IT-Recht – Seite 2 – Rechtsanwalt Thorsten Fink, LL.M.

1. Mai 20201. Mai 2020

Geheimnisschutz: E2E im Conferencing

Mittelständische Unternehmen nehmen die Herausforderungen der Situation an – dazu zählt oft auch die Auswahl eines Tools für Online-Conferencing. Obwohl viel darüber geschrieben wird und viele Konferenzen über unterschiedliche Anbieter stattfinden, sind die Auswahlkriterien nicht leicht zu erfassen. Der gemäß gesetzlicher Anforderung sorgfältig handelnde Kaufmann muss viele Aspekte bedenken, wie

Verfügbarkeit und Dienstqualität,
Kosten,
Verständlichkeit des Nutzer-Interfaces,
Kenntnisse der Mitarbeiter, die z.B. zur schnellen Eingewöhnung und Problembehebung beitragen können.

Kommt es zum Thema Sicherheit, insbesondere dem Schutz vor Ausspähung, wird es „ungemütlich aufwändig“ bei der Betrachtung der Angebote. Für wirksamen Geheimnisschutz sind wichtig:

Die Nutzung von Verschlüsselungsstandards (z.B. AES, TLS) und
die Gewährung der Durchgängigkeit der Verschlüsselung (E2E oder nicht)

Die E2E-Thematik ist wesentlich: Es reicht nicht aus, sich damit zu befassen, ob eine Verschlüsselungstechnik angewendet wird. Der anzustrebende Schutz des Geschäftsgeheimnisses wird nur gesichert sein, wenn eine Verschlüsselung von einem Ende zum anderen Ende der Übertragungsleitung stattfindet. Diese end-to-end oder E2E-Verschlüsselung lässt nicht zu, dass ein Diensteanbieter (d.h. auch ein dort eingeschleuster Mitarbeiter ) geheime Inhalte abgreift. Anmerkung: Als Jurist kennt man die Diskussion um E2E von der Einführung der Technik des elektronischen Anwaltspostfachs beA.

Insbesondere ist darauf hinzuweisen, dass geprüft werden muss, ob E2E-Verschlüsselung Anwendung findet und für welche Dienste des Dienstleisters das der Fall ist – denn es ist nicht sichergestellt, dass eine E2E-Verbindung, die für den Austausch von Texten über ein Team-Modul angewendet wird, auch für den Videokonferenz-Kontakt in der Team-Software genutzt wird.

Fazit:
Die Frage der Unternehmensführung an die eigene Abteilung IT/Technik/Security oder an externe Dienstleister muss primär die effektive Verschlüsselung von Medien-Daten zwischen Endgeräten betreffen, zumindest dort wo Geheimnisschutz notwendig ist. Anderenfalls droht die Organhaftung wegen mangelhafter Organisation. Aus juristischer Sicht ist davor zu warnen Geschäftskommunikation zwischen Mitarbeitern vorschnell als trivial (und nicht schutzwürdig) zu bewerten. Inwieweit einfache Kommunikationsinhalte interessant für Angreifer sein können, lässt sich aktuellen Berichten entnehmen. Auch kleinere Unternehmen müssen diese Gefährdungsszenarien in ihre Erwägungen einstellen.

30. April 202030. April 2020

IT: Ihr Vertragspartner ist KRITIS?

Werk- und Dienstleister der IT-Branche für kritische Infrastrukturen stehen vielen Regelwerken gegenüber, die ihr Vertragspartner erfüllen muss. In den Sektoren

Energie,
Informationstechnik und Telekommunikation,
Transport und Verkehr,
Gesundheit,
Wasser und Ernährung,
Finanz- und Versicherungswesen

sind ab einer gewissen Unternehmensgröße des Kunden von ihm Sicherheitsvorkehrungen (u.a.) im Hinblick auf die IT zu treffen. Was bedeutet das für den Vertragspartner:

Wie sonst im Werkvertragsrecht, wenn nichts abweichendes geregelt ist, gilt es (mindestens) den Stand der Technik zu erreichen. Für die Betreiber kritischer Infrastrukturen gibt es dazu spezielle Anforderungen. Die Basis der KRITIS-Einordnung und der Pflichten sind das IT-Sicherheitsgesetz und die Rechtsverordnung dazu:
IT Sicherheitsgesetz
Verordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV)

Branchenspezifische Sicherheitsstandards (B3S) spielen eine besondere Rolle als Maßstab des zu erfüllenden Sicherheitslevels/des geforderten Standes der Technik. Einige B3S finden sie hier:
B3S Verzeichnis

Die Unternehmensführung des Vertragspartners eines Unternehmens im Bereich kritischer Infrastrukturen soll vorsorglich – zur Meinung von Rechtsstreitigkeiten – bei Vertragsannahme und der Ausführung davon ausgehen, dass die „eingekauften“ Leistungen zur Erfüllung der KRITIS-Pflichten tauglich sind. Beide Vertragsparteien müssen sich über die einschlägigen Normen bewusst werden, z.B. auch aus DIN, ISO, DKE, ISO/IEC oder abzuleiten aus B3C.

Zu beachten ist, dass spezielle Bereiche wie der TK-Netzbetrieb Sonderregelungen unterliegen. Dazu ist auf die IT-Sicherheitskataloge der Bundesnetzagentur hinzuweisen:
Sicherheitskataloge BNA

Dazu zählt z.B. der IT-Sicherheitskatalog gemäß § 11 Absatz 1b Energiewirtschaftsgesetz. In dessen Rahmen fällt die Vorgabe, dass der Anlagenbetreiber die Konformität seines Informationssicherheits-Managementsystem (ISMS) mit den Anforderungen dieses IT-Sicherheitskatalogs durch ein Zertifikat einer akkreditierten Zertifizierungsstelle nachweisen muss. Im Zitat:

Dementsprechend haben Betreiber von Energieanlagen, die durch die BSI- Kritisverordnung als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, ein ISMS zu implementieren, das den Anforderungen der DIN EN ISO/IEC 27001 in der jeweils geltenden Fassung genügt.
Zum Standard: Abstract in EN

12. März 202013. März 2020

DSE nach OLG Stuttgart

Zur aktuellen Entscheidung des OLG Stuttgart (2 U 257/19) zu datenschutzrechtlichen Informationspflichten:

Im Urteil vom 27.2.2020 hat sich das für unseren Gerichtsbezirk zuständige OLG Stuttgart zur Abmahnbarkeit von fehlenden Darstellungen zum Datenschutz geäußert. Werden personenbezogene Daten bei der betroffenen Person erhoben, hat der Verantwortliche zur Erhebung der Daten Informationen zu erteilen. Die genauen Informationspflichten sind der DSGVO (u.a.) zu entnehmen und hängen teils davon ab, ob bestimmte Umstände vorliegen. Abmahnbar sind nach der Interpretation dieser Entscheidung jedenfalls Verstöße gegen die Pflichten zur Darstellung von:

Namen und
Kontaktdaten des Verantwortlichen (Artikel 13 Absatz 1 lit. a DSGVO);
Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen
Rechtsgrundlage für die Verarbeitung (Artikel 13 Absatz 1 lit. c DSGVO);
Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer (Artikel 13 Absatz 2 lit. a DSGVO);
das Bestehen eines Rechts auf
- Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie
- auf Berichtigung
- oder Löschung
- oder auf Einschränkung der Verarbeitung oder
- eines Widerspruchsrechts gegen die Verarbeitung
- sowie des Rechts auf Datenübertragbarkeit (Artikel 13 Absatz 2 lit. b DSGVO);
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (Artikel 13 Absatz 2 lit. d DSGVO) und
ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist,
ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte (Artikel 13 Absatz 2 lit. e DSGVO).

Diese Rechtsansicht der Richter des OLG ist zu berücksichtigen, bis der BGH in der Revision oder das OLG in künftiger Entscheidung anderes äußert.

Zahlreiche weitere Angaben, die nicht oder ungenau gemacht werden, können zu Abmahnungen führen. Der Mandantschaft wird zunächst geraten insbesondere die oben aufgeführten Punkte zu prüfen oder prüfen zu lassen. Das OLG Stuttgart weist in seiner Entscheidung auch auch auf

Artikel 13 Absatz 1 lit. a (2. Alt.)

Artikel 13 Absatz 1 lit. b

Artikel 13 Absatz 1 lit. d

Artikel 13 Absatz 1 lit. e

Artikel 13 Absatz 1 lit. f

Artikel 13 Absatz 2 lit. c

Artikel 13 Absatz 2 lit. f

Artikel 13 Absatz 3

hin. Siehe dazu den unmittelbar in Deutschland anwendbaren Normtext der Datenschutzgrundverordnung hier: LINK

4. Februar 20204. Februar 2020

US-Business: Sanktionslisten

US-Unternehmen fordern im Handelsverkehr vertragliche Compliance-Zusicherungen unter Bezug auf Listen der US-Behörden. Wer auf den Listen steht, hat schlechte Aussichten auf Geschäfte mit den USA. Personen aus den USA ist verboten mit Gelisteten Geschäfte zu machen. Auch wer Gelistete zu Kunden zählt, sollte Vorsicht walten lassen. Informationen zu den Sanktionslisten können Sie z.B. hier erhalten:

Link zur Suchmaschine über die Sanktionsliste des OFAC

Link auf die Liste des UN-Sicherheitsrats

Hier weitere Hinweise zum Thema Sanktionen und Hinweise zum Auffinden der konsolidierten EU-Liste, die europäische Unternehmen generell bei Rechtsgeschäften zu beachten haben.

10. Januar 202014. Januar 2020

Neues Jahr: Hinterlegungsgegenstände prüfen

Zum neuen Jahr ist anzuraten die bestehenden Software-Hinterlegungen inhaltlich zu prüfen und nötigenfalls zu updaten. Was kam inhaltlich dazu? Dabei ist nicht nur an den Quellcode, sondern auch an erläuternde Text-Materialien zu denken, die im Laufe des letzten Jahres entstanden sind oder erworben/lizenziert wurden.

Das IT-Grundschutz CON-Dokument (i.e. eines zu „Konzeption und Vorgehensweisen“) führt in CON.5.A12 Treuhänderische Hinterlegung (CA) aus:

Für geschäftskritische Anwendungen SOLLTE geprüft werden, ob es notwendig ist, diese gegen Ausfall des Herstellers der Anwendung abzusichern. Dabei SOLLTE die treuhänderische Hinterlegung von nicht zum Lieferumfang der Anwendung gehörenden Materialien bei einer Escrow-Agentur erwogen werden, wie z. B. dokumentiertem Code, Konstruktionspläne, Schlüssel, Passwörter. In diesem Falle SOLLTEN die Pflichten der Escrow-Agentur bei der Lagerung und Herausgabe (wann darf das Hinterlegungsgut an wen herausgegeben werden?) vertraglich geregelt werden.

Der Link dazu hier (extern: BSI)

21. Oktober 201921. November 2019

Sticks als Geschenk?

Wir nähern uns Weihnachten, sind bald in dem Monat, in dem gelegentlich Geschenke in Form von USB-Sticks oder anderen elektronischen Gadgets von Kunden oder Geschäftspartnern an Mitarbeiter der Geschäftskontakte verschenkt werden. Bei der Nutzung dieser harmlos wirkenden Gegenstände ist Vorsicht geboten. „Einfach mal anstecken“ um zu sehen, ob er funktioniert kann ein erhebliches Sicherheitsrisiko mit sich bringen. Schadsoftware kann unbemerkt in das System des Unternehmens eindringen. Dann „brennts nicht nur am Weihnachtsbaum, sondern auch im Serverraum.“

Die Geschäftsleitung sollte sich an den Hinweisen des Bundesamts für Sicherheit in der Informationstechnologie orientieren, das in den Ausführungen zum Grundschutz vor zu sorglosen Umgang mit USB-Sticks warnt. Sorgfältige Unternehmensleitung veranlasst also die Aufklärung über Risiken von geschenkten Stick und Gadgets mit USB-Funktionen. Im Sinne des Direktionsrecht des Arbeitgebers sollte zumindest zum Scannen solcher Sticks vor Einsatz mit Unternehmenshardware aufgefordert werden.

Zitat aus IT-Grundschutz INF 9 mobiler Arbeitsplatz:

„Darüber hinaus werden zum Teil Geschenke in Form von Datenträgern, wie z. B. USB-Sticks, von Mitarbeitern angenommen und unüberlegt an das eigene Notebook angeschlossen. Hier kann dann das Notebook mit Schadsoftware infiziert werden und dadurch können schützenswerte Informationen gestohlen, manipuliert oder verschlüsselt und damit vorübergehend unbrauchbar gemacht werden.“

13. September 201913. November 2019

PHP-Version und die Haftung für den Stand der Technik

Software-Projektverantwortliche, Freelance-Entwickler und sonstige an Projektverträgen beteiligte Verhandler haben darauf zu achten, dass Abweichungen vom Stand der Technik auf Kundenwunsch oder in dessen Unkenntnis hinreichend mit dem Auftraggeber erörtert werden. Im Fall von PHP-basierter Software sollte eine Entwicklung für aktuelle PHP-Version(en) zu Grunde gelegt werden.

Hinweise zu wegen ungepachten Sicherheitsrisiken nicht mehr empfohlenen Versionen wie 5.-PHP-Versionen finden sich (z.B. für Laien verständlich bildlich dargestellt) hier: LINK

25. Juli 201925. November 2019

Coders Arbeitsplatz: Spieglein, Spieglein?

Ein neuer Auftrag mit neuen Gesichtern im Unternehmen steht an? Ein akquiriertes Großprojekt freut die Finanzplaner von Softwareunternehmen üblicherweise. Werden neue Mitarbeiter (wenn auch nur auf Zeit) eingestellt, muss die Geschäftsführung im Blick haben, dass es nicht trivial ist, neue Desks zu schaffen. Der Coder-Arbeitsplatz im Großraumbüro ganz hinten im Dunkeln oder der mit dem Rücken zum Fenster mag für Entwickler noch OK oder – je nach Charakter – sogar angenehm sein.

Das Arbeitsschutzrecht steht aber in vielen Fällen entgegen. Die Verordnung über Arbeitsstätten (Arbeitsstättenverordnung) regelt nicht nur Sitzpositionen, sondern auch das Spiegeln des Bildschirms („Bildschirme, die über reflektierende Oberflächen verfügen, dürfen nur dann betrieben werden, wenn dies aus zwingenden aufgabenbezogenen Gründen erforderlich ist“) und die Größe des Bildschirms. Es zeigt sich also, dass die arbeitsvertragliche Tätigkeitsbeschreibung für den neuen Mitarbeiter nicht nur für seine künftigen Aufgaben ausschlaggebend ist, sondern auch für die rechtmäßige Einrichtung dessen Arbeitsplatzes Vorgaben macht. Man kann länger diskutieren wie groß die Bildschirmdiagonale für Development mit X-Code sein muss. Dazu sollte man es aus Sicht der Unternehmensführung jedenfalls nicht vor Gericht kommen lassen. Die Geschäftsführung sollte typische Symptome falscher Arbeitsplatzeinrichtung (Ermüdungen, Kopfschmerzen, Verspannungen etc.) kennen und schnellstens prüfen, ob die Arbeitsstättenverordnung eingehalten ist, insbesondere wenn arbeitsrechtliche Auseinandersetzungen mit Codern drohen.

Den Rechtstext finden Sie hier im Dokument unten unter Nr. 6.

13. April 201913. Februar 2020

Content und UWG

Nicht nur die Beiträge von „expliziten Influencern“, sondern auch die der Web-Communities mit eigenen redaktionellen Inhalten (RStV-Pflichten beachten!) stehen unter wettbewerbsrechtlicher Beobachtung. Wo Werbung nicht erkennbar ist, droht die Abmahnung. Welche wettbewerbsrechtlichen Vorgaben es gibt, ist den Verantwortlichen oft nicht bewusst.

Zur Content-Kennzeichnung und Web-Gestaltung ist der Blick ins UWG notwendig. Insbesondere im Anhang zu § 3 UWG finden sich konkrete Hinweise, wie weit der Inhaltsanbieter gehen darf. Rechtswidrig ist laut Gesetz „der vom Unternehmer finanzierte Einsatz redaktioneller Inhalte zu Zwecken der Verkaufsförderung, ohne dass sich dieser Zusammenhang aus dem Inhalt oder aus der Art der optischen oder akustischen Darstellung eindeutig ergibt (als Information getarnte Werbung)“

Link zum Anhang zu § 3 UWG im Ganzen

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	finklaw.de	Cookie acceptance (Annahme-Einstellungen bezüglich der Cookies)	1 year	HTTP
wpl_viewed	finklaw.de	Cookie-Zustimmung dargestellt (ja/nein)	1 year	HTTP
wp-postpass	finklaw.de	Mandantenbereich: Zum Login und folgender Bereitstellung der Inhalts-Sichtbarkeit notwendiger Cookie	10 days	HTTP
wordpress_test_cookie	finklaw.de	WordPress setzt ihn wenn zur Login-Seite navigiert wird und prüft so, ob Ihr Web Browser eigestellt ist, Cookies zu akzeptieren.	0 days	HTTP

Name	Domain	Purpose	Expiry	Type
wp-settings-1	finklaw.de	Browser (Browsereinstellung bei erfolgten WordPress-Logins - die Zahl am Ende erlaubt verschiedene Nutzerprofile zu erkennen)	25 days	HTTP
wp-settings-time-1	finklaw.de	Time (Zeiteinstellung bei erfolgten WordPress-Logins - die Zahl am Ende erlaubt verschiedene Nutzerprofile zu erkennen)	25 days	HTTP

Diese Webpräsenz der Rechtsanwaltskanzlei und Gütestelle Fink verwendet Cookies.