. 3 BGH CR 2010, 463.
285
Axel Metzger/Jörg Wimmers
bei Internetnutzungen – Möglichkeiten und Grenzen“ in den Mittelpunkt (Referenten: Prof. Dr. Ansgar Ohly, Universität Bayreuth, Dr. Tilo Gerlach, GVL Berlin, Jörg Heidrich, Heise Verlag, Hannover). Die Ausschussarbeit stand im Jahr 2011 ganz im Zeichen der verschiedenen Reformvorhaben im Bereich des Urheberrechts, die für die Arbeit des Fachausschusses zentral sind. Zum einen hatte sich der Fachausschuss aktiv an den Konsultationen zu den nationalen und europäischen Gesetzgebungsinitiativen zu verwaisten Werken, aber auch den Anhörungen des BMJ zur Reform des Urheberrechts beteiligt. Zum anderen war die für die zweite Jahreshälfte geplante Fachausschussitzung dem angekündigten Gesetzentwurf zum sog. „Dritten Korb“ zum Urheberrecht in der Informationsgesellschaft gewidmet. Diese Sitzung musste vertagt werden, nachdem die Veröffentlichung des Gesetzentwurfs mehrfach verschoben worden ist; der Entwurf liegt bekanntlich bis heute nicht vor. Der Fachausschuss wird das Thema nach Veröffentlichung des Regierungsentwurfs zeitnah aufgreifen.
286
Bericht Fachausschuss Rechtsinformatik Prof. Dr. Andreas Wiebe Die Rechtsinformatik ist nach wie vor begrifflich nicht eindeutig definiert. Nach einem weiten Verständnis gehören dazu sowohl die Anwendung von Informatiksystemen im Recht und der dazu gehörige theoretische „Unterbau“ ebenso wie das IT- und Informationsrecht. Der Fachausschuss Rechtsinformatik folgt einem engeren Verständnis. Aktuelle Entwicklungen erfolgen vor allem im Bereich Verwaltungsinformatik/eGovernment und E-Justice. Hier setzt sich auch auf Seiten der Informatik zunehmend die Einsicht durch, dass der Blick nicht zu stark auf die technische Entwicklung verengt werden darf, sondern auch die rechtlichen und organisatorischen Rahmenbedingungen einbezogen werden müssen. Hier ist aber im Dialog zwischen Recht und Informatik weiterhin viel Arbeit zu leisten. In der gesellschaftlichen Diskussion werden zunehmend die Möglichkeiten der Bürgerbeteiligung erkannt, die ICT bietet. Dies wird unter dem Stichwort „E-Partizipation“ auch ein wichtiges gesellschaftliches Diskussionsthema der nächsten Jahre sein. Dabei ergeben sich auch neue Möglichkeiten der Bürger, bereits zu einem frühen Zeitpunkt gestaltend tätig zu sein. Unter dem Stichwort „Good Governance“ wird nicht hat nur mehr Effektivität, sondern auch mehr Offenheit und Transparenz gefordert. Neben der OECD hat auch die U.S.-Regierung eine Open GovernmentPrinzipien veröffentlicht1 und fördert damit den Trend zu Open Data. Nicht zuletzt der derzeit Erfolg der Piratenpartei in Deutschland zeigt, dass auch hierzulande ein weit verbreitetes Bedürfnis in dieser Richtung besteht. Der Fortschritt der Technik und die Beteiligung von Communities sind hier sich Faktoren, die neue Entwicklungen begünstigen können. Es bleiben aber die Risiken, etwa für den Datenschutz oder das sog. Digital divide, zu beachten. Auch in Österreich zeigt der Trend zu Open Data Resultate (vgl. etwa http://data.wien.gv.at). Demgegenüber ist es um die „klassische“ Rechtsinformatik relativ ruhig, wenn man denn den Bereich der Verwaltungsinformatik/EGovernment _________________
1 Dawes/Helbig, Information Strategies for Open Government: Challenges and Prospects for Deriving public Value from Government Transparency, in: M. Wimmer u. a. (Hrsg.), Electronic Government, EGOV 2010, LNCS 6228, 2010, S. 50 ff.
287
Andreas Wiebe
abtrennen will. Auf der vom Fachausschuss Rechtsinformatik zusammen mit dem entsprechenden Ausschuss der GI organisierten Fachtagung in Wien im Dezember 2011 (http://www.univie.ac.at/RI/ FTRI2011/) waren u. a. Information Retrieval Systeme im juristischen Bereich sowie Fortschritte im Bereich der Rechtsinformation ein Thema. Im Bereich der Formalisierung des Rechts geht es u. a. um semantische Räume. Es mangelt nicht an konkreten Forschungsprojekten, häufig ist aber die Information darüber und die Vernetzung der Projekte ein Problem. Zu beachten wird auch die Diskussion zum Verordnungsvorschlag der EU-Kommission zum Datenschutzrecht vom Januar 2012 sein. Die EUKommission versucht einen Paradigmenwechsel, der u. a. Privacy by Design mehr Bedeutung zuerkennt. Dies entspricht den bereits lange diskutierten Ansätzen einer rechtskonformen Technikgestaltung. Die DGRI kann mit ihrem herausragenden juristischen Sachverstand im Dialog mit der Informatik wichtige interdisziplinäre Beiträge leisten. Dies gilt auch und besonders im Verhältnis zur GI. Hier soll der Fachausschuss in ausgewählten Themenbereich in Zukunft noch stärker aktiv werden. Alle Interessierten sind herzlich eingeladen, Interesse und konkrete Themen zu benennen ([email protected]).
288
Fachausschuss Vertragsrecht: Jahresbericht 2011 Dr. Thomas Stögmüller, LL.M. (Berkeley) Rechtsanwalt und Fachanwalt für Informationstechnologierecht, München
Dr. Mathias Lejeune Rechtsanwalt, München
Der Fachausschuss Vertragsrecht führte im Jahr 2011 zwei Sitzungen durch und nahm zu einem Gesetzgebungsverfahren Stellung. Auf der Sitzung am Freitag, 6.5.2011 in den Räumen der Kanzlei Waldeck Rechtsanwälte in Frankfurt referierte zunächst Frau Rechtsanwältin Dr. Romina Polley, Cleary Gottlieb Steen & Hamilton, zu dem Thema „Softwarevertrieb und Kartellrecht – welche GVO gilt?“ Sie erörterte hierbei, nach welchen kartellrechtlichen Regularien sich der Vertrieb von Software zu richten hat, welche Art des Softwarevertriebs unter die Vertikal-GVO und die Technologietransfer-GVO fällt und auf welche Verträge gar keine GVO anwendbar ist. Im zweiten Vortrag stellte Frau Rechtsanwältin Bettina Komarnicki, LL.M., FPS Rechtsanwälte und Notare, die Verantwortlichkeiten des Anbieters bei unzureichender oder fehlender Installationsanleitung oder Benutzerdokumentation nach aktueller Rechtslage dar. Sie führte hierbei aus, welche Art an Software-Dokumentation bereitgestellt werden muss, und unterschied u. a. zwischen Unternehmenssoftware einerseits und Consumer-Software andererseits. Schließlich stellte die Referentin die Rechtsfolgen bei nicht gelieferter oder mangelhafter Dokumentation dar. Am Freitag, 25.11.2011 fand in den Räumen der Kanzlei Jones Day in München eine Sitzung zum Thema „Open Source total: Technik – Recht – Praxis“ statt. Hierbei stellte zunächst Herr Oliver Fendt, Leiter des Open Source Fachzentrums von Siemens, die technischen Gegebenheiten beim Einsatz von Open Source Software dar und erläuterte, wie Open Source Software aus technischer Sicht in Projekte mit proprietärer Software eingebunden werden kann. Im Folgenden erörterte Rechtsanwalt Dr. Till Jaeger, Partner bei JBB Rechtsanwälte und Mitbegründer des Instituts für Rechtsfragen der Freien und Open Source Software, die rechtlichen Aspekte von Open Source Software. Hierbei erläuterte er insbesondere den „Copyleft“-Effekt, stellte dessen Reichweite dar und diskutierte die Kompatibilität von Open Source-Lizenzen sowie die Frei289
Thomas Stögmüller/Mathias Lejeune
gabe von Eigenentwicklungen. Als dritter Referent berichtete Herr Peter Hofmann, Projektleiter „LiMux“ der Landeshauptstadt München, über die Erfahrung der Stadt München bei der Einführung von Open Source Software als zentrale Software für die Stadtverwaltung. In einer Stellungnahme vom 19.11.2010 hat der Fachausschuss Vertragsrecht zu einem „Entwurf eines Gesetzes zur Änderung des Bürgerlichen Gesetzbuches zum besseren Schutz der Verbraucherinnen und Verbraucher vor Kostenfallen im elektronischen Geschäftsverkehr“ Stellung genommen. Dieser Gesetzesentwurf sieht vor, dass durch Einführung einer sogenannten „Buttonlösung“ Verbraucher bei Bestellungen im Internet besser gegen „Download-Fallen“ geschützt werden. Hiernach soll der Verbraucher über eine zusätzliche Schaltfläche, die mit den Wörtern „zahlungspflichtig bestellen“ oder einer entsprechenden eindeutigen Formulierung beschriftet ist, auf die Entgeltpflichtigkeit des Bestellvorgangs hingewiesen werden. In seiner Stellungnahme zum Referentenentwurf des Bundesministeriums der Justiz hat der Fachausschuss darauf hingewiesen, dass nicht davon auszugehen sei, dass sich durch das Gesetzgebungsvorhaben der Rechtsschutz für Verbraucher deutlich verbessern werde, da bereits umfassende Hinweispflichten bestehen und zu befürchten sei, dass unseriöse Internet-Anbieter sich auch nicht durch diese „Buttonlösung“ abhalten lassen. Auf der anderen Seite werden auch seriöse Internet-Anbieter durch die zusätzlichen Hinweispflichten und die Implementierung und Nachweisbarkeit der „Buttonlösung“ übermäßig belastet. Am 3.2.2011 war die DGRI bei einem Anhörungstermin des Bundesministeriums der Justiz in Berlin durch ihren Vorsitzenden Dr. Anselm Brandi-Dohrn und durch den CoLeiter des Fachausschusses Vertragsrecht Dr. Thomas Stögmüller vertreten. Die Leitung des Fachausschusses Vertragsrecht in Person der Rechtsanwälte Dr. Mathias Lejeune und Dr. Thomas Stögmüller bedankt sich bei den Referenten für die interessanten und detailreichen Vorträge, beim Vorstand der DGRI für die angenehme und konstruktive Zusammenarbeit sowie bei den Mitgliedern für das große Interesse und die zahlreiche Teilnahme, und nimmt gerne Themenvorschläge aus dem Mitgliederkreis für künftige Veranstaltungen auf.
290
Jahresrückblick 2011 des Fachausschuss Wirtschaftsund Steuerrecht Isabell Conrad 1. Die Geschäftsführung des Fachausschusses Wirtschafts- und Steuerrecht der Deutschen Gesellschaft für Recht und Informatik e.V. hat sich im Januar 2011 um Herrn Steuerberater Prof. Dr. Michael Reitsam verstärkt. Prof. Reitsam übernimmt das Amt des auf eigenen Wunsch aus der Geschäftsführung ausgeschiedenen Prof. Dr. Jens M. Schmittmann und wird gemeinsam mit der bisherigen Geschäftsführerin Rechtsanwältin Isabell Conrad die Arbeit des Fachausschusses voranbringen. Die neue Geschäftsführung dankt Herrn Prof. Schmittmann für sein langjähriges Engagement. 2. In 2011 hat der Fachausschuss einen Schwerpunkt in den IT-relevanten Bereichen des Insolvenz-, Wettbewerbs- und Arbeitsrecht sowie bei Know-How-Schutz und Compliance gesetzt. Prof. Reitsam übernimmt seit 2011 speziell die steuerrechtlichen Themen des Fachausschusses. Offenlegung von Informationen, Daten und Know-How – Praxishinweise zum Risikomanagement Autoren: Isabell Conrad Speziell I.: Michael Reitsam, Karl Sollinger Speziell II.: Isabell Conrad, Jens M. Schmittmann Speziell III.: Isabell Conrad, Dominik Hausen Compliance ist nicht nur ein Thema für Innenrevision und Wirtschaftsprüfung. Steuerliche, insolvenzrechtliche, datenschutz- und arbeitsrechtliche Haftungsrisiken sind für jedes Unternehmen und jede Einkaufsabteilung von Bedeutung. Der DGRI-Fachausschuss Wirtschaftsund Steuerrecht und der Bundesverband Materialwirtschaft, Einkauf und Logistik e.V. (BME) haben am 29.6.2011 einen Workshop mit folgenden Themen durchgeführt: I. Pflicht zur elektronischen Übermittlung der Bilanzdaten ab 2013 – E-Bilanz (I.); aktuelle Entwicklungen bei Lizenzen in der Insolvenz (II.); Know-How- und Datenschutz beim Einsatz externer Mitarbeiter im Einkauf (III.); Global 291
Isabell Conrad
Sourcing Asia – Gestaltungshinweise für Verträge mit Partnern in „unsicheren Drittländern“ (IV.). Die Teilnehmer des Workshops bestanden je zur Hälfte aus DGRI- und BME-Mitgliedern. Die Hochschule für angewandte Wissenschaften München hat freundlicherweise ihre frisch renovierten Räumlichkeiten für diesen Workshop zur Verfügung gestellt. Der Fachausschuss dankt dem Rektor der Hochschule, der auch ein Grußwort gesprochen hat. Der BME hat ein großzügiges Buffet gesponsert. E-Bilanz, „Insolvenzfestigkeit“ von Lizenzen sowie Geheimnis- und Datenschutz bei externen Mitarbeitern und bei Geschäftspartnern in Asien – auf den ersten Blick haben die Referate wenige Gemeinsamkeiten. Bei näherer Betrachtung geht es letztlich bei allen vier Themen um die Frage, welche Risiken Unternehmen eingehen, wenn sie sensible Informationen und Daten offenlegen, auslagern oder nicht (mehr) verfügbar haben. Bei der E-Bilanz können sich Nachteile für die Unternehmen etwa aus erhöhten Aufwendungen für die IT-Umstellung und geänderte Datenverwaltung ergeben. Bei Lizenzen in der Insolvenz liegen die Risiken u. a. in der Nichtverfügbarkeit von wichtigen Unternehmensdaten oder im Ausfall von Unternehmensprozessen, wenn aufgrund einer Insolvenz des Softwareanbieters der Lizenzgeber die Lizenz nicht weiter nutzen darf und/oder der Lizenzgeber keinen Zugriff auf den Quellcode hat. Bei externen Mitarbeitern, die vom Unternehmen wie Arbeitnehmer behandelt werden, und bei Geschäftspartnern in Asien liegt der Fokus auf dem Schutz der Vertraulichkeit von sensiblen Daten. Ein Ziel des Workshops war, speziell Führungskräften in Einkaufsabteilungen und ihren beratenden Anwälten einen Überblick über aktuelle rechtliche Risikobereiche im Zusammenhang mit der Offenlegung und Übermittlung von Informationen, Daten und Know-How zu geben und Lösungsansätze vorzustellen. Speziell im Hinblick auf die E-Bilanz sind die Unternehmen zur elektronischen Übermittlung von Unternehmensdaten an die Finanzämter gesetzlich verpflichtet. Als erster Referent sprach StB Prof. Dr. Michael Reitsam zur E-Bilanz.
I. Pflicht zur elektronischen Übermittlung des Jahresabschlusses ab 2013 – Vorteile für die Finanzämter, Aufgaben und Risiken für Unternehmen Für Wirtschaftsjahre, die nach dem 31.12.2011 beginnen, müssen Unternehmen Bilanzen und Gewinn- und Verlustrechnungen nach amtlich 292
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
vorgeschriebenen Datensatz elektronisch übermitteln. Hierfür sind erhebliche Anpassungen in den Prozessen der Finanzbuchhaltung und der IT notwendig. Auch wenn das Bundesfinanzministerium für den Veranlagungszeitraum 2012 als Übergangslösung noch eine Papierbilanz akzeptiert, sollten sich betroffene Unternehmen schon frühzeitig darüber informieren, um die Voraussetzungen für die Umsetzung der Anforderungen der E-Bilanz zu schaffen. Dazu gehören neben den technischen Voraussetzungen auch theoretische Kenntnisse zur Taxonomie und den damit verbundenen möglichen Änderungen im Buchungsverhalten der Unternehmen. 1. Hintergrund der Einführung und rechtliche Grundlage Als Bestandteil der von der Finanzverwaltung verfolgten E-Government-Strategie ist die E-Bilanz ein wichtiger Baustein auf dem Weg zu einer Digitalisierung der Steuerverwaltung und der medienbruchfreien Kommunikation mit den Steuerpflichtigen. Die Finanzverwaltung kann zukünftig die elektronisch gelieferten Daten nutzen, um automatisierte Analysen und Vergleiche durchzuführen sowie ein Risikomanagementsystem aufzubauen. Demgegenüber soll es aber auch für Unternehmen aufgrund der elektronischen und damit schnellen Übermittlung zu Synergie- und Kosteneinsparungseffekten kommen. Die Rechtsgrundlage für die E-Bilanz bildet der durch das Steuerbürokratieabbaugesetz vom 20.12.2008 neu eingeführte § 5b des Einkommensteuergesetzes. Die Regelungen gelten erstmals für Wirtschaftsjahre, die nach dem 31.12.2011 beginnen. Es wird aber von der Finanzverwaltung nicht beanstandet, wenn bilanzierende Unternehmen Ihre Bilanz und Gewinn- und Verlustrechnung für das Jahr 2012 noch nicht elektronisch an die Finanzverwaltung übermitteln. Aufgrund dieser Nichtbeanstandungsregelung werden daher Unternehmen regelmäßig im Jahr 2013 erstmals eine E-Bilanz an die Finanzverwaltung übermitteln. 2. Amtlich vorgeschriebener Datensatz (Taxonomie) Die Taxonomie, die über die eingerichtete Internetseite www.eSteuer.de abgerufen werden kann, gibt die Struktur und den Umfang der vom Unternehmen zu liefernden Daten vor und bildet damit das Kernstück der Regelungen zur E-Bilanz. Neben Daten aus der Bilanz sowie der Gewinn- und Verlustrechnung müssen auch verschiedene Stammdaten übermittelt werden. Innerhalb dieser Taxonomie werden hunderte An293
Conrad/Reitsam/Sollinger
gaben, getrennt nach Einzelunternehmen, Personen- und Kapitalgesellschaften abgefragt. Durch die von der Finanzverwaltung vorgegebene Taxonomie wird damit die Datenübermittlung nicht nur technisch, sondern auch inhaltlich standardisiert, d. h. alle Unternehmen müssen denselben Mindestumfang an steuerlichen Daten der Finanzverwaltung übermitteln. Um die Eingriffe in das Buchungsverhalten von Unternehmen möglichst gering zu halten, sind im Datenschema der Taxonomie aber auch Auffangpositionen vorgesehen, die ein Steuerpflichtiger nutzen kann, sofern er eine vorgegebene Differenzierung für einen bestimmten Sachverhalt nicht aus seiner Buchhaltung ableiten kann. 3. Auswirkungen und Aufgaben für Unternehmen und Softwareanbieter Aufgrund der gestiegenen Komplexität sowie der detaillierten Gliederung der steuerlichen Vorgänge wird zukünftig zur zeitnahen und effizienten Erstellung einer Steuerbilanz die kontinuierliche bzw. unterjährige Erfassung und Bewertung von Steuervorgängen in den Rechnungslegungssystemen unabdingbar sein. Als Lösung bietet sich hierzu insbesondere die Einführung einer parallelen Rechnungslegung in den Buchführungssystemen an. Durch diesen Ansatz einer „integrierten Steuerbuchführung“ können zeitnah alle notwendigen Informationen für das Reporting an die Finanzverwaltung bereitgestellt werden. Dabei wird es allerdings regelmäßig zu erheblichen Anpassungen des bestehenden Kontenrahmens kommen, wodurch auch Kosten für spezielle Schulungen der Mitarbeiter verursacht werden. Ferner wird für die Übermittlung der Datensätze der international verbreitete XBRL-Standard (eXentible Business Reporting Language) verwendet. Jedes Finanz- und Rechnungswesen ist somit zwischenzeitlich auf XBRL-Konformität zu überprüfen bzw. umzustellen. 4. Fazit Spätestens Anfang 2012 werden Unternehmen gezwungen sein, sich auf die Anforderungen zur Erstellung einer E-Bilanz einzustellen. Andernfalls setzen sich Unternehmen sowohl der Gefahr von häufigen Betriebsprüfungen bei Übermittlung falscher Daten als auch der Gefahr der Festsetzung von Zwangsgeldern bei fehlender Übermittlung aus. Die durch Einführung der E-Bilanz verursachten Umstellungskosten werden dabei nicht nur durch neue technologische Anforderungen, son294
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
dern vor allem durch organisatorische und buchhalterische Anpassungen verursacht. Nicht nur das Steuerrecht zwingt Unternehmen zu erheblichen Aufwendungen für Compliance-Maßnahmen. Auch das insolvenzrechtliche Lizenzmanagement kann Kosten verursachen und Risiken bergen, die bei der unternehmerischen Entscheidung über eine Auslagerung oder einen Erwerb von Softwareüberlassungs-, Marken- oder Patent-Lizenzen bisweilen übersehen werden. Das gilt insbesondere dann, wenn der Lizenznehmer bei Vertragsschluss und ggf. während des laufenden Betriebs keine Vorsorge für eine mögliche Insolvenz des Lizenzgebers getroffen hat. Dazu referierte RA StB Prof. Dr. Jens M. Schmittmann.
II. Alle Jahre wieder: Aktuelle Entwicklungen bei Lizenzen in der Insolvenz Bei Softwareüberlassung (insbesondere bei Individualsoftware) sind die Lizenznehmer darauf angewiesen, dass ihnen die Nutzungsrechte an der Lizenz dauerhaft zur Verfügung stehen, erforderliche Aktualisierungen an der Software vorgenommen werden können und eine dauerhafte Programmpflege stattfindet. Ist ein gegenseitiger Vertrag zum Zeit des Insolvenzverfahrens vom Lizenzgeber (Anbieter, Insolvenzschuldner) und vom Lizenznehmer (Kunde) nicht oder nicht vollständig erfüllt, so kann der Insolvenzverwalter gemäß § 103 Abs. 1 InsO anstelle des Schuldners den Vertrag erfüllen und die Erfüllung Lizenznehmer verlangen. Lehnt der Verwalter die Erfüllung ab, so kann der Lizenznehmer gemäß § 103 Abs. 2 Satz 1 InsO eine Forderung wegen Nichterfüllung nur als Insolvenzgläubiger geltend machen. Häufiger kommt es vor, dass der Kunde bei Insolvenz des Anbieters mit dem Insolvenzverwalter verhandelt, ohne rechtlich beraten zu sein. Das gilt insbesondere bei ausländischen Kunden. In diesen Fällen ist den Kunden bisweilen nicht bekannt, dass der Kunde den Verwalter zur Ausübung seines Wahlrechts auffordern muss. Erfolgt die Aufforderung, so hat der Verwalter gemäß § 103 Abs. 2 Satz 2 InsO nach Eröffnung des Insolvenzverfahrens unverzüglich zu erklären, ob er die Erfüllung verlangen will. Unterlässt der Verwalter diese Erklärung, so kann er nicht auf Erfüllung bestehen (§ 103 Abs. 2 Satz 3 InsO). Unterbleibt die Aufforderung des Kunden, bleibt der Kunde möglicherweise längere Zeit im Ungewissen, wie lange er weiterhin die mit dem insolventen Anbieter vereinbarte (monatliche) Vergütung an den Insolvenzverwalter zahlen muss. Möglicherweise zahlt der Kunde doppelt, wenn er – beunruhigt 295
Conrad/Schmittmann
durch die Insolvenzsituation – bereits einen neuen Anbieter beauftragt hat. Die Insolvenz des Anbieters berechtigt den Kunden nur in seltenen Fällen bei hinzutreten besonderer Umstände zur außerordentlichen Kündigung. 1. BGH-Urteil vom 17.11.2005 zur „Insolvenzfestigkeit“ der aufschiebend bedingten Verfügung Der BGH hat mit Urteil vom 17.11.20051 (IX ZR 162/07, CR 2006, 151) entschieden, dass eine aufschiebend bedingte Verfügung über eine künftige Sache oder ein künftiges Recht unter bestimmten Voraussetzungen insolvenzfest ist. Diese Voraussetzungen sind, dass der fragliche Gegenstand bis zur Insolvenzeröffnung entstanden ist und danach die Bedingung eintritt und dass insolvenzfest vereinbart wird, die Ausübung eines Kündigungsrechts sei die aufschiebende Bedingung für einen Rechtsübergang. Der Rechtsübergang scheitert nach Ansicht des BGH nicht daran, dass er vom Willen des Berechtigten abhängt. Hat vor Insolvenzeröffnung – und sei es nur aufschiebend bedingt – ein dinglicher Rechtsübergang stattgefunden, kann der Insolvenzverwalter diesen nicht mehr dadurch verändern, dass er die Nichterfüllung des zugrundliegenden Vertrages wählt. Das Urteil des BGH lässt Lizenzgeber hoffen, dass es doch eine Möglichkeit gibt, dass sich der Lizenznehmer die Software nach Bedingungseintritt ohne Mitwirkung des Lizenzgebers verschaffen kann. Allerdings sind dafür entsprechende Klarstellungen im Softwareüberlassungsvertrag erforderlich. Zudem besteht das Risiko einer späteren Insolvenzanfechtung (§§ 129 ff. InsO). Für den Kunden ratsamer ist daher die zweiseitige – nicht dreiseitige! – Softwarehinterlegung (Escrow)2, bei der möglichst dem Kunde der Quellcode (mit Dokumentationen) vom Anbieter übergeben wird und der Kunde den Quellcode hinterlegt. Hinterlegt der Anbieter die Software ist fraglich, ob die Hinterlegung bei Insolvenz des Anbieters „insolvenzfest“ ist. _________________
1 BGH v. 17.11.2005 – IX ZR 162/04, ZIP 2006, 87 ff. = CR 2006, 151 ff.; vgl. Plath, CR 2006, 153 ff.; Grützmacher, CR 2006, 289 ff.; Berger, CR 2006, 505 ff.; Fehl, DZWIR 2006, 292 f.; Koehler, WRP 2006, 1342 ff. 2 Schmittmann, Software in der Insolvenz, in Taeger/Wiebe, Tagungsband Herbstakademie 2006; Kast/Schneider/Siegel, Software Ecrow, K&R 2006, 446 ff.; Grützmacher, Insolvenzfeste Softwarelizenz- und Softwarehinterlegungsverträge, CR 2006, 289 ff.; Auer-Reinsdorff, Escrow-Lizenzen und Open Source Software, ITRB 2009, 69 ff.; Kast/Auer-Reinsdorff, Software Escrow, in Auer-Reinsdorff/Conrad, Beck’sches Mandatshandbuch IT-Recht, 2011, S. 537 ff.
296
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
2. Reformvorschlag der Bundesregierung aus 2007 Gerade bei geistigen Eigentumsrechten an Produkten mit hohem Entwicklungsaufwand (z. B. Patente an Arzneimitteln), aber auch bei Überlassung von (Individual-)Software mit hohen Einführungs-/Projektkosten kann das Wahlrecht des Insolvenzverwalters zur Existenzgefährdung des lizenznehmenden Unternehmens führen. Mit Blick darauf hat die Bundesregierung am 5.12.2007 den Entwurf eines Gesetzes zur Entschuldung mittelloser Personen zur Stärkung der Gläubigerrechte sowie zur Regelung der Insolvenzfestigkeit von Lizenzen (BT-Drs. 16/7416) vorgelegt. Im April 2008 fand dazu im Bundestag eine öffentliche Anhörung statt. Zur Umsetzung gelangte der Gesetzesentwurf bislang nicht, insbesondere da zwischen Bund und Ländern keine Einigkeit hinsichtlich der Verbraucherverfahren erzielt werden konnte (zu Referentenentwurf eines § 108a InsO-E vom 18.1.2012 siehe unten 4. am Ende). Durch den Regelungsentwurf der Bundesregierung zur Insolvenzfestigkeit von Lizenzen sollte der Wirtschafts- und Forschungsstandort Deutschland nachhaltig gestärkt, eine mögliche Abwanderung von Unternehmen in das Ausland verhindert und Investitionen der Lizenznehmer im Insolvenzfall gesichert werden. Folgende Regelung sollte als § 108a InsO-E (Schuldner als Lizenzgeber) eingefügt werden: „Ein vom Schuldner als Lizenzgeber abgeschlossener Lizenzvertrag über ein Recht am geistigen Eigentum besteht mit Wirkung für die Insolvenzmasse fort. Dies gilt für vertragliche Nebenpflichten nur in dem Umfang, als deren Erfüllung zwingend geboten ist, um dem Lizenznehmer eine Nutzung des geschützten Rechts zu ermöglichen. Besteht zwischen der im Lizenzvertrag vereinbarten Vergütung und einer marktgerechten Verfügung ein aufwendiges Missverhältnis, so kann der Insolvenzverwalter eine Anpassung der Vergütung verlangen; in diesem Fall kann der Lizenznehmer den Vertrag fristlos kündigen.“ Der Gesetzesentwurf will ein ungestörtes Weiterlaufen des Lizenzvertrages nach Eröffnung des Insolvenzverfahrens erreichen. Kritisiert wird, dass die Aufwendungen zur Erfüllung der im Gesetzentwurf genannten Nebenpflichten aus der Masse aufgebracht werden, was zu Lasten der Insolvenzgläubiger gehen würde. Soweit Nebenplichten zur Nutzung des geschützten Rechts nicht „zwingend geboten“ sind, wären diese Nebenpflichten vom Verwalter nicht zu erfüllen. Die Deutsche Vereinigung für gewerblichen Rechtsschutz und Urheberrecht e.V. (Schreiben vom 19.11.2007 an das Bundesministerium der Justiz) hat umfangreich Stellung genommen und ist zu dem Ergebnis 297
Conrad/Schmittmann
gekommen, dass neben der Insolvenz des Lizenzgebers auch die Insolvenz des Insolvenznehmers regelungsbedürftig erscheint. Es sei zu beachten, dass bei internationalen Lizenzketten, § 108a InsO-E nur dann zur Anwendung kommt, falls das Insolvenzverfahren in Deutschland eröffnet wird. Bei im Ausland eröffneten Insolvenzverfahren entscheide in erster Linie das ausländische Konkursrecht über die Insolvenzbeständigkeit der Lizenz. Abschließend regt die GRUR an, die neu zu schaffende Bestimmung nicht als § 108a InsO einzufügen, sondern etwa in einem neuen § 114a InsO; damit würde der Regelungszusammenhang zwischen § 108 InsO und §§ 109 ff. InsO nicht zerrissen. Ähnlich hat sich auch der Bundesverband Informationswirtschafts, Telekommunikation und neue Medien (BITKOM) in seiner Stellungnahme vom 22.1.2008 geäußert. BITKOM fordert u. a. die Einführung eines Vorkaufsrechts für den Fall, dass der Insolvenzverwalter ein gewerbliches Schutzrecht, verwandtes Schutzrecht oder Know-how oder Nutzungsrechte hieran oder an Urheberrechten veräußere. 3. „Reifen progressiv“-Entscheidung des BGH zur Wirksamkeit von Verfügungen in Lizenzketten bei späterem Wegfall eines Verfügenden Am 26.3.2009 hat der BGH in der „Reifen progressiv“-Entscheidung3 entschieden, dass ein einfaches Nutzungsrecht, das sich von einem ausschließlichen Nutzungsrecht ableitet, nicht erlischt, wenn das ausschließliche Nutzungsrecht aufgrund eines wirksamen Rückrufs wegen Nichtausübung (§ 41 UrhG) erlischt. Der BGH nimmt hier auch zur Frage Stellung, ob in der Lizenzkette beim Erlöschen eines vom Urheberrecht (dem „Mutterrecht“) abgespalteten ausschließlichen oder einfachen Nutzungsrechts (des „Tochterrechts“) die davon abgeleiteten ausschließlichen oder einfachen Nutzungsrechte (die „Enkelrechte“) gleichfalls erlöschen oder bestehen bleiben. Jedenfalls für den Fall des wirksamen Rückrufs eines ausschließlichen „Tochterrechts“ nach § 41 UrhG vertritt der BGH die Auffassung, dass die vom ausschließlichen „Tochterrecht“ abgeleiteten einfachen „Enkelrechte“ nicht an den Urheber zurückfallen. Ein anderes Ergebnis sei auch nicht ohne weiteres aus dem Gedanken der Zweckbindung der Nutzungsrechteinräumung zu schließen. Die Einräumung der „Enkel_________________
3 BGH v. 26.3.2009 – I ZR 153/06, CR 2009, 767 ff.) = MMR 2009, 838 ff.; vgl. Dieselhorst, CR 2010, 69 ff.; Scholz, GRUR 2009, 1107 ff.; Pahlow, GRUR 2010, 1112 ff.; Taeger, NJW 2010, 25 ff.
298
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
rechte“ habe ihre Grundlage nicht in der zwischen dem Urheber und dem Lizenznehmer der „Tochterrechte“, sondern in einer zwischen dem Inhaber der „Tochterrechte“ und dem Lizenznehmer der „Enkelrechte“ geschlossenen Vereinbarung. Das Erlöschen des ersten Verpflichtungsgeschäfts habe grundsätzlich nicht das Erlöschen dieser weiteren Vereinbarung zur Folge. Zwar bestehe der Grundsatz, dass niemand mehr Rechte vergeben kann, als er selbst besitzt, dass es also im Urheberrecht keinen gutgläubigen Erwerb von Rechten gibt. Dies stehe jedoch der Annahme nicht entgegen, dass der spätere Wegfall der Berechtigung des Verfügenden die Wirksamkeit seiner früheren Verfügungen unberührt lässt und die wirksam eingeräumten Enkelrechte rechtlich selbständig und vom Fortbestand des Tochterrechts unabhängig sind. Trotz dieser Entscheidung wird nach wie vor die Frage der Insolvenzfestigkeit einer Lizenz kontrovers diskutiert, so dass die Forderung bleibt, eine entsprechende gesetzliche Regelung zu finden4. 4. Aktuelle Reformvorhaben Der Regierungsentwurf eines Gesetzes zur weiteren Erleichterung der Sanierung von Unternehmen (Stand 23.2.2011) sieht keine Regelung hinsichtlich der Insolvenzfestigkeit von Lizenzen vor. Der BITKOM (Stellungnahme vom 24.1.2011) hat darauf hingewiesen, dass nach wie vor akuter Regelungsbedarf bestehe. Die Problematik sei in der Unternehmenspraxis weiterhin sehr relevant, so dass eine Regelung zur Insolvenzfestigkeit von Lizenzen in die Insolvenzordnung aufgenommen werden sollte. Bei Software-Lizenzen sei es gerechtfertigt, eine Ausnahme vom Prinzip der Gleichbehandlung aller Gläubiger zuzulassen, weil das wirtschaftliche Interesse des Vertragspartners bei Lizenzverträgen das wirtschaftliche Interesse aller anderen Insolvenzgläubiger bei weitem überwiegen könne. So könne z. B. der Lizenznehmer Teil einer Lizenzkette sein und Unterlizenzen an weitere Vertragspartner weitergereicht haben. Der Abschluss einer Escrow-Vereinbarung, die dem Lizenzgeber im Falle der Insolvenz des Lizenzgebers einen Anspruch auf Herausgabe des Quellcodes sichern soll, komme wegen des damit verbundenen Aufwandes nur bei wirtschaftlich sehr wertvoller Software in Betracht. Darüber hinaus sei noch nicht rechtlich geklärt, ob der Insolvenzverwalter nicht auch im Falle einer Escrow-Vereinbarung des Quellcodes widersprechen könne. Der BITKOM weist darüber hinaus darauf hin, _________________
4 So Slopek, WRP 2010, 616 ff.
299
Conrad/Schmittmann
dass die Begriffe „geistiges Eigentum“ und „Lizenzvertrag“ nicht eindeutig definiert seien. Es sollte daher eine breitete Formulierung angestrebt werden, die Verträge über Nutzungsrechte an Urheberrechten, gewerblichen Schutzrechten, verwandten Schutzrechten oder Know-how umfasse. Dem Insolvenzverwalter müsse allerdings die Möglichkeit verbleiben, die Software trotz Insolvenzfestigkeit verwerten zu können. Hier wäre über ein Vorkaufsrecht des Lizenznehmers nachzudenken. Letztlich wird auch auf die Erstreckung der Regelung des § 112 InsO auf Software-Verträge hingewiesen. Der Bundesrat hat in seiner Stellungnahme zum ESUG (BR-Drs. 127/11 v. 15.4.2011, S. 24) gebeten, im weiteren Verlauf des Gesetzgebungsverfahrens zu prüfen, ob die Insolvenzordnung um eine Regelung zur Insolvenzfestigkeit von Lizenzverträgen über ein Recht am geistigen Eigentum ergänzt werden sollten. Weil die Entwicklung neuer Produkte von ihrer Erfindung bis zur Marktreife häufig lange Zeiträume und hohe Kosten erfordert, benötigten die Unternehmen insbesondere bei der Inanspruchnahme von Lizenzen dringend Rechtssicherheit, dass eine vertraglich eingeräumte Lizenz im Falle der Insolvenz des Lizenzgebers weiterhin von Bestand ist und die entsprechenden Entwicklungskosten nicht verloren sind. Gleiches gelte auch für Lizenzen an Computersoftware und musikalischen Werken, bei denen dem Lizenznehmer im Fall der Insolvenz des Lizenzgebers bei einem entsprechenden Verhalten des Insolvenzverwalters ebenfalls enormer wirtschaftlicher Schaden droht. Die bisherige insolvenzrechtliche Regelung schwäche den Wirtschaftsund Forschungsstandort Deutschland, zumal etwa die USA und Japan in ihrer nationalen Gesetzgebung Lizenzen insolvenzfest ausgestaltet haben. Die Bundesregierung weist in ihrer Gegenäußerung zu der Stellungnahme des Bundesrates (Stand 21.4.2011) darauf hin, dass sie eine Reform des Insolvenzrechts in drei Stufen plane. Auf der ersten Stufe werde das ESUG behandelt. Auf der zweiten Stufe solle unter anderem das Thema einer Regelung zur Insolvenzfestigkeit von Lizenzen in der Insolvenzordnung stehen. Die Ausgestaltung der Regelung erfordere aber eine besondere Sorgfalt, da sie praxisgerechte Lösungen für komplexe Fragestellungen, z. B. im Zusammenhang mit Lizenzketten oder neueren Entwicklungen im Bereich der Softwareentwicklung voraussetze. Sie könne daher erst in der zweiten Stufe sachgerecht umgesetzt werden. 300
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
Am 18.1.2012 hat das BMJ im Rahmen der Vorbereitung eines Gesetzes zur Verkürzung des Restschuldbefreiungsverfahrens, zur Stärkung der Gläubigerrechte und zur Insolvenzfestigkeit von Lizenzen einen Referentenentwurf § 108 InsO-E vorgelegt5, der eine sehr differenzierte Regelung mit der Möglichkeit einer „Zwangslizenz“ vorsieht und naturgemäß im Workshop am 29.6.2011 nicht behandelt werden konnte. Die DGRI hat zum Entwurf am 13.2.2012 umfassend Stellung genommen und die Zielsetzung des Entwurfs begrüßt, aber bei den Formulierungen des Gesetzestextes Änderungen vorgeschlagen. Die Organisation pro Software Escrow e.V. (OSE) schließt sich in ihrer Stellungnahme vom 15.3.20126 im Wesentlichen der DGRI an. Nach derzeitiger Erkenntnis wird der Referentenentwurf hinsichtlich § 108a UnsO-E nicht umgesetzt werden. Da diverse Fachkreise den Vorschlag des BMJ vom 18.1.2012 vom Grundgedanken her befürwortet haben, hat überrascht, dass das Bundeskabinett am 18.7.2012 einen Gesetzesentwurf zur Verkürzung des Restschuldbefreiungsverfahrens und zur Stärkung der Gläubigerrechte beschlossen hat, in dem das Thema Lizenzen nicht auftaucht. Weder in der Pressemitteilung des BMJ vom 18.7.20127 noch in der Begründung des beschlossenen Regierungsentwurfs vom 12.7.2012 wird darauf eingegangen. Daher sind Unternehmen gut beraten, die Verfügbarkeit und den Schutz von unternehmenskritischen Anwendungen und sensiblen Daten nicht allein von gesetzlichen Ansprüchen abhängig zu machen. Vielmehr sollte auch die physikalische Verfügungsmacht bzw. Nutzbarkeit technisch und organisatorisch konkret und klar geregelt und sichergestellt sein. Sonst besteht die Gefahr, dass die Auslegung und Umsetzung des Gesetzesrechts zwischen den Beteiligten streitig ist und der Anspruchsinhaber ggf. in langwierigen Gerichtsverfahren seine Ansprüche einklagen muss – währenddessen wichtige Geschäftsprozesse stillstehen oder relevante nicht zugänglich sind. Diese Form des Risikomanagements gilt im Ergebnis nicht nur für Lizenzen in der Insolvenz, sondern auch für die vertraglichen Regelungen und Datenzugriffsrechte von Mitarbeitern. Speziell im Hinblick auf den Einsatz von externen _________________
5 Vgl. dazu: Schmittmann, InsbürO 2012, 131 ff. 6 Abrufbar unter siehe http://www.ose-international.org/fileadmin/redakteure/ Dateien/120315_Stellungnahme_der_OSE_zum_108a_InsO-E_an_das_BMJ.pdf. 7 Pressemitteilung des BMJ v. 18.7.2012, abrufbar unter: www.bmj.de/ SharedDocs/Pressemitteilungen/DE/2012/20120718_Neuregelung%20des_Ver braucherinsolvenz_und_Restschuldbefreiungsverfahrens.html?nn=1356288; dort Link zum Regierungsentwurf vom 12.7.2012.
301
Conrad/Hausen
Mitarbeitern (z. B. Freelancer, Interimsmanager, Leiharbeitnehmer) sieht die Praxis jedoch so aus, dass die notwendigen Regelungen sowie technische und organisatorische Sicherheitsmaßnahmen regelmäßig fehlen. Dies kann für das Unternehmen fatale Folgen haben, etwa wenn externe Mitarbeiter beim Ausscheiden vertrauliche Informationen mitnehmen oder wenn eine Datenschutzaufsichtsbehörde die Zugriffsrechte der „Externen“ prüft. Dazu referierte RA Dominik Hausen.
III. Externe Mitarbeiter im Einkauf – Schutz von Betriebs- und Geschäftsgeheimnissen und Datenschutzanforderungen Dem Schutz von Betriebs- und Geschäftsgeheimnissen wird von Unternehmensseite ein hoher Stellenwert zugemessen. Diesen Schutz in der Praxis jederzeit bei allen Mitarbeitern vertraglich sicherzustellen ist nicht trivial. Denn beim Schutz von Daten können unterschiedliche rechtliche Regelungsmechanismen ineinandergreifen (v. a. Datenschutz, Arbeitsrecht, Wettbewerbsrecht, Urheberrecht), die je nach Ausgestaltung des Beschäftigungs- bzw. Auftragsverhältnisses (z. B. Arbeitnehmer, Leiharbeitnehmer, Selbständiger) unterschiedlich zur Geltung kommen8. Beispielsweise schützt das Datenschutzrecht unabhängig von einem Geheimhaltungswillen personenbezogene Daten vor einer unbefugten Verwendung. Die „Mitnahme“ einer Kundenliste (mit Kontaktdaten von Ansprechpartnern) durch einen (ehemaligen) Beschäftigten kann daher unabhängig davon, ob ein Geheimnisverrat nach UWG oder ein Verstoß gegen einen Arbeitsvertrag vorliegt, einen Datenschutzverstoß darstellen9. _________________
8 Zur Abgrenzung speziell bei DLP-Systemen siehe auch Conrad, CR 2011, 797 ff. 9 Sofern der Mitarbeiter die in der Kundenliste enthaltenen Informationen aus dem Gedächtnis abruft und nicht auf schriftliche Unterlagen zurückgreift, ist der Tatbestand nicht erfüllt, vgl. BGH v. 27.4.2006 – I ZR 1267/03. Verstöße gegen den Geheimnisschutz können darüber hinaus u. a. auch nach § 203 (Ausspähen von Daten) und § 206 StGB (Verletzung des Fernmeldegeheimnisses nach § 88 TKG) strafrechtlich relevant werden. Zivilrechtliche Konsequenzen aus einem Verstoß gegen Geheimhaltungspflichten reichen von der Kündigung aus wichtigem Grund (§ 626 BGB) über Unterlassungsansprüche (§§ 823 Abs. 2, 1004 BGB i. V. m. § 17 UWG, Auskunftsansprüche (§ 242 BGB) hin zu Schadensersatzansprüchen (§§ 280, 611, 823, 826 BGB) hin zu der Verwirkung einer Vertragsstrafe (wirksame Vereinbarung für den Fall des Verstoßes gegen Geheimhaltungspflichten möglich, vgl. BAG v. 4.3.2004, NZA 2004, 727) bis hin zu einem Ansichziehen des Geschäfts nach § 61 Abs. 1 HGB.
302
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
1. Wann liegt ein Betriebs- oder Geschäftsgeheimnis vor? Die Unterscheidung zwischen Betriebs- (das Geheimnis bezieht sich auf den technischen Betriebsablauf) und Geschäftsgeheimnis (das Geheimnis bezieht sich auf den kaufmännischen Geschäftsverkehr) ist eher akademischer Natur ohne große praktische Bedeutung.10 Nach Rechtsprechung und Literatur sind nur solche Tatsachen, Umstände und Vorgänge als Geheimnis schutzfähig, die im Zusammenhang mit dem Betrieb eines Unternehmens stehen, nicht offenkundig – d. h. nur einem begrenzten Personenkreis zugänglich – sind und an deren Nichtverbreitung der Betriebs- oder Geschäftsinhaber ein berechtigtes Interesse hat.11 Diese Kriterien können ggf. erfüllt sein – vorausgesetzt die Informationen sind nicht öffentlich zugänglich (etwa auf der Hompage des Unternehmens) – bei Umsatzzahlen, Informationen zur Ertragslagen, Geschäftsbüchern, Kundenlisten12, Bezugsquellen, Konditionen im Einkauf und Vertrieb, Preisdifferenzierung, Rabatt- und Bonuspolitik etc. Im Verhältnis zum Arbeitnehmer hat die Kündigungsabsicht des Arbeitnehmers im Regelfall nicht den erforderlichen Unternehmensbezug und kann somit (im Arbeitsvertrag) nicht wirksam zum Gegenstand einer Geheimhaltungsverpflichtung gemacht werden. Das Kriterium der Offenkundigkeit führt in der Praxis nicht selten zu Abgrenzungsschwierigkeiten. Ist eine Standard-Software im unternehmerischen Verkehr so verbreitet wie das Office-Paket von Microsoft, ist zweifelhaft, ob die Tatsache, dass ein konkretes Unternehmen Outlook einsetzt, ein Geheimnis sein kann. Vertreibt dagegen ein Unternehmen auf einer Halbleiter-Platine im Handel frei verfügbare Chips, die jedoch vom Anbieter der Platine durch eine Kunstharzvergießung so unkenntlich gemacht werden, dass der Hersteller der Chips nicht erkennbar ist, so kann die Information darüber, welche Chips zum Einsatz kommen, zum Gegenstand einer Geheimhaltungsverpflichtung gemacht werden. Auch die Bestimmung dessen, was unter einem „eng begrenzten Personenkreis“ zu verstehen ist, ist einzelfallabhängig. Fraglich ist, wie groß _________________
10 Siehe zum Themenkomplex Geheimhaltungsvereinbarungen Lampenius, Geheimhaltungsvereinbarungen mit entliehenen Softwareentwicklern im Spannungsfeld zwischen Arbeits-, AGB-, Wettbewerbs- und Urheberrecht, K&R 2012, 12; Conrad/Schneider, Software-Erstellung, in Auer-Reinsdorff/ Conrad, Beck’sches Mandatshandbuch IT-Recht, 2011, S. 466 ff. 11 Vgl. Beschluss des BVerfG v. 14.3.2006 – 1 BvR 2087/03 – 1 BvR 2111/03, Rz. 87 m. w. N., Beschluss des BVerwG v. 4.1.2005 – 6 B 59.04 – Rz. 13 m. w. N. 12 Siehe BGH v. 27.4.2004 – I ZR 1267/03 – Bewertung von Kundendaten als Geschäftsgeheimnis.
303
Conrad/Hausen
der Personenkreis maximal sein darf. Die im Automobil-Ersatzteilgeschäft verwendeten Code-Nummern stehen, wenn auch einem abgegrenzten Personenkreis, so doch einer großen Anzahl an Vertragshändlern zur Verfügung. Würde sich ein Unternehmen hinsichtlich dieser Code-Nummer auf eine Geheimhaltungsverpflichtung berufen, müsste das Unternehmen im Bestreitensfalle nachweisen, dass die Code-Nummern nicht offenkundig sind – was schwer fallen dürfte13. Eine zu allgemeine oder zu weite Geheimhaltungsvereinbarung, z. B. hinsichtlich „aller Informationen, die dem Vertragspartner zugänglich gemacht werden“, bietet keiner Seite Rechtssicherheit. In diesem Fall hat der externe Mitarbeiter keine ausreichend konkrete und praktikable Vorgabe. Der Arbeitgeber/Auftraggeber kann eine unkonkrete und zu weite Geheimhaltungsvereinbarung regelmäßig nicht durchsetzen, weil sie regelmäßig AGB-rechtlich wegen unangemessener Benachteiligung oder nach § 138 BGB unwirksam ist. Daher empfiehlt es sich, bei der Gestaltung von Geheimhaltungsvereinbarungen auf konkrete Betriebsund Geschäftsgeheimnisse, Informationen, Unterlagen Bezug zu nehmen. 2. Wie können Betriebs- und Geschäftsgeheimnisse geschützt werden? Vertragliche und gesetzliche Regelungen zum Geheimnisschutz differenzieren u. a. danach, wie das Rechtsverhältnis zwischen – untechnisch gesprochen – Arbeitgeber und „externem Mitarbeiter“ zu qualifizieren ist. Externer Mitarbeiter kann sein a) ein Arbeitnehmer in einem befristeten Arbeitsverhältnis (z. B. in einer projektbezogenen Anstellung), b) eine Person, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Person anzusehen ist (z. B. freier Mitarbeiter)14, c) ein Leiharbeitnehmer, der dem Entleiher z. B. von einer Zeitarbeitsfirma (Verleiher) für einen begrenzten Zeitraum vermittelt wurde (Arbeitnehmerüberlassung), d) ein Selbständiger, der z. B. projektbezogen als Auftragnehmer (nicht als Arbeitnehmer) eingebunden wird. _________________
13 Zur Differenzierung nach sog. offenen und geschlossenen Personenkreisen im Rahmen der Bestimmung der Offenkundigkeit siehe Köhler in: Köhler/ Bornkamm, 29. Aufl. 2011, UWG, § 17 Rn. 7a. 14 Ob bei einer arbeitnehmerähnlichen Person ein Arbeitsverhältnis angenommen werden kann, hängt von den Umständen des Einzelfalles ab.
304
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
Besteht zwischen dem externen Mitarbeiter und dem Unternehmen ein Arbeitsverhältnis15, gebietet – auch ohne ausdrückliche Regelung einer Geheimhaltungspflicht – die aus § 242 BGB abgeleitete arbeitsvertragliche Treuepflicht eine Rücksichtnahme auf die Belange des Arbeitgebers. Das Interesse des Arbeitnehmers an der Verwertung seiner Kenntnisse hat während des Bestehens des Arbeitsverhältnisses zurückzustehen. Die Weitergabe von Betriebsinterna an außerhalb des Betriebs stehende Dritte kann daher einen Verstoß gegen die Treuepflicht darstellen und arbeitsrechtlich geahndet werden. Eine solche Treuepflicht kann auch überlassene Leiharbeitnehmer treffen, wobei sich die Frage stellt, inwieweit die Treuepflicht gegenüber dem Entleiher, der den Arbeitnehmer bei sich im Betrieb einsetzt, und/oder dem Verleiher, der formal Arbeitgeber des Leiharbeitnehmers ist, besteht16. Die arbeitsrechtliche Treuepflicht wirkt nach Beendigung des Arbeitsverhältnisses nur in geschwächter Form nach. Die Verwertung des beruflich erworbenen Erfahrungswissens ist nach Ausscheiden beim Arbeitgeber grds. zulässig17. Die Abgrenzung von Erfahrungswissen zu einer unzulässigen Verwertung von Betriebs- und Geschäftsgeheimnissen ist regelmäßig schwierig. Insoweit ist das durch Art. 14 GG geschützte Interesse des Arbeitgebers an Geheimhaltung gegenüber dem ebenfalls nach Art. 12 GG geschützten Interesse des Mitarbeiters, sich einem neuen Arbeitgeber als Know how-Träger darzustellen und die eigene Arbeitskraft auf dem Arbeitsmarkt zu „verkaufen“, in einen gerechten Ausgleich zu bringen. Dass das Schutzinteresse des Arbeitgebers mit Beendigung des Arbeitsverhältnisses tendenziell in den Hintergrund tritt, zeigen auch die engen Voraussetzungen, unter denen nachvertraglich vereinbarte Verschwiegenheitspflichten zulässig sind (siehe dazu unten 3.). Hier empfiehlt sich für beide Seiten eine klare vertragliche Regelung, um Missverständnissen vorzubeugen. Beim Einsatz von Selbständigen ist zu beachten, dass regelmäßig neben einer Geheimhaltungsvereinbarung auch ein Auftragsdatenverarbeitungsvertrag nach § 11 BDSG erforderlich ist, wenn der Selbständige im Rahmen seiner (projektbezogenen) Tätigkeit für den Auftraggeber personenbezogene Daten des Auftraggebers erhebt, verarbeitet und nutzt. _________________
15 Ein Arbeitsvertrag ist für die Begründung eines Arbeitsverhältnisses nicht konstitutiv. 16 Siehe dazu auch die Fiktion in § 10 Abs. 1 AÜG. 17 BAG v. 15.6.1983 – 9 AZR 558/91.
305
Conrad/Hausen
3. Wie ist der Geheimnisschutz vom Wettbewerbsverbot und vom Datenschutz abzugrenzen? Im Unterschied zum Geheimnisschutz kommt es beim Wettbewerbsverbot auf das Kriterium der Offenkundigkeit nicht an. Hier zeigt sich der Charakter einer Konkurrenzschutzklausel aber auch einer zu weiten Geheimhaltungsvereinbarung als Wettbewerbsverbot. Ein wirksames nachvertragliches Wettbewerbsverbot erfordert nach §§ 74 ff. HGB und § 110 GewO regelmäßig Schriftform, Aushändigung der Urkunde an den Verpflichteten sowie die Vereinbarung einer sog. Karenzentschädigung in der Höhe von nicht weniger als einem halben Jahresgehalt für jedes Jahr des Verbots (konstitutive Merkmale). Das Verbot kann auf maximal 2 Jahre nach dem Ende des Arbeitsverhältnisses ausgedehnt werden. Bei der inhaltlichen Ausgestaltung des Wettbewerbsverbots ist eine Abwägung zwischen den beiden widerstreitenden Grundrechtspositionen (Art. 12 und 14 GG) der Beteiligten vorzunehmen. Dabei ist der Grundsatz der Nachahmungsfreiheit zu berücksichtigen. Danach dürfen grds. Produkte, Erfindungen und Ideen von Jedermann nachgeahmt werden. Dem liegt die Erkenntnis zugrunde, dass technischer Fortschritt nur möglich ist, wenn bereits bestehende Erfindungen als Grundlage oder Inspiration für neue Produkte dienen können. Grenze der Nachahmungsfreiheit sind aber gewerbliche Schutzrechte. Beim Datenschutz spielen Konkurrenz- und Wettbewerbsgesichtspunkte keine Rolle. Der Schutz personenbezogener Daten per Gesetz gilt unabhängig von Geheimhaltungswillen, Offenkundigkeit und Bestand einer Geheimhaltungsvereinbarung (siehe etwa sog. Datengeheimnis nach § 5 BDSG). Die Verpflichtung zum Datenschutz gilt auch nach Beendigung der Tätigkeit für den Arbeitgeber/Auftraggeber. Allein in der Zugänglichmachung von personenbezogenen Daten an einen externen Mitarbeiter durch den Arbeitgeber/Auftraggeber kann eine unzulässige Datenübermittlung liegen, sofern der externe Mitarbeiter kein Beschäftigter im Sinne des § 3 Abs. 11 BDSG ist und versäumt wurde, einen Auftragsdatenverarbeitungsvertrag nach § 11 BDSG abzuschließen. Überschneidungen von Geheimnis- und Datenschutz ergeben sich, wenn das Betriebs- oder Geschäftsgeheimnis personenbezogene Daten umfasst. Hat ein ausgeschiedener Mitarbeiter solche Daten in unzulässiger Weise missbraucht (etwa an die Konkurrenz übermittelt), ist denkbar, dass ihn der ehemaliger Arbeitgeber zivil- und strafrechtlich belangt. Auch eine Anzeige bei der zuständigen Datenschutzaufsichtsbehörde kommt in Betracht. Im Falle eines solchen Missbrauchs von personenbezogenen Daten durch einen ausgeschiedenen Mitarbeiter ist dieser selbst daten306
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
schutzrechtlich „verantwortliche Stelle“ und er muss mit einem Bußgeld nach § 43 Abs. 2 BDSG und ggf. sogar mit einer Strafe nach § 44 BDSG rechnen, sofern der unbefugten Datenverwendung eine Bereicherungs- oder Schädigungsabsicht zugrunde lag. Die Risiken für den betrieblichen Geheimnis- und Datenschutz durch die eigenen (ehemaligen) Mitarbeiter werden von vielen Unternehmen unterschätzt. Enge Zugriffsberechtigungssysteme auf Need-to-KnowBasis könnten teilweise Abhilfe schaffen, werden jedoch häufig zugunsten reibungsloser Zusammenarbeit oder möglichst hoher „Usability“ der IT vernachlässigt18. Dagegen ist den meisten Unternehmen bewusst, dass z. B. bei Geschäften mit Partnern in China Sicherungsmaßnahmen im Hinblick auf Daten- und Know-How-Schutz getroffen werden müssen. Bei Geschäftspartnern in sogenannten – aus des EU-Datenschutzrecht – „unsicheren Drittstaaten“ (wozu nicht nur Staaten in Asien zählen) stellt sich eher die Frage, wie bereits bei der Vertragsgestaltung eine gewisse Vorsorge für Rechtssicherheit in globalen Austauschprozessen geschaffen werden kann. Dazu referierten gemeinsam RA Christof Höfner von Nokia Siemens Networks und RAin Isabell Conrad.
IV. Global Sourcing Asia – Gestaltungshinweise für Verträge mit Partnern in „unsicheren Drittländern“ 1. Trends und ausschlaggebende Kriterien bei internationalen IT-Beschaffungsverträgen Der Trend zum Outsourcing nach Asien hält ungebrochen an – zunehmend auch im Mittelstand. Das mittlerweile von KPMG übernommene IT-Beratungs- und Marktforschungsunternehmen Equaterra kommt in einer Studie vom Mai 201119 hinsichtlich „Outsourcing Location Analysis 2011 – an Assessment of Alternative Locations to India“ zu folgenden Ergebnissen: –
China werde in den nächsten 3–5 Jahren der führende Standort für Business Process Outsourcing (BPO) und IT-Outsourcing.
–
Die Philippinen und Polen seien gegenwärtig die besten Alternativen zu Indien.
_________________
18 Conrad, CR 2011, 797 ff. 19 Quelle: http://www.equaterra.com/_filelib/FileCabinet/Research/EquaTerraKPMG_Perspective_Outsourcing_Location_Analysis_2011_May2011_6161EU. pdf.
307
Conrad/Hausen
–
Die Philippinen haben laut dieser Studie die bestentwickelte Outsourcing-Industrie was den Reifegrad, die Leistungsfähigkeit und die Bandbreite der Services betrifft. Es gibt dort aber Mängel bei der Infrastruktur.
–
Der Vorteil von Polen sind hochqualifizierte Arbeitskräfte, besonders im Bereich Technologie und BPO. Vorteilhaft ist auch, dass der Standort nah an West- und Zentraleuropa liegt mit einem stabilen politischen System aufgrund EU-Mitgliedschaft. Polen wird jedoch langfristig nicht konkurrenzfähig mit Asien sein.
–
Ägypten hat Pluspunkte hinsichtlich der sprachlichen Fähigkeiten und der Qualifikation der Hochschulabsolventen. Allerdings wird das Potential von Ägypten durch die gegenwärtige Unsicherheit im Land stark gefährdet.
Bereits diese kurze Bewertung deutet an: Beim Thema „Global Sourcing“, also bei globalen IT- und BPO-Beschaffungsstrategien, hängt die Frage nach der Wahl des Anbieters nicht nur von der Zuverlässigkeit und Qualifikation des Vertragspartners ab, sondern im besonderen Maßnahme auch von dem Standort des Partners und den dort geltenden den rechtlichen, politischen und sozialen Rahmenbedingungen. Relevant für die rechtlichen Rahmenbedingungen ist nicht nur das materielle Privatrecht (etwa Sachenrecht, Kennzeichenrecht, Urheberrecht, Deliktsrecht, Vertrags- und Gesellschaftsrecht) und das Zivilprozessrecht, sondern z. B. auch das Straf- und Kartellrecht und natürlich das Datenschutzrecht, das eine gewisse Hybridstellung zwischen Privatrecht und öffentlichem Recht einnimmt. Einerseits gibt es diverse Vorschriften im deutschen Recht, die einer Auslagerung von IT-Leistungen im Allgemeinen und speziell nach Asien entgegenstehen können, etwa: § 5 (Datengeheimnis), §§ 4b, 9 und 11 BDSG, § 88 TKG (Fernmeldegeheimnis), TMG-/TKG-Datenschutz, § 25a Abs. 2 KWG (Kontroll-u. Reporting-Pflichten bei wesentlicher Auslagerung), §§ 6, 8 VAG, §§ 87 ff. UrhG, § 17 UWG (Betriebs- und Geschäftsgeheimnis), § 203 StGB (Offenbarung von Privatgeheimnissen), § 35 SGB I (Sozialversicherungsdaten). Andererseits mag es gerade mittelständische Unternehmen mit Sitz in der EU bisweilen überraschen, dass es in diversen Nahost- und asiatischen Staaten nationale Datenschutzgesetze und Datenschutzbehörden mit Vorgaben an den deutschen Vertragspartner gibt, etwa in
308
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
–
Dubai http://dp.difc.ae (DIFC | Data Protection Law) – Website der Datenschutzbehörde von Dubai (Englisch)
–
Hong Kong www.pcpd.org.hk (Office of the Privacy Commissioner for Personal Data, Hong Kong) – Datenschutzbehörde von Hong Kong (Webseite auf Englisch, Chinesisch)
–
Japan www.soumu.go.jp/english/index.html (Ministry of Public Management, Home Affairs, Posts and Telecommunications) – Website auf Japanisch, Englisch)
–
Korea www.kisa.or.kr ( ) – Website der Korea Information Security Agency (KISA), die sich auch mit Datenschutzthemen befasst (Koreanisch, Englisch)
–
Thailand www.oic.go.th/content_eng/default_eng.asp (Office of the Official Information Commission (O.I.C.)) – (Webseite auf Thai, Englisch)
2. Rechtssicherheit in globalen Austauschprozessen durch privat Governance Im Handel allgemein, vor allem aber im internationalen Handel spielen folgende Faktoren eine entscheidende Rolle für die Frage der Rechtssicherheit20 und sind somit Herausforderungen an die Vertragsgestaltung: –
Individuelle Handlungsrechte („Property Rights“) müssen kulturübergreifend inhaltlich definiert werden.
–
Die Rechtsinhaber müssen vor unfreiwilligem Rechtsverlust geschützt werden.
–
Mechanismen zu Durchsetzung von Verträgen (sogenannte Governance) müssen vorhanden, effizient und effektiv sein.
–
Die Definition der Handlungsrechte und ihre Durchsetzung kann und soll nicht nur durch den Staat erfolgen, sondern muss – je nach Art der Geschäftsbeziehung – in unterschiedlichen Organisationsformen funktionieren: – in klassischen Austauschverträgen,
_________________
20 Calliess/Dietz/Konradi/Nieswandt/Renner/Sosa, Transformation des Handelsrechts? in Hurrelmann u. a. (Hrsg.), Zerfasert der Nationalstaat?, 2008. S. 143.
309
Conrad/Hausen
– innerhalb von multinationalen Konzernen/Unternehmensgruppen (dort wird mehr als 1/3 des Weltexports abgewickelt), – in langfristigen Geschäftsverbindungen/Netzwerken. In asiatischen Staaten gibt es teilweise erhebliche Unterschiede, inwieweit staatliche Stellen die Letzt-, Entscheidungs- und Organisationsverantwortung für die Herstellung von Rechtssicherheit im internationalen Handel übernehmen. In China existiert beispielsweise ein relativ gut funktionierendes Schiedssystem in Handelssachen, während die rechtlichen Rahmenbedingungen z. B. im Strafrecht oder im sonstigen öffentlichen Recht (einschließlich Verfassungs- und Verwaltungsrecht) eher weniger verlässlich ausgeprägt sind. Ein Ziel der vertraglichen Regelung bei IT-Beschaffungsverträgen mit Anbietern in Asien muss es also sein, private Governance-Mechanismen zu schaffen. Die Notwendigkeit privater Governance führte bereits im Mittelalter dazu, dass sich – neben dem kaiserlichen, kirchlichen und lokalen Recht – Gewohnheitsrecht und Handelsbräuche (sog. Lex Mercatoria) mit einer Rechtsprechung der Handelsgerichte bildeten und Sanktionen durch Kaufmannsgilden erfolgten21. Berücksichtigt man die historische Entwicklung hat die sog. staatliche Governance, also die Herstellung von Rechtssicherheit durch staatliche Stellen, ohnehin eine relativ junge Tradition, die mit Entwicklung der Nationalstaaten im 18./19. Jahrhundert einherging22. Staatliche Governance bei internationalen IT-Verträgen hat zwei grundlegende Nachteile: Erstens sind die staatlichen Kompetenzen und somit die Durchsetzungsfähigkeit auf das staatliche Hoheitsgebiet begrenzt. Die staatlich definierten „Property Rights“ und die staatliche Durchsetzung sind also territorial zerklüftet und gelten nicht universell. Auch das Internationale Privatrecht ist keine Lösung, da dieses Kollisionsregeln nationales Recht sind. Zweitens dauert die staatliche Durchsetzung in aller Regel eher lange. Gerade bei IT-Leistungen ist das für den Auftraggeber häufig nicht praktikabel. Das gilt umso mehr, als bei internationalen Verträgen regelmäßig Unsicherheit besteht, welches nationale Gericht zuständig ist, welches Recht anwendbar ist und ob ein Urteil in einem anderen Staat anerkannt und vollstreckt wird. _________________
21 Berstein, Private Commercial Law in the Cotton Industry, Michigan Law Review 99 (2001), 1724 ff.; Goldschmitt, Universalgeschichte des Handelsrechts, 1982. 22 Callies u. a., in: Hurrelmann u. a. (Hrsg.) a. a. O.
310
Jahresrückblick 2011 des Fachausschuss Wirtschafts- und Steuerrecht
3. Beispielhafte Regelungsaspekte in internationalen IT-Verträgen Besonderheiten bei der Gestaltung und Durchführung von internationalen Geschäftsbeziehungen könen neben der üblichen Rechtswahl- und Gerichtsstandklausel z. B. Änderung von politischen Rahmenbedingungen, unterschiedliche Zeitzonen, Kulturen und Währungen und erhöhte Anforderungen an Know-How- und Zugriffsschutz sein. Im Ergebnis ist staatliche Governance bestenfalls ausreichend, um Rechtssicherheit auf sog. Spot-Märkten zu schaffen, auf denen relativ einfach strukturierte Waren einmalig ausgetauscht werden23. Internationale BPO-, IT-Outsourcing, Software-Erstellungs- und IT-SupportVerträge sind jedoch Dauerschuldverhältnisse oder zumindest langfristige Projektverträge mit komplexen Leistungen, bei denen mindestens ein Vertragspartner erhebliche Investitionen erbringt (sog. sunk costs)24. Daher haben sich im Regime internationaler IT-Verträge Mechanismen herausgebildet, die grenz- und kulturübergreifend weitgehend einheitlich geregelt und gehandhabt werden und große Investitionen und Abhängigkeiten absichern sollen. Als „Geisel“ zur Sicherung der sunk costs sehen IT-Verträge häufig Pflichten wie z. B. Vorauszahlung oder Vertragsstrafe vor. International einheitlich werden Software-Erstellungsverträge in folgende drei Phasen eingeteilt25: –
Planungsphase mit Lastenheft oder Systemvorschlag des Herstellers und Änderungswünschen des Kunden sowie umfangreichem Pflichtenheft,
–
Umsetzungsphase mit Ketten von Meilensteinen, Implementierung evtl. modulweise und Tests
–
Gewährleistungs-/Garantie-/Pflegephase, in der der Hersteller die Funktionsfähigkeit und Vorliegen der Eigenschaften „garantiert“.
Typische Beispielsklauseln zur Sicherstellung von privaten GovernanceMechanismen sind vertragliche Regelungen zu Verantwortlichkeiten/ Mitwirkungspflichten, Management-Meetings/Gremien, Antwortzeiten und Eskalation, Key Performance Indicators (KPI) und Service Level Agreement (SLA), Sicherheitsrelevante Service Levels. Eine erhebliche Schwierigkeit bei der privaten Governance von internationalen IT-Verträgen besteht darin, dass im Vertrag eine Berück_________________
23 Williamson, American Economic Review 95 (2005) S. 1 ff. 24 Callies u. a., in: Hurrelmann u. a. (Hrsg.) a. a. O. 25 Callies u. a., in: Hurrelmann u. a. (Hrsg.) a. a. O.
311
Conrad/Hausen
sichtigung zukünftiger Anpassungen an unvorhergesehen eintretende Ereignisse erforderlich ist, die in jeder Phase des Vertragsdurchführung Änderungen von Spezifikationen und Nachverhandeln ermöglicht und regelt. Dazu sind Festlegungen zu Abläufen und Organisation des Projekts vorzusehen, insbesondere Pflichten zur Zusammenarbeit/Mitwirkung, (paritätisch) besetzte Steuerungsgremien, Einbeziehung Dritter z. B. Schlichter. Wer jedoch meint, internationale Verträge würden ein Regelungsregime schaffen, dessen Durchsetzung weitgehend unabhängig vom nationalen Recht ist, der irrt. Eine Untersuchung der verwendeten Rechtsquellen in Routineschiedsverfahren hat ergeben, dass relativ häufig nationales Recht angewandt wurde26. Besondere Anforderungen an die Vertragsgestaltung ergeben sich regelmäßig bei Kettenauslagerungen, wenn der Auftragnehmer/Händler und der Subunternehmer in unterschiedlichen asiatischen Staaten ansässig sind. Typische Fragen, die sich etwa bei Auftragsdatenverarbeitungsverträgen mit Subunternehmern stellen, sind z. B.: Wie synchronisiert man ein 3-Parteien-Verhältnis mit unterschiedlichem nationalen Datenschutzrecht? Wie können die Pflichten aus dem Vertrag zwischen Kunden und Händler an den Subunternehmer weitergereicht werden? Reicht eine Änderung der Präambel und Austausch der Vertragsparteien im Rubrum zum Durchreichen von Vertragspflichten? Wie koordiniert man Weisungen/Leistungen im Streckenverhältnis? Darf nur der Kunde datenschutzrechtliche Weisungen erteilen oder auch der Händler (Hauptauftragnehmer)? Darf der Auftragnehmer direkt den Subunternehmer anweisen oder nur über den Händler? Wie ist mit widersprüchlichen Weisungen umzugehen? Welche Informationspflichten treffen welchen Beteiligten gegenüber welchem Vertragspartner z. B. bezüglich spezieller datenschutzrechtlicher Anforderungen, die ggf. im Sitzland des Subunternehmers gelten, für deren Nichterfüllung u. U. aber der Kunde als Herr der Daten haftet (Bsp. Meldepflichten)? Gibt es eine Pflicht des Händlers zur Information des Subunternehmers bei Änderung des Auftragsdatenverarbeitungsvertrages mit dem Kunden? Compliance in Zeiten von Digitalisierung und Globalisierung ist eine stetige Herausforderung im unternehmerischen Alltag. Vertragliche Festlegungen zu organisatorischen und technischen Maßnahmen sind nur ein wesentlicher Aspekt, um dafür praktikable und sichere Lösungen zu finden. _________________
26 Dietz, Zeitschrift für Rechtssoziologie, 2009, 165 ff.
312
Stellungnahmen
DGRI e.V. • Bahnhofstraße 10 • D-76137 Karlsruhe
European Commission Directorate – General Justice Unit C3 – Data protection 1049 Brussels BELGIUM Vorab per E-Mail: [email protected]
Dr. Anselm Brandi-Dohrn, maître en droit 1. Vorsitzender Rechtsanwalt Oranienstraße 164, D-10969 Berlin Telefon: +49-30-61 68 94 09 Telefax: +49-30-61 68 94 56 E-Mail: [email protected]
Berlin, 14. Januar 2011 Online-Konsultation „Gesamtkonzept für den Datenschutz in der Europäischen Union“ Hier:
Stellungnahme der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI e.V.) Ihr Zeichen: KOM(2010) 609 Sehr geehrte Damen und Herren, die Deutsche Gesellschaft für Recht und Informatik e.V. (DGRI) bedankt sich für die Gelegenheit zur Stellungnahme im Rahmen der am 04.11.2010 begonnenen Online-Konsultation zum „Gesamtkonzept für den Datenschutz in der Europäischen Union“. Gerne nutzt die Gesellschaft die Gelegenheit, den bei ihr versammelten Sachverstand erneut in den Diskussionsprozess einzubringen, wie sie dies bereits durch eine Stellungnahme im Vorfeld der „Targeted Private Stakeholders Consultation“ vom 01.07.2010 getan hat. Damit die Intentionen der DGRI besser einzuordnen sind, dürfen wir unsere Vereinigung zunächst kurz vorstellen: Die Deutsche Gesellschaft für Recht und Informatik e.V. (DGRI) ist eine unabhängige, wissenschaftliche Vereinigung. Sie befasst sich mit Fragen im Bereich der Schnittstelle zwischen Informatik und EDV-Technik einerseits sowie Recht und Wirtschaft andererseits. Sie hat sich die Förderung der Zusammenarbeit von Lehre, Forschung und Praxis in den Bereichen – Rechtsfragen der Informationsverarbeitung, – Einsatz der Informationstechnik im Rechtswesen und – Schaffung der rechtlichen Rahmenbedingungen für die Informationstechnik
313
Anhang zur Aufgabe gestellt. Ansprechpartner der Gesellschaft sind Wissenschaftler und Praktiker in dem so beschriebenen Tätigkeitsfeld sowohl aus dem Gebiet der Rechtswissenschaften als auch der Technik. Mit ihnen sucht die Gesellschaft den Austausch von Wissen, Erfahrungen und Meinungen. Dies vorausgeschickt, nehmen wir, unter Mitwirkung des Fachausschusses Datenschutz, zu einzelnen Punkten des Gesamtkonzepts, die aus unserer Sicht von grundlegender Bedeutung sind, wie folgt Stellung: Zu Ziffer 1
Neue Herausforderungen für den Datenschutz:
Ein verstärkter Schutz von Betroffenen durch eine Neugestaltung der EG-Datenschutzrichtlinie darf nicht zu einer Bevormundung der einzelnen Betroffenen führen. Auch ist es nicht geboten, ihnen alle Risiken abzunehmen, die sie freiwillig eingegangen sind. Den ohne Zweifel vorhandenen neuen Risiken für das Persönlichkeitsrecht bei Online-Aktivitäten, vor allem im Rahmen sozialer Netzwerke, stehen früher nicht vorstellbare Kontakt-, Selbstdarstellungs- und Gestaltungsmöglichkeiten des einzelnen Betroffenen gegenüber. Es sollte nicht vergessen werden, dass niemand gezwungen wird, an sozialen Netzwerken teilzunehmen und dort von sich aus persönliche Daten zur Verfügung zu stellen. Wer dies tut und dabei für die Nutzung der Netzwerke in der Regel nichts zahlen muss, kann nicht völlig überrascht sein, wenn seine personenbezogenen Daten vom Betreiber des Netzwerkes wirtschaftlich genutzt werden, um das Netzwerk finanzieren zu können und dabei auch Gewinne zu erzielen. Bei der Neugestaltung der Richtlinie ist deshalb im Hinblick auf soziale Netzwerke vor allem darauf zu achten, dass 1. der Betroffene auf Wunsch jederzeit feststellen kann, welche seiner personenbezogener Daten wo gespeichert sind und wozu sie genutzt werden; 2. Verarbeitungen und Nutzungen, die für den Betroffenen bei objektiver Betrachtung überraschend sind und mit denen er nicht rechnen muss, nur mit seinem Wissen und seiner expliziten Zustimmung erfolgen; 3. Betroffene, die die Folgen ihres Tuns nicht oder nicht voll abschätzen können (vor allem Kinder, möglicher Weise auch Menschen mit bestimmten geistigen Behinderungen) besonders geschützt werden. Ziffer 1. kann durch Vorschriften zur Schaffung von Transparenz und der Regelung von Auskunftsrechten nachgekommen werden, Ziffer 2. beispielsweise durch Anlehnung an die Vorgaben zum wirksamen Einbeziehen von Allgemeinen Geschäftsbedingungen. Die in Ziffer 3. genannten Personengruppen können durch Sonderregelungen zum einen betreffend der Einwilligung geschützt werden, zum anderen durch massiv beschränkte gesetzliche Erlaubnisse zur Verarbeitung deren personenbezogener Daten.
314
Stellungnahmen Bezüglich Ziffer 1 ist zu betonen, dass dem Betroffenen ein vollständiger Überblick über die zu seiner Person vorliegenden Daten möglich sein muss, ohne dass ihm ein unzumutbarer Aufwand entsteht. Soweit davon auszugehen ist, dass Betroffene bestimmte Speicherungs- und Nutzungsvorgänge in der Regel kennen wollen, ist daher Sorge zu tragen, dass sie diese Daten „auf Knopfdruck“, also nahezu ohne Aufwand abrufen können. Für welche Daten dies zutrifft, könnte Gegenstand von Branchenregelungen sein, bei deren Formulierung auch Verbraucherverbände und ähnliche Organisationen zu beteiligen wären. Zu Ziffer 2.1.1
Angemessener Schutz des einzelnen in allen Situationen
a. Der schon jetzt sehr weite Begriff der „personenbezogenen Daten“ darf nicht noch weiter ausgedehnt werden. Bei einer weiteren Ausdehnung des Begriffs würde es kaum noch Daten geben, bei denen keinerlei Bezug zu einem Betroffenen hergestellt werden kann. Letztlich wären fast alle irgendwo vorhandenen Daten als personenbezogen anzusehen. Das würde dazu führen, dass der Schutz des einzelnen nicht etwa gestärkt, sondern ganz im Gegenteil geschwächt würde. Wenn die EG-Datenschutzrichtlinie nach einer weiteren Ausdehnung des Begriffs mehr oder weniger alle Daten erfassen würde, die existieren, müsste das allgemeine Schutzniveau der Richtlinie zwangsläufig abgesenkt werden. Sie wäre dann nämlich auch auf Situationen anzuwenden, in denen ein starker Schutz des Betroffenen nicht gerechtfertigt wäre und auch nicht akzeptiert würde. Das zeigt sich etwa bei Daten, die lediglich die räumliche Lage eines Grundstücks angeben und die üblicherweise in Registern verwendet werden, um ein Grundstück überhaupt identifizieren zu können. Es wird daher angeregt, es bei dem – seit Jahren in der Praxis bewährten – relativen Ansatz zu belassen, also nur auf dasjenige Zusatzwissen und die Möglichkeiten abzustellen, das bzw. die der konkreten verantwortlichen Stelle zur Verfügung stehen, nicht auf das Wissen und die Möglichkeiten, die irgendjemand auf der Welt theoretisch hat oder haben kann (was ein praxisfremder absoluter Ansatz wäre). Zudem sollte betont werden, dass es bei der Frage, mit welchem Zusatzwissen und -aufwand die jeweilige verantwortliche Stelle einen Personenbezug herstellen kann, nicht nur auf die dieser Stelle „vernünftigerweise“ zur Verfügung stehenden und von dieser einsetzbaren Mittel ankommt, sondern es sich dabei jeweils auch um legale Mittel handeln muss. Dies führt zwar zu einer weiteren Einschränkung des Begriffs der personenbezogenen Daten. Jedoch greifen bei nichtlegalen Mitteln schon andere Sanktionen der Rechtsordnungen, etwa aus dem Strafrecht. Ferner wäre datenschutzrechtlich die Folge, dass die diesbezügliche Datenverarbeitung für sich genommen rechtswidrig ist. Zudem sollte Ausgangspunkt der Gesetzgebung nicht etwaiges nicht-legales Verhalten sein, vielmehr ist Ausgangspunkt ein rechtstreues Verhalten.
315
Anhang b. Festhalten am Anknüpfungspunkt der „personenbezogenen Daten“ Ein Festhalten am Begriff der „personenbezogenen Daten“ erscheint geboten und zweckdienlich. Auf diesen Anknüpfungspunkt wird in den verschiedenen nationalen Rechtsordnungen zum Teil schon seit Jahrzehnten zurückgegriffen, es gibt entsprechend umfangreiche (nationale) Erfahrungen und Rechtsprechung dazu. Auch die EU-Datenschutz-Richtlinie von 1995 verwendet diesen Anknüpfungspunkt („personal data“), alle Mitgliedsstaaten haben diesen in ihre Datenschutzgesetzgebung übernommen, ebenso wie die Rechtsprechung der Europäischen Gerichte zu diesem Anknüpfungspunkt bereits Erfahrung sammeln konnte. Die Ansicht, die an die „Privatheit“ der Daten anknüpfen will („privacy“), übersieht, dass private Daten zwangsläufig nur eine Teilmenge der personenbezogenen Daten sind, denn Privatheit steht nach dem Rechtsverständnis der meisten Mitgliedstaaten nur natürlichen Personen zu: Private Daten sind damit immer auch personenbezogenen. Es ist kein Grund ersichtlich, private Daten als Untergruppe der personenbezogenen Daten einem noch stärkeren oder zusätzlichen besonderen Schutz zu unterstellen, der über den Schutz personenbezogener Daten hinausgeht. Es erscheint vielmehr sinnvoller, den Schutz von personenbezogenen Daten als Obermenge möglichst hoch anzusetzen bzw. hoch zu belassen, so dass über diesen hohen Schutz etwaige Teilmengen, wie hier die privaten (personenbezogenen) Daten automatisch gleichstark mitgeschützt werden. Ansonsten entstünden neue Abgrenzungsprobleme mit den sensitiveren „privaten“ Daten, wobei zu beachten ist, dass nicht alle privaten Daten zwingend (besonders) schützenswert sind und sich die Frage stellt, wann aus privaten (personenbezogenen) Daten öffentliche (personenbezogene) Daten werden und wie dieser Weg umkehrbar ist. Es sollte daher bei dem bewährten und greifbaren Begriff der „personenbezogenen Daten“ verbleiben. Zu Ziffer 2.1.2
Mehr Transparenz für die von der Verarbeitung Betroffenen
Einem Betroffenen, der Transparenz darüber wünscht, was mit seinen Daten geschieht, ist es in der Regel zumutbar, selbst aktiv zu werden, um sich diese Informationen zu beschaffen. Die Darstellung im Gesamtkonzept trennt nicht genügend zwischen der Frage, – welche Informationen für den Betroffenen lediglich auf Wunsch verfügbar sein müssen und – welche Informationen ihm die verantwortliche Stelle ohne besondere Aufforderung aktiv zur Verfügung stellen muss. Beides muss deutlich unterschieden werden. (a) Eine Sonderrolle sollten die oben erwähnten besonderen Personengruppen (Kinder, möglicher Weise auch bestimmte behinderte Personen), da von diesen unter Umständen nicht verlangt werden kann, selbst in ausreichendem
316
Stellungnahmen Maße aktiv zu werden; bezüglich dieser sollte daher die verantwortliche Stelle aktiv werden müssen. (b) Eine allgemeine Anzeigepflicht für Datenschutzverstöße, die allein an die Tatsache eines Verstoßes anknüpft, geht zu weit. Ausreichend erscheint eine Regelung, die sich an § 42a BDSG orientiert. Das Anzeigen aller Arten von Verstößen gegenüber den Aufsichtsbehörden, also auch solcher, die den Betroffenen letztlich gar nicht beeinträchtigen (etwa weil die Folgen eines Verstoßes inzwischen bereits behoben wurden) bindet die knappen Ressourcen der Aufsichtsbehörden in unnötiger Weise und ist daher abzulehnen. Eine Anzeige von Verstößen „nur“ den jeweils Betroffenen gegenüber kann dagegen sinnvoll sein. Die größte Problematik wird insgesamt in der Definition des „Verstoßes“ gesehen, gerade dann, wenn die Nichteinhaltung der Anzeigepflicht geahndet werden soll, was wiederum sinnvoll und nötig erscheint: Dann aber muss nach den verfassungsrechtlichen Regelungen über die Bestimmtheit strafrechtlicher Normen eine Norm ausreichend klar definieren, wann ein Verstoß vorliegt und wann nicht. Die Frage, ob eine bestimmte Datenverarbeitung (noch) zulässig ist oder aber (schon) nicht mehr, ist oft nicht einfach zu klären, etwa dann, wenn mit mehreren unbestimmten Rechtsbegriffen gleichzeitig gearbeitet werden muss („erforderlich“, „angemessen“) und/oder zusätzlich Abwägungen zu treffen sind bezüglich derer zwangsläufig eine gewisse Unsicherheit verbleibt. Es wird angeregt, sich besonders mit der Frage zu beschäftigen, welche Verstöße zu einer Anzeigepflicht führen sollen, und insofern klare und eindeutige Vorgaben aufzustellen. Denkbar wäre ein Anknüpfen an bestimmte Arten von personenbezogenen Daten. Zu Ziffer 2.1.5
Einwilligung
Es wird begrüßt, wenn die Anforderungen an eine wirksame datenschutzrechtliche Einwilligung präzisiert und gestärkt werden. Jedenfalls bei der Novellierung der Richtlinie, gegebenenfalls aber auch im späteren Richtlinientext sollte zwischen – der Einwilligung von Beschäftigten auf der einen Seite und – der Einwilligung von Kunden auf der andere Seite unterschieden werden – zu unterschiedlich sind die jeweiligen Grundkonstellationen: – Auf der einen Seite der abhängige (weil schon in einem Vertragsverhältnis befindliche) Arbeitnehmer, mit dessen Personaldaten sein Arbeitgeber bestimmte Verarbeitungen durchführen muss oder will, – auf der anderen Seite der Kunde, der die Wahl hat, ob er ein bestimmtes Angebot nutzt oder auf einen anderen Anbieter zurückgreift, der ihm bezüglich der Handhabung seiner Daten vertrauenswürdiger erscheint.
317
Anhang Für beide Bereiche sind EU-weit harmonisierte Anforderungen essentiell, da viele Unternehmen grenzüberschreitend tätig sind und es nicht vermittelbar ist, warum etwa bei einer gemeinsamen (EU-weiten) Personalabteilung die Anforderungen an eine Einwilligung der Arbeitnehmer aus dem Land A „schwächer“ ausgestaltet sein darf als bei Mitarbeitern aus dem Land B. (i)
Im Bereich des Beschäftigtendatenschutzes wird es nicht möglich sein, alle auftretenden Fragen mittels Einwilligungen zu lösen. Zu fordern ist vielmehr, dass die Konzeption der Kommission um Überlegungen zu einem spezifischen Arbeitnehmerdatenschutzrecht auf EU-Ebene ergänzt wird. Ausschließlich nationale gesetzliche Regelungen oder der Rückgriff auf allgemeine Datenschutzregelungen der Europäischen Union reichen auf diesem Gebiet nicht mehr aus.
(ii) Bei Kundendaten gilt dies ebenfalls: Angebote beispielsweise im Internet richten sich oft an ein grenzüberschreitendes Publikum, gerade innerhalb des Binnenmarktes der EU mit seinen harmonisierten Verbraucherschutzregelungen. Das Erstellen, Vorhalten und ständige Pflegen und Aktualisieren von mehr als zwei Dutzend unterschiedlichen Einwilligungserklärungen an die jeweiligen nationalen Vorgaben verursacht unnötigen Aufwand bei den Betreibern, vor allem aber ist es einer übersichtlichen und transparenten Darstellung gegenüber den Kunden sehr abträglich. Durch eine Vollharmonisierung dieser Fragen kann ein einheitliches Niveau geschaffen werden. (iii) Gleichzeitig mit der Präzisierung und Vereinheitlichung von Anforderungen an die eigentliche Einwilligung sollten die Anforderungen an deren Begleitpflichten präzisiert und harmonisiert werden, etwa zum Umfang, in dem ein Betroffenen vor Abgabe einer Einwilligung informiert/aufgeklärt werden muss: Denn es nützt wenig, wenn zwar die Einwilligungserklärung selbst präzisiert und vor allem harmonisiert ist, bei den einhergehenden Begleitpflichten aber wieder jeder Mitgliedsstaat eigene Regelungen schaffen könnte und damit die Harmonisierung des Einwilligungsvorgangs konterkarieren würde. Dabei sollte auch berücksichtigt werden, dass es z. B. bei Telemediendiensten nicht immer ohne Weiteres möglich ist, die Kenntnis der Sachlage als Voraussetzung für eine Einwilligung herzustellen. Es erscheint angemessener, hier grundsätzlich auch das sogenannte Opt-out-Verfahren vorzusehen. Dafür braucht man standardisierte, einfach zu handhabende und für den Betroffenen transparente Regelungen. Hierbei sollte auch auf die Konsistenz mit den Regelungen im Bereich eCommerce (z. B. Wettbewerbsrecht) geachtet werden. Bei der Präzisierung und Harmonisierung der Einwilligung und etwaiger Begleitpflichten sollten zudem die besonderen Anforderungen und Umstände bei Einwilligung von Minderjährigen beachtet werden. Sinnvoll erscheint, eine feste Altersgrenze einzuführen und/oder eine ausdrückliche Vertretungsbefugnis durch die Eltern o. Ä. zu regeln. Gerade bei den sozialen Netzwerken haben die Anbieter oft mit Minderjährigen zu tun – und zwar grenzüberschreitend –, ohne aber
318
Stellungnahmen konkrete Vorgaben zu haben, welche Anforderungen an die Wirksamkeit der Einwilligung eines Minderjährigen gestellt werden. Zu Ziffer 2.1.6
Schutz sensibler Daten
Der Begriff der sensiblen Daten sollte nicht um weitere Datenkategorien erweitert werden. Eine solche Erweiterung könnte die unerwünschte Folge haben, dass die Datenschutzbemühungen künftig nur noch auf die dann sehr umfangreichen Arten sensitiver Daten konzentriert werden. Das Schutzniveau hinsichtlich der anderen Daten könnte dadurch sinken. Zu Ziffer 2.1.7
Wirksame Rechtsbehelfe und Sanktionen
Eine umfassende gerichtliche Klagebefugnis von Datenschutzbehörden geht in die falsche Richtung und stellt keine adäquate Lösung dar. Notwendig ist es vielmehr, den Datenschutzbehörden selbst ausreichende eigene Anordnungsbefugnisse zu geben. Sofern sie entsprechende Anordnungen treffen, hat der für die Verarbeitung Verantwortliche die Möglichkeit, die Rechtmäßigkeit einer solchen Anordnung gerichtlich überprüfen zu lassen. Unterlässt er dies, besteht keine Notwendigkeit, Gerichte zu involvieren. Zu Ziffer 2.2.4
Mehr Verantwortung der für die Verarbeitung Verantwortlichen
Die Absicht, die Benennung unabhängiger Datenschutzbeauftragter zwingend vorzusehen, wird uneingeschränkt begrüßt. Der Datenschutzbeauftragte im Unternehmen ist eine Institution der Selbstkontrolle. Diese Institution hat sich nicht nur in Deutschland bewährt, sondern wurde in den letzten Jahren vermehrt auch in anderen Mitgliedstaaten vorgesehen, wenn auch in der Regel nur auf freiwilliger Basis. Es ist deshalb nachhaltig zu empfehlen, betriebliche Datenschutzbeauftragte verbindlich vorzusehen und dafür Meldepflichten gegenüber Datenschutzbehörden abzubauen. Das dient dem Abbau von Bürokratie und vermeidet unnötigen Aufwand. Die Absicht, die weitere Förderung von Technologien zum Schutz der Privatsphäre und der Möglichkeiten für die konkrete Umsetzung des Privacy-byDesign-Konzepts zu prüfen, wird begrüßt. Insbesondere werden zuverlässige, einfache Verfahren für Signatur und Verschlüsselung von Daten benötigt. Hierfür sind vollharmonisierte Standards für handhabbare Authentisierungs- und Verschlüsselungsverfahren und -systeme erforderlich. Zu Ziffer 2.4.1
Internationaler Datentransfer
Das Vorhaben der Kommission, das Verfahren zu vereinfachen und zu vereinheitlichen, wird uneingeschränkt begrüßt.
319
Anhang Dabei bietet es sich in Anbetracht der enorm gestiegenen Rolle der Auftragsdatenverarbeitung an, die derzeit damit verbundenen Restriktionen bei Dienstleistern in einem Drittland zu überdenken und das Modell einer Auftragsdatenverarbeitung insofern nicht mehr kategorisch auszuschließen. Dies gilt umso mehr, wenn der Dienstleister in einem Drittland gemäß den Vorgaben der Kommission als „sicher“ gilt, etwa durch Unterzeichnung des EU-Standardvertrags. Darüber hinaus sind unverändert Regelungen für den Datenverkehr innerhalb eines Konzerns oder einer Unternehmensgruppe nötig und zwar wiederum sowohl betreffend Personaldaten wie auch Kundendaten. Derzeit sind in der Praxis diesbezügliche Datenflüsse oft kaum oder nur sehr schwer rechtmäßig darstellbar, was aber an der Realität vorbeigeht: Nahezu jedes Unternehmen mit mehreren Tochterfirmen verfügt über eine zentrale Personalabteilung und/oder über eine zentrale Kundendatenbank. Dieser Realität kann sich ein Unternehmen in einer globalisierten Welt auch künftig nicht entziehen. Es wird als sehr dringlich erachtet, hierfür explizite Regelungen zu schaffen, gerade auch im Hinblick auf Konzerne im internationalen Kontext: Denn selbst dann, wenn diese nur in Mitgliedsstaaten der EU tätig sind, haben sie mit verschiedenen, zum großen Teil zudem höchst unterschiedlichen nationalen datenschutzrechtlichen Vorgaben zu diesem Thema zu tun, was dem Gedanken des freien Warenverkehrs massiv widerspricht. Dr. Anselm Brandi-Dohrn
Dr. Eugen Ehmann
Dr. Robert Selk
Vorsitzender der DGRI e.V.
Fachausschuss Datenschutz
Fachausschuss Datenschutz
320
Stellungnahmen
DGRI e.V. • Bahnhofstraße 10 • D-76137 Karlsruhe
Bundesministerium der Justiz Referat Z B 2 Herrn Dr. Figge Herrn Heimen Mohrenstraße 37 11015 Berlin
Dr. Anselm Brandi-Dohrn, maître en droit 1. Vorsitzender Rechtsanwalt Oranienstraße 164, D-10969 Berlin Telefon: +49-30-61 68 94 09 Telefax: +49-30-61 68 94 56 E-Mail: [email protected]
Vorab per E-Mail: [email protected]
Berlin, 26. Januar 2011 Entwurf eines Gesetzes zur Änderung der Vorschriften über Verkündung und Bekanntmachungen (VkBkmG-E) Hier:
Stellungnahme der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI e.V.)
Ihr Zeichen: Z B 2 - 1023/3-2-Z4 1550/2010; Bezug: 1032/3-1 Z4 193/2007 Sehr geehrte Damen und Herren, sehr geehrter Herr Dr. Figge, sehr geehrter Herr Heimen, in obiger Angelegenheit danken wir für die der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) eingeräumte Möglichkeit, an der Anhörung der Verbände teilzunehmen und Stellung zu nehmen zum geplanten Gesetzgebungsvorhaben. Die DGRI ist eine unabhängige wissenschaftliche Vereinigung, die sich mit Fragen im Bereich der Schnittstelle zwischen Informatik- und EDV-Recht einerseits sowie Recht und Wirtschaft andererseits befasst. Sie fördert die Zusammenarbeit von Lehre, Forschung, Gesetzgebung und Praxis in allen Fragen der Informationstechnik. Die DGRI nimmt zu dem Gesetzesentwurf unter dem Blickwinkel der IT-Sicherheit Stellung. I. Sicherheitsanforderungen, § 7 Abs. 2 S. 2 des Gesetzesentwurfs Die DGRI regt an zu prüfen, wie die vom Gesetzgeber gewünschte Überprüfung der Authentizität von Veröffentlichungen durch „jedermann“ gewährleistet werden kann; es erscheint vorzugswürdig, allgemein bekannte und verbreitete Prüfsysteme vorzusehen, um die Akzeptanz und Transparenz der Neuregelungen in der Bevölkerung zu steigern.
321
Anhang Erläuterung: § 7 Abs. 2 S. 2 des Gesetzesentwurfs sieht vor: „Die inhaltliche Übereinstimmung eines solchen Dokuments mit der Ausfertigung der Rechtsverordnung oder mit dem der Bekanntmachung zugrunde liegenden Original muss gewährleistet sein.“ Die Gesetzesbegründung führt dazu aus: „Als technische Vorkehrung, die nachträgliche inhaltliche Veränderungen eines elektronischen Dokuments erkennbar macht, steht namentlich die qualifizierte elektronische Signatur (§ 2 Nummer 3 SignaturG) zur Verfügung. Durch die Beifügung einer solchen Signatur ist für jedermann überprüfbar, ob ihm eine authentische Veröffentlichung vorliegt.“ Im „Fragen & Antworten“-Bereich auf www.ebundesanzeiger.de heißt es als Antwort auf die Frage „Wie kann ich die elektronische Signatur bei Veröffentlichungen im Amtlichen Teil prüfen?“: „Die Überprüfung der Signatur kann nur mittels einer speziellen Software erfolgen, die unter der Bezeichnung „Signatur Reader“ von verschiedenen Firmen im Internet kostenlos zum Download bereitgestellt wird. Darüber hinaus gibt es im Internet auch mehrere Anbieter, bei denen die Signatur kostenlos online (d. h. ohne Installation einer Software) überprüft werden kann. Zur Überprüfung der Signatur muss die jeweilige PDF-Datei vorher auf Ihrem Rechner gespeichert werden. Eine Überprüfung der elektronischen Signatur durch den Acrobat Reader ist nicht möglich. Verwenden Sie auch nicht die im Acrobat Reader, Version 9, integrierte Signaturfunktion zur Überprüfung. Bei technischen Fragen zur elektronischen Signatur wenden Sie sich bitte per Mail an [email protected].“ Zum gegenwärtigen Zeitpunkt erfordert laut Aussage im „Fragen & Antworten“-Bereich unter www.ebundesanzeiger.de die Überprüfung der qualifizierten elektronischen Signatur also die Installation einer als „Signatur Reader“ bezeichneten Software, die von nicht näher bezeichneten Anbietern im Internet zum Download bereitgestellt werden soll. Eine Überprüfung der qualifizierten elektronischen Signatur wird daher nur Nutzern mit vertieften ITKenntnissen möglich sein. Eine Überprüfung der Authentizität von Veröffentlichungen mit dem weitverbreiteten und daher auf vielen Computersystemen bereits installierten kostenlosen Adobe Reader (Version 9) soll nicht möglich sein. Die DGRI regt an, entweder eine Überprüfung der Authentizität auf der Website des Bundesanzeigers selbst anzubieten. Dies würde die Hürde für eine Überprüfung der Authentizität besonders niedrig halten, da keine Installation von (Dritthersteller-)Software notwendig wäre und folglich deren Bedienung nicht erst durch den Anwender erlernt werden müsste. Alternativ regt die DGRI an, die Webseiten von Anbietern zu nennen, die eine Überprüfung der Signatur (ggf. auch online) anbieten.
322
Stellungnahmen II. Ersatzverkündung, Ersatzbekanntmachung, § 8 des Gesetzesentwurfs § 8 Abs. 1 des Gesetzesentwurfs sieht zwingend eine Ersatzverkündung bzw. Ersatzbekanntmachung vor, wenn „die elektronische Bereitstellung oder Bereithaltung des Bundesanzeigers nicht nur kurzzeitig unmöglich [ist].“ Die Gesetzesbegründung führt aus: „Von einem nicht nur kurzzeitigen Ausfall [kann] regelmäßig ab einer Hinderungsdauer von einem Werktag ausgegangen werden. Diese Frist ist auch auskömmlich, um regelmäßige Wartungsarbeiten zu ermöglichen.“ Die Nutzer des Portals zur elektronischen Bekanntmachung werden einen zwischenzeitlichen Ausfall des Systems meist nicht bemerken. Bei der nächsten Recherche werden sie unter Umständen nicht realisieren, dass wegen eines zwischenzeitlichen Ausfalls ein Teil der aktuellen Gesetze nicht online sondern offline verkündet wurde. Vor dem Hintergrund der hierdurch entstehenden Nachteile für die Nutzer regt die DGRI an, im Gesetz, zumindest aber in der Gesetzesbegründung die Voraussetzungen für die Annahme eines nicht nur kurzzeitigen Ausfalls präziser zu fassen. Die Angabe „Hinderungsdauer von einem Werktag“ lässt Raum für Interpretationen. Soll damit nur ein Ausfall von 8 Stunden am Stück an Werktagen erfasst sein oder sollen auch wiederholte Ausfälle erfasst sein, die erst insgesamt die Dauer eines Werktages erreichen? Ebenso ist unklar, ob ein Ausfall an einem Freitag um 17 Uhr, der bis Montag 15:30 Uhr andauert, als noch kurzzeitig im Sinne der Vorschrift anzusehen ist. Die DGRI regt an, eine Verfügbarkeitsangabe nach maximalen Ausfallstunden pro Woche/Monat/Jahr und maximalen Ausfallzeiten am Stück zu prüfen oder eine feste Zahl von Stunden/Kalendertagen im Gesetz anzugeben. Es sollte zudem im Gesetz vorgesehen werden, dass nach dem Ende der Störung nicht nur im elektronischen Bundesanzeiger „auf die Ersatzbekanntmachung“ hingewiesen wird – vielmehr sollte die Verkündung unter dem ursprünglichen Verkündungsdatum nachgeholt und/oder auf der Seite des Bundesanzeigers prominent auf die Dauer des Ausfalls hingewiesen werden. Die DGRI weist weiter darauf hin, dass der Begriff „elektronische Bereitstellung … unmöglich“ nur Ausfallzeiten berücksichtigt, die durch Probleme auf Seiten des Serversystems, z. B. durch Wartungsarbeiten, auftreten. Der Begriff deckt möglicher Weise nicht ab eine mögliche Überlastung von Infrastruktursystemen, z. B. wenn der Abruf der Website des Bundesanzeigers durch eine Flutung mit Anfragen, in der Absicht die Erreichbarkeit des Dienstes zu stören (sog. Denial of Service-Attacken), unmöglich gemacht wird. Die DGRI regt daher an, § 8 Abs. 1 eingangs zu fassen wie folgt: „Ist die Zugänglichkeit zum elektronischen Bundesanzeiger während mehr als einem Werktag durchgehend nicht gewährleistet, müssen …“ III. Geplante Verordnung, § 9 des Gesetzesentwurfs Die DGRI regt an, in der nach § 9 des Gesetzesentwurfs vorgesehenen Verordnung die Formatfrage unter besonderer Berücksichtigung der Archivierungs-
323
Anhang anforderungen sowie unter Berücksichtigung der Vorgaben in § 7 Abs. 2 S. 1 des Gesetzesentwurfs zu prüfen. In diesem Zusammenhang sollten bei der Prüfung der Geeignetheit des Portable Document Formats (PDF) u. a. folgende Punkte berücksichtigt werden: – Das Portable Document Format ist ein 1993 erstmals veröffentlichtes grds. proprietäres Format der Firma Adobe Systems Inc. – Zur Umsetzung der Anforderung von § 7 Abs. 2 S. 1 des Gesetzesentwurfs an ein ständig und dauerhaft verfügbares Format ist bei der Wahl eines Portable Document Formats darauf zu achten, ein Format bzw. Implementierung auszuwählen, welches von der International Organization for Standardization (ISO) erarbeitet und verabschiedet wurde. Adobe Systems Inc. hat in diesem Zusammenhang den betreffenden Gremien der ISO das Recht übertragen, die jeweils nötigen Spezifikationen zeitlich unbegrenzt zum Herunterladen bereitzustellen. – Zur Umsetzung der Anforderung von § 7 Abs. 2 S. 1 des Gesetzesentwurfs an ein dauerhaft lesbares Format (Archivierung) sollten u. a. folgende Punkte Berücksichtigung finden: – Referenzen auf Ressourcen, die nicht in der Datei selbst enthalten sind und damit irgendwann nicht mehr zugänglich sein könnten, sollen untersagt werden und statt dessen eine Pflicht zur Einbettung aller benutzten Schriftarten und aller Bilder aufgenommen werden. – Eine Verschlüsselung oder teilweises Sperren von Funktionen der Datei wie Drucken oder der Entnahme von Inhalten sollte unzulässig sein. – Die Verwendung kontextabhängiger Funktionen oder dynamischer Funktionen sollte unzulässig sein. Dies bedeutet z. B. auf Technologien wie Javascript zu verzichten. – Die Verwendung patentgeschützter Technologien wie z. B. bestimmter Kompressionsalgorithmen, sollte unzulässig sein, soweit nicht der Patentinhaber unwiderruflich einer freien Verwendung in dem hier notwendigen Umfang durch jedermann zugestimmt hat. Die ISO hat als PDF/A ISO 19005 im Jahr 2005 ein PDF-Format für die Langzeitspeicherung standardisiert, welches Fragen der Archivierung, wie die oben angesprochenen, berücksichtigt. Dr. Anselm Brandi-Dohrn
Isabell Conrad
1. Vorsitzender
Leiterin Fachausschuß WiR/SteuerR
324
Stellungnahmen
DGRI e.V. • Bahnhofstraße 10 • D-76137 Karlsruhe
Europäische Kommission – GD Binnenmarkt – Herrn Kommissar Joaquín Almunia
Dr. Anselm Brandi-Dohrn, maître en droit 1. Vorsitzender Rechtsanwalt Oranienstraße 164, D-10969 Berlin
per e-Mail: [email protected]
Telefon: +49-30-61 68 94 09 Telefax: +49-30-61 68 94 56 E-Mail: [email protected]
Berlin, 14. April 2011 GRÜNBUCH über die Modernisierung der europäischen Politik im Bereich des öffentlichen Auftragswesens (KOM (2011) 15/4) Hier: Stellungnahme der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) (Register-Nr. 21625424990-18 des Registers der Interessenvertreter der Europ. Kommission) Sehr geehrte Herr Kommissar Almunia, Sehr geehrte Damen und Herren, in obiger Angelegenheit danken wir für die der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) eingeräumte Möglichkeit, Stellung zu nehmen zum geplanten Vorhaben einer Überarbeitung der Richtlinien zum öffentlichen Auftragswesen. Die DGRI ist eine unabhängige wissenschaftliche Vereinigung, die sich mit Fragen im Bereich der Schnittstelle zwischen Informatik- und EDV-Recht einerseits sowie Recht und Wirtschaft andererseits befasst. Sie fördert die Zusammenarbeit von Lehre, Forschung, Gesetzgebung und Praxis in allen Fragen der Informationstechnik. Sie begleitet Gesetzgebungsvorhaben als neutrale Institution und ist nicht den Partikularinteressen einzelner Unternehmen oder Branchen verpflichtet. Die DGRI begrüßt das Bestreben der Kommission, die Regeln zum öffentlichen Auftragswesen zu überarbeiten, um Effizienz und Wirksamkeit weiter zu erhöhen. Aus Sicht der DGRI sollte bei einer Aktualisierung der Bestimmungen insbesondere die heutige ganz erhebliche Bedeutung der Beschaffung von IKT-Leistungen (Leistungen der Informations- und Kommunikationstechnologie) durch öffentliche Auftraggeber berücksichtigt werden, die bei der Annahme der ersten Richtlinie (Richtlinie 71/305/EWG vom 26. Juli 1971) auch nicht ansatzweise in ihrer
325
Anhang wirtschaftlichen Bedeutung zu erkennen war, die aber im 21. Jahrhundert einen ganz wesentlichen Anteil am Beschaffungsmarkt hat. Die Beschaffung von IKT ist zudem durch Besonderheiten gekennzeichnet, die in keinem anderen wirtschaftlich bedeutenden Zweig der von öffentlichen Auftraggebern nachgefragten Leistungen existieren. Dies ist insbesondere darin begründet, dass beim Erwerb von Software nicht der Erwerb von (Sach-)eigentum im Vordergrund steht, sondern der Erwerb von Nutzungsrechten an Geistigem Eigentum (insbesondere Urheberrechten). Bei solchen immateriellen Wirtschaftgütern muss die Frage des effizienten Einkaufs in anderer Weise als bei der Herstellung von materiellen Gütern gestellt werden, da die Herstellungskosten immaterieller Wirtschaftsgüter nicht linear zur Zahl der verkauften Stücke steigen. Vor diesem Hintergrund nimmt die DGRI zu ausgewählten Fragen des Grünbuchs im Folgenden Stellung: Frage 2: öffentliche Aufträge – Zweckmäßigkeit der derzeitigen Struktur des Anwendungsbereichs der Richtlinien Die DGRI empfiehlt, nur noch einen einheitlichen Begriff des „öffentlichen Auftrags“ zu verwenden und nur dort Sonderbestimmungen in den Richtlinien vorzusehen, wo dies durch die Art des Auftrags zwingend geboten ist. Gerade im Bereich der IKT führt die Unterscheidung zwischen Liefer- und Dienstleistungsauftrag nach der vom EuGH gewählten Formel des „Hauptzwecks des Auftrags“ zu erheblicher Rechtsunsicherheit: Schon die Frage, ob die Einräumung von Nutzungsrechten an Software gegen Einmalzahlung ein Liefer- oder ein Dienstleistungsauftrag ist, kann in unterschiedlichen Rechtsordnungen innerhalb der EU unterschiedlich beurteilt werden. Sieht man in einer solchen Einräumung einen Lieferauftrag (wie dies in Deutschland der Fall ist), ist es nur eine Frage des individuellen Standpunktes, ob die Einräumung von Nutzungsrechten an Software gegen Einmalzahlung (= Lieferauftrag) oder der zugleich abgeschlossene Pflegevertrag (= Dienstleistungsauftrag) als Hauptzweck des Auftrags angesehen wird – je nachdem, ob man eher den Erwerb der Software als entscheidend ansieht oder die Möglichkeit, diese Software dauerhaft nutzen zu können. Die Rechtsunsicherheit wird dadurch verstärkt, dass in vielen Verträgen die Gesamtkosten des Pflegevertrages erheblich höher sind als die Kosten des Erwerbs der Software. Mit einem einheitlichen Begriff des „öffentlichen Auftrags“ könnten zugleich Abgrenzungsprobleme zu „Bauaufträgen“ bei Vergabe von IKT-Aufträgen im Zusammenhang mit Bauwerken vermieden werden1
_________________
1 Im Urteil des BGH vom 20.5.2003, Az.: X ZR 57/02 hat der BGH angenommen, dass die Programmierung einer Steuerungssoftware für eine Steuerungsanlage für die Pelletieranlage einer Mühle „Arbeiten an einem Bauwerk“ darstellen.
326
Stellungnahmen Frage 6: Anhebung der Schwellenwerte? Die DGRI empfiehlt, die Schwellenwerte nicht anzuheben. Die von manchen Interessengruppen angenommene Vereinfachung des Regelwerkes wird dadurch nicht erreicht, da die öffentlichen Auftraggeber unterhalb der Schwellenwerte keineswegs frei in der Gestaltung des Verfahrens sind. Schlimmer noch: Da unterhalb der Schwellenwerte das Verfahren nicht von ausformulierten Verfahrensregeln bestimmt wird, sondern von ausfüllungsbedürftigen Generalklauseln wie den Prinzipien der Nichtdiskriminierung und der Transparenz, werden solche Vergabeverfahren künftig von größerer Rechtsunsicherheit geprägt sein. Darüber hinaus steht für übergangene Bieter nur ein unsicherer und reduzierter Rechtsschutz zur Verfügung. Spezifisch für den Bereich der IKT weist die DGRI zudem auf eine immer wieder anzutreffende Praxis hin, der – entgegen den Zielsetzungen der Richtlinien – mit einer Anhebung der Schwellenwerte Vorschub geleistet würde: Das geltende Vergaberecht gestattet, bei einer Ausschreibung zu schon erworbenen Produkten gleichartige zuzukaufen (also insbesondere vom gleichen Anbieter), wenn die Verwendung von Produkten anderer Hersteller zu erheblichen technischen Problemen bei Betrieb und/oder Wartung führen würde (Art. 31 Nr. 2 (b) der Richtlinie 2004/18/EG, Art. 40 Nr. 3 (e) der Richtlinie 2004/17/EG). Im Hard- und Softwarebereich werden daher zum Teil lediglich „Pilotaufträge“ für einzelne Hard- oder Software ausgeschrieben, die – da unterhalb der Schwellenwerte liegend – nicht europaweit ausgeschrieben werden. Für den anschließenden Großauftrag kann dann, zur Vermeidung von Inkompatibilität mit den schon beschafften Probeexemplaren, nach Art. 31 Nr. 2 (b) ebenfalls eine europaweite Ausschreibung vermieden werden. Je höher der Schwellenwert angesetzt wird, desto mehr wird dieses Vorgehen erleichtert. Frage 7/8: Überarbeitung oder Abschaffung der Liste der vom Geltungsbereich der Richtlinie ausgeschlossenen Aufträge Die DGRI weist darauf hin, dass in der Praxis deutlich erkennbar ist, dass die Transparenz und Effizienz einer Auftragsvergabe eklatant schlechter ist, wenn sie nicht unter die Richtlinien fällt. Vor diesem Hintergrund regt die DGRI an, alle Ausschlüsse daraufhin zu überprüfen, ob sie zwingend notwendig sind; zugleich sollte in der Richtlinie explizit klar gestellt werden, dass es sich um Ausnahmen handelt, die eng auszulegen sind. Ergänzend könnte vorgesehen werden, dass Aufträge, die nur teilweise unter eine Ausschlussregelung fallen, nicht gemeinsam mit an sich nicht ausgeschlossenen Aufträgen ausgeschrieben werden dürfen. Frage 10/10.1: Ist die Sektorenrichtlinie weiterhin notwendig? JA, und zwar im bisherigen Umfang. Die Auftragsvergabe nach transparenten und nichtdiskriminierenden allgemein geltenden Regeln dient nicht nur der effizienten Beschaffung sondern auch dem Schutz der Bieter gegen eine Vergabe
327
Anhang nach unsachlichen Gesichtspunkten. Gerade im Bereich von IKT gibt es zahlreiche Anbieter von spezifisch auf die Bedürfnisse von Sektorenauftraggebern zugeschnittener Software. Solange in einzelnen Sektoren monopolistische Strukturen fortbestehen, wäre ein Schutz ausschließlich nach Maßgabe des Kartellrechts (gegen missbräuchliches Verhalten des Monopolisten) nicht ausreichend. Dazu kommt, dass die Leitungsgremien vieler Sektorenauftraggeber eine sehr enge sachliche und personelle Verflechtung mit politischen Entscheidungsträgern aufweisen, sodass sie – ohne die Sektorenrichtlinien – politischer Einflussnahme leichter zugänglich sind. Die DGRI weist außerdem darauf hin, dass z. B. in Deutschland aufgrund gesetzlicher Bestimmungen alle Einwohner verpflichtet sind, die Leistungen des jeweiligen Unternehmens der Wasserversorgung in Anspruch zu nehmen (sog. „Anschluß- und Benutzungszwang“). Bei ineffizienter Vergabe (und entsprechend höheren Wasserpreisen) können also die Kunden die Verträge mit dem Versorger nicht beenden, sodass auch von Abnehmerseite kein Druck zu preisgünstiger Vergabe besteht. Frage 14: Ist das Detailniveau der Vergaberichtlinien zweckmäßig? Angesichts der großen Bandbreite technischer und formaler Anforderungen an Bieter und Leistungen in den verschiedenen Mitgliedsstaaten sind harmonisierte Regelungen für die Effizienz von Vergabeverfahren – gerade im IKT-Bereich – von großer Bedeutung. Insoweit erscheint das derzeitige Detailniveau der Vergaberichtlinien als zweckmäßig und hinreichend detailliert. Insbesondere sollte vor einer Änderung der Regelungen berücksichtigt werden, dass jede Änderung für die Bieter einen erheblichen Umstellungsaufwand bedeutet (z. B. wenn neue oder inhaltlich geänderte Bescheinigungen für jedes Mitgliedsland notwendig werden sollten). Die DGRI stellt allerdings fest, dass das bestehende Detailniveau – gemeinsam mit einem sehr strengen Verständnis des Grundsatzes der Nichtdiskriminierung – die Gerichte dazu verleitet, bei auch nur kleinsten Abweichungen von den Anforderungen, die der öffentliche Auftraggeber stellt, das Gebot eines Bieters zwingend auszuschließen2. Diese zunehmend kleinlichere Rechtsprechung führt zu erheblichen Mehrkosten und ineffizienten Verfahren, da gerade bei umfangreicheren Vergabeverfahren kaum ein Bieter in der Lage ist, unter dem bestehenden enormen Zeitdruck sämtliche geforderten Erklärungen in allen Details abzugeben. Die DGRI empfiehlt daher – in Übereinstimmung mit der ganz überwiegenden früheren Instanzrechtsprechung3 – in den Richtlinien ausdrücklich vorzusehen, dass Mängel des Angebotes eines Bieters, insbesondere das Fehlen geforderter Erklärungen, dann nicht zum Ausschluss des Bieters führen, wenn _________________
2 Ständige Rechtsprechung seit BGH, Urteil vom 7. Januar 2003, Az.: X ZR 50/01. 3 Vgl. z. B. OLG Dresden, IBR 2003, 435; OLG Düsseldorf, IBR 2003, 374; Bayerisches ObLG, IBR 2004, 852.
328
Stellungnahmen dies „unter keinem Gesichtspunkt zu einer Wettbewerbsbeeinträchtigung führt“, also insbesondere (i) keine Auswirkung auf den Angebotspreis hat und (ii) die Bieterreihenfolge nicht ändert. Frage 16: Neue, bisher nicht vorgesehene Verfahrenstypen? Vor dem Hintergrund bestehender Ineffizienzen bei Vergabeverfahren im Bereich von IKT regt die DGRI folgende Anpassungen der Verfahrenstypen an: (1) „Teststellung“: Ohne dass dies eine explizite Stütze in den Richtlinien fände4, wird im Bereich der IKT häufig vom Bieter nicht nur die Abgabe eines Angebotes verlangt, sondern eine testweise Installation und Vorführung des zu erwerbenden EDV-Systems. Praktisch bedeutet das, dass alle Bieter schon vor dem Zuschlag die verlangte Leistung beim öffentlichen Auftraggeber installieren müssen; dies verursacht ganz erhebliche Kosten, die die erfolglosen Bieter tragen müssen. Allerdings ist das Interesse des Auftraggebers schutzwürdig, beim Einkauf von IKT sicher zu gehen, dass die gelieferten Produkte kompatibel mit dem vorhandenen EDV-System sind und dies durch einen Testlauf vor der Auftragsvergabe abzusichern. Denn es ist (i) nicht möglich, die Leistungsbeschreibung so zu formulieren, dass der Auftraggeber generell sicher gehen kann, nur Gebote zu erhalten, die mit seinem vorhandenen EDV-System kompatibel sind5 und (ii) es ist dem Auftraggeber nicht zumutbar, sich auf seine Gewährleistungsansprüche zu verlassen, wenn sich die gelieferte IKT als inkompatibel mit seinem System erweist6. Vor diesem Hintergrund empfiehlt die DGRI, Art. 48 durch einen weiteren Punkt zu ergänzen, der dem Auftraggeber ausdrücklich die Möglichkeit einräumt, die „Lieferung der Leistung (oder Teilen hiervon, z. B. im Rahmen einer Teststellung) auf Probe zu verlangen.“ Der Auftraggeber hat eine solche Teststellung jedoch angemessen zu vergüten. (2) „Qualifikationssysteme“: Die DGRI empfiehlt, das bisher nur in der Sektorenrichtlinie vorgesehene Qualifikationssystem auch für die Richtlinie 2004/18/EG vorzusehen bzw. mit dem in Art. 52 dieser Richtlinie vorgesehen Zertifizierungsverfahren abzugleichen. Es ist dabei darauf zu achten, dass für den Bieter hinreichender Rechtsschutz sowohl gegen eine Ablehnung seiner _________________
4 Art. 48 Nr. 2 (j) (ii) der Richtlinie 2004/18/EG sieht nur vor, dass Proben, Beschreibungen oder Abbildungen der zu liefernden Produkte verlangt werden können. 5 Größere EDV-Systeme sind in aller Regel durch Anpassungen von Standardsoftware und zusätzliche individuell entwickelte Software nicht mehr standardisierbar, sodass nur durch einen Probelauf mit Sicherheit festgestellt werden kann, ob eine weitere Systemkomponente zu Inkompatibilitäten mit anderen Systemkomponenten führt. 6 Häufig besteht zudem gar kein Gewährleistungsanspruch, da der Hersteller die Kompatibilität mit anderen als Standardhard- und -softwarekomponenten üblicher Weise ausschließt.
329
Anhang Aufnahme wie gegen diskriminierende Qualifikationskriterien vorgesehen wird. (3) „De-Minimis-Regelung“: Nach ständiger Rechtsprechung des EuGH ist der öffentliche Auftraggeber auch unterhalb der Schwellenwerte nicht frei, sein Verfahren zu gestalten – vielmehr hat er Grundprinzipien einzuhalten, wie den Grundsatz der Transparenz und der Nichtdiskriminierung. Bislang besteht keine Untergrenze für Kleinstaufträge, bei denen ein Verstoß gegen diese Grundsätze den Handel zwischen den Mitgliedsstaaten nicht zu beeinträchtigen geeignet ist. Dies führt zu erheblicher Verunsicherung bei den Auftraggebern und zum Teil zu groteskem Aufwand für die Vergabe von Kleinstaufträgen. In Deutschland wurden daher sukzessive von Bundesland zu Bundesland und von Gemeinde zu Gemeinde unterschiedlich hohe Schwellenwerte etabliert, unter denen generell ein Verhandlungsverfahren möglich sein soll. Dies führt zu erheblicher Rechtszersplitterung; zudem ist keineswegs sicher, dass eine solche pauschale Grenze mit den Vorgaben des EG-Rechts vereinbar ist. Da andererseits ein unabweisbares Bedürfnis besteht, Kleinstaufträge effizient vergeben zu können, empfiehlt die DGRI, die Richtlinie 2004/18/EG dahin zu ergänzen, dass bei Aufträgen unterhalb eines geschätzten Auftragswertes von 30.000 Euro für Leistungen der Auftraggeber frei in der Gestaltung des Verfahrens ist. (3) „Nebenangebote“: Nach Art. 24 der Richtlinie 2004/18/EG sind Nebenangebote bisher nur gestattet. Nebenangebote sollen die Effizienz der Beschaffung steigern, weil der Bieter in der Regel besser als der Auftraggeber einschätzen kann, ob sein Produkt die Bedürfnisse des Auftraggebers erfüllen kann. Zugleich können dadurch innovative, also zwar neue aber wenig bekannte Verfahren angeboten werden. In der Praxis neigen die Auftraggeber aber zunehmend dazu, Nebenangebote generell auszuschließen, da (i) sie den zusätzlichen Auswertungsaufwand beim Vergleich der Angebote scheuen und (ii) fürchten, dass sie bei der Wertung nicht exakt gleicher Angebote Fehler machen, die zur Aufhebung des Verfahrens führen. Zudem entstand (iii) durch die Rechtsprechung des EuGH, dass Nebenangebote nicht zugelassen werden dürfen, wenn sie die Mindestanforderungen nicht erfüllen, in Deutschland erhebliche Unsicherheit, wie diese Mindestanforderungen zu formulieren sind und (iv) sind die Auftraggeber nach deutscher Rechtsprechung dazu verpflichtet, vor einer Ausschreibung den Markt genau zu erkunden (sodass die Zulassung von Nebenangeboten als Eingeständnis angesehen werden könnte, die auf dem Markt befindlichen Lösungen nicht hinreichend genau evaluiert zu haben). Dieser Zustand wirkt in erheblichem Umfang innovationshemmend und inneffizient. Die DGRI empfiehlt daher, Art. 24 der Richtlinie dahingehend zu ändern, dass Nebenangebote immer zuzulassen sind, soweit der Auftraggeber dies nicht im Einzelfall ausschließt. Die Gründe für den Ausschluss hat der Auftraggeber in den Vergabeunterlagen zu dokumentieren.
330
Stellungnahmen Frage 18: Befürworten Sie eine Verlängerung der in 2009/2010 eingeführten generellen Fristverkürzung? Die DGRI spricht sich entschieden dagegen aus, die für Vergaben in 2009 und 20107 von der Kommission beschlossene generelle Fristverkürzung weiter aufrecht zu erhalten. Gerade in den – in der Regel sehr umfangreichen – Verfahren zur Beschaffung von IKT sind Angebote innerhalb der verkürzten Fristen schon für inländische Bieter kaum mit der von der deutschen Rechtsprechung verlangten Sorgfalt (vgl. Antwort oben zu Frage 14) auszuarbeiten. Für ausländische Anbieter hatte die Verkürzung der Fristen praktisch die Wirkung eines Ausschlusses von Vergabeverfahren. Die praktischen Auswirkungen der Fristverkürzung widersprechen damit diametral den allgemeinen Intentionen der Richtlinie. Frage 19/21: Befürworten Sie einen größeren Anwendungsbereich für Verhandlungsverfahren? Die DGRI warnt vor einer Ausdehnung des Bereichs der Verhandlungsverfahren. Die bisherige Praxis zeigt, dass dort, wo Verhandlungsverfahren zum Einsatz kommen – oder wo Vergaben generell dem Anwendungsbereich der Richtlinien entzogen sind –, die Ineffizienz der Vergabeverfahren deutlich steigt. Frage 22: Halten Sie es für angemessen, vereinfachte Verfahren für die Beschaffung von gewerblichen Gütern und Dienstleistungen einzuführen? Auch im Bereich der IKT bestehen in großem Umfang standardisierte Produkte (sowohl Hard- wie Software) – sie dürften bei der Beschaffung durch öffentliche Auftraggeber den weitaus größten Teil des Auftragsvolumens ausmachen. Die DGRI hält allerdings die in der Richtlinie schon angelegten Möglichkeiten der Gestaltung von Vergabeverfahren für solche Güter für ausreichend – die dynamischen Beschaffungssysteme und elektronischen Auktionen. In beiden Fällen ist den Mitgliedsstaaten freigestellt, ob sie diese besonderen Möglichkeiten nutzen; die DGRI empfiehlt, zunächst noch weiter abzuwarten, welche Erfahrungen die Mitgliedsstaaten mit diesen Instrumenten sammeln, bevor weitere Verfahren eingeführt werden. Frage 25: Sollte die Richtlinie ausdrücklich die Berücksichtigung früherer Erfahrungen mit einem Bieter gestatten? Die DGRI weist darauf hin, dass im Bereich von IKT die Berücksichtigung früherer Erfahrungen mit Bietern keine große Rolle spielt – vielmehr nutzen die Auftraggeber den ihnen durch Art. 31 Nr. 2 (b) der Richtlinie 2004/18/EG bzw. Art. 40 Nr. 3 (e) der Richtlinie 2004/17/EG gegebenen Spielraum, über den „Umweg“ technischer Spezifikationen (vgl. Antwort oben zu Frage 6) den Bieter zu bevorzugen, mit dessen Produkten oder Dienstleistungen sie in der Vergan_________________
7 Und nach einer kürzlichen Äußerung der EU-Kommission auch für das Jahr 2011.
331
Anhang genheit gute Erfahrungen gemacht haben. Die DGRI regt an, bei einer etwaigen Anpassung der Richtlinien, damit frühere Erfahrungen mit einem Bieter besser berücksichtigt werden können, darauf zu achten, dass etwa vorgesehene Schutzmaßnahmen mit Art. 31 Nr. 2 (b) der Richtlinie 2004/18/EG, Art. 40 Nr. 3 (e) der Richtlinie 2004/17/EG abgeglichen werden, um die volle Wirksamkeit solcher Schutzmaßnahmen sicher zu stellen. Die DGRI weist außerdem darauf hin, dass nach deutscher Rechtsprechung der Auftraggeber schon nach geltendem Recht berechtigt ist, frühere Erfahrungen mit einem Bieter zu berücksichtigen8. Frage 27/28: Ist das Regelwerk im Hinblick auf kleinere öffentliche Auftraggeber insgesamt geeignet? Die DGRI hält das Regelwerk – gerade im Hinblick auf den Bereich der IKT – für insgesamt geeignet. Die öffentlichen Auftraggeber haben sich auf die besonderen Anforderungen eingestellt, den dieser Bereich insbesondere im Bereich der Leistungsbeschreibung an die Auftraggeber stellt, indem sie ihre Nachfrage durch spezialisierte Stellen9 gebündelt bearbeiten lassen. Die DGRI hält die Bedenken der Kommission für gerechtfertigt, dass eine Lockerung der Anforderungen für kleinere öffentliche Auftraggeber die Effizienz von Vergaben verringert und das Risiko von Diskriminierungen unangemessen erhöht. Dabei ist insbesondere im Auge zu behalten, dass die unangemessene Bevorzugung von Bietern auf lokaler Ebene von den Bürgern am deutlichsten wahrgenommen wird und daher die Akzeptanz von Vergabeentscheidungen am stärksten beeinträchtigt. Die DGRI regt jedoch an, eine feste Untergrenze („De-minimis-Regel“, vgl. oben Antwort zu Frage 16, unter (3)) in die Richtlinie aufzunehmen, unterhalb derer der öffentliche Auftraggeber frei ist, das Vergabeverfahren zu bestimmen. Frage 32: Würden Sie für verschiedene Formen der Zusammenarbeit öffentlicher Auftraggeber spezifische Bestimmungen im Sinne des EuGHFallrechts bevorzugen (z. B. „In-house“ und „horizontale Zusammenarbeit“)? Die DGRI regt an, jedenfalls den Bereich „horizontale Zusammenarbeit“ nicht ausschließlich durch die Rechtsprechung – also einzelfallbezogen – bestimmen zu lassen, sondern gesetzgeberisch tätig zu werden. Gerade im Bereich der IKT bestehen im Bereich der horizontalen Zusammenarbeit verschiedenste Modelle, bei denen die Kommission eine Entscheidung treffen sollte, welche sie als mit _________________
8 Kammergericht Berlin, Beschluß vom 27.11.2008, Az. 2 Verg 4/08: Der öffentliche Auftraggeber ist nicht verpflichtet, „sehenden Auges“ einem Bieter den Zuschlag zu erteilen, mit dem in der Vergangenheit rechtlich relevante Auseinandersetzungen wegen erheblicher Schlechtleistungen geführt wurden. 9 Vgl. in Deutschland z. B. IT-Dienstleistungszentren des Bundes, Bundesamt für Informationsmanagement und Informationstechnik der Bundeswehr.
332
Stellungnahmen den Zielen der „Strategie Europa 2020“ vereinbar hält und welche nicht. Die Varianten mag folgendes praktisches Beispiel erläutern: – (Variante 1): Mehrere Gemeinden entwickeln selbst eine Software, die bestimmte Verwaltungsabläufe automatisiert, anstatt eine auf dem Markt vorhandene Software zu erwerben. – (Variante 2): Da sich die Software für die Verwaltung als hilfreich erweist, stellen die Gemeinden diese Software später anderen Gemeinden kostenlos zur Verfügung. – (Variante 3): Da sich die Software für die Verwaltung als hilfreich erweist, vertreiben die Gemeinden die Software an andere öffentliche Auftraggeber, um ihre Entwicklungskosten zu amortisieren. Während Variante 1 vergaberechtlich unbedenklich sein dürfte, sind bei Varianten 2 und 3 Marktverzerrungen denkbar, weil die Gemeinden ihre Preise anders kalkulieren können als kommerzielle Anbieter. Auch für die Einordnung der Variante 1 hilft jedoch das vom EuGH entwickelte Kriterium der „geringen Marktorientierung“ nicht weiter, da sich die Gemeinden häufig erst nach der gemeinsamen Entwicklung der Software dazu entscheiden, selbst als Akteure im Markt aufzutreten. Zum Zeitpunkt der Entscheidung, die Software in horizontaler Zusammenarbeit zu entwickeln, liegt also häufig tatsächlich noch keine „Marktorientierung“ vor; dieser Entschluss wird dann später gefasst. Da von außen selten festzustellen sein wird, ob die Gemeinden nicht in Wahrheit von vornherein eine Kommerzialisierung ihrer Software beabsichtigt hatten, wäre zu überlegen, den Anwendungsbereich der Richtlinien generell auf jede horizontale Zusammenarbeit zu erstrecken, die sich auf Leistungen bezieht, die schon auf dem Markt angeboten werden. Frage 34: Befürworten Sie eine stärkere Zusammenführung der Nachfrage? Die DGRI weist daraufhin, dass eine Bündelung der Nachfrage im Bereich der IKT in vielen Mitgliedsstaaten schon die Regel ist; der Vorteil liegt in der Lösung des Problems der „zu kleinen öffentlichen Auftraggeber“ und der Bündelung des für den Einkauf derartiger Leistungen notwendigen technischen Sachverstands. Angesichts der in Teilen des IKT-Marktes zu beobachtenden Oligopolisierung stärken die öffentlichen Auftraggeber damit zugleich ihre Verhandlungsposition. Frage 35: Bestehen Hindernisse für eine wirksame Zusammenführung der Nachfrage? Wie sollten die bestehenden Instrumente geändert werden? Die DGRI weist darauf hin, dass die in Art. 32 der Richtlinie 2004/18/EG eingeführten Bestimmungen zur Vergabe von Rahmenverträgen einer Ergänzung bedürfen, um eine unangemessene Benachteiligung der Bieter zu verhindern: Während der Bieter bei konkreten Aufträgen den Umfang des Auftrages kennt und daher sein Angebot seriös kalkulieren kann, besteht diese Möglichkeit bei der Ausschreibung von Rahmenverträgen naturgemäß nicht, da der Umfang der künftigen Aufträge nicht feststeht. Der Bieter ist also gezwungen, ein Angebot
333
Anhang abzugeben – und insbesondere Rabatte einzuräumen –, obwohl er nicht kalkulieren kann, ob dieser Rabatt sich durch den Umfang der ihm unter der Rahmenvereinbarung erteilten Aufträge amortisiert. Streng genommen müssten solche Gebote sogar nach Art. 55 ausgeschlossen werden, da der Bieter nicht schlüssig nachweisen kann, dass der gebotene Rabatt wirtschaftlich auskömmlich ist. Die DGRI empfiehlt, Art. 32 dahin zu ergänzen, dass der öffentliche Auftraggeber verpflichtet ist, den zu erwartenden Umfang der Leistungen auf der Basis nachprüfbarer Daten (z. B. bisheriger Bedarf, bereinigt um zu erwartende Bedarfsänderungen während der Laufzeit des Rahmenvertrages) in der Bekanntmachung bekannt zu geben. Ist dem Auftraggeber eine solche Prognose nicht möglich, ist die Ausschreibung eines Rahmenvertrages unzulässig. Frage 37: Ist die gemeinsame Auftragsvergabe für bestimmte Produktbereiche besser geeignet als für andere? JA, die Vergabe von IKT-Leistungen ist für die gemeinsame Auftragsvergabe besonders gut geeignet aus den zu Frage 34 genannten Gründen. Frage 38: Halten Sie die grenzüberschreitende gemeinsame Auftragsvergabe für problematisch? JA, da nicht klar ist, welches materielle Recht letztlich anzuwenden wäre. Schreiben z. B. ein deutscher und ein französischer Auftraggeber gemeinsam eine Leistung aus und verstößt der deutsche Auftraggeber dabei gegen eine Bestimmung des französischen Vergaberechts, so (i) ist schon nicht klar, nach welcher Vorschrift der deutsche Auftraggeber der französischen Bestimmung überhaupt unterworfen sein soll; zudem (ii) wäre höchst zweifelhaft, ob der deutsche Auftraggeber (der nur Leistungen für seine ausschließlich auf Deutschland bezogene Tätigkeit beschafft), verfassungsrechtlich Bestimmungen einer fremden Rechtsordnung unterworfen sein kann. Denn nach Art. 20 Abs. 3 der deutschen Verfassung („Grundgesetz“, GG) ist die Verwaltung an „Gesetz und Recht“ gebunden. Die Verfassung setzt dabei voraus, dass dieses „Gesetz und Recht“ ausschließlich deutsches Recht ist, da nach Art. 20 Abs. 2 GG alle Staatsgewalt vom (deutschen) Volk ausgeht, mithin auch jede Rechtsnorm, der die Verwaltung unterworfen ist, vom deutschen Souverän direkt oder durch seine gewählten Vertreter erlassen wird. Frage 41: Haben EU-Vorschriften zu Änderungen im Zusammenhang mit der Vertragsausführung einen Mehrwert? Die DGRI weist darauf hin, dass nach deutschem Rechtsverständnis die Durchführung eines Vertrages nach Erteilung des Zuschlages sich ausschließlich nach zivilrechtlichen Grundsätzen bestimmt. Soweit für den Erlass von besonderen zivilrechtlichen Vorschriften überhaupt eine unionsrechtliche Zuständigkeit besteht, wäre insoweit besondere Vorsicht geboten, damit derartige Bestimmungen
334
Stellungnahmen nicht ungewollt zu erheblichen Konflikten mit dem allgemeinen Zivilrecht führen. Für die in Fn. 61 des Grünbuches beschriebene Konstellation – wegen Kündigung oder sonstiger Beendigung des mit dem Erstbieter abgeschlossenen Vertrages will der Auftraggeber ohne erneutes Vergabeverfahren den Vertrag mit dem Zweitbieter abschließen – dürfte allerdings sowohl die Kompetenz der EU wie auch ein Bedürfnis nach Klarstellung bestehen. Insoweit befürwortet die DGRI, in der Richtlinie klarzustellen, dass bei Beendigung des Vertrages mit dem Erstbieter der Vertrag mit dem Zweitbieter abgeschlossen werden kann, ohne ein erneutes Vergabeverfahren einzuleiten, soweit (i) der Zweitbieter bereit ist, den Vertrag zu den von ihm angebotenen Konditionen abzuschließen und (ii) die Umstände sich nicht so geändert haben, dass ein Zuschlag den lauteren Wettbewerb verzerren würde. Frage 42: Soll die Richtlinie vorschreiben, dass unter Verstoß gegen Vergaberecht zustande gekommene Verträge zu beenden sind? Es ist offensichtlich, dass eine Vorschrift, die für den Fall eines Verstoßes keine wirksame Sanktion vorsieht, wenig effektiv ist, soweit es keine anderen Anreize für die Beteiligten gibt, die Norm einzuhalten. Insoweit wäre – über die Fragestellung der Kommission hinaus – zu fragen, ob eine Richtlinie die Beendigung von vergaberechtswidrig zustande gekommenen Verträgen nicht sogar verpflichtend vorschreiben müsste. In diesem Zusammenhang regt die DGRI dringend an, zumindest die Aufhebung solcher Verträge zwingend vorzuschreiben, die unter gänzlicher Umgehung der Vorschriften des Vergaberechts abgeschlossen werden (sog. „de-facto-Vergabe“). Nach bisheriger deutscher Rechtsprechung ist ein solcher Vertrag nicht schon deshalb nichtig, weil den übrigen Bietern vor Abschluss des Vertrages die Absicht des Vertragsschlusses nicht mitgeteilt wurde (Art. 1 Nr. 5 Satz der Richtlinie 89/665/EWG, Rechtsmittelrichtlinie, erfasst diese Fälle bislang nicht)10. Die fehlende Erfassung dieses besonders groben Verstoßes durch die Rechtsmittelrichtlinie hat der deutsche Gesetzgeber nun zum Anlass genommen, in § 101b GWB (Gesetz gegen Wettbewerbsbeschränkungen) vorzusehen, dass eine de-facto-Vergabe innerhalb von 30 Tagen nach Kenntnis vom übergangenen Mitbewerber gerichtlich angegriffen werden muss, jedenfalls aber innerhalb von 6 Monaten. Diese Privilegierung gerade des denkbar schwersten Verstoßes gegen Vergaberecht – nämlich die völlige Umgehung aller vergaberechtlichen Bestimmungen – erscheint kaum sachgerecht.
_________________
10 Denn bei der de-facto-Vergabe gibt es in der Regel keine anderen Interessenten, die von der beabsichtigten Vergabe vor dem Zuschlag erfahren.
335
Anhang Frage 44: Soll der öffentliche Auftraggeber mehr Möglichkeiten erhalten, die Vergabe von Unteraufträgen durch den erfolgreichen Bieter zu beeinflussen? (1) Die DGRI hält die bisherige Rechtsprechung des EuGH für gerechtfertigt – und aufgrund der Eigenheiten des IKT-Marktes sogar für zwingend –, dem Bieter generell den Rückgriff auf Unterauftragnehmer zu gestatten. Jedenfalls im IKT-Markt würde eine Einschränkung der Gestattung, Unterauftragnehmer einzuschalten, wirksamen Wettbewerb zwischen den Bietern erheblich einschränken: Im IKT-Bereich erwirbt der öffentliche Auftraggeber in der Regel Hard- und Software zusammen mit einem (meist mehrjährigen) Vertrag zur Pflege dieser Leistungen. Meist wird zwar die Hard- und Software nicht nur vom Hersteller angeboten, sondern auch von (Groß-)händlern – die Pflegeleistungen werden jedoch häufig nur vom Hersteller selbst erbracht, jedenfalls soweit technologisch „sensible“ (sog. „cutting edge“-Technologien) Hardund Softwarebestandteile betroffen sind. Um wirksamen Wettbewerb zwischen Hersteller und Großhändlern zu ermöglichen, muss der Großhändler daher in der Lage sein, die Pflegeleistung durch den Hersteller als Unterauftragnehmer erbringen zu lassen. (2) In diesem Kontext empfiehlt die DGRI dringend, den Begriff des „Unterauftragnehmers“ – der bislang weder in der Richtlinie noch durch die Rechtsprechung definiert worden ist – eindeutig zu definieren und insbesondere von bloßen „Hilfsleistungen“ abzugrenzen. Gerade im IKT-Bereich herrscht erhebliche Unsicherheit, wann ein Unterauftragnehmerverhältnis vorliegt; dies ist deshalb bedeutsam, weil die Bieter meist angeben müssen, wen sie als Unterauftragnehmer einsetzen, und ergänzende Erklärungen des Lieferanten (insbesondere zu seiner Lieferbereitschaft) beibringen müssen: – (Variante 1): Der Vertrag sieht den Sitz des Auftraggebers als Erfüllungsort vor; die Hard- und Software ist also dorthin zu liefern. Formal gesehen ist dann die Einschaltung der Post oder eines Spediteurs, um die Waren an den Erfüllungsort zu liefern, ein Unterauftragsverhältnis – obwohl die Richtlinie solche Nebenleistungen wohl kaum regeln wollte11; – (Variante 2): Um den Vertrag zu erfüllen, muss der erfolgreiche Bieter die zu liefernde Leistung erst selbst erwerben. Das führt formal nicht dazu, dass der Lieferant Unterauftragnehmer wird. Hat der Auftraggeber aber die Lieferung von Software ausgeschrieben, erwirbt er vom Hersteller der Software rechtlich nur ein Nutzungsrecht. Ist der Hersteller nicht zugleich der _________________
11 zum Teil wird in der deutschen Rechtsprechung vorgeschlagen, die Abgrenzung danach vorzunehmen, ob die vom dritten Unternehmen ausgeführte Position als eigenständige Position im Leistungsverzeichnis aufgeführt ist (vgl. VK Sachsen-Anhalt, Beschluss v. 23.07.2008, Az. 2 LVwA LSA-07/08). Dieses Kriterium erscheint allerdings zu formalistisch, da in vielen Fällen Positionen nach der Art „herstellen, liefern und einbauen von …“ formuliert sind. Die Untervergabe des Einbaus wäre dann kein Fall einer Nachunternehmerleistung, obwohl sie aus Sicht des Auftraggebers eine solche darstellt.
336
Stellungnahmen Bieter, entsteht also ein Nutzungsrechtsverhältnis mit dem Bieter, das aber von dem Hersteller abgeleitet ist. Da der Bieter letztlich nur die Nutzungsrechte des Herstellers weiter vermittelt (Unterlizenz), liegt es nahe, den Hersteller als Unterauftragnehmer des Bieters anzusehen. Frage 49: Erleichterungen bei der Beibringung von Eignungsnachweisen Die DGRI befürwortet sehr eine Lösung, bei der nur der erfolgreiche Bewerber Eignungsnachweise vorlegen muss. Da die meisten Auftraggeber verlangen, dass die Nachweise ein bestimmtes Alter nicht überschreiten, bedeutet es gerade für KMU eine erhebliche Belastung, die jeweils geforderten Nachweise immer wieder erneut anzufordern und einzureichen. Soweit die Eignungsnachweise von dritten Stellen erteilt werden müssen, kommt es bei den sehr kurzen Fristen zur Einreichung von Angeboten häufig dazu, dass ein Bieter ohne eigenes Verschulden daran gehindert ist, ein vollständiges Angebot einzureichen. Um diesem Zustand abzuhelfen, gestattet § 19 EG Abs. 2 der deutschen VOL/A seit 2009 dem Auftraggeber ausdrücklich, bei nicht mit dem Angebot eingereichten Nachweisen den Bieter nicht sofort auszuschließen, sondern ihm zunächst eine Nachfrist zu setzen. Frage 50: Sind Eigenerklärungen ausreichend? JA, und zwar für alle Eignungsvoraussetzungen – vorausgesetzt, dem Auftraggeber bleibt in jedem Fall die Möglichkeit, weitere Nachweise und Bescheinigungen zu verlangen, um bei Zweifeln an der Korrektheit der Eigenerklärung eine Überprüfung vornehmen zu können. Frage 51: Stellen übertrieben strenge Anforderungen an den Umsatz als Nachweis der finanziellen Leistungsfähigkeit ein Problem für KMU dar? Sollen Höchstquoten festgelegt werden? Gerade im Software-Bereich erarbeiten innovative Unternehmen mit erheblichem Aufwand eine neuartige Softwarelösung; da dies im wesentlichen Arbeitskraft, aber nur geringen Kapitaleinsatz erfordert, sind bei derartigen Unternehmen sowohl die Bilanzsumme wie der Umsatz anfänglich häufig gering. Sollen diesen Unternehmen die öffentlichen Märkte ernsthaft erschlossen werden, stellen strenge Anforderungen sowohl an Umsatz wie an die Bilanzsumme eine unüberwindliche Hürde dar. Die DGRI befürwortet daher ausdrücklich, Höchstquoten festzulegen, um die Verhältnismäßigkeit der Auswahlkriterien sicher zu stellen. Umsatzzahlen sollen dem Auftraggeber ein Bild davon vermitteln, welchen Anteil sein Auftrag am Gesamtumsatz des Unternehmens hat; der Auftraggeber soll erkennen können, ob der Auftrag voraussichtlich die Leistungsfähigkeit des Bieters übersteigt. Beim Umsatz auf ein Vielfaches des Auftragsvolumens abzustellen, ist daher im Allgemeinen sachgerecht. Die DGRI weist insoweit allerdings auf die Besonderheiten beim Erwerb von Rechten des Geistigen Eigentums hin, der kennzeich-
337
Anhang nend für den IKT-Bereich ist: Beim Erwerb von Nutzungsrechten an Software ist die Lieferung weiterer Softwareexemplare (= Nutzungsrechten) ohne nennenswerten Einsatz von Sachmitteln oder Personal nahezu beliebig potentierbar. Der Umfang eines öffentlichen Auftrages zur Lieferung von Software hat daher nur geringe Auswirkungen auf die Leistungsfähigkeit des Bieters; es wäre daher nicht sachgerecht, diesen Anteil des Auftragsvolumens zur Beurteilung der Leistungsfähigkeit heranzuziehen. Die DGRI empfiehlt daher, Zahlungen, die für den Erwerb Geistigen Eigentums vom Auftraggeber geleistet werden (d. h. Lizenzgebühren) vom Auftragsvolumen abzuziehen, wenn für den Umsatz auf ein Vielfaches des Auftragsvolumens abgestellt werden soll. Frage 55: Sind spezifische Instrumente nötig, um Bieter aus anderen Mitgliedsstaaten zur Teilnahme an Ausschreibungen zu ermutigen? In der Praxis verschaffen sich Auftraggeber primär einen Überblick über die im Inland vorhandenen Lösungen und gestalten ihre Leistungsbeschreibung in Anlehnung hieran; ein etwa abweichendes Leistungsprofil ausländischer Bieter ist dann von vornherein chancenlos. Die DGRI empfiehlt daher, Nebenangebote nicht nur zuzulassen, sondern zur Regel zu machen und den Ausschluss zur begründungsbedürftigen Ausnahme (siehe Antwort zu Frage 16, unter (3)), um ausländischen Bietern zu ermöglichen, ihre Produkte ebenfalls anzubieten. Frage 57: Was schlagen Sie vor, um Sprachbarrieren zu überwinden? Im IKT-Bereich haben Großunternehmen in der Regel ein nationales Tochterunternehmen, das sich an den inländischen Ausschreibungen beteiligt; für diese Unternehmen sind Sprachbarrieren selten ein gravierendes Problem. Für KMU könnte die Übersetzung von Leistungsbeschreibungen in zumindest eine der fünf Haupt-Amtssprachen der EU hilfreich sein. Wird diese Regelung auf Aufträge mit hohem Vertragswert beschränkt, dürfte der finanzielle Aufwand für den öffentlichen Auftraggeber hinnehmbar sein; andererseits ist eine solche Beschränkung für KMU nur wenig hilfreich, da KMU für große Aufträge häufig nicht qualifiziert sind (vgl. Frage 51). Jedenfalls muss es dem Auftraggeber frei stehen, die Erbringung der Leistung in seiner Heimatsprache zu verlangen. Denn in vielen Fällen wird bei der Durchführung von Softwareprojekten eine regelmäßige Kommunikation zwischen Auftraggeber und Auftragnehmer erforderlich sein, z. B. bei der genauen Spezifikation von Anforderungen, notwendigen Change Requests, der Schulung der Anwender oder des Hotline-Services im Pflegevertrag. Diese Kommunikation setzt eine gemeinsame Sprache zwischen Auftraggeber und Auftragnehmer voraus. Frage 58: Welche Instrumente der Beschaffungspolitik könnten das Phänomen beherrschender Lieferanten vermeiden helfen? Müssen Nebenangebote im Regelfall zugelassen werden (siehe Antwort zu Frage 16, unter (3)), steigt die Wahrscheinlichkeit, dass dem Auftraggeber zusätzliche
338
Stellungnahmen Lösungen neben denen des beherrschenden Lieferanten angeboten werden, die seine Bedürfnisse ebenso gut abdecken. Frage 59: Sollen die Richtlinien stärkere Sicherheitsvorkehrungen gegen wettbewerbswidriges Verhalten in Ausschreibungsverfahren enthalten? (1) In Deutschland verpflichtet § 97 Abs. 1 GWB die Auftraggeber, Aufträge „im Wettbewerb“ zu vergeben. Nach einhelliger Auffassung verbietet diese Bestimmung, Aufträge an Bieter zu vergeben, die sich wettbewerbswidrig verhalten12. Nach § 97 Abs. 7 GWB können übergangene Bieter vor Gerichten die Einhaltung dieser Vorgaben verlangen. Damit wären eigentlich zusätzliche Bestimmungen in den Richtlinien zum Schutz vor wettbewerbswidrigem Verhalten unnötig. In der Praxis hat sich die Bestimmung jedoch als weitgehend wirkungslos erwiesen, da nach der Rechtsprechung ein Bieter nur dann von der Vergabe ausgeschlossen werden darf, wenn der Auftraggeber ihm den Wettbewerbsverstoß positiv nachweist (z. B. eine verbotene Absprache mit anderen Bietern)13; zudem nehmen die Gerichte an, im Rahmen von Vergabenachprüfungsverfahren Vorwürfen zu Wettbewerbsverstössen nur in eingeschränktem Umfang nachgehen zu müssen14. Aus diesem Grund empfiehlt die DGRI, in der Rechtsmittelrichtlinie klarzustellen, dass im Vergabenachprüfungsverfahren generell auch Verstöße gegen nationale und europäische kartellrechtliche Bestimmungen geprüft werden müssen. Zusätzlich empfiehlt die DGRI zu prüfen, ob ein Ausschluss von Bietern schon dann in Betracht kommen sollte, wenn der Wettbewerbsverstoß zwar nicht nachgewiesen werden kann, aber schwerwiegende Verdachtsmomente bestehen, die sich auf objektive Tatsachen stützen (sog. „Verdachtskündigung“) (vgl. hierzu im Einzelnen Antwort zu Frage 107, insbesondere Fußnote 21). (2) Hingegen hat die DGRI erhebliche Bedenken bezüglich des von der Kommission angedachten Verbots, Unteraufträge an Dritte zu vergeben, die zugleich Mitbieter um den Auftrag sind: Zum einen weiß der Bieter bei der Abgabe seines Angebotes in der Regel nicht, wer sich neben ihm um den Auftrag mit bewirbt. Häufig verlangen die Auftraggeber aber das Offenlegen geplanter Un_________________
12 Vgl. nur Otting in Bechtold, GWB, 6. Aufl., § 97 Rn. 7. 13 diese Rechtsprechung wird offenbar auch vom EuGH gestützt, vgl. EuGH, Urteil v. 19.5.2009, Rs. C-538/07 – Assitur. 14 vgl. OLG Düsseldorf, Beschluss vom 4.5.2009, Az. VII-Verg 68/08: Kartellverstoß auf Seiten des öffentlichen Auftraggebers kann nicht im Nachprüfungsverfahren geltend gemacht werden; ebenso LSG Baden-Württemberg, Beschluss vom 23.1.2009, Az. L 11 WB 5971/08. LSG Berlin-Brandenburg, Beschluss v. 22.10.2010, Az. L 1 SF 214/10 B Verg: Eine behauptete Verletzung kartellrechtlicher Vorschriften wird im Vergabenachprüfungsverfahren nicht überprüft.
339
Anhang terauftragnehmer mit der Einreichung des Angebots. Zum anderen wäre eine solche Vorschrift jedenfalls im Bereich der IKT kontraproduktiv. Dort bieten Hersteller und Großhändler zugleich um Aufträge für die Lieferung von EDVSystemen, jedoch kann oft ausschließlich der Hersteller die vom Auftraggeber gewünschte Pflege der erworbenen IT-Systeme anbieten (vgl. auch Antwort zu Frage 44, unter (1)). In solchen Fällen muss der Großhändler also bzgl. der nachgefragten Pflegeleistungen den Hersteller als Unterauftragnehmer mit einbinden, obwohl dieser regelmäßig mitbietet. Frage 60: Kann die Erteilung von Ausschließlichkeitsrechten den freien Wettbewerb auf den Beschaffungsmärkten in Gefahr bringen? Aus den Erläuterungen der Kommission zu dieser Frage ergibt sich, dass die Kommission annimmt, das Thema der Ausschließlichkeitsrechte beziehe sich ausschließlich auf die öffentlich-öffentliche Zusammenarbeit (soweit dort nämlich einem anderen öffentlichen Auftraggeber ein ausschließliches Recht eingeräumt worden ist) und nimmt daher an, die Bestimmung über Ausschließlichkeitsrechte in Art. 31 Nr. 1 (b) der Richtlinie könne künftig entfallen. Die DGRI weist darauf hin, dass Art. 31 Nr. 1 (b) eine ganz andere und erhebliche praktische Bedeutung besitzt und spricht sich strikt gegen seine Abschaffung aus. Art. 31 Nr. 1 (b) betrifft nicht primär einem öffentlichen Auftraggeber eingeräumte Ausschließlichkeitsrechte, sondern einem Bieter eingeräumte Ausschließlichkeitsrechte, insbesondere Gewerbliche Schutzrechte und Urheberrechte. In diesen Fällen entspricht es dem Grundsatz der effizienten Vergabe, den Auftrag ohne ein förmliches Vergabeverfahren dem Inhaber des jeweiligen Rechts zu erteilen, da er sowieso allein zur Lieferung der nachgefragten Leistung in der Lage ist. Hierin liegt auch kein Verstoß gegen den fairen Wettbewerb – vielmehr hat der Gesetzgeber die Zuerkennung von Schutzrechten für besondere geistige Leistungen ausdrücklich vorgesehen, sodass das damit zwangsläufig verbundene Monopol auch vergaberechtlich hinzunehmen ist. Frage 63: Wird es den strategischen Bedürfnissen des Auftraggebers besser gerecht, wenn er Spezifikationen nur in Form von Leistungs- oder Funktionsanforderungen festlegen muss? Die DGRI weist daraufhin, dass jedenfalls im Bereich der IKT ein erhebliches Risiko besteht, dass der Auftraggeber nicht die Leistung erhält, die er eigentlich wünscht, wenn er die Anforderungen an z. B. Hardware nur in Form allgemeiner Funktionsanforderungen beschreibt. In technischen Bereichen wie der IKT dürfte es unerlässlich sein, dass sich der Auftraggeber das nötige Fachwissen über die Eigenschaften der am Markt befindlichen Produkte beschafft, um dann entscheiden zu können, welche Kriterien für ihn tatsächlich wichtig sind. Allgemeine Leistungsanforderungen dürften allerdings dort sinnvoll sein, wo es nicht um den konkreten Leistungsumfang des Produktes geht, sondern um messbare Nebeneigenschaften, z. B. den Energieverbrauch eines Produktes.
340
Stellungnahmen Frage 67: Kann eine Beschränkung auf lokale Lieferanten durch legitime und objektive Gründe gerechtfertigt werden? Generell können alle Leistungen, bei denen die Zeitdauer von der Anforderung bis zur Erbringung einer Leistung von entscheidender Bedeutung ist, die Vergabe an einen ortsnahen Anbieter rechtfertigen. Im IKT-Bereich wäre beispielsweise an die Vergabe von Pflegeverträgen für die Vor-Ort-Wartung von EDV-Systemen zu denken, die kritisch sind, also nicht ausfallen dürfen. Hier kommt es darauf an, dass der Leistungserbringer sein Wartungspersonal in räumlicher Nähe zum EDV-System hat. Frage 68: Können im Verhandlungsverfahren politikrelevante Überlegungen besser berücksichtigt werden? Besteht das Risiko der Diskriminierung? Die DGRI warnt entschieden davor, das Verhandlungsverfahren als Standardverfahren zu etablieren, um umwelt-, sozial- und innovationspolitische Aspekte besser berücksichtigen zu können. Gerade die „politikrelevanten Aspekte“ zeichnen sich dadurch aus, dass (i) ihre Erfüllung durch einen Bieter häufig schlecht objektiv feststellbar ist und (ii) in diesen Bereichen der öffentliche Auftraggeber in der Regel auch vergabefremdem Einfluss ausgesetzt ist. Diskriminierung und Wettbewerbsbeschränkung wären die sichere Folge. Die DGRI empfiehlt im Gegenteil, das offene Verfahren als Regelfall vorzuschreiben und alle anderen Verfahren nur in enumerierten Fällen für anwendbar zu erklären. Frage 70.1.1.: Sollte das Kriterium des ausschließlich niedrigsten Preises abgeschafft werden? NEIN. Es steht dem Auftraggeber frei, zwischen dem niedrigsten Preis und dem wirtschaftlich günstigsten Angebot als Auswahlkriterium zu wählen. Es besteht kein Anlass, diese Wahlmöglichkeit einzuschränken. Frage 70.1.2: Soll das Gewicht des Preiskriteriums beschränkt werden? Die DGRI weist daraufhin, dass nach deutscher Rechtsprechung auch bei einer Vergabe nach dem Kriterium des wirtschaftlich günstigsten Angebots der Preis immer ein maßgebliches Kriterium bleiben muss – nur so kann das Grundziel des Vergaberechts erreicht werden, eine effiziente Beschaffung sicherzustellen, statt die Vergabe zu einem Spielball politischer Interessen zu machen. Für die Gewichtung des Preises hat die Rechtsprechung als idealtypisch einen Wert von 50% und als untere Grenze eine Gewichtung von 30% angenommen15. Die _________________
15 Vergabekammer des Landes Hessen, Beschluss v. 26.4.2007, Az. 69d – VK – 08/2007: Bei funktionalen Ausschreibungen wäre idealtypisch eine gleiche Gewichtung des Preises und der von den Bietern erarbeiteten Konzepte im
341
Anhang DGRI regt an, das Kriterium des wirtschaftlich günstigsten Angebots um eine entsprechende Mindestgewichtung für das Kriterium des Preises zu ergänzen, um zu verhindern, dass die Effizienz des Vergabeverfahrens zu Gunsten schwer nachprüfbarer oder politischer Auswahlkriterien leidet. Frage 71: Wir verweisen auf die Antwort zu Frage 70.1.2 – es sollte klargestellt werden, dass der Preis immer ein gewisses Mindestgewicht bei der Auswahlentscheidung haben sollte; weitere Kriterien mag der öffentliche Auftraggeber dann nach seinen Bedürfnissen gewichten. Frage 73: Sollte verbindlich vorgeschrieben werden, bei der Bestimmung des wirtschaftlich günstigsten Angebots die Lebenszykluskosten zu berücksichtigen? Im IKT-Bereich sind die Lebenszykluskosten häufig von entscheidender wirtschaftlicher Bedeutung und werden daher schon heute von Auftraggebern als Auswahlkriterium mit herangezogen. Allerdings stellt die Angabe der Lebenszykluskosten letztlich eine Zukunftsbetrachtung dar, die mit Unsicherheiten behaftet ist, sodass die Auswahlentscheidung des Auftraggebers unter Umständen auf (bewusst oder unbewusst) falschen Angaben des Bieters beruhen kann. In der Praxis sichern sich Auftraggeber zum Teil durch entsprechende vertragliche Gestaltungen dagegen ab, dass sich die angegebenen Lebenszykluskosten im Nachhinein als falsch herausstellen. Schreibt die Richtlinie die Berücksichtigung von Lebenszykluskosten verbindlich vor, so müsste der Auftraggeber zugleich auf eine angemessene Vertragsgestaltung achten. Die DGRI empfiehlt daher, das Kriterium der Lebenszykluskosten nicht verbindlich vorzuschreiben, aber als Anregung für die Auftraggeber in den Kriterienkatalog des Art. 53 Abs. 1 (a) der Richtlinie aufzunehmen. Frage 75: Welche Klauseln für die Auftragsausführung sind besonders gut geeignet, um umweltbezogenen Aspekten und Überlegungen zur Energieeffizienz Rechnung zu tragen? Im IKT-Bereich sind Überlegungen zur Energieeffizienz – wegen der hohen laufenden Betriebskosten – schon heute ein maßgelbliches Kriterium bei der Auswahl (Stichwort: „Green IT“). Die Erfahrung zeigt aber, dass (i) angesichts der Vielgestaltigkeit der nachgefragten Leistungen und (ii) den Schwierigkeiten, die Umweltfreundlichkeit einer Leistung insgesamt präzise zu werten, von der Fest_________________
Hinblick auf die zu erwartende Effizienz und Qualität der Leistungserbringung angemessen. OLG Düsseldorf, Beschluss v. 29.12.2001, Az. Verg 22/01: Preis und Leistung müssen in ein „angemessenes Verhältnis“ gesetzt werden; OLG Dresden, Beschluss v. 5.1.2001, Az. Verg 11/00: Preis muss mit mindestens 30 % gewichtet werden.
342
Stellungnahmen legung genereller Kriterien für Energieeffizienz oder Umweltfreundlichkeit Abstand genommen werden sollte. Es besteht ein erhebliches Risiko, dass Bieter ihre Produkte exakt auf die geforderten Kriterien hin abstimmen, ohne dass – bezöge man alle relevanten Kriterien bei der Betrachtung mit ein –, tatsächlich ein umweltfreundlicheres Produkt vorliegen würde. Die DGRI rät davon ab, bei der Beschaffung langlebiger Güter – z. B. bei der Anschaffung von EDV-Systemen – Verpflichtungen zur Weiterentwicklung im Hinblick auf die Energieeffizienz vorzusehen. Unerwünschter Nebeneffekt einer solchen Regelung ist nämlich, dass der Markt für Mitbewerber auf Dauer blockiert wird: Der ausgewählte Bieter wird nämlich neuere, effizientere Produkte während der Laufzeit des Vertrages liefern (müssen), sodass für den Auftraggeber kein auszuschreibender neuer Bedarf entsteht. Konsequenz kann dann sein, dass der Auftraggeber letztlich gar nicht das energieeffizienteste Produkt hat, weil er vertraglich an seinen Bieter gebunden ist, der lediglich sein effizientestes Modell liefern muss – während die gesamte Konkurrenz längst deutlich energieeffizientere Modelle anbietet. Frage 79: Soll die obligatorische Verknüpfung der Anforderungen an den Auftragsgegenstand abgeschwächt oder abgeschafft werden? Die DGRI teilt die Bedenken der Kommission, dass eine Lockerung der Verknüpfung überwiegend negative Folgen hat. Soweit vergabefremde politische Zwecke verfolgt werden, gibt es transparentere und demokratischere Mittel, um diese Ziele durchzusetzen (wie z. B. den Erlass entsprechender allgemeiner Gesetze auf der Basis einer parlamentarischen Beratung und Diskussion), als die Verknüpfung mit der Beschaffung von Leistungen. Anders ausgedrückt: Allgemeine, nicht mit einer konkreten Beschaffung zusammenhängende Ziele werden besser durch die allgemeinen Gesetze verfolgt. Frage 83/84: Sind EU-weit geltende Verpflichtungen hinsichtlich des Beschaffungsgegenstandes ein guter Weg, um andere politische Ziele zu erreichen? In allen innovationsstarken Bereichen – unter denen der IKT-Bereich für die öffentlichen Auftraggeber sicherlich die größte Bedeutung hat – besteht das Risiko, dass derartige Verpflichtungen ganz neue Lösungen und technische Entwicklungen hemmen, weil die Bieter (für die umgekehrt der Markt der öffentlichen Aufträge ebenfalls von größter wirtschaftlicher Bedeutung ist und an dessen Bedürfnissen sie sich daher ausrichten) ihr Leistungsangebot nur noch in die Richtung der „gewünschten Kriterien“ ausrichten werden. Nach einhelliger Auffassung in der deutschen Rechtsprechung und Literatur ist zudem die Wahl des Beschaffungsgegenstandes allein Sache des Auftraggebers – dieser weiß am besten, welche Bedürfnisse er hat. Sollten dennoch Verpflichtungen zum Beschaffungsgegenstand in Rechtsvorschriften aufgenommen werden, sollte dies in den Vergaberichtlinien erfolgen, soweit
343
Anhang es sich um vergabespezifische Vorgaben handelt (also nicht z. B. allgemeine technische Regelungen zur Energieeffizienz von Produkten). Frage 85: Wie kann dem Risiko einer Fragmentierung des Binnenmarktes entgegen gewirkt werden, wenn solche Verpflichtungen auf nationaler Ebene festgelegt werden? Das Risiko einer Fragmentierung dürfte je nach Art der Verpflichtungen unterschiedlich hoch sein16. Um diesem Risiko entgegen zu wirken, dürfte es jedoch ausreichend sein, eine allgemeine Regelung vorzusehen, wonach diese Kriterien nicht diskriminierend eingesetzt werden dürfen. Es darf erwartet werden, dass auf der Basis einer solchen Regelung unzulässigen Fragmentierungen des Binnenmarktes durch die Gerichte entgegen gewirkt werden kann. Frage 87: Wie kann der technologischen Entwicklung am besten Rechnung getragen werden? Die DGRI empfiehlt nachdrücklich, die Zulassung von Nebenangeboten als Regelfall auszugestalten und deren Ausschluss als – begründungsbedürftige – Ausnahme. In diesem Fall kann davon ausgegangen werden, dass die Bieter schon von sich aus technologisch bessere Alternativen vorschlagen werden. Frage 92: Schafft der wettbewerbliche Dialog einen ausreichenden Schutz für Rechte des Geistigen Eigentums? Grundsätzlich JA. Denn der Bieter kann in aller Regel vor Eintritt in den wettbewerblichen Dialog seine Position durch Anmeldung von Schutzrechten absichern. Soweit das Rechtssystem für seine Leistung kein Schutzrecht bereit stellt, sollte diese gesetzgeberische Entscheidung nicht dadurch unterlaufen werden, dass für öffentliche Beschaffungen ein besonderer zusätzlicher Schutz geschaffen wird. Dieser Schutz würde dem Bieter am freien Markt ja ebenfalls nicht gewährt. Frage 94: Kann die vorkommerzielle Auftragsvergabe als innovationsfördernd angesehen werden? Nach aller praktischen Erfahrung ist die vorkommerzielle Auftragsvergabe die absolute Ausnahme. Die geringe Bedeutung dieser Alternative beruht zum einen darauf, dass sie in Deutschland in den allermeisten Fällen dem Grundsatz der sparsamen Haushaltsführung widerspricht (die den Auftraggeber auf die Deckung des aktuellen Bedarfs beschränkt). Zudem deckt das Verfahren eben nicht den aktuellen Bedarf des Auftraggebers – dieser will sofort ein fertiges Produkt _________________
16 Eine Verpflichtung zur Energieeffizienz dürfte z. B. eine geringere Gefahr einer Fragmentierung bieten, als allgemeine Umweltanforderungen, bei denen viele Verpflichtungen ausländische Bieter faktisch benachteiligen können.
344
Stellungnahmen und nicht eine jahrelange und mit Unsicherheiten behaftete Entwicklung. Insofern liegt in der Praxis das Hemmnis primär auf Seiten der Auftraggeber, nicht der Bieter. Frage 98: Befürworten Sie die Einführung einer EU-Definition des „Interessenkonflikts“ im Beschaffungswesen? Die DGRI verweist darauf, dass im Bereich des deutschen Vergaberechts eine solche Regelung schon seit langer Zeit besteht17 und – soweit ersichtlich – keine unangemessenen Kosten oder Ineffizienzen geschaffen hat. Frage 102: Welche Vorkehrungen sollten ergänzend gegen Korruption und Günstlingswirtschaft in den Richtlinien getroffen werden? Die DGRI empfiehlt, in der Richtlinie den Auftraggeber ergänzend zu verpflichten, die Vergabeakten „zeitnah zu führen“ und „sämtliche Seiten fortlaufend zu paginieren“. Beide Maßnahmen erschweren die nachträgliche Manipulation der Unterlagen zu Gunsten einzelner Bieter erheblich. Zudem sollte – wie dies schon derzeit in Großbritannien der Fall ist – nicht nur die Tatsache einer Auftragsvergabe zeitnah veröffentlicht werden, sondern es sollte zumindest nach einem bestimmten Zeitraum (z. B. nach 2–3 Jahren, dann besteht in aller Regel kein schützenswertes Interesse des Bieters mehr an der _________________
17 § 16 der Vergabeverordnung lautet: (1) Als Organmitglied oder Mitarbeiter eines Auftraggebers oder als Beauftragter oder als Mitarbeiter eines Beauftragen eines Auftraggebers dürfen bei Entscheidungen in einem Vergabeverfahren für einen Auftraggeber als voreingenommen geltende natürliche Personen nicht mitwirken, soweit sie in diesem Verfahren 1. Bieter oder Bewerber sind, 2. einen Bieter oder Bewerber beraten oder sonst unterstützen oder als gesetzliche Vertreter oder nur in dem Vergabeverfahren vertreten, 3. a) bei einem Bieter oder Bewerber gegen Entgelt beschäftigt oder bei ihm als Mitglied des Vorstandes, Aufsichtsrates oder gleichartigen Organs tätig sind oder b) für ein in das Vergabeverfahren eingeschaltetes Unternehmen tätig sind, wenn dieses Unternehmen zugleich geschäftliche Beziehungen zum Auftraggeber und zum Bieter oder Bewerber hat, es sei denn, dass dadurch für die Personen kein Interessenkonflikt besteht oder sich die Tätigkeiten nicht auf die Entscheidungen in dem Vergabeverfahren auswirken. (2) Als voreingenommen gelten auch die Personen, deren Angehörige die Voraussetzungen nach Absatz 1 Nr. 1 bis 3 erfüllen. Angehörige sind der Verlobte, der Ehegatte, Lebenspartner, Verwandte und Verschwägerte gerader Linie, Geschwister, Kinder der Geschwister, Ehegatten und Lebenspartner der Geschwister und Geschwister der Ehegatten und Lebenspartner, Geschwister der Eltern sowie Pflegeeltern und Pflegekinder.
345
Anhang Geheimhaltung seiner damaligen Konditionen) die Aufträge insgesamt offen zugänglich gemacht werden, um damit in krassen Fällen über den Druck der öffentlichen Meinung eine Korrektur zu erreichen18. Frage 107: Sollte eine Entscheidung zur Ablehnung eines Angebotes wegen unseriöser Geschäftspraktiken begründet werden? Die DGRI weist darauf hin, dass in der bisherigen Praxis der Ausschluss eines Bieters wegen wettbewerbswidriger Praktiken die absolute Ausnahme darstellt, sogar bei schwerwiegenden Verdachtsmomenten: Die bisherige deutsche Rechtsprechung – die des EuGH geht mit der Betonung der Unschuldsvermutung zu Gunsten des Bieters in eine ähnliche Richtung19 – verlangt nämlich vom Auftraggeber den positiven Nachweis der Wettbewerbswidrigkeit20. Diesen Nachweis zu erbringen ist für den Auftraggeber – in der Kürze der zur Verfügung stehenden Zeit (Nachprüfungsverfahren sind Eilverfahren) und mit den beschränkten Mitteln des Auftraggebers (dem nicht die Kapazitäten z. B. einer Kartellbehörde zur Verfügung stehen) – unmöglich. Dies führt zu der für den Auftraggeber untragbaren Situation, dass er mit einem Bieter zusammen arbeiten muss, den er in dem – durch Indizien erhärteten – Verdacht hat, den Auftrag durch rechtsmissbräuchliches Verhalten erschlichen zu haben; dies wird eine gedeihliche Zusammenarbeit erheblich erschweren. Es wäre daher daran zu denken, für derartige Fälle eine Regelung einzuführen, wonach der Auftraggeber schon bei einem begründeten Verdacht einen Ausschluss aussprechen kann21 _________________
18 Derzeit bestehen in vielen Mitgliedsländern zwar gesetzliche Bestimmungen über das Recht des Bürgers, Einsicht in alle Akten der öffentlichen Auftraggeber zu nehmen, ähnlich der Verordnung (EG) Nr. 1049/2001 v. 30.5.2001 über den Zugang der Öffentlichkeit zu Dokumenten des Europäischen Parlamentes, des Rates und der Kommission. Die praktische Bedeutung dieser Regelungen ist jedoch gering geblieben, weil in der Regel die Einsicht pauschal mit Hinweis auf „Betriebs- oder Geschäftsgeheimnisse“ der Mitbieter verweigert wird und die Einsicht auch in eine um solche angeblichen Geheimnisse bereinigte Version der Vergabeakten wegen des „großen Aufwandes“ abgelehnt wird. Gerade bei kollusivem Zusammenwirken zwischen Auftraggeber und Bieter erweist sich ein Vorgehen nach diesem Regelwerk als praktisch nahezu aussichtslos. Unzweideutige Bestimmungen, ab wann Einsicht in die Vergabeakten zu gewähren ist, wären daher notwendig, um die Akteneinsicht zu einem effektiven Instrument zu machen. 19 EuGH, Urteil v. 23.12.2009, Rs. C-376/08 – Serrantoni. 20 Vgl. z. B. OLG Frankfurt/M., Beschluss v. 27.6.2003, Az. 11 Verg 2/03, NZBau 2004/60. 21 Für die Ausgestaltung dieser Regelung könnte auf die Kriterien zurückgegriffen werden, die die Rechtsprechung im Zusammenhang mit der sog. „Verdachtskündigung eines Arbeitnehmers“ in Jahrzehnten herausgearbeitet hat: Denn ähnlich einem Auftragsverhältnis mit einem öffentlichen Auftraggeber ist anerkannt, dass nicht nur eine erwiesene Rechtsverletzung, sondern be-
346
Stellungnahmen Frage 109: Sollte es spezifische Bestimmungen für den Umgang mit vorbefassten Bietern geben? Die DGRI regt an, in der Richtlinie die rechtzeitige Offenlegung aller Informationen vorzuschreiben, die dem vorbefassten Bieter offen gelegt wurden und die für den öffentlichen Auftrag von Bedeutung sind, am besten mit einem Mindestzeitraum. In der Praxis werden die Informationen zwar formal offen gelegt, jedoch erst zu einem Zeitpunkt, der eine hinreichende Prüfung und Berücksichtigung für die Mitbieter nicht ermöglicht. Frage 113: Gibt es weitere wichtige Themen? Die DGRI regt nachdrücklich an, in die Richtlinie eine allgemeine Bestimmung dahingehend aufzunehmen, dass der „öffentliche Auftraggeber bei der Beschreibung der Leistung den Bietern keine ungewöhnlichen Wagnisse auferlegen“ soll. Diese – über Jahrzehnte im deutschen Recht enthaltene22 – Bestimmung ist für Bieter häufig der einzige Schutz gegen Missbrauch von Nachfragemacht und der Einforderung von völlig unüblichen und Risiken einseitig den Bietern aufbürdenden Vertragsbestimmungen, gegen die sich der Bieter nicht zur Wehr setzen kann, weil er auf die Geschäfte mit der öffentlichen Hand angewiesen ist. Für Rückfragen und Ergänzungen steht Ihnen die DGRI gerne zur Verfügung. Dr. Anselm Brandi-Dohrn Vorsitzender der DGRI e.V. _________________
reits der schwerwiegende Verdacht einer solchen Verletzung einen wichtigen Grund für die Beendigung des Arbeitsverhältnisses darstellen kann – denn eine Zusammenarbeit setzt ein Mindestmaß an gegenseitigem Vertrauen voraus, dessen Verlust schon einen wichtigen Grund zur Vertragsbeendigung darstellen kann (Bundesarbeitsgericht (BAG) v. 5.4.2001, Az. 2 AZR 217/00; BAG v. 10.2.2005, Az. 2 AZR 189/04). Zum Schutz des Betroffenen ist allerdings Voraussetzung, dass – Es starke Verdachtsmomente gibt, die sich auf objektiven Tatsachen gründen, – Diese Verdachtsmomente geeignet sind, das für das Vertragsverhältnis notwendige Vertrauen des Auftraggebers zu zerstören, und – Der Auftraggeber die zumutbaren Maßnahmen zur Sachverhaltsaufklärung ergriffen hat, insbesondere den Bieter vor dem Ausschluss Gelegenheit zur Stellungnahme gegeben hat. (vgl. zu diesen Kriterien BAG v. 6.9.2007, Az. 2 AZR 264/06; die Anhörung des Bieters vor einem Ausschluss entspricht auch den Anforderungen des EuGH, Urteil v. 23.12.2009, Rs. C-376/08 – Serrantoni). 22 BGH, Urteil v. 1.8.2006, Az. X ZR 115/04: „Angebote, die eine für die Bieter unzumutbare Vorgabe nicht erfüllen, dürfen nicht ausgeschlossen werden. Ein Ausschluss kommt danach nicht in Betracht, soweit die Ausschreibungsbedingungen eine technisch unmögliche Leistung verlangen“.
347
Anhang
DGRI e.V. • Bahnhofstraße 10 • D-76137 Karlsruhe
Bundesministerium der Justiz Frau Eva Friedrich Mohrenstraße 37 10117 Berlin
Dr. Eugen Ehmann RA Dr. Robert Selk, LL.M. Leiter Fachausschuss Datenschutz RA Prof. Dr. Rupert Vogel Geschäftsführung
Vorab per E-Mail: [email protected]
Karlsruhe, den 29. April 2011 Zentrales Testamentsregister: Entwurf einer Testamentsregister-Verordnung Hier:
Stellungnahme der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI e.V.)
Ihr Zeichen: R A 5 Sehr geehrte Frau Friedrich, die DGRI dankt für die Gelegenheit, zu dem Verordnungsentwurf bereits in einem frühen Stadium Stellung nehmen zu können. Unsere Stellungnahme beschränkt sich bewusst auf die Aspekte, die Fragen des Datenschutzes und der Datensicherheit berühren, da auf diesem Feld eine Schwerpunktkompetenz der DGRI liegt. Die DGRI ist eine unabhängige wissenschaftliche Vereinigung, die sich mit Fragen im Bereich der Schnittstelle zwischen Informatik und EDVRecht einerseits sowie Recht und Wirtschaft andererseits befasst. Sie fördert die Zusammenarbeit von Lehre, Forschung, Gesetzgebung und Praxis in allen Fragen der Informationstechnik. Spezifische Fragen des Erbrechts sind dagegen nicht Gegenstand von Aktivitäten der DGRI. Zu dem Aspekt des Datenschutzes und der Datensicherheit möchten wir unter Einbeziehung der internen Beratungen unseres Fachausschusses, der sich diesen Feldern widmet, auf folgendes hinweisen: 1. Insgesamt erscheint der Verordnungsentwurf gelungen. 2. Der Verordnungsentwurf berücksichtigt die datenschutzrechtlichen Vorgaben des insofern einschlägigen BDSG und geht – was positiv hervorzuheben ist – zum Teil im Sinne eines sog. „modernen Datenschutz“ darüber hinaus. Aufgrund der subsidiären Geltung des BDSG wird die Ansicht, wie sie in der Verordnungsbegründung formuliert wird, geteilt, wonach es keiner im Verhältnis zum BDSG wiederholenden Regelung bedarf. Vielmehr ist es wichtig und richtig, nur an den jeweiligen Schnittpunkten zwischen der Verordnung die datenschutzrechtlichen Vorgaben aus dem BDSG zu präzisieren:
348
Stellungnahmen a. So wird mehrfach und ausreichend die Zweckbindung betont, was vor allem – und im Gleichklang mit den Formulierungen im BDSG – über die Verwendung der Begrifflichkeit der „Erforderlichkeit“ erfolgt. Dieser Begriff ist verfassungsrechtlich auszulegen, insofern kann auf vielfältige Rechtsprechung und Literatur zurückgegriffen werden, zudem findet sich die „Erforderlichkeit“ als Kriterium zwischenzeitlich verschiedentlich im BDSG. b. Dem wichtigen Löschungsprinzip wird dies gerecht, da dieses erschöpfend und wiederum ergänzend zu den Vorgaben in der BNotO geregelt wird. Speziell zu den Löschungsregelungen fällt allerdings auf, dass diese innerhalb des Verordnungsentwurfs verteilt und nicht immer stringent eingebunden sind: So existiert in Form des § 5 eine eigene Vorschrift zur Löschung, ist aber zugleich nicht abschließend, denn sowohl in § 6 Abs. 2 a. E. findet sich eine Regelung dazu, wie auch in § 8 Abs. 3 und § 10 Abs. 2. Aufgrund der hohen Bedeutung der Löschung für das informationelle Selbstbestimmungsrecht der hier Betroffenen (nicht nur die Erblasser, sondern auch die Notare als „Melder“) wird angeregt, die Löschungsregelungen an einer einheitlichen Stelle in der Verordnung zusammenzufassen; dafür würde sich § 5 anbieten. Gerade die Löschungsvorgabe in § 6 Abs. 2 a. E. ist schwer zu finden und gehört thematisch auch nicht in § 6 Abs. 2, der sich mit ergänzenden Angaben beschäftigt, nicht jedoch mit Pflichten. c. Positiv wäre im Hinblick auf die nach § 1 zu tätigenden Angaben die Aufnahme eines klarstellenden Hinweises, dass der Inhalt von Urkunden nicht erfasst werden darf. d. Im Hinblick auf § 4 Abs. 1 BDSG und das Bestimmtheitsgebot wäre zu überlegen, die Regelung in § 1 S. 2 konkreter zu fassen: Die Regelung, dass zusätzliche Angaben aufgenommen werden dürfen, wenn dies „unbedingt erforderlich“ ist, beinhaltet zwar eine strenge Zweckbindung und mit der Formulierung „unbedingt“ eine wichtige Präzisierung, gleichzeitig bleibt aber offen, welche weiteren Daten im Einzelnen – oder zumindest exemplarisch – (nicht) dazugespeichert werden dürfen. Dies gilt umso mehr, als die Daten nach § 1 personenbezogene Daten sowohl des Erblassers sein können (etwa § 1 Nr. 1), als auch des Notars (etwa § 1 Nr. 2), es also um die Interessen zweier unterschiedlicher Betroffener geht. So wäre der Ausschluss von besonderen Arten personenbezogener Daten im Sinne von § 3 Abs. 9 BDSG wünschenswert, da diese Art von Daten zu Identifizierungszwecken nicht nötig sind, aber (nur) dies Regelungsinhalt und -zweck von § 1 ist. e. Bezüglich der Registerauskunft nach § 8 wäre eine Klarstellung wünschenswert, dass etwaige Auskunftsrechte des Erblassers als Betroffenen unberührt bleiben. Dessen Rechte finden im Entwurf bislang keine gesonderte Erwähnung, dort ist vielmehr über die Verweisung in die BNotO nur von Gerichten und Notaren die Rede.
349
Anhang Ferner: Ergänzend zu den Angaben über den „Auskunftsempfänger“ in § 8 Abs. 2 sollte noch der Antragsteller angegeben werden, sofern dieser vom Auskunftsempfänger unterschiedlich ist (oder nur einheitlich vom Antragsteller wie in Abs. 1 gesprochen werden). f. Die speziellen Regelungen zum Datenschutz und der Datensicherheit in § 12 und § 8 Abs. 3 sind begrüßenswert, insbesondere auch der Verweis auf die allgemeinen Regelungen dazu im BDSG. Positiv hervorzuheben ist, dass § 12 Abs. 1 S. 2 den Anforderungen an ein modernes Datenschutzrecht gerecht wird und die zum Teil nicht mehr zeitgemäßen Formulierungen in der Anlage zu § 9 BDSG um aktuelle Begriffe und Vorgaben ergänzt werden. g. Ebenso zu begrüßen ist die ausdrückliche Verpflichtung zur Erstellung eines Sicherheitskonzepts, die in § 12 Abs. 3 des Entwurfes enthalten ist. Bei § 12 Abs. 3 fällt allerdings auf, dass dort zwar die Pflicht konstituiert wird, dass die Registerbehörde ein Sicherheitskonzept zu erstellen hat, aber die Pflicht zur Umsetzung nicht geregelt wird, also noch aufgenommen werden sollte. Im Hinblick auf den schnellen Wandel in der ITSicherheitstechnik scheint auch eine Ergänzung dahin gehend, dass das Konzept nicht nur (einmalig) zu erstellen, sondern fortlaufend zu evaluieren und fortzuschreiben ist, sinnvoll. Zu erwägen wäre ferner, die Bestimmung des § 12 Abs. 3 bereits um einige Aspekte zu ergänzen, die bei der Erstellung eines solchen Konzepts zu berücksichtigen sind oder zum Beispiel einen pauschalen Hinweis darauf aufzunehmen, dass insbesondere relevante technische Richtlinien, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlicht hat, zu berücksichtigen sind. Dies könnte dem denkbaren Einwand begegnen, dass § 12 Abs. 3 des Entwurfs in der jetzt vorliegenden Form sehr allgemein gehalten ist. Von detaillierten Vorgaben für ein solches Konzept wird dagegen zu Recht abgesehen. Die Erfahrung zeigt, dass derartige detaillierte Vorgaben angesichts der stürmischen sicherheitstechnischen Entwicklung in aller Regel bereits nach kürzester Zeit veraltet sind, siehe dazu auch lit. f. Dass die gesamte Abwicklung (einschließlich der Erteilung von Registerauskünften) elektronisch ausgestaltet ist, erscheint gerade unter Datensicherungsaspekten als eine vorzugswürdige Lösung. In Verbindung mit dem schon angesprochenen Sicherheitskonzept und sachgerechten Protokollierungspflichten, wie sie § 8 Abs. 2 des Entwurfs vorsieht, gewährleistet dies in einem höheren Maß als ein traditionelles manuelles Auskunftsverfahren, dass unberechtigte Anfragen oder Auskünfte unterbleiben. Dieser Aspekt einer elektronischen Ausgestaltung wird erfahrungsgemäß meist nicht hinreichend gewürdigt.
350
Stellungnahmen Die DGRI ist gerne bereit, im weiteren Verlauf des Verordnungsverfahrens ihren Sachverstand erneut einzubringen, insbesondere falls die jetzt vorliegende Entwurfsfassung noch Änderungen erfahren sollte. Mit freundlichen Grüßen Prof. Dr. Rupert Vogel
Dr. Eugen Ehmann
Dr. Robert Selk, LL.M.
Geschäftsführer der DGRI e.V.
Fachausschuss Datenschutz
Fachausschuss Datenschutz
351
Anhang
DGRI e.V. • Bahnhofstraße 10 • D-76137 Karlsruhe
Europäische Kommission – GD Justiz, Grundrechte und Bürgerschaft – Direktion C: Grundrechte und Unionsbürgerschaft Herrn Direktor Dr. Paul Nemitz B-1049 Brüssel
Dr. Anselm Brandi-Dohrn, maître en droit 1. Vorsitzender Rechtsanwalt Oranienstraße 164, D-10969 Berlin Telefon: +49-30-61 68 94 09 Telefax: +49-30-61 68 94 56 E-Mail: [email protected]
Per e_mail vorab: [email protected]
Berlin, 21. Dezember 2011 Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) Hier: Stellungnahme der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) (Register-Nr. 21625424990-18 des Registers der Interessenvertreter der Europ. Kommission) Sehr geehrter Herr Direktor Dr. Nemitz, sehr geehrte Damen und Herren, Die Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) ist eine der in Deutschland führenden unabhängigen wissenschaftlichen Vereinigungen im Bereich des IT-Rechts; zu ihren Mitgliedern zählen Richter, Rechtsanwälte, Rechtswissenschaftler, Firmenjuristen der IT-Branche und IT-Techniker. Sie befasst sich mit Fragen im Bereich der Schnittstelle zwischen Informatik- und EDV-Recht einerseits sowie Recht und Wirtschaft andererseits. Sie fördert die Zusammenarbeit von Lehre, Forschung, Gesetzgebung und Praxis in allen Fragen der Informationstechnik. Sie begleitet Gesetzgebungsvorhaben als neutrale Institution und ist nicht den Partikularinteressen einzelner Unternehmen oder Branchen verpflichtet. Die DGRI befasst sich – insbesondere über ihren Fachausschuss Datenschutz – seit vielen Jahren mit allen Fragen des Datenschutzes. Im Verlauf der vergangenen Jahre hat die DGRI ein wachsendes Unbehagen sowohl im Bereich der Wissenschaft, wie auf Seiten der Privatwirtschaft und auf Verbraucherseite festgestellt, dass die Regelungen zum Schutz persönlicher Daten im Verhältnis zwischen Privaten überaus kompliziert und auch für Fachleute kaum mehr handhabbar sind – um so weniger für die eigentlich Betroffenen, die privaten Verbraucher.
352
Stellungnahmen Die DGRI begrüßt das Bestreben der Kommission, das national sehr unterschiedliche Datenschutzrecht durch eine Verordnung europaweit zu vereinheitlichen und dadurch Unsicherheiten über die jeweils anwendbaren Regelungen erheblich zu reduzieren. Die DGRI hat auch die Vorschläge des Deutschen Anwaltsvereins (DAV), der Vertretung der deutschen Anwaltschaft, die anregt, das Konzept des Datenschutzes zwischen Privaten einer grundsätzlichen Überprüfung zu unterziehen, im Kreis ihrer Mitglieder eingehend diskutiert. Im Ergebnis dieser Diskussion schließt sich die DGRI den Vorschlägen des DAV – mit Anpassungen im Einzelnen – in vollem Umfang an. Dabei ist darauf hinzuweisen, dass die interne Diskussion natürlich noch andauert, weshalb wir in späteren Stadien der Normsetzung sicher erneut Stellung nehmen werden. Die DGRI regt an, bei der Neugestaltung des Datenschutzes in Europa die Gelegenheit zu nutzen, um das Schutzkonzept einer Revision zu unterziehen. Dabei sind nachfolgende Grundsätze zu beachten, um so dem Datenschutz zu größerer Akzeptanz und Effektivität zu verhelfen: 1. Datenverarbeitung im Netz ist in den meisten Mitgliedstaaten eine Ausübung verfassungsrechtlich garantierter Grundfreiheiten. Daher bedarf es eines Ausgleichs zwischen Persönlichkeitsrechten und Kommunikationsfreiheiten. Neue Konfliktstrukturen erfordern neue Regelungen im nicht-öffentlichen Bereich. Dabei haben weder Persönlichkeitsrechte noch Kommunikationsfreiheiten einen natürlichen Vorrang. Das „Medienprivileg“ braucht mehr Konturschärfe. Deshalb ist wichtig, dass der VO-Entwurf, etwa in 3.3 der Einleitung sowie in Erwägungsgrund 46, 103 und 118 auch Art. 11 der Charta teils ausdrücklich, teils der Sache nach erwähnt. Allerdings erscheint (trotz der indirekten Einbeziehung in Art. 1 (1) der VO) die unmittelbare Berücksichtigung – in Form der Gegenüberstellung des Rechts aus Art. 11 der Charta und seiner Abwägung mit dem Recht auf „privacy“ – zu fehlen. Der Katalog des Art. 5 erscheint deshalb zu eng. 2. Daten sind ein Abbild sozialer Realität. Sie sind kein Schutzgut, das dem Einzelnen – eigentumsähnlich – zugeordnet ist. Folglich kann es im Datenschutzrecht nicht primär um den Schutz von Daten gehen. Es geht primär vielmehr um den Schutz von Persönlichkeitsrechten vor Beeinträchtigungen durch eine ungezügelte Verbreitung von Informationen. Der Bezug zum Persönlichkeitsrecht, das es zu wahren gilt, sollte daher in Art. 4 als Prinzip vorgeschaltet werden. „Privacy by design“ und „Privacy by default“ – sehr begrüßenswerte Einrichtungen – hängen logisch „in der Luft“, wenn sie nicht zum Zwecke der konkreten Durchsetzbarkeit, etwa auch in Gerichtsprozessen, auf einem materiellen Schutzgut, nämlich „privacy“ aufbauen. Einen wichtigen Schritt in diese Richtung stellt die stärkere Fokussierung auf die „Person“ (data subject) dar. Dieser Ansatz sollte noch ausgebaut werden. 3. Die Anwendbarkeit des gesamten Datenschutzrechts steht und fällt derzeit mit der Personenbezogenheit von Daten. Sind Daten personenbezogen, gilt das strenge Regime des Datenschutzrechts. Fehlt es am Personenbezug, sind Daten „vogelfrei“. Dieses „Schwarz-Weiß-Schema“ kann nicht richtig sein.
353
Anhang Der Schutz von Persönlichkeitsrechten kann nicht davon abhängen, wie der Rechtsanwender den Begriff des „Personenbezugs“ versteht. Das Datenschutzrecht sollte einen weiten Anwendungsbereich haben und für alle Informationen gelten, die Persönlichkeitsrechte beeinträchtigen können. Insofern wird Art. 3 (2) der VO als Fortschritt begrüßt. 4. Nach derzeitigem Recht bedeutet das Verbotsprinzip, dass Kommunikation grundsätzlich verboten ist, wenn personenbezogene Daten verwendet werden. Dies schränkt die Kommunikationsfreiheit in bedenklicher Weise ein. Das Verbotsprinzip bedarf schon aus diesem Grund einer deutlichen Einschränkung und Verlagerung auf Kernbereiche des Persönlichkeitsrechts. Dies gilt umso mehr, wenn man von einem weiten Anwendungsbereich des Datenschutzrechts ausgeht. Die Grenzziehung zwischen zulässiger und unzulässiger Datenverarbeitung darf nicht einer uferlosen Abwägung mit vagen Begriffen und unvorhersehbaren Abwägungsergebnissen überlassen werden. Dies betrifft Art. 5 der VO, der insofern wesentlich zu weit ist bzw. die normale Informationsverarbeitung bei einvernehmlicher Kommunikation allzu sehr einengt bzw. formalisiert. Das Verbotsprinzip mit Vorbehalt der Einwilligung oder Rechtsgrundlage wäre hingegen besonders geeignet für die Datenkategorien und Regelungen des Art. 8. 5. Nicht alle Daten sind gleich. IP-Adressen oder Gerätekennzeichen sind nicht in gleicher Weise zur Beeinträchtigung von Persönlichkeitsrechten geeignet wie Angaben zur Gesundheit oder zu sexuellen Neigungen. Die unendliche Vielzahl und Vielfalt von Informationen in der Informationsgesellschaft des 21. Jahrhunderts fordert eine differenzierte Herangehensweise und abgestufte Regelungen je nachdem ob es um „banale“ oder „sensible“ Informationen geht. Das Datenschutzrecht setzt in vielen Bereichen auf Rechte des Betroffenen gegen den Datenverarbeiter und bleibt auf diese Weise in einem ZweiPersonen-Verhältnis haften, das dem Verhältnis Staat/Bürger nachgebildet ist. Dies greift für den Bereich zwischen Bürgern zu kurz. Es bedarf einer Stärkung des präventiven Persönlichkeitsschutzes durch eine datensparsame Ausgestaltung von Verfahren. Verfahrensregeln können helfen, dass Technik so ausgestaltet wird, dass Persönlichkeitsrechte geschont werden. 6. Das Datenschutzrecht setzt vielfach auf Einwilligungen, die der Betroffene zur Legitimation der Datenverarbeitung erteilen muss. Im Massenverkehr des Internets lassen sich jedoch Einwilligungserfordernisse nur durch standardisierte, vorformulierte Einwilligungserklärungen erfüllen. Als zentrales Instrument zur Sicherung der Autonomie des Betroffenen erweisen sich Einwilligungserfordernisse unter diesen Bedingungen als ungeeignet. Der in Art. 5 (1) (a) in Verbindung mit Art. 7 der VO gewählte Ansatz ist deshalb in der Praxis nicht tragfähig. Daran ändert sich im Ergebnis auch dann nichts, wenn man die weiteren Tatbestände in Art. 5 berücksichtigt, die eine Verarbeitung rechtfertigen können, denn sie decken nur wenige Fallgruppen ab. Richtig wäre etwa, eine Einwilligung (nur) für Fälle vorzusehen, in denen Änderungen des ursprünglichen Zwecks der Verarbeitung erfolgen.
354
Stellungnahmen 7. Statt die Selbstbestimmung vermeintlich durch vorformulierte Einwilligungserklärungen zu fördern, sollte das Datenschutzrecht verstärkt auf Transparenz setzen. Wie in vielen anderen Rechtsbereichen auch bedarf es präziser, verständlicher und leicht abrufbarer Informationen über den Umgang mit Informationen. Derartige Informationen lassen sich – wie bereits in der Praxis üblich – in Datenschutzerklärungen oder Datenschutzbestimmungen zusammenfassen. Das Datenschutzrecht sollte konkrete Anforderungen stellen an den Inhalt, die Gestaltung, die Auffindbarkeit und die Formulierung von Datenschutzbestimmungen. Im Hinblick auf die notwendige Verstärkung des Transparenzgedankens sind die Art. 9 ff. der VO grundsätzlich sehr zu begrüßen. Dies gilt auch für Art. 16. 8. Ein zentraler Schwachpunkt des bestehenden Datenschutzrechts ist das Missverhältnis zwischen der Regelungstiefe und -dichte einerseits und dem Vollzug andererseits. Hier bedarf es der Abhilfe, und zwar vor allem durch erweiterte und verschärfte Haftungsnormen. Insofern erscheint Art. 75 der VO noch zu schwach. Auch Art. 77 erscheint nicht ausreichend. Es sollte zum einen klargestellt werden, dass bei Eingriffen in das Persönlichkeitsrecht auch der immaterielle Schaden zu ersetzen ist, zum anderen dafür eine Mindestpauschale (und insoweit auch eine Obergrenze) vorgesehen werden, da der Nachweis des Schadens oft sehr schwierig ist. 9. Das Datenschutzrecht ist über die Jahre ausgeufert und findet sich in einer Vielzahl verstreuter Regelungen. Selbst Experten haben Mühe, den Überblick zu behalten. Daher gilt es, bestehende Regelungen zu vereinfachen, stringent zu formulieren und das Datenschutzrecht insgesamt logisch einleuchtend zu strukturieren. Dem trägt die VO in wichtigen Punkten Rechnung und ist insoweit von großer Bedeutung. Allerdings fehlt eine Regelung, die dem Betroffenen – insbesondere dann, wenn er aktiv an elektronischen Medien, sozialen Netzwerken usw. mitwirkt – den Grad der Belastung seiner „privacy“, sowie das Maß der Transparenz auf einfache Weise und sofort bzw. stets – ähnlich einem Kontostand und/oder Ampel – vermittelt und zwar nicht erst auf Anfrage. Für Rückfragen und Ergänzungen steht Ihnen die DGRI gerne zur Verfügung. Dr. Anselm Brandi-Dohrn
Dr. Eugen Ehmann
Vorsitzender der DGRI e.V.
Leiter Fachausschuss Datenschutz
355
.
Autorenverzeichnis Baur, Hanno Hanno Baur, Diplom Wirtschaftsinformatiker, jetzt angestellt im Competence Center Fraud – Risk – Compliance der Rölfs RP AG Wirtschaftsprüfungsgesellschaft, hat an der Technischen Universität Darmstadt Wirtschaftsinformatik mit dem Schwerpunkt Informations- und Datenschutzrecht und der Vertiefung im Gebiet Rechnungswesen, Controlling und Wirtschaftsprüfung studiert. Im Rahmen des Studiums ist die hier in Form einer Zusammenfassung abgedruckte Studienarbeit entstanden. Bensberg, Prof. Dr. Frank Prof. Dr. Frank Bensberg studierte von 1988 bis 1994 an der Westfälischen Wilhelms-Universität Münster Betriebswirtschaftslehre mit den Schwerpunkten Wirtschaftsinformatik und Marketing. Von 1994 bis 2000 arbeitete er dort als Wissenschaftlicher Mitarbeiter am Institut für Wirtschaftsinformatik und promovierte zum Thema Web Log Mining in internetbasierten Märkten. Im Anschluss war er am gleichen Institut als Wissenschaftlicher Assistent tätig und wurde im Jahr 2009 von der wirtschaftswissenschaftlichen Fakultät habilitiert. Seit August 2009 arbeitet Prof. Dr. Frank Bensberg an der Hochschule für Telekommunikation in Leipzig als Hochschullehrer für Wirtschaftsinformatik, Prozessmodellierung und Integrierte Anwendungssysteme. An dieser privaten Hochschule, die sich in Trägerschaft der Deutschen Telekom AG befindet, leitet er seit Dezember 2011 das Department für Wirtschaft und begleitet die Entwicklung mehrerer Studiengänge für Wirtschaftsinformatik. Prof. Dr. Frank Bensberg kann auf zahlreiche wissenschaftliche Publikationen und Vorträge zu Konferenzen und Tagungen verweisen. Er ist Autor mehrerer Lehrbücher und derzeit in zahlreiche Forschungs- und Entwicklungsprojekte eingebunden. Aktuelle Forschungsschwerpunkte sind Controlling- und Analysesysteme auf Grundlage von Business Intelligence (BI)-Technologien. Dabei werden neben Methoden zur strategischen Ausrichtung von BI-Systemen auch innovative Konzepte für das analytische Kunden- und Prozessmanagement entwickelt und in Kooperation mit Partnerunternehmen umgesetzt.
357
Autorenverzeichnis
Bömer, Dr. Roland Dr. Roland Bömer ist Rechtsanwalt und Wirtschaftsmediator (IHK). Er hat in Bochum, München, Speyer, Coimbra (Portugal), Straßburg (Frankreich) und Urbino (Italien) Rechtswissenschaften studiert. Er promovierte zum Dr. jur. am Max-Planck-Institut für gewerblichen Rechtsschutz und Urheberrecht in München zum Thema „Software-Vertragsrecht“. Dr. Bömer ist „General Counsel – EMEA“ der Fa. Red Hat, einem weltweit tätigen Anbieter von Serviceleistungen rund um Open Source-Software. Er war zuvor als „Leiter Recht & Compliance“ von Sun Microsystems für Zentral- und Osteuropa zuständig sowie in Rechtsabteilungen verschiedener anderer IT-Unternehmen (z. B. Digital, Compaq, IBM, Lotus Development, Oracle, AvePoint) tätig. Über seine langjährigen Erfahrungen als Rechtsanwalt und als Syndikus in Rechtsabteilungen verschiedener IT-Unternehmen hinaus, ist Dr. Bömer Autor eines Buches zum Software-Vertragsrecht und zahlreicher Fachaufsätze sowie mehrfach als Referent zu verschiedenen Themen des Technologie-Rechts und der Compliance aufgetreten. Er ist im BITKOM, in der DGRI – Deutsche Gesellschaft für Recht und Informatik (Fachausschussleiter), ACC – Association of Corporate Counsel, IACCM – International Association for Contract and Commercial Management und verschiedenen anderen IT-Verbänden aktiv. Briner, Dr. Robert G. Dr. Robert G. Briner ist Partner der Kanzlei CMS von Erlach Henrici AG in Zürich, wo er die Gruppe Immaterialgüter- und Informatikrecht leitet. Er berät seit fast dreißig Jahren mittlere und große Unternehmen im In- und Ausland in informatikrechtlichen Mandaten. An der Universität Zürich und an der Fachhochschule St. Gallen lehrt er Lizenzvertragsrecht, Informatikrecht und Datenschutzrecht. Er ist Präsident der Rechtskommission des Schweizer Branchenverbandes SwissICT, und maßgeblicher Mitautor einer Reihe von verbreiteten InformatikMusterverträgen. Seit 2008 ist er DGRI-Vorstandsmitglied. Buchner, Prof. Dr. Benedikt Prof. Dr. Benedikt Buchner, LL.M. (UCLA) ist Direktor des Instituts für Informations- Gesundheits- und Medizinrecht (IGMR) des Fachbereichs Rechtswissenschaft der Universität Bremen. Seine Arbeitsschwerpunkte liegen in den Bereichen Bürgerliches Recht, Gesundheits- und Medizin358
Autorenverzeichnis
recht und Informationsrecht. Er ist Herausgeber der Zeitschrift DuD (Datenschutz und Datensicherheit) und Autor bzw. Herausgeber zahlreicher Veröffentlichungen zum Informations- und Gesundheitsrecht. Conrad, Isabell Isabell Conrad ist Partnerin in der Kanzlei SSW Schneider Schiffer Weihermüller in München. Ihre Beratungsschwerpunkte liegen u. a. im IT- und TK-Vertragsrecht sowie im E-Commerce- und Datenschutzrecht. Im Bereich Compliance ist Frau Conrad unter anderem spezialisiert auf gesellschafts-, arbeits-, sicherheits- und datenschutzrechtlichen Fragen von internen Kontrollsystemen, Risikobewertungskriterien und Korruptionsermittlung. Isabell Conrad ist Leiterin des DGRI-Fachausschusses Wirtschaft & Steuern und Mitglied des Informationsrechtsausschusses des DeutschenAnwaltVerein (DAV). Daneben ist sie Dozentin und Mitherausgeberin beim Fachanwaltslehrgang Informationstechnologierecht der DeutschenAnwaltAkademie (DAA) sowie Mitherausgeberin und Mitautorin verschiedener Fachbücher zum IT-, Datenschutz- und Telemedienrecht. Ehmann, Dr. Eugen Dr. Eugen Ehmann ist Regierungsvizepräsident von Mittelfranken (Bayern), Leiter des Fachausschusses Datenschutz der DGRI, Mitherausgeber der Zeitschrift COMPUTER und RECHT und Lehrbeauftragter für Internetrecht an der Fachhochschule Nürnberg. Er publiziert seit über 20 Jahren auf den Gebiet des Datenschutzrechts, unter anderem als Mitautor des von Simitis herausgegebenen Großkommentars zum BDSG (7. Auflage 2011). Frank, Dr. Christian Dr. Christian Frank ist spezialisiert auf technologieorientierte Transaktionen und strategische Allianzen. Zu seinem Beratungsspektrum gehören die Gestaltung entsprechender Projektverträge, Lizenz- und Verwertungsvereinbarungen, Outsourcing-, F&E- und Technologietransferverträge sowie andere, Immaterialgüter betreffende Transaktionen. Er ist zudem regelmäßig in Streitigkeiten im Zusammenhang mit Immaterialgütern und unlauterem Wettbewerb insbesondere im Technologiebereich tätig. 1991 absolvierte Dr. Christian Frank an der Universität Paris II/Assas die französische „licence en droit“, legte in den Jahren 1993 und 1995 die beiden juristischen Staatsexamina in München ab und promovierte dort 359
Autorenverzeichnis
1999 zu einem schiedsrechtlichen Thema. Seit 1996 ist er für Taylor Wessing in München tätig. Dr. Christian Frank ist Co-Autor verschiedener Handbücher und Kommentare zur Urheberrecht, UWG und Recht der Informationstechnologie, verfasst regelmäßig Zeitschriftenbeiträge zu Themen aus seinem Tätigkeitsbereich und hält entsprechende Vorträge auf nationalen und internationalen Konferenzen. Seit 2003 ist er Lehrbeauftragter am von der TU München und der LMU München gemeinsam betriebenen Center for Digital Technology Management. Er ist aktives Mitglied der Deutschen Gesellschaft für Recht und Information sowie im Board of Directors der International Technology Law Association. Härting, Prof. Niko Prof. Niko Härting ist Gründungspartner von HÄRTING Rechtsanwälte und Honorarprofessor an der Hochschule für Wirtschaft und Recht (HWR Berlin), zahlreiche Veröffentlichungen zum Internetrecht. Hausen, Dominik Dominik Hausen ist Rechtsanwalt in der Kanzlei SSW Schneider Schiffer Weihermüller in München. Seine Beratungsschwerpunkte liegen im Internetvertragsrecht, dem Recht der Telemedien, dem Datenschutz, der IT-Sicherheit sowie im Telekommunikationsrecht. Dominik Hausen ist Mitautor verschiedener Fachbücher zum IT-, Datenschutzund Telemedienrecht, u. a. Auer-Reinsdorff/Conrad (Hrsg.), Beck’sches Mandatshandbuch IT-Recht, Schwarz/Peschl-Mehner (Hrsg.), Recht im Internet (Loseblatt). Heymann, Thomas Thomas Heymann ist Gründer und Partner der Kanzlei Heymann & Partner. Er berät seit vielen Jahren in den Bereichen des IT-Rechts sowie bei Outsourcing-Projekten. Darüber hinaus berät er in den Bereichen Private Equity und Restukturierung. Thomas Heymann war Vorsitzender, stellvertretender Vorsitzender und Vorstandsmitglied der Deutschen Gesellschaft für Recht und Informatik (DGRI) und Präsident der IFCLA (International Federation of Computer Law Association). Er ist Autor der im Otto Schmidt Verlag, „Handbuch der IT-Verträge“, erschienenen Musterverträge „IT-Outsourcing“ und „Softwarepflege“ und gehört der Schriftleitung der Zeitschriften „Computer & Recht“ und „CRi“ an. Darüber hinaus ist er regelmäßiger Referent zu Outsourcing- und ITbezogenen rechtlichen Fragestellungen. 360
Autorenverzeichnis
Hoppen, Dr. Peter J. Dr. Peter J. Hoppen ist Diplom-Informatiker und als öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung tätig. Er ist Partner bei Streitz Hoppen & Partner, IT-Sachverständige, Brühl und Vorstandsmitglied der DGRI sowie des Arbeitskreises EDV und Recht, Köln e.V.“. Jähnichen, Prof. Stefan Prof. Stefan Jähnichen, geboren 1947, erhielt seinen Dr.-Ing.-Titel in Elektrotechnik von der Technischen Universität Berlin 1974. Seit 1991 leitet er als Professor das Fachgebiet Softwaretechnik an der Fakultät für Informatik und Elektrotechnik der Technischen Universität Berlin. Ebenso leitet er seit 1991 das Fraunhofer Institut FIRST (früher GMD FIRST). Prof. Stefan Jähnichen zeichnet sich durch langjährige Expertise auf dem Gebiet der Softwaretechnik aus, wobei Programmiersprachen und Compilerbau, aber auch Planungs- und Optimierungsverfahren seine persönlichen Schwerpunkte bilden. Unter seiner Leitung entstand u. a. das erste Brain-Computer Interface bei der FhG FIRST. Im Rahmen seiner Tätigkeit an der TU Berlin und bei der FhG Gremien beteiligt er sich national wie auch international an Forschungskooperationen und Projekten und ist Mitglied in mehreren Kuratorien und Aufsichtsgremien. Seit 2004 gehört er dem DFG Fachkollegium für Informatik an und seit 2011 ist er Chair des ERC Evaluation Panel „Informatics“. Prof. Stefan Jähnichen war bis 2007 Chefredakteur der Zeitschrift „Informatik: Forschung und Entwicklung“, er ist Autor mehrerer Bücher und verfasste in seiner Karriere mehr als 50 begutachtete wissenschaftliche Publikationen in Konferenzbänden und Journalen. Darüber hinaus betreute er in seiner bisherigen Laufbahn mehr als Hundert Promotionen und viele Habilitationen. Von 2008 bis 2011 war er Präsident der Gesellschaft für Informatik. Kujath, Dr. Johanna Dr. Johanna Kujath ist als Rechtsanwältin in der Sozietät Olswang Germany LLP im öffentlichen Wirtschaftsrecht tätig. Nach Erwerb eines Foundation Degrees an der London University of the Arts im Bereich Film, studierte und promovierte sie an der juristischen Fakultät der Humboldt-Universität zu Berlin. Für ihre Dissertation zu dem Thema „Der Laienjournalismus im Internet als Teil der Medienöffentlichkeit im Strafverfahren – neue Herausforderungen durch die Ent361
Autorenverzeichnis
wicklung des Web 2.0“ erhielt sie neben dem Wissenschaftspreis der „Deutschen Stiftung für Recht und Informatik (DSRI)“ den Promotionspreis der „Absolventen und Freunde der Juristischen Fakultät der Humboldt-Universität zu Berlin Bibliotheksgesellschaft – e.V.“. Lejeune, Dr. Mathias Dr. Mathias Lejeune arbeitet als Rechtsanwalt in München. Er ist Mitglied der Deutschen Gesellschaft für Recht und Informatik (DGRI) und der Deutsch-Amerikanischen Juristenvereinigung, Vorsitzender des DGRI-Fachausschusses für Vertragsrecht (zusammen mit RA Dr. Thomas Stögmüller), und ständiges Mitglied des Autorenteams der Zeitschrift „Der IT Rechts-Berater“ (ITRB). Er veröffentlicht seit Jahren regelmäßig Bücher und Aufsätze im Bereich des nationalen und internationalen Softwarerechts, insbesondere zum US amerikanischen Recht. Liesegang, Wiegand Wiegand Liesegang ist öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung. Er ist Partner bei Streitz Hoppen & Partner, IT-Sachverständige, Brühl. Metzger, Prof. Dr. Axel Prof. Dr. Axel Metzger, LL.M. (Harvard), ist seit 2008 Professor für Zivilrecht, Geistiges Eigentum, Informationstechnologierecht und internationales Privatrecht an der Juristischen Fakultät der Universität Hannover, Institut für Rechtsinformatik. Prof. Dr. Axel Metzger war nach der Promotion am Münchener Max-Planck-Institut für Immaterialgüter- und Wettbewerbsrecht (2000–2002) als Referant am Max-PlanckInstitut für ausländisches und internationales Privatrecht in Hamburg tätig (2002–2008). Er hatte 2011 und 2012 Gastprofessuren an der Universität Basel und der Bucerius Law School, Hamburg inne. Prof. Dr. Axel Metzger ist Mitglied im Vorstand der Deutschen Gesellschaft für Recht und Informatik (DGRI) sowie von ALAI Deutschland und ist Herausgeber des Journal of Intellectual Property, Information Technology and E-Commerce Law – JIPITEC. Er veröffentlicht regelmäßig in den Bereichen IT-Recht und geistiges Eigentum. Redeker, Dr. Helmut Dr. Helmut Redeker ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht, stellvertretender Vorsitzender der Deutschen Gesell-
362
Autorenverzeichnis
schaft für Recht und Informatik und Vorsitzender des Informationsrechtsausschusses des Deutschen Anwaltvereins. Er publiziert seit vielen Jahren im Bereich des IT-Rechts und ist Verfasser des Buchs „IT-Recht (derzeit in 5. Auflage), Herausgeber des Buches „Handbuch der IT-Verträge“, sowie Mitautor zahlreicher weiterer Werke. Schmittmann, Prof. Dr. Jens M. Prof. Dr. Jens M. Schmittmann ist Dekan des Fachbereichs Wirtschaftsrecht an der FOM Hochschule für Oekonomie und Management Essen. Er lehrt dort Allgemeine Betriebswirtschaftslehre, Wirtschafts- und Steuerrecht. Daneben ist er Steuerberater, Rechtsanwalt und Fachanwalt für Steuerrecht, für Insolvenzrecht und für Handels- und Gesellschaftsrecht sowie Steuerberater Partner der überörtlichen Kanzlei s | t | s Schulz Tegtmeyer Sozien, Essen/Duisburg/Ratingen/Dortmund/Bochum. Er ist Mitglied des Direktoriums des RIFAM Rhein-Ruhr-Institut für angewandte Mittelstandsforschung e.V., Essen/Düsseldorf. Schneider, Jan Jan Schneider ist Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Partner der Anwaltskanzlei SKW Schwarz Rechtsanwälte (JUVE-Kanzlei des Jahres für IT-Recht). Er berät seit über zehn Jahren sowohl Anwender als auch Anbieter in allen Bereichen des IT-Rechts, im Recht der neuen Medien, im Datenschutzrecht und in den angrenzenden Rechtsgebieten. Jan Schneider ist bekannt durch zahlreiche Keynotes und Vorträge auf großen Konferenzen der IT-Branche. Er publiziert regelmäßig zu aktuellen IT-rechtlichen Themen und ist Mitautor mehrerer Fachbücher, u. a. des Standardwerkes „Handbuch der IT-Verträge“, und diverser Publikationen des Bundesverbandes Digitale Wirtschaft e.V. Schneider, Prof. Dr. Jochen Prof. Dr. Jochen Schneider ist Senior-Partner der Kanzlei SSW Schneider Schiffer Weihermüller in München. Er ist Autor des Handbuchs des EDV-Rechts, 4. Auflage 2009 und Herausgeber des ITRB sowie MitHerausgeber der ZD. Er ist Mitglied der Schriftleitung von CR und langjähriges Mitglied der DGRI. Sein Arbeitsgebiet sind IT-Recht, insbesondere IT-Vertragsrecht sowie Datenschutz- und Urheberrecht.
363
Autorenverzeichnis
Selk, Dr. Robert Dr. jur. Robert Selk ist Rechtsanwalt und Fachanwalt für IT-Recht in München sowie Partner von SSH Rechtsanwälte. Er promovierte 2022 zum Thema „Datenschutz im Internet“ und absolvierte im internationalen und europäischen Wirtschaftsrecht einen Master-Studiengang zum Masterof Laws (LL.M.). Dr. Selk ist daneben als externer Datenschutzbeauftragter tätig, vor allem für internationale Unternehmen und Konzerne. Er bildet für den TÜV IT- und Datenschutzbeauftragte aus, ist regelmäßiger Referent auf Datenschutz-Kongressen und führt Datenschutz-Seminare zu verschiedenen Themen durch. Er ist Co-Vorsitzender des Fachausschusses Datenschutz der DGRI, Mitglied des Gesetzgebungsausschusses für IT-Recht des DAV, Mitglied der DAVIT sowie Mitglied in allen wichtigen Datenschutzverbänden (GDD, DVD, BVD) und der Gesellschaft für Informatik (GI). Er veröffentlicht regelmäßig zum Thema Datenschutz und ist Mitautor von „Datenschutz Kompakt“. Stiemerling, Dipl.-Inf. Dr. Oliver Dr. Oliver Stiemerling ist öffentlich bestellter und vereidigter Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung. Er erstellt Gutachten und bewertet Sachverhalte der Informationsverarbeitung für Gerichte, Anwälte, Parteien, Unternehmen, Versicherungen und Privatpersonen in ganz Deutschland und Europa. Schwerpunkte sind insbesondere Gutachten zu Softwareprojekten in Krisensituationen, eBusiness & eCommerce, Internet, Lasten- und Pflichtenhefterstellung, Ausschreibungen, CRM, ERP, IT-Sicherheit und Datenschutz. Dr. Oliver Stiemerling hat an den Universitäten Bonn und Warwick (Großbritannien) Informatik mit Betriebswirtschaftslehre im Nebenfach studiert. An der Universität Bonn promovierte er über Customizing auf Basis komponentenbasierter Softwarearchitekturen und arbeitete danach als Gastwissenschaftler in Frankreich im Forschungslabor von Xerox. Er ist seit 1992 als unabhängiger IT-Berater für große international agierende Unternehmen sowie für Mittelständler in unterschiedlichen Branchen tätig und gründete im Jahr 2000 die ecambria systems GmbH. Stögmüller, Dr. Thomas, LL.M. (Berkeley) Dr. Thomas Stögmüller ist Rechtsanwalt und Fachanwalt für Informationstechnologierecht in München. Er ist Leiter des Fachausschusses Vertragsrecht der DGRI.
364
Autorenverzeichnis
Dr. Thomas Stögmüller studierte und promovierte an der Ludwig-Maximilians Universität München und an der University of California in Berkeley. Er war wissenschaftlicher Mitarbeiter am Max-Planck-Institut für ausländisches und internationales Patent-, Urheber- und Wettbewerbsrecht (US-Referat) und Jurist im Telekommunikationsreferat des Bayerischen Staatsministeriums für Wirtschaft, Verkehr und Technologie. 1995 wurde er als Rechtsanwalt zugelassen und war in mehreren namhaften Kanzleien in Frankfurt und München als Partner tätig. Er ist Gründungspartner von TCI Rechtsanwälte und berät deutsche und internationale Unternehmen insbesondere in den Bereichen IT-, E-Commerce-, Telekommunikationsrecht und Datenschutz sowie Urheberrecht, gewerblicher Rechtsschutz und Kartellrecht. Streitz, Dr. Siegfried Dr. Siegfried Streitz ist öffentlich bestellter und vereidigter Sachverständiger für Systeme der Informationsverarbeitung. Er ist Partner bei Streitz Hoppen & Partner, IT-Sachverständige, Brühl, Vorstandsmitglied des Deutschen EDV-Gerichtstags und Beiratsmitglied der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltsverein. Weisband, Marina Marina Weisband war von 2011 bis 2012 politische Geschäftsführerin der Piratenpartei Deutschland und hat sich in vielen öffentlichen Auftritten mit Transparenz, politischer Kultur und politischer Bildung auseinander gesetzt. Sie studiert Psychologie und beschäftigt sich derzeit in ihrer Diplomarbeit mit Wertesystemen. Sie ist Autorin für FAZ.net, wo sie den Blog „Salon Skurril“ schreibt.
365
.
Stichwortverzeichnis Agile 120 ff. Agile Methoden – Nutzen 124 f. – Vertragsgestaltung 127 ff. Aktivitäten der Fachausschüsse 269 f. Analytische Informationssysteme 181 ff. – Erfolgsfaktoren 198 ff. Anforderungsmanagement – Informatik 121 Apple – Datenschutz 16 Assets zur Kreditsicherung 103 Auftragsdatenverarbeitung – Datenschutz in der EU 320 Ausgestaltung des Sicherungsvertrages 114 ff. Authentizität – Signaturüberprüfung 322 Backlog – SCRUM 124 Beschäftigtendatenschutz – Datenschutz in der EU 318 Betriebs-/Geschäftsgeheimnis – Definition 302 ff. – Schutz 304 Betroffeneneinwilligung – General Data Protection Regulation 354 Beweisbewertung – verdeckter Eingriff in Informationssysteme 262 ff. Beweissicherung – IT-Prozess 167 BGH – Datenschutz 17
– eBay-Haftung 232 – Handel mit Gebrauchtsoftware 107 f. – Kündigung von Internet-Systemverträgen 244 – OGH 72 f. – Rechtssicherheit Hostprovider 234 – Reifen-progressiv-Entscheidung 298 f. – Schutzkonzept 24 – Telekommunikation 238 f. – Thumbnails 235 – Veröffentlichung von Filmausschnitten 236 Bieter – Richtlinie zum öffentlichen Auftragswesen 347 Bilanzaktivierungsverbot – Österreich 80 Blogs – Laienjournalismus 249 f. BMI – Datenschutz 17 Buchvermerk als Publizitätsakt – Österreich 79 f. Bundesdatenschutzgesetz – nicht-öffentlicher Bereich 19 – technische Entwicklung 16 Bundesregierung – Reformplanungen des Insolvenzrechts 300 f. Business Intelligence 183 f., 266 Business Intelligence und Datenschutz 277 Button-Lösung 237 – Download-Fallen 290 367
Stichwortverzeichnis
BVerfG – Datenschutz 17, 21 – Sphärentheorie 24 Change of Control – Schweiz 95 Cloud – Politik 5 Cloud Computing 232, 242 f. Coding on the shoulders of giants 204 Compliance 291, 295 Computerprogramm – geistige Schöpfung 68 f. Copyleft-Effekt 289 Copyright 170 ff. Data-Mining 186 ff. Data-Warehouse-Datenbestand 184 f. Datenaskese 22 Datenbestände, strukturierte 189 ff. Datenflut 182 Datenkommerzialisierung 58 ff. Datenkraken 232 Datennutzungsrechte 59 Datensammler 63 Datenschutz 7 ff. – 10 Thesen 25 ff. – Ampelprinzip 25 – Business Intelligence 277 – DV-GVO 27 ff. – Einwilligung 46 – Erlaubnistatbestand 59 – externe Mitarbeiter 302 ff. – Facebook 240 f. – General Data Protection Regulation 352 ff. – Google Analytics 16 – Google Street View 16 f. 368
– – – – –
Haftung 49 Neuerungen 17 privacy 28 f. Recht an eigenen Daten 54 ff. Rechtsmittel – Stellungnahme der DGRI 319 – Schadensersatz 25 – Social Media 17 – Social Networks 15 ff. – Stellungnahme der DGRI 313 ff. – Transparenz 47 ff. – Verbotsprinzip 36 ff. – Verordnungsentwurf Zentrales Testamentsregister 348 ff. – Zweckbindung 37 f. Datenschutzbeauftragter – Stellungnahme der DGRI 319 Datenschutzbehörden – Ausland 308 f. Datenschutz-Grundverordnung 18 Datenschutzrecht – Entwicklung 15 ff. Datensparsamkeit 19 Datentreuhänder 60 ff. Datenvermeidung 19 – -sparsamkeit 22 Datenverstöße – Anzeigepflicht 317 Definition des Sicherungsfalls – Software 116 Defizite – Bundesdatenschutzgesetz 16 De-Mail 245 Design Freeze 127, 140 ff. DGRI – Beirat 274 – CR-Seminare 271 f. – Geschäftsstelle 275
Stichwortverzeichnis
– Mitgliederentwicklung 273 – Preise und Auszeichnungen 272 – Schlichtungsstelle 271 – Sonstige Aktivitäten 272 f. – Stellungnahmen 270 f. – Vorschau 2012 272 – Vorstand 273 DGRI-Keynote 1 ff. Dienst-/Werkvertrag 134 Double-opt-in 238 Drei-Länder-Treffen 268 Drittländerverträge – Gestaltungshinweise 307 ff. Drittschuldnerverständigung – Österreich 65, 74, 78 f. E-Bilanz 292 EGMR – Datenschutz 17 eGovernment – e-Justice 287 Eigentumsrecht an persönlichen Daten 53 ff. Eignungsnachweise – Vergaberecht 337 Eingriff – Informationssysteme 262 ff. Einsatz von Software – Industriealisierung 150 ff. Einwilligung, datenschutzrechtliche – Stellungnahme der DGRI 317 f. Elektronischer Bundesanzeiger – Signatur 322 Ende der Sicherung – Software 116 Entwicklungsergebnisse – Verwertung 131 Entwicklungsphasen – Software 148 ff.
Ersatzverkündung – Gesetzesentwurf 323 Escrow 296, 299 f. EU-Datenschutzrichtlinie 17, 22, 35 f., 41, 51, 314 f. – Stellungnahme der DGRI 314 EuGH – gebrauchte Softwarelizenzen 246 – grenzüberschreitender Onlineverkauf 239 – Providerhaftung 233 f. – urheberrechtlicher Schutz von Benutzeroberflächen 245 European Clouds 243 eXentible Business Reporting Language 294 Externe im Einkauf – Datenschutz 302 ff. F & E-Verträge 131 Facebook 7, 240 ff., 278 – automatische Gesichtserkennung 241 f. – Datenschutz 16 – Like-Button 240 f. Fachausschuss Datenschutz 277 ff. – Ausblick 279 – Entwicklungen 2011 278 Fachausschuss – Firmenjuristen 281 ff. – Internet & eCommerce 285 f. – Rechtsinformatik 287 f. – Vertragsrecht 289 ff. – Wirtschafts- und Steuerrecht 291 ff. Faustpfandprinzip – Österreich 86 Fehlerbestimmung – Beurteilungsmaßstab 161 ff. 369
Stichwortverzeichnis
– Software 158 ff. Frei zugängliche Informationen – Untersuchungsproblematik 261 f. Geheimnisschutz, Wettbewerbsverbot und Datenschutz 305 ff. General Data Protection Regulation – Stellungnahme der DGRI 352 ff. Gesamtkonzept für den Datenschutz in der EU 313 ff. Gesetzesentwurf zur Änderung der Vorschriften über Verkündung und Bekanntmachungen (VkBkmG-E) 321 ff. Gesichts-Erkennung – Datenschutz 17, 241 Gewährleistung – Softwareprojekt 132, 143 f. Global Sourcing Asia 307 f. Google Analytics 33, 242 – Datenschutz 16 Google Street View 228 – Datenschutz 16 Grenzen der Offenheit – Datenschutz 6 f. Grenzüberschreitender Onlineverkauf – EuGH 239 Gültigkeit des verpfändeten Rechts – Schweiz 98 Gutachten im IT-Prozess siehe Sachverständigengutachten Haftung des angestellten Programmierers 221 ff. Haftung – Datenschutz 49 370
Handschrift des Entwicklers 150 hartplatzhelden.de 236 Herbstakademie 269 Hierarchien, flache 10 Horizontale Zusammenarbeit – Stellungnahme der DGRI 332 f. Individuelles Softwareprogramm 69 ff. Informationsinteresse – Strafverfahren 252 Informationssysteme – Untersuchungsproblematik 260 f. – verdeckter Eingriff 262 ff. Insolvenz – Zurückbehaltungsrecht, Österreich 89 Insolvenzfestigkeit – aufschiebend bedingter Verfügungen 296 – Lizenzen 295 f. – Lizenzen-Reformvorhaben 299 ff. International Organization for Standardization 158 Internationaler Datentransfer – Datenschutz in der EU – Stellungnahme der DGRI 319 f. Internationaler Gerichtsstand – grenzüberschreitender Onlineverkauf 239 Internationalprivatrechtliche Besonderheiten – Schweiz 99 Internet 2 Internet-Systemverträge 244 IP-Adresse – General Data Protection Regulation 354
Stichwortverzeichnis
IT-Prozess – Bauprozess 153 ff. – Beweissicherung 167 – Gutachtenanforderungen 154 – Leistungsbeschreibung 156 – Sachverhaltsermittlung 153 f. IT-Verträge – Informationspflichten 312 – internationale 310 ff. Jahreschronik 2011 267 ff. Keynote DGRI 1 ff. Klassische/Moderne Projektmethoden 128 f. Kommerzialisierung von Daten 58 ff. Kommunikationsfreiheit – General Data Protection Regulation 354 Korruption – Richtlinie zum öffentlichen Auftragswesen 345 Kreditsicherheit – österreichische Rechtslage 65 – Software 65 ff. Kreditsicherung – Software 103 ff. Kreditsicherungsrechte in Österreich 73 ff. Kundendatenschutz – Datenschutz in der EU 318 Kunstwerk – Industrieprodukt 145 ff. Laienjournalismus im Internet 247 ff. liquid secretary 5 Lizenzen – Instanzen 172 ff. – Insolvenz 295, 297 f.
Lizenzketten – Wegfall eines Verfügenden 298 f. Lizenznehmer als Sicherungsgeber – Österreich 82 ff. Logs 139 Medienöffentlichkeit – Laienjournalismus im Internet 247 ff. – Verfassungsrecht 251 Medienprivileg 27 ff., 353 Meinungsäußerung 8, 30 – Online-Bewertungen 234 f. Meinungsfreiheit – Privatsphäre 16 Michael Bartsch 219 ff. Minderjährigen-Datenschutz – Datenschutz in der EU 318 Mining – Data 186 ff. – Text 194 ff. – Visual Data 198 – Web 192 f. MIPS-Klauseln 177 Mob 8 Moderne/Klassische Projektmethoden 128 f. Modernisierung des Datenschutzes 27 ff. Monopolisierung von Daten 56 ff. Netzneutralität 267 Neue Verfahrenstypen – Richtlinie zum öffentlichen Auftragswesen 329 f. Nichtübertragbarkeit des Urheberrechts – Software als Sicherungsinstrument 117 371
Stichwortverzeichnis
Nießbrauch an Software 104, 112 ff. Nutzungsbefugnis als Pfandrecht – Österreich 84 f. Offenheit – Facebook 14 – Grenzen 6 Öffentlicher Auftrag – Stellungnahme der DGRI 326 Öffentlichkeit – Strafverfahren 252 f. Öffentlichkeitsprinzip – Ausgestaltung 254 ff. – -grundsatz 248 – Hausrecht des Gerichtspräsidenten 257 – sitzungspolizeiliche Anordnung 256 f. OLAP 185 f. Online-Abstimmung 7 Online-Bewertungen 234 Open Data 287 Open Source total 289 Österreich – Verwertung einer Kreditsicherheit 89 ff. Patentrechte zur Kreditsicherung – Österreich 81 Personenbezogene Daten – Stellungnahme der DGRI 315 Personenbezogenheit von Daten 33 ff. Persönlichkeitsrecht – Schmerzensgeldanspruch 17 Pfandhaft – Schweiz 96 Pfandrecht – Österreich 73 ff. 372
Pfandrecht an Patent – Österreich 81 Pfändung von Hardware, die Software beinhaltet – Österreich 87 Pfandverwertungsprobleme – Schweiz 100 ff. Piratenpartei 5 Politik – Transparenz 3 ff. Politik im Wandel – Piraten 9 Politiker – Amtsinhaber 11 Politiker, transparenter 10 Preiskriterium – Richtlinie zum öffentlichen Auftragswesen 341 Privacy by default 28 Privacy by design 23 ff., 30, 45, 50 Privacy Enhancing Technologies 31 Private Governance 309 f. – Beispielklauseln 311 f. Privatsphäre – Meinungsfreiheit 16 Produkt-Owner – SCRUM 123 Programmieren – agile Formen 119 ff. Projektmanagement – Gesellschafterpflicht 130 f. Providerhaftung 233 f. Publizitätsanforderungen bei Verpfändung – Österreich 86 f. Recht auf informationelle Selbstbestimmung – BDSG 21
Stichwortverzeichnis
Rechtsobjekt – Software 65 Rechtssicherheit – private Governance 309 f. Rechtsverpfändung – Österreich 77 ff. Reformplanungen des Insolvenzrechts – Bundesregierung 300 f. Registerliche Eintragung – Schweiz 99 Remotezugriff 175 f. Retentionsrecht – Österreich 88 f. Risikoabsicherung – Softwareprojekt 132 Risikomanagement – Praxishinweise 291 f. Roaming Use-Recht 175 Rote-Linie-Gesetz 17 RUP 149 Sacheigenschaft von individuellen Programmen 69 ff. Sachverständigengutachten – Anforderungen zur Nachprüfbarkeit 166 f. – Bewertungsmethoden 163 – Ergebnisbegründung 162 f. – Quellen von Erfahrungssätzen 164 f. Safe Harbor 243 Schadensersatz – Datenschutz 25, 302 Schlichtungsstelle 271 Schlichtungsverfahren der DGRI 224 Schlüsselwort 197 f. Schmerzensgeldanspruch – Persönlichkeitsrecht 17
Schnittstellen-Source-Code – automatische Generierung 213 ff. Schutz der Offenheit – Schutz vor Offenheit 267 ff. Schutzgut – Datenschutz 25 Schweiz – Übertragbarkeit von Lizenzverträgen 95 f. – Zwangsverwertung bei Pfandrecht 94 Scorewert 62 SCRUM 123 f., 149 f. Sektorenrichtlinie – Stellungnahme der DGRI 327 f. Sensible Daten – Datenschutz in der EU 319 – Finanzamt 292 Sensitivität von Daten 16, 32, 40 f. Serververbund – Virtualisierung 177 f. Sicherheitsvorkehrungen – Richtlinie zum öffentlichen Auftragswesen 339 f. Sicherungsfall – Nutzungsrecht bis dahin 115 – Softwareverwertung 108 – Verwertung der Software 110 f. – Verwertung der Software bei Nießbrauch 112 f. Sicherungsgeberhaftung – Sach-/Rechtsmängel der Software 115 Sicherungsinstrumente im Überblick 104 ff. Sicherungskopie – Österreich 87 – Virtualisierung 174
373
Stichwortverzeichnis
Sicherungsmittel – Softwarenutzungsrechte – Österreich 75 ff. Sicherungsrechte an künftigen Werken – Österreich 80 f. Sicherungsübereignung – Österreich 75 Sicherungsvertrag – Software 114 ff. Sicherungszession – Konzept 105 – Österreich 75 – Übertragbarkeit als Voraussetzung 105 – Zustimmung des Urhebers 106 f. – Zustimmung weiterer Rechteinhaber 107 f. Signatur 319 Signatur Reader 322 Smartphonepfändung – Österreich 87 Social Media – Art. 5 GG 31 – Datenschutz 17 Social Networks – Datenschutz 15 ff., 29, 44 Software als Pfandrecht – Österreich 84 f. Software – Ausführungsstand 158 ff. – Bauprozess 153 ff. – Beobachtungszeit 159 – Fehlerfeststellung 160 f. – Kreditsicherheit 65 ff. – sachenrechtlicher Standpunkt 67 f. – Sicherungsinstrumente 113 f. – Spezifika 147 – technischer Standpunkt 66 f. 374
– Verpfändung der Rechte 65 ff., 73 ff., 108 Softwareentwicklung – allgemein anerkannte Regeln der Technik 156 f. – defacto-Standards 157 – Ertrags- und Risikoverteilung 143 – Gesellschaftsvertrag 129 f. – klassische-moderne Methoden 128 f. – Projektmanagement 138 – Rahmenvertrag 137 – Spezifika 148 ff. – Teilprojektvertrag 137, 140 ff. – Trends 201 ff. – wirtschaftliche Lösungen 142 f. – Zyklen 139 Softwareentwicklungsmethoden – Softwareschutz 201 ff. Softwareentwicklungs-Modelle 149 f. Softwareentwicklungs-Prozesse 146 ff. Softwareentwicklungs-Verträge – Projektmethoden 135 f. Software-Erstellungsverträge – Einteilung 311 Softwarehinterlegung 296 Software-Industrialisierung 150 ff. Softwarekomponenten – wiederverwertbare 202 ff. Softwarelizenz – Österreich 82 ff. Softwareprodukt – Soll-Zustand 156 f. Softwareprojekt siehe auch Softwareentwicklung – Anforderungen 121, 127 – Ansätze agiler Methoden 121 ff.
Stichwortverzeichnis
– dienst- oder werkvertragliche Lösung 132 ff. – Entwicklungsergebnisse 131 – Haftung 132 – partizipative Entwicklung 122 f. – Projektphasen 120 – SCRUM 123 f. – Statistik 121 Softwarequalitätsbestimmung 162 Softwareschutz 201 ff. – Anpassung von Standardsoftware 208 ff. – Anpassungstechniken 209 – automatische Schnittstellengenerierung 215 f. – Konsequenzen 216 f. – Source-Code 201, 206 f. – wiederverwertbare Komponenten 204 f. Softwareüberlassung 224 Softwareübertragbarkeit – Sicherungszession 105 f. Software-Urheberrecht 169 ff. Softwareverwertung im Sicherungsfall 108 Soll-Zustand – Softwareprodukt 156 f. Source-Code – automatische Generierung 213 ff. Sphärentheorie 24 Splitting – Schweiz 99 Standort-Erkennung – Datenschutz 17 Stellungnahme der DGRI – Richtlinie zum öffentlichen Auftragswesen 325 ff. – Datenschutz 313 ff.
– General Data Protection Regulation 352 ff. – VkBkmG-E 321 ff. Stellungnahmen – DGRI 270 f. – Fachausschuss Datenschutz 277 f. Steuerbarkeit einer Verpfändung – Schweiz 98 Systemdatenschutz 23 Taxonomie 293 f. Teilprojektvertrag 140 ff. Text Mining 194 ff. Thumbnails 235 Total Open Source 289 Transparenz – Datenschutz 6 ff., 47 ff. – Politik 3 ff. – Stellungnahme der DGRI 316 Transparenzgebot 7 Transparenzvoraussetzungen 8 Twitter 1 f., 5 Übermittlungspflicht der Jahresabschlüsse 2013 292 ff. Übertragbarkeit von Lizenzverträgen – Schweiz 95 f. Übertragbarkeit von Werknutzungsrechten 77 Urheber kann Erstverkauf seines Werkes verbieten 223 Urheberpersönlichkeitsrecht – Österreich 76 Urheberpersönlichkeit Übertragbarkeit – Schweiz 93 Urheberrecht – Computerprogramm – Österreich 78 f. 375
Stichwortverzeichnis
– Kopie 172 – Österreich 76 – Schweiz 93 ff. Urheberzustimmung – Sicherungszession 106 f.
– wirtschaftliche Motivation 172 V-Modelle 120 Vorratsdatenspeicherung 244 Vorteile – Internet 2 ff.
Verbotsprinzip 36 ff. Vergaberichtlinien – Stellungnahme der DGRI 328 Verpfändung – Nutzungsrechte 79 Verpfändungsklauseln – Schweiz 96 Verpfändungskonzept – Software 108 Verstoß gegen Vergaberecht – Stellungnahme der DGRI 335 Verträge – Virtualisierung 178 f. Verwertung einer Kreditsicherheit – Österreich 89 ff. Virtualisierung 171 ff. – Arbeitsplatz 175 f. – eigene Nutzungsart 174 – hardwarebezogene Lizenzbeschränkung 177 f. – rechtliche Einordnung 172 f. – technisches Phänomen 170 – Vertragsgestaltung 178 f.
Web Mining 192 f. Weitergabeverbote in AGBVerträgen zur Überlassung von Standardsoftware 223 Wertbestimmung des verpfändeten Rechts – Schweiz 97 Wertersatz 236 Widerrufsrecht 236 Window of Opportunity 18
376
YouTube 5, 11 Zentrales TestamentsregisterVerordnungsentwurf 348 ff. Zukunft – Datenschutz 228 f. Zustimmung – Sicherungszession 107 f. Zwangsverwertung – Schweiz 94 Zyklen – Mindestinhalt 139