Katharina Lipp *"IT-Compliance - IT und öffentliche Sicherheit - Open Source" - Tagungsbericht zum 8. Kongress des Bayreuther Arbeitskreises für Informationstechnologie - Neue Medien - Recht e.V. (@kit)JurPC Web-Dok. 108/2008, Abs. 1 - 15 |
| Der Bayreuther Arbeitskreis für Informationstechnologie — Neue Medien — Recht e.V. lud vom 29. bis 30. Mai 2008 zum 8. @kit-Kongress auf dem Berliner Messegelände unter dem Funkturm ein. Passend zur Einbindung der Tagung in die 4. IT Profits und den LinuxTag 2008 befasste sich die Veranstaltung mit aktuellen Fragen zum Thema "IT-Compliance — IT und öffentliche Sicherheit — Open Source". Experten auf dem Gebiet des Rechts sowie der Wirtschaft und der Informatik legten Grundlagen der Themengebiete dar und reicherten diese durch Einblicke in ihre praktischen Erfahrungen an. So konnten sich die Kongressteilnehmer, unter denen sich Rechtsanwälte, Referendare, Doktoranden und Vertreter aus der Wirtschaft befanden, ein umfassendes Bild machen. | JurPC Web-Dok. 108/2008, Abs. 1 |
| Nach kurzen Worten der Begrüßung durch Prof. Dr. Stefan Leible, Inhaber des Lehrstuhls für Bürgerliches Recht, Zivilprozessrecht, Internationales Privatrecht und Rechtsvergleichung an der Universität Bayreuth und erster Vorsitzender des @kit e.V. eröffnete Manfred Speck, Leiter Information Security der Nestlé Deutschland AG, mit einer Einführung in Grundfragen der IT-Compliance. Dabei stellte sich zunächst die Frage, was IT-Compliance überhaupt ist. Der Diplom-Ökonom beschrieb IT-Compliance als die Überwachung und den dauerhaften Nachweis der Einhaltung von gesetzlichen Regelungen und selbst auferlegten Unternehmensprinzipien von und mit IT-Anwendungen. In einem weltweit agierenden Unternehmen wie Nestlé bedeutet das vor allem die Organisation des Einsatzes von Informationstechnologien, sprich die Harmonisierung von Daten, das Setzen einheitlicher Standards von Geschäftsprozessen weltweit und die Fragen, wer hat Zugriff auf welche Daten und wer trägt die Verantwortung für die Verwaltung welcher Daten. Dabei machte der Referent deutlich, dass im praktischen Arbeitsalltag besonders die tatsächliche Einhaltung der Compliance-Maßnahmen — wie z.B. der Password Policy — sicher gestellt werden müssen. Abschließend hob Speck den Nutzen von IT-Compliance hervor, der etwa in der Erkennung von Schwachstellen und der Transparenz von IT-Einsatz liegt. | Abs. 2 |
| Rechtliche Aspekte von IT-Comliance stellte im Anschluss Rechtsanwalt beim BGH Axel Rinkler von der Sozietät Engel & Rinkler dar. In seinem Beitrag führte der Referent zunächst die Fülle an gesetzlichen Normen an, die im Rahmen der IT-Compliance in Unternehmen zu beachten sind. Hierbei überraschte, dass es sich vorwiegend um gesellschafts-, und wettbewerbsrechtlich normierte Verhaltenspflichten und Verantwortlichkeiten handelt. IT-spezifische Regelungen sind kaum vorhanden. Diese Erkenntnis führte den Redner zu der Frage, ob die Verpflichtung zur Compliance "Chefsache" ist. Der Rechtsanwalt beim BGH arbeitete heraus, dass die Verantwortung für die Einhaltung gesetzlicher Vorschriften in kleinen, mittleren aber auch großen Unternehmen bei der Geschäftsführung bzw. beim Vorstand liegt (vgl. §§ 43, 44 GmbHG, §§ 91, 93 AktG). Eine Haftungsprivilegierung aufgrund arbeitsteiligen Handelns kann in Bezug auf Compliance nicht angenommen werden. Das Organsationsverschulden des "Chefs" kann zu Sanktionen in Form von Schadensersatz, Bußgeld aber auch Geld- und Freiheitsstrafen führen. | Abs. 3 |
| Prof. Dr. Jürgen Taeger von der Universität Oldenburg referierte über "IT-Sicherheit im Unternehmen: Was fordert das Recht?". Er stellt zunächst die Frage in den Raum, ob Compliance, der in den letzten Jahren mit am häufigsten gebrauchte Begriff der Business-Terminologie, nicht schon immer Aufgabe von Unternehmen war. Und ob nicht die allgemeinen Anforderungen an das Handeln der Unternehmen und die Verantwortung der Organvertreter einen wesentlichen Motor für die Gewährleistung von IT-Sicherheit und Datenschutz darstellen würden. Letztere Ansicht könnte mit dem Brückenbegriff Governance und der betriebswirtschaftlichen Vorstellung der Pflichten in Bezug auf IT-Compliance begründet werden. Denn während nach juristischer Auffassung zur Gewährleistung von IT-Compliance lediglich Risikoüberwachung (d.h. ein System der Risikoerkennung) gefordert wird, geht die Betriebswirtschaftslehre (Controlling; Wirtschaftsprüfung) von der Pflicht zur Implementierung eines Steuerungssystems aus. Das Steuerungssystem müsse sechs Aufgaben erfüllen: Risikoerkennung, Risikobewertung, Standardsetzung, Einrichtung von Adhoc-Systemen, Risikosteuerung und Relevanzbeurteilung. Übereinstimmend gehen alle Auffassungen jedenfalls von der Pflicht zur Einrichtung eines Risikomanagementsystems aus, dass unter anderem auch IT-Risiken umfasst. Sodann stellte der Referent die Diskussion zu der Verantwortung nach §§ 91, 93, 161 AktG und des Deutschen Corporate Governance Kodex dar. Nach seiner Ansicht könne die Gesamtverantwortung der Geschäftsleitung nur durch Einrichtung einer Compliance-Organisation gewährleistet werden. Abschließend erörtert Taeger warum die Wahrnehmung dieser Compliance-Organisation nicht durch den betrieblichen Datenschutzschutzbeauftragten erfolgen kann. | Abs. 4 |
| Aufgrund der wohldurchdachten Veranstaltungsplanung konnten die Veranstaltungsteilnehmer in der Mittagspause die Informationsangebote der IT-Profits und des LinuxTag 2008 wahrnehmen. | Abs. 5 |
| Nach der Pause gab Stephan Wilke, Lizenzmanager der FinanzIT GmbH, eine praktische Einführung in die Möglichkeiten zur Optimierung des IT-Lizenzmanagements. Aufgabe des Lizenzmanagements ist die Prüfung der an jedem einzelnen Rechner des Unternehmens genutzten Software sowie die Sicherstellung und Optimierung der dazugehörigen Softwarelizenzen. Als Ziele des Lizenzmanagements hob Wilke die Rechtssicherheit, Transparenz (durch eine Lizenzbilanz) und die Wirtschaftlichkeit hervor. Die Frage der Rechtssicherheit rückt insbesondere dadurch in den Vordergrund, dass viele große Lizenzgeber sich nach ihren Lizenzverträgen (Master-Business-Agreement) ein Audit-Recht gesichert haben. Das Audit-Recht ermöglicht es den Lizenzgebern vertreten durch eine Wirtschaftsprüfungsgesellschaft in bestimmten Jahresabständen die Einhaltung der Lizenzbestimmungen bei ihren Lizenznehmern zu überprüfen. Wilkeempfahl zur Vermeidung der hohen Kosten durch mögliche Audits die Prüfung freiwillig durch andere (günstigere) Prüfstellen durchführen zu lassen. | Abs. 6 |
| Als rechtliche Ergänzung folgte im Anschluss der Vortrag von RA Jan Pohle von TaylorWessing unter dem Titel "Rechtssicheres IT-Lizenzmanagement". Der Referent führte nach einer Begriffserläuterung und der Betonung der Bedeutung von licence compliance die unterschiedlichen Lizenzmodelle in der Praxis an (z.B. Einzel-, Packet-, Mehrfach-, Unternehmenslizenzen mit Update- oder Upgrade-Möglichkeiten und "Software as a Service"). Weiter ging er auf die rechtliche Diskussion in Bezug auf § 31 UrhG und der Nutzung von gebrauchter Software ein (vgl. LG München I, 19.1.06; OLG München, 3.8.06 u. 15.3.07; LG Hamburg, 29.6.06). Sodann widmete er sich dem IT-Lizenzmanagement im Falle eines IT-Oursourcings. Das Unternehmen kann hierbei externer Dienstleister in Anspruch nehmen, die selbst IT zur Verfügung stellen, oder die eigenen Lizenzen auf externe Diensteanbieter übertragen. In Bezug auf die letztgenannte Variante ist zunächst die Zulässigkeit der Übertragung nach den (wirksamen) Lizenzbestimmungen zu überprüfen. Wobei danach differenziert werden muss, ob es sich um gekaufte oder gemietete Lizenzen handelt. Abschließend ging RA Pohle auf die rechtlichen Probleme des Lizenzmanagements bei M&A-Transaktionen ein. Im Falle eines Asset Deals ist die urheberrechtliche Regelung in § 34 Abs. 3 S. 1 UrhG bei der Frage der Übertragbarkeit von gekauften Lizenzen zu berücksichtigen. Bei gemieteten Lizenzen sind Sonderkündigungsrechte zumeist in change-of-control-Klauseln geregelt. | Abs. 7 |
| Der folgende Vortrag aus der Praxis nahm die Thematik des IT-Outsourcing auf. Peter P. Müller, Senior Partner Anxo Management Consulting GmbH, referierte zum Thema "IT-Outsourcing und IT-Offshoring aus Unternehmenssicht". Zunächst stellte Müller dar, welche Kriterien für die Outsourcing-Entscheidung aus betriebswirtschaftlicher Sicht im Mittelpunkt stehen sollten. Je nach Art des Unternehmens bietet sich IT-Outsourcing insbesondere aus Kostenersparnisgründen und dem Fokus auf Kernkompetenzen an. Dabei sollten jedoch der Kontrollverlust und mögliche Einschränkungen bei geschäftlicher Dynamik nicht unterschätzt werden. In Bezug auf das Offshoring sind insbesondere der Rechtsrahmen, die Lohn(neben)kosten, die Mietkosten, die Verfügbarkeit von Fachpersonal, die politisch-gesellschaftliche Lage und kulturelle Unterschiede in potentiellen Offshoring-Gebieten zu beachten. Der Referent warnte vor den möglichen Problemen beim Outsourcing und Offshoring. Studien haben ergeben, dass sich die Kosteneinsparungen oft nicht wie erwünscht realisiert hätten. Wobei die Ursachen mannigfaltig seien. Neben versteckten Kosten war dies auch auf mangelnde Kompetenz und Flexibilität der Outsourcing-Partner zurückzuführen. Aber auch mangelnde Abstimmung durch das In-House würden mitunter nicht unwesentliche Nachteile bergen. In seiner Bilanz warnte Müller daher vor zu hohen Erwartungen an Outsourcing und Offshoring. | Abs. 8 |
| Rechtliche Compliance-Aspekte beim IT-Outsourcing und IT-Offshoring stellte im Anschluss Rechtsanwältin Dr. Kerstin Zscherpevon Simmons & Simmons aus Frankfurt dar. Im Mittelpunkt der Compliance beim IT-Outsourcing und IT-Offshoring steht die Sicherstellung der Unternehmensrichtlinien- und Gesetzeskonformität durch die Vertragsgestaltung mit dem Auftragnehmer. Bei der Vertragsgestaltung ist zu bedenken, welche rechtlichen Regelungen im Land des Auftraggebers und des Auftragnehmers gelten. Zudem müssen vertragliche Bedingungen für den Fall formuliert werde, dass der Auftragnehmer Subunternehmer zur Vertragserfüllung einschaltet. Zur Veranschaulichung möglicher Konstellationen führte die Referentin verschiedene Beispiele an. Einfachster Fall ist die Vertragsbeziehung mit Leistungspflichten zwischen dem Auftraggeber und dem Auftragnehmer. Bei der Einschaltung von Subunternehmern müsse deren Sitzland und die dort geltenden Vorschriften Berücksichtigung finden. Auch müssen Regelungen gefunden werden, sofern der Auftragnehmer oder Subunternehmer die Leistung direkt an die Leistungsempfänger erbringt oder der Auftragnehmer mehrere Subunternehmer in verschiedenen Ländern einschaltet. Dr. Zscherpe machte deutlich, dass die Einhaltung der verschiedenen nationalen Vorschriften um so schwieriger werde, je mehr Beteiligte an die Vertragskette angebunden werden. | Abs. 9 |
| Mit einer öffentlichen Podiumsdiskussion zum Thema "Öffentliche Sicherheit durch IT-Nutzung — Wie weit darf der Staat gehen?" schloss der erste Kongresstag. Unter Moderation von RA Martin W. Huff, Leiter Öffentlichkeitsarbeit Wolter Kluwer Deutschland GmbH, diskutierten Dr. Wolfgang Bär, Richter am Oberlandesgericht Bamberg, Dr. Volker Kitz, LL.M. (NYU), wiss. Referent am Max-Planck-Institut für Geistiges Eigentum, Wettbewerbs- und Steuerrecht, München, Prof. Dr. Markus Möstl, Universität Bayreuth, und RA Horst Müller, Regierungsvizepräsident a.D., aus München über "Öffentliche Sicherheit durch IT-Nutzung — Wie weit darf der Staat gehen?". Im Zentrum der Diskussion stand erwartungsgemäß die Entscheidung des Bundesverfassungsgerichts vom 27. Februar 2008 zur Online-Durchsuchung (Az. 1 BvR 370/07 und 1 BvR 595/07), die zu kontroversen Stellungnahmen Anlass gab. | Abs. 10 |
| Den zweiten Tagungstag eröffnete Markus Feilner vom Linus-Magazin aus München mit einem Vortrag zum Thema "Open Source mit open end? Ein Überblick über Markt und Möglichkeiten". Zunächst räumte der Redakteur mit Vorurteilen auf. Die Erfahrung habe gezeigt, dass man mit Open Source auch Geld verdienen kann und, dass Open Source nicht nur für große Unternehmen sinnvoll ist. Auch stehen bei der Umstellung auf Open Source nicht finanzielle Aspekte im Vordergrund, sondern die Unabhängigkeit (zB was die Einsetzung neuer Versionen anbelangt). Sodann ging Feilner auf die Lizenzmodelle ein, denn "Open" steht nicht etwa für kostenlose, sondern vielmehr für freie Software. Insbesondere die GNU General Public License ist weit verbreitet. Diese von der Free Software Foundation vergebene Lizenz ermächtigt den Lizenznehmer zur kostenfreien Nutzung, zur Vervielfältigung, zur Verbreitung und zur Veränderung. Zum Schluss blieb noch zu erwähnen, dass Deutschland ein Vorreiter in der Verwendung und Verbreitung von Open Source ist. | Abs. 11 |
| Auf das Verhältnis von Open Source und Urheberrecht ging Rechtsanwalt Dr. Till Kreutzer aus dem Büro für informationsrechtliche Expertise aus Hamburg unter dem Titel "Open Source und Urheberrecht — wer beeinflusst wen?" ein. In einem ersten Schritt stellte der Referent klar, dass Open Source Software vom Urheberrecht abhängig ist. Die Urheber verzichten nicht auf ihre Rechte (das ist ihnen nach deutschem Recht auch nicht möglich), sondern nutzen ihre geistigen Eigentumsrechte durch die Vergabe von Lizenzen, um den Nutzern Pflichten aufzuerlegen. Allerdings erwies sich das UrhG zunächst als Hemmnis, da es zu hohe Schutzvorkehrungen enthielt. Der Gesetzgeber hat auf den Änderungsbedarf jedoch durch Einführung von sog. Linux-Klauseln in §§ 32 Abs. 3, 32c Abs. 3 S. 2, 31a Abs. 1 S. 2 UrhG reagiert. Probleme bereitet unterdessen noch die Einschränkung der Änderung von Werken gemäß § 39 Abs. 1 UrhG, denn der Änderungsschutz kann nicht in allgemeinen Geschäftsbedingungen und nicht pauschal abbedungen werden. Mit einer Diskussion zu dieser Problematik endete der aufschlussreiche Vortrag. | Abs. 12 |
| Rechtsanwalt Christof Elßner von Härting Rechtsanwälte aus Berlin ging sodann der Frage nach der Vertragsgestaltung und Haftung bei Open-Source-Verträgen nach. Der Referent wies zunächst darauf hin, dass die Gestaltung von Open-Source-Verträgen jeweils im Einzelfall erfolgen müsse. Wobei die Beziehung zum Urheber aufgrund der Lizenzbestimmungen nicht gestaltbar ist. Anders verhält es sich bei der Rechtsbeziehung zwischen Unternehmer und Kunden. Sodann arbeitete er heraus, dass sich Leistungspflichten und Haftung durch eine möglichst enge Beschreibung des Leistungsgegenstandes eingrenzen lassen. Hierbei besteht jedoch die Gefahr eines versteckten Gewährleistungsausschluss. RA Elßner wies darauf hin, dass es überraschenderweise bislang noch keine Rechtsprechung zu Open-Source-Verträgen gebe. Dadurch werde die Compliance-Tätigkeit und die Vertragsgestaltung erschwert. Weiter ging der Referent im einzelnen auf die vertragliche Haftung bei entgeltlichen und unentgeltlichen Verträgen ein. Wobei er insbesondere die geringen Möglichkeiten zu Gewährleistungs- und Haftungsausschlüssen hervorhob. RA Elßner schloss mit Empfehlungen für die Vertragsgestaltung. | Abs. 13 |
| Der letzte Tagungsbeitrag von Dr. Till Jaeger und Dr. Markus Wiedemann von JBB Rechtsanwälte aus Berlin beschäftigte sich mit Open-Source-Lizenzen in der Insolvenz. Zunächst klärten die Referenten grundlegend die Stellung des Einzelurhebers in der Insolvenz (vgl. § 113 UrhG). Sodann erfolgt eine eingehende Darstellung der Rechtslage bei Insolvenz des Lizenzgebers. Wobei das Bestehen von Vertragserfüllungsansprüchen und schuldrechtlichen sowie dinglichen Nutzungsrechten, die Frage der Nutzungsrechteeinräumung, sofern der Lizenzgeber jedermann vor der Insolvenz ein Angebot unterbreitet hatte, und die Rechtslage hinsichtlich einer Bearbeitung und Weiterveräußerung der Rechte an Dritte während der Insolvenz erörtert wurden. Im Einzelnen sehen die Referenten dabei aufgrund der besondere Sachlage etwa bei unentgeltlichen Lizenzen die Notwendigkeit einer teleologischen Reduktion der bestehenden gesetzlichen Regelungen (zB § 91 InsO). Schließlich wurde der Regierungsentwurf § 108a RegE-InsO vorgestellt, der frühestens Ende 2008 in Kraft treten wird. RA Jaeger und RA Wiedemannkritisierten, dass die Vorschrift nicht für alle offensichtlichen Fallgestaltungen eine Regelung enthält. | Abs. 14 |
| In seinen abschließenden Worten dankte Prof. Leible allen
Teilnehmern, Helfern, Sponsoren und Rednern, und dabei insbesondere denjenigen
Vortragenden, die kurzfristig eingesprungen waren. Die zahlreichen spontanen
Änderungen hatten dem Kongress glücklicherweise nicht abträglich sein können.
Vielmehr stellte das inhaltsreiche Angebot an rechtlichen Vorträgen und Beiträgen
von Praktikern aus der Wirtschaft eine gelungene Mischung dar, die die
Notwendigkeit der Zusammenarbeit von Juristen und Nichtjuristen im Bereich der
IT-Compliance hervorhoben. In rechtlicher Hinsicht, konnten einige Missstände
und Lücken aufgedeckt werden. Schließlich lud Prof. Leible bereits zum
9. @kit Kongress, der voraussichtlich Mitte Mai 2009 in Nürnberg stattfinden
wird.
| JurPC Web-Dok. 108/2008, Abs. 15 |
| * Katharina Lipp ist Mitglied des @kit und wissenschaftliche Mitarbeiterin am Lehrstuhl für Strafrecht, Strafprozessrecht und Urheberrecht von Prof. Dr. Bernd Heinrich an der Humboldt-Universität zu Berlin. |
| [ online seit: 24.06.2008 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
|
| Zitiervorschlag: Lipp, Katharina, "IT-Compliance - IT und öffentliche Sicherheit - Open Source" - Tagungsbericht zum 8. Kongress des Bayreuther Arbeitskreises für Informationstechnologie - Neue Medien - Recht e.V. (@kit) - JurPC-Web-Dok. 0108/2008 |
