Viele Kanzleien. Ein starkes Netzwerk.
Aktuelles
Neues aus Markt und Netzwerk
 

Schutz personenbezogener Daten Rechte und Pflichten bei Schwachstellen und Sicherheitslücken in Software

In der letzten Zeit beherrschen sie die Nachrichten regelmäßig: Sicherheitslücken in Software mit potenziell katastrophalen Folgen. Vor kurzem beispielsweise die „log4j“-Sicherheitsprobleme, die bei vielen Parteien zu Sorgenfalten führten. Einige sahen sich sogar gezwungen, ihre Systeme präventiv abzuschalten. Neben praktischen und finanziellen Aspekten spielen bei solchen Sicherheitslücken im Bereich IT auch verschiedene rechtliche Aspekte eine Rolle. Welche Rechte und Pflichten haben Sie bei der Verwendung von Software, die weiterhin Sicherheitslücken aufweist? 

Obwohl sich die erste Reaktion im Falle einer Sicherheitslücke oft auf zu ergreifende praktische Maßnahmen (zur Erkennung und Minimierung von Risiken) bezieht, ist es wichtig, auch die verschiedenen rechtlichen Verpflichtungen und möglicherweise die zu empfehlenden Schritte nicht aus dem Auge zu verlieren. 

Angemessene Sicherheitsvorkehrungen und mögliche Datenpannen

In diesem Zusammenhang ergeben sich wichtige Verpflichtungen aus den anwendbaren Datenschutzgesetzen, insbesondere der niederländischen Datenschutz-Grundverordnung, der „Algemene Verordening persoonsgegevens“ , kurz: AVG. Beispielsweise Verpflichtungen in Bezug auf Sicherheitsvorkehrungen und den Umgang mit Datenpannen. Diese Verpflichtungen gelten sowohl für IT-Lieferanten als auch Abnehmer. 

Schutz personenbezogener Daten

Die AVG bestimmt, dass Parteien „angemessene Sicherheitsvorkehrungen“ zum Schutz personenbezogener Daten ergreifen müssen. „Personenbezogene Daten“ sind kurz gesagt alle Informationen, die direkt oder indirekt auf eine natürliche Person zurückzuführen sind. Große IT-Datenpannen umfassen nahezu immer personenbezogene Daten. Bei der Beurteilung, was „angemessen“ ist, müssen „der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ berücksichtigt werden.

Sobald sich eine IT-Schwachstelle oder -lücke abzeichnet, wird diese Verpflichtung nicht mehr erfüllt, wenn keine Vorkehrungen getroffen werden, um die Schwachstelle oder Sicherheitslücke schnellstmöglich zu beseitigen oder zu schließen. Denn unter anderem der Stand der Technik und die Risiken für die (Datenschutz-)Rechte und Freiheiten natürlicher Personen bringen ab dem Moment mit sich, dass die zuvor ergriffenen Sicherheitsvorkehrungen nicht länger „angemessen“ sind. Damit werden die Sicherheitspflichten nicht länger erfüllt. In dem Fall ist es auch wichtig, die Risiken zu erkennen und (die vorgenannten Faktoren berücksichtigend) zusätzliche angemessene Sicherheitsvorkehrungen zu treffen, um die personenbezogenen Daten zu schützen. Sind Sie Abnehmer von „Software as a Service“ (SaaS) von einem IT-Lieferanten, ist eine Abstimmung mit diesem Anbieter oft erforderlich.  

Meldepflicht bei Datenpanne

Sollte die Schwachstelle oder Sicherheitslücke zu einer „Verletzung des Schutzes personenbezogener Daten“ (oft „Datenpanne“ genannt) führen, gelten für Verantwortliche (Parteien, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheiden, oft (jedenfalls) der Abnehmer von Software) zusätzliche Verpflichtungen. Eine „Datenpanne“ liegt bei einer Verletzung des Schutzes personenbezogener Daten vor, die „unbeabsichtigt oder unrechtmäßig zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden“. Eine „Datenpanne“ muss der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens (kurz: AP) binnen 72 Stunden gemeldet werden, nachdem ein Verantwortlicher sie erkannt hat, es sei denn, dass unwahrscheinlich ist, dass die „Datenpanne“ ein Risiko für die (Datenschutz-)Rechte und Freiheiten natürlicher Personen bedeutet. 

Erfolgt die Meldung erst später, muss die Verzögerung begründet werden. Die Meldung kann über die Webseite der AP erfolgen. Hat die „Datenpanne“ voraussichtlich ein hohes Risiko für die (Datenschutz-)Rechte und Freiheiten natürlicher Personen zur Folge, muss den betroffenen Personen (denjenigen, auf die sich die personenbezogenen Daten beziehen) die Verletzung unverzüglich gemeldet werden. Dass eine Partei eine Datenschutzverletzung erkannt hat, wird vermutet, wenn sie hinreichende Gewissheit hat, dass ein Sicherheitsvorfall zu einer Verletzung des Schutzes personenbezogener Daten geführt hat. Auch wenn eine Datenpanne noch nicht mit Sicherheit feststeht, kann eine entsprechende Meldung notwendig sein. 

Alle Verletzungen des Schutzes personenbezogener Daten müssen in einem Verzeichnis geführt werden. Ungeachtet dessen, ob diese Verletzungen gemeldet wurden oder hätten werden müssen oder nicht. Das Verzeichnis muss der AP ermöglichen, die Einhaltung der Vorschriften für Meldungen von Datenpannen zu kontrollieren. 

Zusätzliche Verpflichtungen

Spezifischere Gesetze können in anderen Fällen natürlich zusätzliche Verpflichtungen auferlegen. So ergibt sich aus dem Gesetz zur Sicherheit von Netzwerk- und Informationssystemen („Wet Beveiliging Netwerk- en Informatiesystemen“, kurz: Wbni, auch Cybersecuritygesetz genannt) eine Sorgfalts- und Meldepflicht für Anbieter bestimmter systemrelevanter Dienstleistungen (beispielsweise Banken und Energieversorger) und Anbieter bestimmter digitaler Dienstleistungen (wie bestimmte Cloud-Anbieter). In dem Rahmen ist es wichtig im Einzelfall zu beurteilen, welche Verpflichtungen aus spezifischen Gesetzen (zusätzlich) gelten. 

Vertragsverletzung

Auch auf vertraglicher Ebene können relevante Verpflichtungen gelten. Es hängt jedoch von den Vereinbarungen ab, welche Verpflichtungen gelten. IT-Verträge enthalten oft eine Verpflichtung des IT-Lieferanten, sein Produkt oder seine Dienstleistung zu sichern, auf Sicherheitslücken adäquat zu reagieren und dem Abnehmer diese zu melden. Der Abnehmer kann von dem IT-Lieferanten verlangen, dass er die vereinbarten Verpflichtungen einhält (wie umgekehrt auch). Unterlässt der IT-Lieferant dies, kann der Abnehmer unter anderem die Erfüllung verlangen und – nötigenfalls nach Inverzugsetzung – den Ersatz eventuell entstandener Kosten und anderer ihm entstandener Schäden geltend machen. Dies gilt grundsätzlich zusätzlich zu den obigen Ausführungen in Bezug auf die AVG-Vorschriften. 

Wenn Verträge keine Vereinbarungen zu den Verpflichtungen der Parteien in solchen Fällen enthalten, ist grundsätzlich unsicher, welche Ansprüche gegen IT-Lieferanten geltend gemacht werden können. (Anderes gilt bei Verbraucherverträgen, da das Verbraucherrecht einige unabdingbare Verbraucherschutzbestimmungen enthält.) Gängige Verträge mit IT-Lieferanten sind oft (zumindest teilweise) als Auftragsvereinbarungen zu qualifizieren. Laut Gesetz muss der IT-Lieferant als Auftragnehmer dann die „Sorgfaltspflicht eines ordnungsgemäßen Auftragnehmers“ beachten. Diese Norm wird in Verträgen oft näher definiert, aber auch wenn dem nicht so ist, gilt diese - sich aus dem Gesetz ergebende - Norm. Diese Norm ist gesetzlich nicht definiert; ob ein IT-Lieferant diese Sorgfaltspflicht erfüllt hat, muss anhand der Fallumstände beurteilt werden.

Allerdings gilt, dass es sich oft um eine erschwerte Sorgfaltspflicht handelt, da bei dem IT-Lieferanten meist vermutet wird, dass es sich um die sachkundigere Partei handelt. In dem Zusammenhang darf von ihm im Allgemeinen eine proaktive Haltung bei unerwarteten IT-Problemen angenommen werden. Aus der Rechtsprechung folgt, dass darauf abzustellen ist, was ein angemessen handelnder und angemessen kompetenter Fachmann mit denselben Kenntnissen und Erfahrungen unter denselben Umständen getan hätte. Reagiert ein IT-Lieferant nach Ansicht des Abnehmers bei einer Schwachstelle oder Sicherheitslücke nicht ausreichend adäquat, und möchte der Abnehmer aufgrund dessen Durchsetzungsmaßnahmen ergreifen, dann muss der Abnehmer – im Falle eines Rechtsstreits – nachweisen, dass der IT-Lieferant nicht als angemessen handelnder und angemessen kompetenter Fachmann gehandelt hat. Gelingt ihm dies, kann er grundsätzlich Schadensersatz geltend machen, der ihn in die gleiche finanzielle Lage versetzt, als hätte der IT-Lieferant sehr wohl als angemessen handelnder und angemessen kompetenter Fachmann gehandelt. Auch wenn die Verträge keine oder nur wenige Vereinbarungen zu den Verpflichtungen des IT-Lieferanten enthalten, kann aus diesem Grund gegen IT-Lieferanten vorgegangen werden, die die auf sie zutreffenden Erwartungen nicht erfüllen. 

Selbstverständlich lassen sich viel Mühe, Unsicherheit und unnötige Kosten vermeiden, wenn die Verpflichtungen der Parteien klar vertraglich festgelegt werden. Welche „Service Levels“ kann der Abnehmer beanspruchen? Was versteht sich darunter – und welches Recht hat der Abnehmer, wenn dies nicht erfüllt wird? Vollständige und eindeutige Verträge sind im Interesse beider Parteien.  

Unerlaubte Handlung

Unter Umständen ist es auch möglich, „außervertraglich“ rechtliche Schritte zu ergreifen (aufgrund der sogenannten „unerlaubten Handlung“). In dem Zusammenhang sind einige Szenarien denkbar. Voraussetzung dafür ist, dass ein Schaden durch eine schuldhafte Handlung oder Unterlassung der anderen Partei verursacht wurde, die rechtswidrig ist. Das ist grundsätzlich bei einem „Eingriff in ein Recht und ein Tun oder Unterlassen, das gesetzlichen Pflichten oder Verhaltensregeln des gesellschaftlichen Verkehrs aufgrund ungeschriebenen Rechts widerspricht,“ der Fall. Die Rechtswidrigkeit muss eine sich von einer Vertragsverletzung unterscheidende Grundlage haben. Mit anderen Worten: Auch wenn man sich den Vertrag wegdenkt, muss das Handeln oder Unterlassen noch als rechtswidrig zu qualifizieren sein. Beispielsweise ein gewolltes und wissentliches Durchsickern (lassen) bestimmter Daten des Abnehmers durch den IT-Lieferanten.

Da bei einer unerlaubten Handlung keine Vertragsbeziehung bestehen muss, lässt sich auch direkt gegen andere Parteien vorgehen, die rechtswidrig handeln. Zum Beispiel böswillige Personen, die Sicherheitslücken missbrauchen, um sich Zugang zu Ihren Systemen und Daten zu verschaffen. In vielen Fällen werden sowohl IT-Lieferanten als auch Abnehmer aufgrund einer unerlaubten Handlung gegen solche Personen vorgehen können. 

Das Gesetz kennt auch eine spezifische Regelung für außervertragliche Haftung, die als Grundlage für die Haftbarmachung des Herstellers von Software dienen kann: die „Produkthaftung“. Auf Grundlage der sogenannten Produkthaftung kann ein Hersteller unter Umständen für Schäden, die durch einen Mangel an einem Produkt verursacht werden, das er auf den Markt gebracht hat, haftbar gemacht werden. Software qualifiziert als ein solches „Produkt“. Ob ein „Mangel“ vorliegt, muss im Einzelfall geprüft werden. Relevant ist unter anderem, wie das Produkt präsentiert wird, welche Nutzung von ihm erwartet werden kann und wann das Produkt auf den Markt gebracht wurde. Auch sind die Erwartungen, die der Abnehmer des Produkts berechtigterweise haben darf, relevant.

Strafrechtliche Aspekte

Selbstverständlich gibt es unter Umständen auch die Möglichkeit, auf strafrechtlichem Wege vorzugehen. So begeht eine Partei, die eine Sicherheitslücke missbraucht, um unbefugt Daten von Unternehmen abzugreifen, damit im Allgemeinen eine Straftat. Solche Cyberkriminalität kann bei der Polizei zur Anzeige gebracht werden.

Sind Sie Softwarelieferant?

In den obigen Ausführungen wird hauptsächlich auf die für die Abnehmer von Software relevanten Rechte und Pflichten eingegangen. Sind Sie selbst Softwarelieferant, bei dem eine Sicherheitslücke auftritt, dann gelten verschiedene andere und zusätzliche Rechte, Pflichten und Risiken. Es ist wichtig, diese zu inventarisieren und eventuell notwendige Schritte zu ergreifen.

Ergebnis

Bei IT-Schwachstellen und -Sicherheitslücken spielen zahlreiche rechtliche Aspekte eine Rolle. Relevante Sicherheits- und Meldepflichten ergeben sich zunächst aus den anwendbaren Datenschutzgesetzen. Sowohl für den IT-Lieferanten als auch den Abnehmer ist es wichtig, diese zu erfüllen. Aufgrund der spezifischen Gesetzgebung können zusätzliche Verpflichtungen gelten. Neben den sich aus der Gesetzgebung ergebenden Verpflichtungen spielen auch vertragliche Aspekte eine Rolle. Welche gegenseitigen Verpflichtungen gelten, hängt grundsätzlich von den getroffenen Absprachen ab.

Im Allgemeinen ergibt sich aus dem Gesetz, dass ein Auftragnehmer die „Sorgfaltspflicht eines ordnungsgemäßen Auftragnehmers“ beachten muss. Unterlässt er dies, kann ein Auftraggeber auf Grundlage einer Vertragsverletzung rechtliche Schritte einleiten. Es ist also im Interesse beider Parteien, die diesbezüglichen Absprachen schriftlich festzulegen. Entsteht einer Person Schaden durch rechtswidriges Handeln, kann sie unter Umständen außerdem Schritte aufgrund einer „unerlaubten Handlung“ ergreifen. Dies bietet sowohl dem IT-Lieferanten als auch dem Abnehmer die Möglichkeit, gegen Personen vorzugehen, die Sicherheitslücken in Software missbrauchen. Da Cyberkriminalität oft eine oder mehrere Straftaten beinhaltet, besteht abschließend auch die Möglichkeit, strafrechtliche Schritte einzuleiten. 

Für Softwarelieferanten können bei Sicherheitslücken verschiedene zusätzliche Rechte, Pflichten und Risiken gelten, die hier noch nicht besprochen wurden. Für Lieferanten ist es wichtig, diese Rechte, Pflichten und Risiken im Blick zu haben, sodass eventuell notwendige Schritte eingeleitet werden können. 

Beitrag veröffentlicht am
8. April 2022

Stichworte in diesem Beitrag
Diesen Beitrag teilen

Alle Fachbeiträge zeigen

Insolvenzrecht, Geschäftsführerhaftung in der Insolvenz
22.04.2024

Beschränkung der Geschäftsführerhaftung wegen Insolvenzverschleppung auf den Schaden

Seit dem 01.01.2021 gibt es eine neue gesetzliche Regelung (§ 15b Abs. 4 S. 2 InsO), wonach sich diese Ersatzpflicht auf den Ausgleich des Schadens beschränkt, der der Gläubigerschaft der juristischen Person entstanden ist. Die vom Insolvenzverwalter vorgenommene Addition, wie im vorangegangenen Absatz beschrieben, stellt danach nur eine Vermutung zur Schadenshöhe dar, die widerlegt werden kann.

Beitrag lesen
Wohnungstürschlüssel
Mietrecht, Wohnraummietrecht, Räumungsvollstreckung
17.04.2024

Verlängerung der Räumungsfrist: Pauschaler Verweis auf „angespannten Wohnungsmarkt“ genügt nicht

Welche Anforderungen sind an die Verlängerung einer Räumungsfrist für Mieter zu stellen? Mit dieser Frage hat sich das Landgericht Berlin II befasst.

Beitrag lesen
Baurecht, Werkvertragsrecht
17.04.2024

„Schlüsselfertig“ – was bedeutet das?

Der BGH hat mit einer Entscheidung vom 2.11.2022 (BGH VII ZR 22/20) klargestellt, dass der Begriff „schlüsselfertig“ eine funktionale Beschreibung des Leistungsinhalts des geschlossenen Vertrages darstellt und konkrete Leistungsbeschreibungen (aus dem Vertrag) insoweit vorgehen. Lediglich bei Lücken der konkreten Leistungsbeschreibung können diese durch die Schlüsselfertigkeitsklausel gefüllt werden. Eine solche Lücke liegt nicht vor, wenn ausdrücklich bestimmte Leistungen herausgenommen werden.

Beitrag lesen
Alle Fachbeiträge

Einwilligung in Cookies und zur Erhebung und Weitergabe Ihrer Nutzerdaten an Dritte

Wir platzieren auf unserer Webseite technisch notwendige Cookies, die die grundlegenden Funktionen der Website gewährleisten und unentbehrlich sind. Für diese Cookies benötigen wir keine Einwilligung, so dass diese Cookies auch dann gesetzt werden, wenn Sie unten „alle ablehnen“ auswählen. Technisch notwendige Cookies verwenden wir, um unsere Dienste anbieten zu können und um vom Nutzer vorgenommene Einstellungen (wie z. B. die präferierte Sprache) zu speichern. Im Falle Ihrer Einwilligung verwenden wir darüber hinaus weitere performancesteigernde Cookies (Statistik und Nutzungsmessung sowie externe Dienste). Die Cookies verwenden wir ausschließlich dazu, unsere Website Ihren Wünschen entsprechend anpassen und weiterentwickeln zu können. Dabei werden Ihre personenbezogenen Daten (IP-Adresse, Nutzerverhalten etc.) verarbeitet und gespeichert, um die obigen Zwecke zu erreichen. Eine Identifizierung Ihrer Person ist durch die Pseudonymisierung der Daten nicht zu befürchten. Die Erläuterung zu den verschiedenen Cookies und datenschutzrechtlichen Vorgängen finden Sie unter „individuelle Einstellungen vornehmen“ oder in unseren Datenschutzhinweisen. Durch die Betätigung eines der untenstehenden Buttons willigen Sie in die Verwendung der jeweils ausgewählten Cookies und gleichzeitig in die Verarbeitung Ihrer personenbezogenen Daten zu oben beschriebenen Zwecken ein. Die Erteilung der Einwilligungen ist freiwillig.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum

Einstellungen
Technisch notwendige Cookies

Technisch notwendige Cookies (essentielle Cookies) ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Homepage unentbehrlich. Sie können ohne Einwilligung gesetzt werden und daher nicht abgewählt werden.

DIRO Multisite Cookie

Mit dem DIRO Multisite Cookie werden die von Ihnen selbst vorgenommenen Einstellungen auf dieser Website (z. B. die bevorzugte Sprache) sowie die von Ihnen zugelassenen Inhalte externer Anbieter gespeichert. Dabei werden unter dem Verarbeitungsvorgang DIRO_C_FINGERPRINT die IDs der beim letzten Seitenaufruf vorhandenen zustimmungspflichtigen Dienste, sowie deren Konfigurationseinstellungen und die Zuordnung zu Kategorien im Datenschutz Popup (als verschlüsselte Zeichenfolge) erhoben und gespeichert. Alleiniger Zweck dieser Datenverarbeitung ist die Speicherung der vorgenommenen Einstellungen. Die Speicherung erfolgt für ein Jahr.

Statistik und Nutzungsmessung

Wir möchten unser Angebot für Sie dauerhaft attraktiv gestalten. Dafür sind wir auf Informationen darüber angewiesen, wie unsere Seiten genutzt werden. Dafür erheben wir automatisiert Daten.

Nutzungsmessung mit Matomo

Wir verwenden zur Analyse des Nutzerverhaltens und der Reichweite unserer Website das Website-Analyse-Tool Matomo. Dadurch wird das Cookie „_pk_id“ gesetzt. Durch die Verwendung von Matomo werden 2 Bytes Ihrer IP-Adresse, die aufgerufene Website, die Referrer-Website (Website, von der Sie auf die hier aufgerufene Website gelangt sind), die von der aufgerufenen Website aus aufgerufenen Unterseiten, die Verweildauer und die Häufigkeit des Aufrufs der Website ermittelt und gespeichert. Dies dient allein dem Zweck, anonymisierte statistische Daten darüber zu erlangen, wie Sie die Website nutzen. Die Speicherdauer beträgt im Falle des Cookies pk_ref 6 Monate, im Falle des Cookies _pk_ses 30 Minuten.

Externe Dienste

An einigen Stellen unseres Angebote nutzen wir externe Dienste, um Ihnen bestimmte Inhalte oder Funktionen zuverlässig und komfortabel bereitstellen zu können (z.B. Karten, interaktive Formulare oder Kalender zur Terminvereinbarung).

Videowiedergabe mit Vimeo

Wir verwenden auf unserer Website den externen Dienst Vimeo. Dabei handelt es sich um ein Video-Portal des US-amerikanischen Unternehmens Vimeo.com, Inc., 330 West 34th Street, 5th Floor, New York, New York 10001, USA. Durch das Einbinden von Vimeo-Videos werden Cookies gesetzt, die bei Abrufen des Videos unter anderem Ihre IP-Adresse, den Browser-Typ, Ihr Betriebssystem, Ihr Klickverhalten und Ihre Verweildauer erheben und sodann speichern. Die Speicherung erfolgt auf Servern in den USA, die über keinerlei Datenschutzrecht verfügen. Näheres entnehmen Sie bitte den unter https://vimeo.com/privacy abrufbaren Informationen.

Geographische Karten von OpenStreetMaps

Durch die Einbindung von OpenStreetMaps auf unserer Website setzen wir das Cookie „_osm_location“. Dabei wird Ihre IP-Adresse an den fremden Server von OpenStreetMaps übermittelt, wodurch dieser erfährt, dass Sie unsere Seite besucht haben. Zweck dieser Einbindung ist die Darstellung von Adressen auf einer Karte, die in die Website eingebunden wird. Die Speicherdauer beträgt 1 Jahr.

Terminvereinbarung mit Calenso

Wir verwenden auf unserer Website den externen Dienst Calenso. In diesem Zuge werden Ihre E-Mail-Adresse, weitere Kontaktinformationen, Termininhalte und -daten, sowie alle von Ihnen in diesem Zusammenhang zusätzlich angegebenen Daten erhoben und gespeichert. Dies dient dem alleinigen Zweck, Termine und Gruppentermine online buchbar zu machen. Hierzu wird seitens Calenso eine Webanwendung zur Buchung von Terminvereinbarungen zur Verfügung gestellt. Die Daten werden auf Servern in der Schweiz verarbeitet. Sie stellen Ihre Daten für die Laufzeit des Vertrages mit Calenso zur Verfügung. Näheres zu der Verarbeitung der Daten durch Calenso entnehmen Sie bitte den unter https://calenso.com/datenschutz abrufbaren Informationen.

Details finden Sie in unserer Datenschutzerklärung   Hier finden Sie unser Impressum