Rechtsanwalt Christian R. Kast
Aus aktuellem Anlass wird das Programm des 7. OSE Symposions am 27.01.2012 um ein kurzes Update zum Entwurf des § 108a INSO-E ergänzt, wobei wir für den Vortrag
„Neuer Gesetzentwurf zur Insolvenzfestigkeit von Lizenzen – § 108a InsO-E“
Herrn Dr. Horst Meyer (Justiziar und Leiter IP-Abteilung, Infineon Technologies AG, München) gewinnen konnten.
Das aktualisierte Programm finden Sie hier:
Veranstaltungshinweis
7. OSE Symposium zum Thema „ Software Escrow in IT-Projekten: Projektcycle und Recycling“
Veranstalter: Organisation pro Software Escrow e.V., München (OSE)
Ort, Datum: Freitag, 27. Januar 2012 im Haus der bayerischen Wirtschaft, Max-Joseph-Straße 5, D-80333 München
Key Note: Herausforderungen bei IT-Projekten der Öffentlichen Hand, Prof. Dr. Manfred Mayer (Sonderbeauftragter für eGovernment, Messe München International)
Themenblock 1: Die Stunde „649“ – Auswirkungen und Folgen des Projektstopps
Themenblock 2: Bewertung vs Verwertung von Software und Quellcode (Moderation RA Kast)
Themenblock 3: Datenherrschaft und Cloud
Länder-Report: Escrow-Praxis in Portugal und Frankreich, RAin Dr. Astrid Auer-Reinsdorff (Kanzlei Auer, Berlin)
Zusammenfassung und Abschlusspanel: Moderation und Diskussionsleitung, RA Dr. Peter Bräutigam (Noerr LLP, München)
Am 15. November 2011, um 19:00 Uhr findet ein Netzwerktreffen mit Vortrag der DAVIT Gebietsgruppe Südost im Anwaltscontor, Lindwurmstraße 80, 80337 München (der Eingang in die Kanzlei ist Ecke Güllstrasse) statt. Die Veranstaltung richtet sich an alle Mitglieder der DAVIT Gebietsgruppe Südost und befreundete Kollegen und ist als Netzwerktreffen, das durch einen Vortrag eingeleitet wird, geplant.
Details und Anmeldung auch unter:
https://www.xing.com/events/davit-netzwerktreffen-833853
Ich freue mich über Rückmeldungen; Anmeldungen gerne über Xing oder per Mail: kast (at) anwaltscontor.de
Am Donnerstag, 13. Oktober 2011: 9:00 bis 18:00 Uhr findet im Amerikahaus am Karolinenplatz 3 in München der 10. Bayerische IT Rechtstag veranstaltet vom Bayerischen Anwaltverband in Kooperation mit der Arbeitsgemeinschaft Informationstechnologie im Deutschen Anwaltverein und der Universität Passau, Lehrstuhl für Sicherheitsrecht und Internetrecht statt.
Programm:
[1] Neue Entwicklungen im IT-Vertragsrecht
[2] IT-Projekt – § 651 BGB und kein Ende
[3] Mediation/Schlichtung im IT-Projekt
[4] BGH-Vorlagebeschluss – Lizenz bis zur Erschöpfung
[5] Der rechtssichere Webshop
[6] Datenschutz und Social Media
[7] Public Cloud – quo vadis?
[8] E-Mobility auf der Überholspur
[9] IT-Sicherheit und Berufsrecht
[10] Datenschutz 2.0
[11] IT-Compliance
[12] Update on E-Government
[13] Abschlussdiskussion als Podiumsdiskussion
Nähere Information finden Sie in der Anmeldung 10. Bayerischer IT-Rechtstag sowie auf der Webseite der MAV Service GmbH.
1. Münchener Fachanwaltstag IT-Recht (Kooperationsveranstaltung mit der davit Bayern)
Am 14. Oktober 2011, 09:30 Uhr bis 18:30 Uhr (7 Zeitstunden gemäß FAO) findet in der Panorama-Lounge München, Prinzregentenstr. 22, 80538 München, also unmittelbar im Anschluss an den 10. Bayrischen IT-Rechtstag, dessen Besuch wir empfehlen, erstmals der unabhängig organisierte Münchener Fachanwaltstag IT-Recht statt. Wer beide Veranstaltungen besucht, erhält an zwei Tagen geballtes IT-Know-how und hat seine Fortbildungsverpflichtung für das ganze Jahr gem. § 15 FAO erfüllt.
Die Idee zu dem ersten „Münchner Fachanwaltstag IT-Recht“ wurde in einer der vielen Pausen des letzten Fachanwaltslehrgangs in München geboren. Viele der Teilnehmer des Lehrgangs waren schon seit Jahren im IT-Recht tätig. Einige waren bereits anerkannte Spezialisten, die nur den Lehrgang noch nicht hatten. Die vielen Diskussionen unter den Teilnehmern hatten eine tolle besondere Teamstimmung erzeugt. Die Initiatoren wollten die entstandenen Kontakte pflegen, vertiefen und weitere Spezialisten kennenlernen. Es sollte ein Netzwerk von Spezialisten entstehen, die sich gegenseitig ihr Know-how vermitteln, am besten gleich als anerkannte Fortbildung. Das Ergebnis dieser Idee können Sie am 14. Oktober 2011 erleben, mit Unterstützung der davit Bayern. Die erste anerkannte Fortbildung für IT-(Fach)-Anwälte aus dem Fachanwaltslehrgang von Spezialisten für Spezialisten, aus dem Fachanwaltslehrgang für seine Teilnehmer, – aus der Praxis für die Praxis. Veranstalter sind mehrere Teilnehmer des Fachanwaltslehrgangs 11/2010 in München.
Nach der Begrüßung durch Danielle Herberth, Mitveranstalterin des Münchner Fachanwaltstages IT-Recht und Dr. Astrid Auer-Reinsdorff, Vorsitzende der davit schließt sich folgendes Programm an:
Rechtliche Herausforderungen im Social Media Marketing (Dr. Astrid Auer-Reinsdorff, Kanzlei Auer, Berlin); Embedded Systems, die „vergessene Software“: Risiken, Haftungsfragen und Vertragsgestaltung am Beispiel einer Steuersoftware für Industrieanlagen (Christian R. Kast, Kanzlei Anwaltscontor, München); EVB IT in der Praxis (Udo Steger, Kanzlei SKW Schwarz Rechtsanwälte, München); Drama Domainpfändung, eine unendliche Geschichte mit vertieftem Blick in die Providerverträge (Nikolaus Bertermann, Justiziar STRATO AG, Kanzlei SKW Schwarz Rechtsanwälte, Berlin); Controlling von IT-Projekten, Rechtliche Schnittstellen in der Vertragsgestaltung und Projektbegleitung durch den Rechtsanwalt (Dr. Axel Czarnetzki, GÖRG Partnerschaftsgesellschaft von Rechtsanwälten, München); Service Levels im Cloud Computing – Aufbau und Struktur von SLA sowie die Besonderheiten von Cloud Computing-Verträgen (Dr. Christian Weitzel, Kanzlei BMT Büsing, Müffelmann&Theye, München). Der Abend schließt mit einem gemeinsamenAbendessen im Restaurant „Seitz“.
Rechtsanwalt Christian R. Kast ist davit Regionalbeauftragter für die Gebietsgruppe Südost
Die Gebietsgruppe versteht sich als Ansprechpartner für die davit Mitglieder in der Region und solche, die es werden wollen sowie als Anlaufpunkt für Interessenten und Meinungsträger der Region aus Anwaltschaft, Wirtschaft, Politik und Interessenverbänden. Die Veranstaltungen der Gebietsgruppe Südost sind insbesondere eine Plattform für den persönlichen Kontakt der Mitglieder in der Region, den gegenseitigen Erfahrungsaustausch und den Erwerb von Fachwissen – auch in technischen Aspekten. Da traditionell viele der deutschlandweit ausgerichteten Veranstaltungen in den größeren Städten stattfinden, werden die Mitglieder aus den einzelnen Regierungsbezirke aufgerufen, Anregungen für Veranstaltungen ihn ihrer Region an den Gebietsleiter zu senden, um auch verstärkt Veranstaltungen in den Regionen ausrichten zu können.
Veranstaltungshinweis in eigener Sache:
6. OSE Symposion: „Software Escrow vor neuen Herausforderungen: Cloud, Virtualisierung und projektsynchrone Hinterlegung„
am Freitag, 28. Januar 2011 im Haus der bayerischen Wirtschaft, Max-Joseph-Straße 5, D-80333 München
Immer wieder wird diskutiert, ob Software als Sache im Sinne des § 90 BGB zu sehen ist. Besonders interessant ist im Zusammenhang mit dieserFragestellung ist die BGH Entscheidung, Compiler/Interpreter (BGH NJW 1988, 406), in der sich der BGH in seinen Erwägungen, ob Kaufrecht oder ein anderer Vertragstypus anzuwenden ist, mit der Frage auseinandersetzt, ob ein Computerprogramm als Sache zu sehen ist oder nicht: „Voraussetzung für ein Wandelungsrecht der Beklagten wegen Mängel der gelieferten Software ist, dass die unmittelbar nur für den Sachkauf geltenden Vorschriften der §§ 459 ff BGB (a.F.) im Fall der Veräußerung mangelhafter Software anwendbar sind. Das wird deshalb bezweifelt, weil das Computerprogramm, die Software, zwar auf einem körperlichen Träger festgelegt ist, sein eigentlicher wirtschaftlicher Wert sich aber aus den gespeicherten Informationen und Befehlsfolgen ergibt, die als solche eine geistige Leistung oder doch ein informationelles Gut, jedenfalls ein immaterielles Gut darstellen. Fehlfunktionen von Programmen beruhen regelmäßig nicht auf Mängel des Datenträgers sondern auf inhaltlichen Programmmängeln betreffen also insofern den immateriellen Aspekt der Software.“
Trotz dieser recht offen formulierten Abwägung zwischen der Verkörperung der Software und den immateriellen Aspekten weist der BGH die Annahme eines gesetzlich nicht näher geregelten Vertrags eigener Art für die Softwareüberlassung zurück und entscheidet sich für die Sacheigenschaft der Software: „Kaufgegenstand ist hier ein Datenträger mit dem darin verkörperten Programm, insofern also eine körperliche Sache, die – entsprechend dem vertraglich vorausgesetzten Gebrauch – als Instrument zur Datenverarbeitung dienen soll. Ein Fehler des so verkörperten Programms ähnelt dem Konstruktionsfehler eines (massenhaft hergestellten) technischen Werkzeugs eher als dem Mangel einer Erfindung.“
Auch wenn die Einordnung von Software als bewegliche Sache (Hoeren, Softwareüberlassung als Sachkauf, CR 1988, 908ff.) auch in neuerer Zeit immer noch und immer wieder umstritten ist(Plath, Pfandrechte an Software, CR 2006, 218f.; Bräutigam/Rücker, Softwareerstellung und § 651 BGB – Diskussion ohne Ende oder Ende der Diskussion?, CR 2006, 363.), ist doch spätestens durch die Begründungen des BGH im ASP Urteil (BGH CR 2007, 75ff, 76.) als ständige Rechtsprechung anzusehen (Schweinoch, Geänderte Vertragstypen in Softwareprojekten, CR 2010, 1ff.). Aus Sicht des BGH sind Softwareprogramme immer auf einem Datenträger verkörpert, denn die der Steuerung des Computers dienenden Programme müssen, um ihre Funktion erfüllen zu können, d.h. um überhaupt nutzbar zu sein, in verkörperter Form vorhanden sein, sei es auf einem Wechselspeichermedium (z.B. auf Diskette, CD, USB-Stick), oder auf einer Festplatte oder auch nur auf einem flüchtigen (stromabhängigen) Speichermedium. Gegenstand des Softwareüberlassungsvertrages ist somit stets die verkörperte geistige Leistung. Dabei ist es ohne Bedeutung, auf welchem Informationsträger das Computerprogramm verkörpert ist. Entscheidend ist nur, dass es verkörpert und damit nutzbar ist (online Entscheidung; BGH CR 2007, 75ff, 76.).
Auf Basis einer Analyse gemäß des Artikels „IT Grundschutz I“ wird dann die Umsetzung des IT Grundschutzes eingeleitet. Die IT-Grundschutz-Kataloge beschreiben dabei detailliert die notwendigen Standard-Sicherheitsmaßnahmen, die praktisch für jedes IT-System zu beachten sind. Sie umfassen:
Die IT-Sicherheitsaspekte eines IT-Verbunds werden wie folgt den einzelnen Schichten zugeordnet:
Bei der Durchführung der Analyse werden zunächst die folgenden übergreifenden Problemstellungen analysiert:
Danach untergeordnet werden die technischen Bereiche
analysiert und bewertet.
Dementsprechend werden dann für diese Bereiche die einzelnen Bedrohungen auf Grundlager so genannter Gefährdungskataloge analysiert:
Ist die Analyse der Bedrohungen abgeschlossen, wird dann anhand der Maßnahmenkataloge die Lösung gefundener Probleme vorgenommen:
Bei der Umsetzung der Maßnahmen sind im Vorfeld die Rollen der einzelnen Beteiligten zu definieren.
Diese Hinweise entstammen den Hinweisen zum IT Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik und stellt einen anerkannten Leitfaden für den Schutz informationstechnischer Datenverarbeitungssysteme dar.
Die Schäden durch IT-Fehlfunktionen können verschiedenen Kategorien zugeordnet werden. Am auffälligsten ist der Verlust der Verfügbarkeit: Läuft ein IT-System nicht, können keine Geldtransaktionen durchgeführt werden, Online-Bestellungen sind unmöglich, Produktionsprozesse stehen still. Häufig diskutiert ist auch der Verlust der Vertraulichkeit von Daten: Jeder Bürger weiß um die Notwendigkeit, seine personenbezogenen Daten vertraulich zu halten, jedes Unternehmen weiß, dass firmeninterne Daten über Umsatz, Marketing, Forschung und Entwicklung die Konkurrenz interessieren. Aber auch der Verlust der Integrität (Korrektheit von Daten) kann schwerwiegende Folgen haben: gefälschte oder verfälschte Daten führen zu Fehlbuchungen, Produktionsprozesse stoppen wegen fehlerhafter Lieferungen, falsche Entwicklungs- und Planungsdaten führen zu fehlerhaften Produkten. Seit einigen Jahren gewinnt auch der Verlust der Authentizität als ein Teilbereich der Integrität an Bedeutung: Daten werden einer falschen Person zugeordnet. Beispielsweise können Zahlungsanweisungen oder Bestellungen zu Lasten einer dritten Person verarbeitet werden, ungesicherte digitale Willenserklärungen können falschen Personen zugerechnet werden, die „digitale Identität“ wird gefälscht.
Dabei wird diese Abhängigkeit von der Informationstechnik in Zukunft noch weiter zunehmen. Besonders erwähnenswert sind dabei folgende Entwicklungen:
Steigender Vernetzungsgrad:
IT-Systeme arbeiten heutzutage nicht mehr isoliert voneinander, sondern werden immer stärker vernetzt. Die Vernetzung ermöglicht es, auf gemeinsame Datenbestände zuzugreifen und intensive Formen der Kooperation über geographische Grenzen hinweg zu nutzen. Damit entsteht nicht nur eine Abhängigkeit von den einzelnen IT-Systemen, sondern in starkem Maße auch von den Datennetzen. Sicherheitsmängel eines IT-Systems können aber dadurch schnell globale Auswirkungen haben.
IT-Verbreitung und Durchdringung:
Immer mehr Bereiche werden durch Informationstechnik unterstützt, häufig, ohne dass dies auffällt. Die erforderliche Hardware wird zunehmend kleiner und günstiger, so dass kleine und kleinste IT-Einheiten in alle Bereiche des Alltags integriert werden können. So gibt es beispielsweise Jacken mit integrierten PDAs, RFIDs zur Steuerung von Besucher- oder Warenströmen, IT-gestützte Sensorik in Autos, um automatisch auf veränderte Umgebungsverhältnisse reagieren zu können. Die Kommunikation der verschiedenen IT-Komponenten untereinander findet dabei zunehmend drahtlos statt.
Verschwinden der Netzgrenzen:
Bis vor kurzem ließen sich IT-Anwendungen ganz klar auf die IT-Systeme und die Kommunikationsstrecken dazwischen begrenzen. Ebenso ließ sich sagen, an welchen Standorten und bei welcher Institution diese angesiedelt waren. Durch Globalisierung und die Zunahme von drahtloser und spontaner Kommunikation verschwinden diese Grenzen zunehmend.
Angriffe kommen schneller:
Die beste Vorbeugung gegen Computer-Viren, Würmer oder andere Angriffe auf IT-Systeme ist die frühzeitige Information über Sicherheitslücken und deren Beseitigung, z. B. durch Einspielen von Patches und Updates. Mittlerweile sinkt allerdings die Zeitspanne zwischen dem Bekanntwerden einer Sicherheitslücke und den ersten gezielten Massenangriffen darauf, so dass es immer wichtiger wird, ein gut aufgestelltes IT-Sicherheitsmanagement und Warnsystem zu haben.
Angesichts der vorgestellten Gefährdungspotentiale und der steigenden Abhängigkeit stellen sich damit für jede Institution, sei es ein Unternehmen oder eine Behörde, bezüglich IT-Sicherheit mehrere zentrale Fragen:
Bei der Suche nach Antworten auf diese Fragen ist zu beachten, dass IT-Sicherheit nicht alleine eine technische Fragestellung ist. Um ein ausreichend sicheres IT-System betreiben zu können, sind neben den technischen auch organisatorische, personelle und baulich-infrastrukturelle Maßnahmen zu realisieren und insbesondere ist ein IT-Sicherheitsmanagement einzuführen, das die Aufgaben zur IT-Sicherheit konzipiert, koordiniert und überwacht.
Vergleicht man jetzt die IT-Systeme aller Institutionen im Hinblick auf obige Fragen, so kristallisiert sich eine besondere Gruppe von IT-Systemen heraus. Die IT-Systeme in dieser Gruppe lassen sich wie folgt charakterisieren:
Gelingt es, für diese Gruppe der „typischen“ IT-Systeme den gemeinsamen Nenner aller Sicherheitsmaßnahmen, die Standard-Sicherheitsmaßnahmen, zu beschreiben, so würde dies die Beantwortung obiger Fragen für diese „typischen“ IT-Systeme erheblich erleichtern. IT-Systeme, die außerhalb dieser Gruppe liegen, seien es seltenere Individualsysteme oder IT-Systeme mit sehr hohem Schutzbedarf, können sich dann zwar an den Standard-Sicherheitsmaßnahmen orientieren, bedürfen letztlich aber einer individuellen Betrachtung.
