Inzwischen web-bekannt dürfte SonyBMGs selbst geschaffenes PR-Desaster im Zusammenhang mit der „XCP“ Rootkit-Kopierschutzsoftware des Unternehmens sein. Die funktioniert so, dass ein Nutzer, der eine mit der Software geschützte CD oder CD-ROM auf seinem Rechner nutzt, unbemerkt ein kleines Programm installiert bekommt. Das nistet sich tief im Betriebssystem ein und loggt fleißig mit, was der Nutzer so anstellt. Und wenn die Software meint, das, was da getan wird, sei durch die Lizenzbestimmungen nicht mehr gedeckt, blockiert es kurzerhand die betreffende Handlung.

Das Problem: zum einen wird der Nutzer nicht darüber aufgeklärt, was da passiert, und schon gar nicht gefragt. Vor allem aber kann man sich das eingenistete Programm bestens mit Exploits nutzbar machen; die verborgenen Schnittstellen der eingenisteten Software könnten grundsätzlich für alle möglichen Zwecke missbraucht werden. Möglicherweise kann die Software als Ansatzpunkt für einen Hack in die “infizierte” Maschine verwendet werden.

Der SPON sieht aus all diesen Gründen das Vorgehen SonyBMGs als strafwürdig unter dem Gesichtspunkt des § 303a StGB an, der Datenveränderung. Das ist sozusagen das elektronische Pendant zur Sachbeschädigung.

StGB § 303a Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Das klingt vernünftig. § 303a StGB umfasst auch die „Veränderung“ und „Unterdrückung“ von Daten. Dies dürfte bei der ungewollten Installation des Kopierschutzprogramms in Gestalt der umgangenen / veränderten Betriebssystemroutinen ohne weiteres der Fall sein. Auch im Fall von „echten“ Viren oder Trojanern wird ja eine Haftung nach § 303a StGB unter diesem Gesichtspunkt angenommen, vgl. nur Schneider/Günther, Haftung für Computerviren, CR 1997, 389 ff. Ohne den Sachverhalt nun ganz genau untersucht zu haben (und bitte nehmen Sie diesen Disclaimer ernst): nehmen wir es für unsere Zwecke als gegeben an, dass ein Verstoß gegen § 303a StGB vorliegt.

Dann hat der Betroffene aus diesem Umstand abseits des eher drögen Strafrechts auch sehr spannende zivilrechtliche Ansprüche. Er kann Schadenersatz verlangen, § 823 II BGB i.V. mit § 303a StGB, aber auch Unterlassung bzw. Beseitigung, § 1004 BGB.
[Weiterlesen »]

Tags: Kopierschutz, Rootkit

An der Schnittstelle zwischen IT und Urheberrecht haben sich schon seit vielen Jahren verschiedene Lizenztypen herausgebildet, die allesamt einen mehr oder minder offenen Umgang mit Source-Code fördern wollen. Neben etablierten Klassikern wie der GPL stehen Newcomer wie die CC-Lizenzen, Ableitungen etablierter Lizenztypen, etwa die Lesser GPL und natürlich gibt es auch unzählige Spezial- und Eigenschöpfungen: die Kleinstaaterei macht auch vor der IT nicht halt.

Ein solches Lizenzprogramm betreibt schon seit mehreren Jahren auch Microsoft unter dem Namen Shared Source. Wie auch viele andere Unternehmen und praktisch alle Open-Source-Projekte übertrieb dabei auch Microsoft die Differenzierung der verschiedenen Lizenztypen: bei über zehn verschiedenen Shared-Source Varianten verloren sowohl Kontributoren wie auch Nutzer jeglichen Überblick. Grund genug, das Programm gründlich zu entrümpeln und zu vereinheitlichen.

Herausgekommen sind letztlich drei sehr kurze, einfache und – wie ich meine – durchaus sinnvolle Lizenztypen. Der Text der Lizenzen ist so übersichtlich und handlich, dass ich auch denjenigen, welchen juristische Texte üblicherweise nicht geläufig sind, einen Blick in den „Lizenz-Sourcecode“ empfehlen kann.
[Weiterlesen »]

Tags: GPL, Lizenz, Microsoft, Open Source

Gestern brach eine Refererspam-Welle (Anm: man schreibt das tatsächlich Referer, nicht Referrer, ich habe mich informiert) für dubiose Medikamente, gesteuert von indonesischen und mexikanischen Zombie-Rechnern über das Law-Blog herein. Natürlich haben wir uns gewehrt - mit technischen Mitteln. Die Auswahl, Installation, Konfiguration und das Herstellen der Interoperabilität und Testen der notwendigen Plugins - es sind hiesig vier Stück - hat mich immerhin eine halbe Nacht, Augenringe und eine Beinahe-Herzattacke wegen der zwischenzeitlich nicht erreichbaren Wordpress-Installation gekostet. Ich finde das ist ein stolzer Preis.

Der Kampf gegen Kommentar-, Trackback- und nun eben auch Referer-Spam gleicht inzwischen also einem Wettrüsten bis an die Zähne. Da stellt sich für den Juristen natürlich die Frage: kann man den Kampf nur mir technischen Mitteln führen oder gibt es da auch rechtliche Möglichkeiten (wenn auch nur theoretische, ich gebe mich keinen Illusionen über die Ermittelbarkeit der Täter hin)? Wie kann man dem beikommen?

M.E. ist es nicht einfach, am Referer-Spamming „als solchem“ ansetzen. Es ist zunächst nicht verboten, eine fremde Webseite anzusurfen und dort einen Referrer zu hinterlassen. Man kann das auch durch eine Maschine erledigen lassen, nichts anderes machen Feedreader.

Anders mag das aussehen, wenn das Spamming massenhaft geschieht und dabei ernsthaft die Erreichbarkeit einer Seite bzw. das Bandbreitenlimit gefährdet. Zumindest bei einer kommerziellen Seite kommt hier wohl ein Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb in Betracht; die Seite ist schließlich Produktions- und Werbemittel. Bei privaten Seiten muss man erfinderisch sein, aber vielleicht kann man die Selbstdarstellung auf einer Webseite als Ausprägung des allgemeinen Persönlichkeitsrechts begreifen. Ich halte das für möglich.
[Weiterlesen »]

Tags: Spam

Eine auf den ersten Blick wenig aufregende, im Detail aber höchst spannende und lehrreiche Entscheidung zum IT- und Urheberrecht hat der BGH mit Urteil vom 3.3.2005, AZ I ZR 111/02 gefällt und kürzlich veröffentlicht.

In der Sache geht es – grob vereinfacht – um folgendes:

Die Parteien des Falls streiten um Nutzungsrechte an einer Software für die Modebranche: „Fash 2000“. Diese war ursprünglich von einem Programmierer A erstellt worden, der sie einem Systemhaus überließ, später entwickelten B, C und D die Software für das Systemhaus weiter. Das Systemhaus wurde bald insolvent. Der Insolvenzverwalter wollte die Software gut vermarkten, um daraus Erlöse für die Insolvenzmasse zu erzielen. Er trat daher an einen Investor, die jetzige Klägerin heran. Die kaufte „Fash 2000“ vom Insolvenzverwalter. Später gründeten B und C eine eigene Gesellschaft, die Beklagte, den D stellten sie als Mitarbeiter an.

Die Beklagte (mit den Programmierern, die das Programm weiter entwickelt hatten) wickelte weiterhin Verträge über „Fash 2000“ ab. Die Klägerin verlangte Unterlassung des Vertriebs der Software, Auskunft, Feststellung der Verpflichtung zum Schadenersatz und machte einige weitere Nebenansprüche geltend: sie hätte schließlich die alleinigen Rechte an dem Programm. Die Beklagte trat dem entgegen. Sie führte insbesondere aus, ihr Geschäftsführer B habe seine Zustimmung zum Erwerb dieser Software durch die Klägerin nicht erteilt. Da er aber an der Weiterentwicklung von „Fash 2000“ beteiligt gewesen sei, wäre dies notwendig. Die Klägerin hätte also gar keine Rechte.

Der BGH beschäftigt sich in diesem Zusammenhang vor allem mit drei interessanten Punkten:

1. Er äußert sich zur urheberrechtlichen Schutzfähigkeit von Software. Diese ist – jedenfalls bei einem relativ komplexen, über Jahre hinweg weiterentwickelten Programmen – in der Regel gegeben. Wenn also, und so sieht es das Gericht, eine „tatsächliche Vermutung“ für die hinreichende Individualität der Programmierung und damit Schutzfähigkeit spricht, dann hat dies Einfluss auf die Darlegungs- und Beweislast im IT-Prozess. Es ist dann nämlich Sache desjenigen, der sich auf die mangelnde Schutzfähigkeit der Software beruft, dies darzulegen und zu beweisen. Und das unabhängig davon, ob er nach den „normalen“ Beweislastregeln hierzu verpflichtet wäre. [Weiterlesen »]

Tags: Lizenz, Software

Als Anwalt hat man zugegebenermaßen einen verstellen Blick auf IT-Projekte, denn natürlich landen gerade die auf dem Schreibtisch, bei denen irgend etwas schief gegangen ist. Von daher mag der Eindruck trügen, dass alle Projekte problematisch sind. Vielleicht wird sogar eine große Anzahl unspektakulär, still und zur Zufriedenheit aller Beteiligten abgewickelt.

Aber irgendwie bezweifle ich das.

Nun lebe ich natürlich von dem beschriebenen Scheitern, dennoch wundert es mich, dass es immer wieder dieselben Punkte sind, mit denen da mein Lebensunterhalt gesichert wird. Einer der beliebtesten Fehlerquellen ist, dass die Parteien eines IT-Projektes sich streiten, weil sie irgendwann schlicht nicht (mehr) wissen, was sie eigentlich vertraglich vereinbart haben.

Entgegen der landläufigen Meinung ist es nämlich nicht so, dass Verträge ein Stück Papier sind, das (nur) vom Hausjuristen oder Anwalt gut geschrieben sein muss, dann funktioniert das schon. Selten nämlich scheitert ein IT-Projekt an der mangelhaften Abfassung der Salvatorischen Klausel (Sie wissen schon: „Sollten eine oder mehrere Bestimmungen dieses Vertrages nichtig oder undurchführbar sein…“). Meist ist den Partein nach Wochen, Monaten und Jahren gar nicht mehr klar, was in der Sache vereinbart war. Eine Partei ist dann der Ansicht, dass eine bestimmte Arbeit geschuldet war, die andere nicht. Oder einer meint, eine bestimmte Arbeit sei Mängelgewährleistung und müsse umsonst durchgeführt werden, der andere geht von einer Auftragserweiterung aus, die zu bezahlen ist. Irgendwann ist jede Partei der Meinung, von der anderen Seite vorsätzlich geschnitten zu werden, man beginnt, Zahlungen oder Leistungen zurückzuhalten, der Ton wird schärfer, die Kommunikation wird nur noch über Dritte (eben etwa Anwälte) geführt – was die Sache meist erst recht eskaliert. Jeder beruft sich dann auf seine Sicht des Vertrages, jeder fühlt sich im Recht. Aber ist er das auch?
[Weiterlesen »]

Tags: Projektvertrag, Software

Über „interessante“ Möglichkeiten der Manipulation von RFID-Chips berichtet Futurezone. Eine (zumindest bald) gängige Anwendung solcher Chips ist der Ersatz des üblichen Barcode-Etiketts in der Lagerhaltung sowie in Läden und Verkaufseinrichtungen. Die auf dem Chips gespeicherten Informationen können z.B. an einer Warenhauskasse ausgelesen werden, der Kunde zahlt dann den ausgegebenen Preis.

Mit dem Tool RFDump können die Daten solcher RFID-Chips ausgelesen und manipuliert werden. Damit ist es praktisch möglich, etwa den elektronisch gespeicherten Preis einer Ware zu ändern, um weniger zu bezahlen. Das ist in der Sache nichts weiter als das elektronische Pendant zum „beliebten“ Etikettenkleben, bei dem Preisschild bzw. Barcode einer teuere Ware mit dem Schild einer günstigeren Ware überklebt werden. Unnötig zu erwähnen, dass dies einen (zumindest versuchten) Betrug darstellt.

Besonders „schön“ ist, dass es RFDump auch in einer Version für Handhelds und PDAs gibt. Damit kann ggf. besonders elegant (und – anders als beim Etikettenkleben – für den Warenhaus-Detektiv unsichtbar) manipuliert werden. Der Ehrenrettung halber: die Software ist ganz sicher nicht primär für betrügerische Einsätze konzipiert.

Nachtrag (30.7.04): Der Kollege Vetter konzipiert auf seinem Lawblog in seiner Funktion als Strafverteidiger bereits mögliche Verteidigungsstrategien für “Erwischte”.

Tags: RFID

Der Bundesgerichtshof (BGH) hat mit Urteil vom 16.12.03 entschieden:

Ob der Werkunternehmer, der sich zur Erstellung eines Datenverarbeitungsprogramms verpflichtet hat, dem Besteller auch den Quellcode des Programms überlassen muß, ist mangels einer ausdrücklichen Vereinbarung nach den Umständen des Einzelfalls zu beurteilen. Neben der Höhe des vereinbarten Werklohns kann dabei insbesondere dem Umstand Bedeutung zukommen, ob das Programm zur Vermarktung durch den Besteller erstellt wird und dieser zur Wartung und Fortentwicklung des Programms des Zugriffs auf den Quellcode bedarf (BGH Az. X ZR 129/01, verkündet am 16.12.03).

Das vollständige Urteil ist auch in der Fachzeitschrift Computer & Recht 7/2004, Seite 490 ff abgedruckt.

Tags: Quellcode, Werkvertrag

Eine ganz besondere - vor allem besonders eigennützige - Freude ist es uns zu verkünden, dass heute die ersten Autorenexemplare des Buches “M-Business - Vertragsgestaltung, Datenschutz, geistiges Eigentum, Steuern” auf unseren Schreibtischen gelandet sind. Man kann das Werk offenbar bereits kaufen. Das Cover darf man ja bereits sein einiger Zeit in der Seitenleiste dieses Blogs bewundern.

Das Buch beleuchtet vielfältige Aspekte des Rechts der - am Titel lässt es sich durchaus erahnen – Geschäftsvorgänge unter Verwendung mobiler Endgeräte. Es ist darauf angelegt, auch Nichtjuristen einen verständlichen und hilfreichen Leitfaden für die auftretenden Rechtsfragen an die Hand zu geben. Als besonderer Mehrwert sind vielfältige Praxistipps und auch Vertragsmuster enthalten.

Am Werk haben mit Moritz Pohle und Arne Trautmann zwei Autoren des Law-Blog mitgewirkt.

Tags: M-Business

Der BGH hat sich in seinem Urteil vom 16.12.2003, AZ X ZR 129/01 mit der Frage beschäftigt, wann den Unternehmer im Rahmen eines Werkvertrages, der die Herstellung einer Individualsoftware betrifft, eine Pflicht zur Lieferung auch des Quellcodes des erstellten Programms trifft. Die Frage ist von ausgesprochener wirtschaftlicher Relevanz, da nur der Quellcode „menschen-lesbar“ ist und er es erst ermöglicht, ohne größeren Aufwand Änderungen und Ergänzungen am Programm vorzunehmen.

In seinem Urteil lässt der BGH keine grundlegend neue Konzeption in der Frage erkennen, bestätigt aber deutlich die bereits bekannten Grundsätze. Danach ist der Quellcode vom Unternehmer nur dann geschuldet, wenn dies zwischen den Parteien ausdrücklich vereinbart ist oder sich aus dem Umständen ergibt.

Hinsichtlich der Frage, wann solche Umstände angenommen werden können, führt der BGH in Übereinstimmung mit der bisherigen Rechtsprechung auch der meisten OLGs vor allem drei Kriterien an:
[Weiterlesen »]

Tags: Individualsoftware, Know-how, Quellcode, Software, Werkvertrag

Jedem, der über eine E-Mail-Adresse verfügt, ist das Problem der Zusendung unerwünschter Reklame bekannt. Zur Abwehr der unerwünschten Werbung gibt es zahlreiche technische Möglichkeiten.

Seit Anfang dieser Woche gibt es nun auch eine effektive Möglichkeit, sich mit geringen Kosten rechtlich gegen Spam-Mails zur Wehr zu setzen. Unter www.legalspamguard.de kann für eine geringe Monatsgebühr Hilfe in Anspruch genommen werden. Die Anwälte versuchen dann, den Absender der Spam-Mail – auch im Ausland – zu recherchieren und mahnen diesen gegebenenfalls kostenpflichtig ab.

Tags: Spam