Rechte und Pflichten bei Schwachstellen und Sicherheitslücken in Software |
Ramon Steenbergen
In der letzten Zeit beherrschen sie die Nachrichten regelmäßig: Sicherheitslücken in Software mit potenziell katastrophalen Folgen. Vor kurzem beispielsweise die „log4j“-Sicherheitsprobleme, die bei vielen Parteien zu Sorgenfalten führten. Einige sahen sich sogar gezwungen, ihre Systeme präventiv abzuschalten. Neben praktischen und finanziellen Aspekten spielen bei solchen Sicherheitslücken im Bereich IT auch verschiedene rechtliche Aspekte eine Rolle. Welche Rechte und Pflichten haben Sie bei der Verwendung von Software, die weiterhin Sicherheitslücken aufweist?
Obwohl sich die erste Reaktion im Falle einer Sicherheitslücke oft auf zu ergreifende praktische Maßnahmen (zur Erkennung und Minimierung von Risiken) bezieht, ist es wichtig, auch die verschiedenen rechtlichen Verpflichtungen und möglicherweise die zu empfehlenden Schritte nicht aus dem Auge zu verlieren.
Angemessene Sicherheitsvorkehrungen und mögliche Datenpannen
In diesem Zusammenhang ergeben sich wichtige Verpflichtungen aus den anwendbaren Datenschutzgesetzen, insbesondere der niederländischen Datenschutz-Grundverordnung, der „Algemene Verordening persoonsgegevens“, kurz: AVG. Beispielsweise Verpflichtungen in Bezug auf Sicherheitsvorkehrungen und den Umgang mit Datenpannen. Diese Verpflichtungen gelten sowohl für IT-Lieferanten als auch Abnehmer.
Die AVG bestimmt, dass Parteien „angemessene Sicherheitsvorkehrungen“ zum Schutz personenbezogener Daten ergreifen müssen. „Personenbezogene Daten“ sind kurz gesagt alle Informationen, die direkt oder indirekt auf eine natürliche Person zurückzuführen sind. Große IT-Datenpannen umfassen nahezu immer personenbezogene Daten. Bei der Beurteilung, was „angemessen“ ist, müssen „der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ berücksichtigt werden. Sobald sich eine IT-Schwachstelle oder -lücke abzeichnet, wird diese Verpflichtung nicht mehr erfüllt, wenn keine Vorkehrungen getroffen werden, um die Schwachstelle oder Sicherheitslücke schnellstmöglich zu beseitigen oder zu schließen. Denn unter anderem der Stand der Technik und die Risiken für die (Datenschutz-)Rechte und Freiheiten natürlicher Personen bringen ab dem Moment mit sich, dass die zuvor ergriffenen Sicherheitsvorkehrungen nicht länger „angemessen“ sind. Damit werden die Sicherheitspflichten nicht länger erfüllt. In dem Fall ist es auch wichtig, die Risiken zu erkennen und (die vorgenannten Faktoren berücksichtigend) zusätzliche angemessene Sicherheitsvorkehrungen zu treffen, um die personenbezogenen Daten zu schützen. Sind Sie Abnehmer von „Software as a Service“ (SaaS) von einem IT-Lieferanten, ist eine Abstimmung mit diesem Anbieter oft erforderlich.
Sollte die Schwachstelle oder Sicherheitslücke zu einer „Verletzung des Schutzes personenbezogener Daten“ (oft „Datenpanne“ genannt) führen, gelten für Verantwortliche (Parteien, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, oft (jedenfalls) der Abnehmer von Software) zusätzliche Verpflichtungen. Eine „Datenpanne“ liegt bei einer Verletzung des Schutzes personenbezogener Daten vor, die „unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Eine „Datenpanne“ muss der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens (kurz: AP) binnen 72 Stunden gemeldet werden, nachdem ein Verantwortlicher sie erkannt hat, es sei denn, dass unwahrscheinlich ist, dass die „Datenpanne“ ein Risiko für die (Datenschutz-)Rechte und Freiheiten natürlicher Personen bedeutet. Erfolgt die Meldung erst später, muss die Verzögerung begründet werden. Die Meldung kann über die Webseite der AP erfolgen. Hat die „Datenpanne“ voraussichtlich ein hohes Risiko für die (Datenschutz-)Rechte und Freiheiten natürlicher Personen zur Folge, muss den betroffenen Personen (denjenigen, auf die sich die personenbezogenen Daten beziehen) die Verletzung unverzüglich gemeldet werden. Dass eine Partei eine Datenschutzverletzung erkannt hat, wird vermutet, wenn sie hinreichende Gewissheit hat, dass ein Sicherheitsvorfall zu einer Verletzung des Schutzes personenbezogener Daten geführt hat. Auch wenn eine Datenpanne noch nicht mit Sicherheit feststeht, kann eine entsprechende Meldung notwendig sein.
Alle Verletzungen des Schutzes personenbezogener Daten müssen in einem Verzeichnis geführt werden. Ungeachtet dessen, ob diese Verletzungen gemeldet wurden oder hätten werden müssen oder nicht. Das Verzeichnis muss der AP ermöglichen, die Einhaltung der Vorschriften für Meldungen von Datenpannen zu kontrollieren.
Spezifischere Gesetze können in anderen Fällen natürlich zusätzliche Verpflichtungen auferlegen. So ergibt sich aus dem Gesetz zur Sicherheit von Netzwerk- und Informationssystemen („Wet Beveiliging Netwerk- en Informatiesystemen“, kurz: Wbni, auch Cybersecuritygesetz genannt) eine Sorgfalts- und Meldepflicht für Anbieter bestimmter systemrelevanter Dienstleistungen (beispielsweise Banken und Energieversorger) und Anbieter bestimmter digitaler Dienstleistungen (wie bestimmte Cloud-Anbieter). In dem Rahmen ist es wichtig im Einzelfall zu beurteilen, welche Verpflichtungen aus spezifischen Gesetzen (zusätzlich) gelten.
Vertragsverletzung
Auch auf vertraglicher Ebene können relevante Verpflichtungen gelten. Es hängt jedoch von den Vereinbarungen ab, welche Verpflichtungen gelten. IT-Verträge enthalten oft eine Verpflichtung des IT-Lieferanten, sein Produkt oder seine Dienstleistung zu sichern, auf Sicherheitslücken adäquat zu reagieren und dem Abnehmer diese zu melden. Der Abnehmer kann von dem IT-Lieferanten verlangen, dass er die vereinbarten Verpflichtungen einhält (wie umgekehrt auch). Unterlässt der IT-Lieferant dies, kann der Abnehmer unter anderem die Erfüllung verlangen und – nötigenfalls nach Inverzugsetzung – den Ersatz eventuell entstandener Kosten und anderer ihm entstandener Schäden geltend machen. Dies gilt grundsätzlich zusätzlich zu den obigen Ausführungen in Bezug auf die AVG-Vorschriften.
Wenn Verträge keine Vereinbarungen zu den Verpflichtungen der Parteien in solchen Fällen enthalten, ist grundsätzlich unsicher, welche Ansprüche gegen IT-Lieferanten geltend gemacht werden können. (Anderes gilt bei Verbraucherverträgen, da das Verbraucherrecht einige unabdingbare Verbraucherschutzbestimmungen enthält.) Gängige Verträge mit IT-Lieferanten sind oft (zumindest teilweise) als Auftragsvereinbarungen zu qualifizieren. Laut Gesetz muss der IT-Lieferant als Auftragnehmer dann die „Sorgfaltspflicht eines ordnungsgemäßen Auftragnehmers“ beachten. Diese Norm wird in Verträgen oft näher definiert, aber auch wenn dem nicht so ist, gilt diese - sich aus dem Gesetz ergebende - Norm. Diese Norm ist gesetzlich nicht definiert; ob ein IT-Lieferant diese Sorgfaltspflicht erfüllt hat, muss anhand der Fallumstände beurteilt werden. Allerdings gilt, dass es sich oft um eine erschwerte Sorgfaltspflicht handelt, da bei dem IT-Lieferanten meist vermutet wird, dass es sich um die sachkundigere Partei handelt. In dem Zusammenhang darf von ihm im Allgemeinen eine proaktive Haltung bei unerwarteten IT-Problemen angenommen werden. Aus der Rechtsprechung folgt, dass darauf abzustellen ist, was ein angemessen handelnder und angemessen kompetenter Fachmann mit denselben Kenntnissen und Erfahrungen unter denselben Umständen getan hätte. Reagiert ein IT-Lieferant nach Ansicht des Abnehmers bei einer Schwachstelle oder Sicherheitslücke nicht ausreichend adäquat, und möchte der Abnehmer aufgrund dessen Durchsetzungsmaßnahmen ergreifen, dann muss der Abnehmer – im Falle eines Rechtsstreits – nachweisen, dass der IT-Lieferant nicht als angemessen handelnder und angemessen kompetenter Fachmann gehandelt hat. Gelingt ihm dies, kann er grundsätzlich Schadensersatz geltend machen, der ihn in die gleiche finanzielle Lage versetzt, als hätte der IT-Lieferant sehr wohl als angemessen handelnder und angemessen kompetenter Fachmann gehandelt. Auch wenn die Verträge keine oder nur wenige Vereinbarungen zu den Verpflichtungen des IT-Lieferanten enthalten, kann aus diesem Grund gegen IT-Lieferanten vorgegangen werden, die die auf sie zutreffenden Erwartungen nicht erfüllen.
Selbstverständlich lassen sich viel Mühe, Unsicherheit und unnötige Kosten vermeiden, wenn die Verpflichtungen der Parteien klar vertraglich festgelegt werden. Welche „Service Levels“ kann der Abnehmer beanspruchen? Was versteht sich darunter – und welches Recht hat der Abnehmer, wenn dies nicht erfüllt wird? Vollständige und eindeutige Verträge sind im Interesse beider Parteien.
Unerlaubte Handlung
Unter Umständen ist es auch möglich, „außervertraglich“ rechtliche Schritte zu ergreifen (aufgrund der sogenannten „unerlaubten Handlung“). In dem Zusammenhang sind einige Szenarien denkbar. Voraussetzung dafür ist, dass ein Schaden durch eine schuldhafte Handlung oder Unterlassung der anderen Partei verursacht wurde, die rechtswidrig ist. Das ist grundsätzlich bei einem „Eingriff in ein Recht und ein Tun oder Unterlassen, das gesetzlichen Pflichten oder Verhaltensregeln des gesellschaftlichen Verkehrs aufgrund ungeschriebenen Rechts widerspricht,“ der Fall. Die Rechtswidrigkeit muss eine sich von einer Vertragsverletzung unterscheidende Grundlage haben. Mit anderen Worten: Auch wenn man sich den Vertrag wegdenkt, muss das Handeln oder Unterlassen noch als rechtswidrig zu qualifizieren sein. Beispielsweise ein gewolltes und wissentliches Durchsickern (lassen) bestimmter Daten des Abnehmers durch den IT-Lieferanten. Da bei einer unerlaubten Handlung keine Vertragsbeziehung bestehen muss, lässt sich auch direkt gegen andere Parteien vorgehen, die rechtswidrig handeln. Zum Beispiel böswillige Personen, die Sicherheitslücken missbrauchen, um sich Zugang zu Ihren Systemen und Daten zu verschaffen. In vielen Fällen werden sowohl IT-Lieferanten als auch Abnehmer aufgrund einer unerlaubten Handlung gegen solche Personen vorgehen können.
Das Gesetz kennt auch eine spezifische Regelung für außervertragliche Haftung, die als Grundlage für die Haftbarmachung des Herstellers von Software dienen kann: die „Produkthaftung“. Auf Grundlage der sogenannten Produkthaftung kann ein Hersteller unter Umständen für Schäden, die durch einen Mangel an einem Produkt verursacht werden, das er auf den Markt gebracht hat, haftbar gemacht werden. Software qualifiziert als ein solches „Produkt“. Ob ein „Mangel“ vorliegt, muss im Einzelfall geprüft werden. Relevant ist unter anderem, wie das Produkt präsentiert wird, welche Nutzung von ihm erwartet werden kann und wann das Produkt auf den Markt gebracht wurde. Auch sind die Erwartungen, die der Abnehmer des Produkts berechtigterweise haben darf, relevant.
Strafrechtliche Aspekte
Selbstverständlich gibt es unter Umständen auch die Möglichkeit, auf strafrechtlichem Wege vorzugehen. So begeht eine Partei, die eine Sicherheitslücke missbraucht, um unbefugt Daten von Unternehmen abzugreifen, damit im Allgemeinen eine Straftat. Solche Cyberkriminalität kann bei der Polizei zur Anzeige gebracht werden.
Sind Sie Softwarelieferant?
In den obigen Ausführungen wird hauptsächlich auf die für die Abnehmer von Software relevanten Rechte und Pflichten eingegangen. Sind Sie selbst Softwarelieferant, bei dem eine Sicherheitslücke auftritt, dann gelten verschiedene andere und zusätzliche Rechte, Pflichten und Risiken. Es ist wichtig, diese zu inventarisieren und eventuell notwendige Schritte zu ergreifen.
Ergebnis
Bei IT-Schwachstellen und -Sicherheitslücken spielen zahlreiche rechtliche Aspekte eine Rolle. Relevante Sicherheits- und Meldepflichten ergeben sich zunächst aus den anwendbaren Datenschutzgesetzen. Sowohl für den IT-Lieferanten als auch den Abnehmer ist es wichtig, diese zu erfüllen. Aufgrund der spezifischen Gesetzgebung können zusätzliche Verpflichtungen gelten. Neben den sich aus der Gesetzgebung ergebenden Verpflichtungen spielen auch vertragliche Aspekte eine Rolle. Welche gegenseitigen Verpflichtungen gelten, hängt grundsätzlich von den getroffenen Absprachen ab. Im Allgemeinen ergibt sich aus dem Gesetz, dass ein Auftragnehmer die „Sorgfaltspflicht eines ordnungsgemäßen Auftragnehmers“ beachten muss. Unterlässt er dies, kann ein Auftraggeber auf Grundlage einer Vertragsverletzung rechtliche Schritte einleiten. Es ist also im Interesse beider Parteien, die diesbezüglichen Absprachen schriftlich festzulegen. Entsteht einer Person Schaden durch rechtswidriges Handeln, kann sie unter Umständen außerdem Schritte aufgrund einer „unerlaubten Handlung“ ergreifen. Dies bietet sowohl dem IT-Lieferanten als auch dem Abnehmer die Möglichkeit, gegen Personen vorzugehen, die Sicherheitslücken in Software missbrauchen. Da Cyberkriminalität oft eine oder mehrere Straftaten beinhaltet, besteht abschließend auch die Möglichkeit, strafrechtliche Schritte einzuleiten.
Für Softwarelieferanten können bei Sicherheitslücken verschiedene zusätzliche Rechte, Pflichten und Risiken gelten, die hier noch nicht besprochen wurden. Für Lieferanten ist es wichtig, diese Rechte, Pflichten und Risiken im Blick zu haben, sodass eventuell notwendige Schritte eingeleitet werden können.
Wenn Sie Fragen zu diesem oder anderen Themen haben, steht Ihnen unser German Desk immer gerne zur Verfügung. |
|
|
|
|
|
|