Auch nach EuGH-Urteil kein Ende der Störerhaftung für Anbieter »offener« WLAN-Netze

copyright-blogIn anderen Ländern ist es völlig normal, dass man sich in ein Cafe oder ein Restaurant setzt und sich – ohne ein Passwort einzugeben – in das dortige WLAN-Netz einklinken kann. Deutschland hinkt diesem Trend jedoch seit Jahren hinterher. Woran liegt das? Weiterlesen

Zu Beseitigungsansprüchen betreffend SonyBMGs Rootkit-Kopierschutzsoftware

Law-BlogInzwischen web-bekannt dürfte SonyBMGs selbst geschaffenes PR-Desaster im Zusammenhang mit der „XCP“ Rootkit-Kopierschutzsoftware des Unternehmens sein. Die funktioniert so, dass ein Nutzer, der eine mit der Software geschützte CD oder CD-ROM auf seinem Rechner nutzt, unbemerkt ein kleines Programm installiert bekommt. Das nistet sich tief im Betriebssystem ein und loggt fleißig mit, was der Nutzer so anstellt. Und wenn die Software meint, das, was da getan wird, sei durch die Lizenzbestimmungen nicht mehr gedeckt, blockiert es kurzerhand die betreffende Handlung.

Das Problem: zum einen wird der Nutzer nicht darüber aufgeklärt, was da passiert, und schon gar nicht gefragt. Vor allem aber kann man sich das eingenistete Programm bestens mit Exploits nutzbar machen; die verborgenen Schnittstellen der eingenisteten Software könnten grundsätzlich für alle möglichen Zwecke missbraucht werden. Möglicherweise kann die Software als Ansatzpunkt für einen Hack in die „infizierte“ Maschine verwendet werden.

Der SPON sieht aus all diesen Gründen das Vorgehen SonyBMGs als strafwürdig unter dem Gesichtspunkt des § 303a StGB an, der Datenveränderung. Das ist sozusagen das elektronische Pendant zur Sachbeschädigung.

StGB § 303a Datenveränderung
(1) Wer rechtswidrig Daten (§ 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

Das klingt vernünftig. § 303a StGB umfasst auch die „Veränderung“ und „Unterdrückung“ von Daten. Dies dürfte bei der ungewollten Installation des Kopierschutzprogramms in Gestalt der umgangenen / veränderten Betriebssystemroutinen ohne weiteres der Fall sein. Auch im Fall von „echten“ Viren oder Trojanern wird ja eine Haftung nach § 303a StGB unter diesem Gesichtspunkt angenommen, vgl. nur Schneider/Günther, Haftung für Computerviren, CR 1997, 389 ff. Ohne den Sachverhalt nun ganz genau untersucht zu haben (und bitte nehmen Sie diesen Disclaimer ernst): nehmen wir es für unsere Zwecke als gegeben an, dass ein Verstoß gegen § 303a StGB vorliegt.

Dann hat der Betroffene aus diesem Umstand abseits des eher drögen Strafrechts auch sehr spannende zivilrechtliche Ansprüche. Er kann Schadenersatz verlangen, § 823 II BGB i.V. mit § 303a StGB, aber auch Unterlassung bzw. Beseitigung, § 1004 BGB.
Weiterlesen

Microsofts Shared Source 2.0

Law-BlogAn der Schnittstelle zwischen IT und Urheberrecht haben sich schon seit vielen Jahren verschiedene Lizenztypen herausgebildet, die allesamt einen mehr oder minder offenen Umgang mit Source-Code fördern wollen. Neben etablierten Klassikern wie der GPL stehen Newcomer wie die CC-Lizenzen, Ableitungen etablierter Lizenztypen, etwa die Lesser GPL und natürlich gibt es auch unzählige Spezial- und Eigenschöpfungen: die Kleinstaaterei macht auch vor der IT nicht halt.

Ein solches Lizenzprogramm betreibt schon seit mehreren Jahren auch Microsoft unter dem Namen Shared Source. Wie auch viele andere Unternehmen und praktisch alle Open-Source-Projekte übertrieb dabei auch Microsoft die Differenzierung der verschiedenen Lizenztypen: bei über zehn verschiedenen Shared-Source Varianten verloren sowohl Kontributoren wie auch Nutzer jeglichen Überblick. Grund genug, das Programm gründlich zu entrümpeln und zu vereinheitlichen.

Herausgekommen sind letztlich drei sehr kurze, einfache und – wie ich meine – durchaus sinnvolle Lizenztypen. Der Text der Lizenzen ist so übersichtlich und handlich, dass ich auch denjenigen, welchen juristische Texte üblicherweise nicht geläufig sind, einen Blick in den „Lizenz-Sourcecode“ empfehlen kann.
Weiterlesen

Rechtliche Ansprüche nach Referer-Spam?

Law-BlogGestern brach eine Refererspam-Welle (Anm: man schreibt das tatsächlich Referer, nicht Referrer, ich habe mich informiert) für dubiose Medikamente, gesteuert von indonesischen und mexikanischen Zombie-Rechnern über das Law-Blog herein. Natürlich haben wir uns gewehrt – mit technischen Mitteln. Die Auswahl, Installation, Konfiguration und das Herstellen der Interoperabilität und Testen der notwendigen Plugins – es sind hiesig vier Stück – hat mich immerhin eine halbe Nacht, Augenringe und eine Beinahe-Herzattacke wegen der zwischenzeitlich nicht erreichbaren WordPress-Installation gekostet. Ich finde das ist ein stolzer Preis.

Der Kampf gegen Kommentar-, Trackback- und nun eben auch Referer-Spam gleicht inzwischen also einem Wettrüsten bis an die Zähne. Da stellt sich für den Juristen natürlich die Frage: kann man den Kampf nur mir technischen Mitteln führen oder gibt es da auch rechtliche Möglichkeiten (wenn auch nur theoretische, ich gebe mich keinen Illusionen über die Ermittelbarkeit der Täter hin)? Wie kann man dem beikommen?

M.E. ist es nicht einfach, am Referer-Spamming „als solchem“ ansetzen. Es ist zunächst nicht verboten, eine fremde Webseite anzusurfen und dort einen Referrer zu hinterlassen. Man kann das auch durch eine Maschine erledigen lassen, nichts anderes machen Feedreader.

Anders mag das aussehen, wenn das Spamming massenhaft geschieht und dabei ernsthaft die Erreichbarkeit einer Seite bzw. das Bandbreitenlimit gefährdet. Zumindest bei einer kommerziellen Seite kommt hier wohl ein Eingriff in das Recht am eingerichteten und ausgeübten Gewerbebetrieb in Betracht; die Seite ist schließlich Produktions- und Werbemittel. Bei privaten Seiten muss man erfinderisch sein, aber vielleicht kann man die Selbstdarstellung auf einer Webseite als Ausprägung des allgemeinen Persönlichkeitsrechts begreifen. Ich halte das für möglich.
Weiterlesen

BGH zu Nutzungsrechten an Software

Law-BlogEine auf den ersten Blick wenig aufregende, im Detail aber höchst spannende und lehrreiche Entscheidung zum IT- und Urheberrecht hat der BGH mit Urteil vom 3.3.2005, AZ I ZR 111/02 gefällt und kürzlich veröffentlicht.

In der Sache geht es – grob vereinfacht – um folgendes:

Die Parteien des Falls streiten um Nutzungsrechte an einer Software für die Modebranche: „Fash 2000“. Diese war ursprünglich von einem Programmierer A erstellt worden, der sie einem Systemhaus überließ, später entwickelten B, C und D die Software für das Systemhaus weiter. Das Systemhaus wurde bald insolvent. Der Insolvenzverwalter wollte die Software gut vermarkten, um daraus Erlöse für die Insolvenzmasse zu erzielen. Er trat daher an einen Investor, die jetzige Klägerin heran. Die kaufte „Fash 2000“ vom Insolvenzverwalter. Später gründeten B und C eine eigene Gesellschaft, die Beklagte, den D stellten sie als Mitarbeiter an.

Die Beklagte (mit den Programmierern, die das Programm weiter entwickelt hatten) wickelte weiterhin Verträge über „Fash 2000“ ab. Die Klägerin verlangte Unterlassung des Vertriebs der Software, Auskunft, Feststellung der Verpflichtung zum Schadenersatz und machte einige weitere Nebenansprüche geltend: sie hätte schließlich die alleinigen Rechte an dem Programm. Die Beklagte trat dem entgegen. Sie führte insbesondere aus, ihr Geschäftsführer B habe seine Zustimmung zum Erwerb dieser Software durch die Klägerin nicht erteilt. Da er aber an der Weiterentwicklung von „Fash 2000“ beteiligt gewesen sei, wäre dies notwendig. Die Klägerin hätte also gar keine Rechte.

Der BGH beschäftigt sich in diesem Zusammenhang vor allem mit drei interessanten Punkten:

1. Er äußert sich zur urheberrechtlichen Schutzfähigkeit von Software. Diese ist – jedenfalls bei einem relativ komplexen, über Jahre hinweg weiterentwickelten Programmen – in der Regel gegeben. Wenn also, und so sieht es das Gericht, eine „tatsächliche Vermutung“ für die hinreichende Individualität der Programmierung und damit Schutzfähigkeit spricht, dann hat dies Einfluss auf die Darlegungs- und Beweislast im IT-Prozess. Es ist dann nämlich Sache desjenigen, der sich auf die mangelnde Schutzfähigkeit der Software beruft, dies darzulegen und zu beweisen. Und das unabhängig davon, ob er nach den „normalen“ Beweislastregeln hierzu verpflichtet wäre. Weiterlesen

Von der unerträglichen Leichtigkeit der Vertragsänderung bei IT-Projekten

Als Anwalt hat man zugegebenermaßen einen verstellen Blick auf IT-Projekte, denn natürlich landen gerade die auf dem Schreibtisch, bei denen irgend etwas schief gegangen ist. Von daher mag der Eindruck trügen, dass alle Projekte problematisch sind. Vielleicht wird sogar eine große Anzahl unspektakulär, still und zur Zufriedenheit aller Beteiligten abgewickelt.

Aber irgendwie bezweifle ich das.

Nun lebe ich natürlich von dem beschriebenen Scheitern, dennoch wundert es mich, dass es immer wieder dieselben Punkte sind, mit denen da mein Lebensunterhalt gesichert wird. Einer der beliebtesten Fehlerquellen ist, dass die Parteien eines IT-Projektes sich streiten, weil sie irgendwann schlicht nicht (mehr) wissen, was sie eigentlich vertraglich vereinbart haben.

Entgegen der landläufigen Meinung ist es nämlich nicht so, dass Verträge ein Stück Papier sind, das (nur) vom Hausjuristen oder Anwalt gut geschrieben sein muss, dann funktioniert das schon. Selten nämlich scheitert ein IT-Projekt an der mangelhaften Abfassung der Salvatorischen Klausel (Sie wissen schon: „Sollten eine oder mehrere Bestimmungen dieses Vertrages nichtig oder undurchführbar sein…“). Meist ist den Partein nach Wochen, Monaten und Jahren gar nicht mehr klar, was in der Sache vereinbart war. Eine Partei ist dann der Ansicht, dass eine bestimmte Arbeit geschuldet war, die andere nicht. Oder einer meint, eine bestimmte Arbeit sei Mängelgewährleistung und müsse umsonst durchgeführt werden, der andere geht von einer Auftragserweiterung aus, die zu bezahlen ist. Irgendwann ist jede Partei der Meinung, von der anderen Seite vorsätzlich geschnitten zu werden, man beginnt, Zahlungen oder Leistungen zurückzuhalten, der Ton wird schärfer, die Kommunikation wird nur noch über Dritte (eben etwa Anwälte) geführt – was die Sache meist erst recht eskaliert. Jeder beruft sich dann auf seine Sicht des Vertrages, jeder fühlt sich im Recht. Aber ist er das auch?
Weiterlesen

„Billiger“ einkaufen dank RFID-Manipulation

Über „interessante“ Möglichkeiten der Manipulation von RFID-Chips berichtet Futurezone. Eine (zumindest bald) gängige Anwendung solcher Chips ist der Ersatz des üblichen Barcode-Etiketts in der Lagerhaltung sowie in Läden und Verkaufseinrichtungen. Die auf dem Chips gespeicherten Informationen können z.B. an einer Warenhauskasse ausgelesen werden, der Kunde zahlt dann den ausgegebenen Preis.

Mit dem Tool RFDump können die Daten solcher RFID-Chips ausgelesen und manipuliert werden. Damit ist es praktisch möglich, etwa den elektronisch gespeicherten Preis einer Ware zu ändern, um weniger zu bezahlen. Das ist in der Sache nichts weiter als das elektronische Pendant zum „beliebten“ Etikettenkleben, bei dem Preisschild bzw. Barcode einer teuere Ware mit dem Schild einer günstigeren Ware überklebt werden. Unnötig zu erwähnen, dass dies einen (zumindest versuchten) Betrug darstellt.

Besonders „schön“ ist, dass es RFDump auch in einer Version für Handhelds und PDAs gibt. Damit kann ggf. besonders elegant (und – anders als beim Etikettenkleben – für den Warenhaus-Detektiv unsichtbar) manipuliert werden. Der Ehrenrettung halber: die Software ist ganz sicher nicht primär für betrügerische Einsätze konzipiert.

Nachtrag (30.7.04): Der Kollege Vetter konzipiert auf seinem Lawblog in seiner Funktion als Strafverteidiger bereits mögliche Verteidigungsstrategien für „Erwischte“.

Herausgabe des Quellcodes?

Der Bundesgerichtshof (BGH) hat mit Urteil vom 16.12.03 entschieden:

Ob der Werkunternehmer, der sich zur Erstellung eines Datenverarbeitungsprogramms verpflichtet hat, dem Besteller auch den Quellcode des Programms überlassen muß, ist mangels einer ausdrücklichen Vereinbarung nach den Umständen des Einzelfalls zu beurteilen. Neben der Höhe des vereinbarten Werklohns kann dabei insbesondere dem Umstand Bedeutung zukommen, ob das Programm zur Vermarktung durch den Besteller erstellt wird und dieser zur Wartung und Fortentwicklung des Programms des Zugriffs auf den Quellcode bedarf (BGH Az. X ZR 129/01, verkündet am 16.12.03).

Das vollständige Urteil ist auch in der Fachzeitschrift Computer & Recht 7/2004, Seite 490 ff abgedruckt.