In der aktuellen CR Ausgabe (Heft 10, Erscheinungstermin: 15. Oktober 2016) lesen Sie folgende Beiträge und Entscheidungen.

Editorial

• Grützmacher, Malte / Härting, Niko / Heun, Sven-Erik / Heymann, Thomas / Schneider, Jochen / Schuster, Fabian / Spiecker gen. Döhmann, Indra / Spindler, Gerald / Gasper, Ulrich, Michael Bartsch zum 70., CR 2016, 625-626
• Heckmann, Dirk, Editorial der DGRI, CR 2016, 626

IT und Software

• Schuster, Fabian, Mitwirkungspflichten bei IT-Verträgen, CR 2016, 627-634
  Die Mitwirkung bei IT-Projekten ist in der Praxis von erheblicher Bedeutung. Überwiegend wird sie in der Literatur, die der Rechtsprechung des BGH zur Mitwirkungshandlung nach § 642 BGB folgt, trotz dieser Relevanz als rein unverbindliche Obliegenheit, also nicht als Nebenpflicht des IT-Projektvertrages eingestuft. Dies wird der hervorgehobenen Bedeutung von Mitwirkungen bei IT-Projekten jedoch nicht gerecht (hierzu I.). Der Beitrag will, ausgehend von der tradierten Auffassung (hierzu II.) aufzeigen, dass die Mitwirkung nach § 642 BGB auch ohne entsprechende vertragliche Regelung nicht als bloße Obliegenheit zu qualifizieren ist. Die von der h.M. vorgenommene Einstufung der Mitwirkung des Auftraggebers bei Werkverträgen als Obliegenheit wird derartigen Projekten nicht gerecht, sie ist darüber hinaus weder mit der Geschichte, noch mit dem Wortlaut bzw. dem Sinn des § 642 BGB vereinbar. Diese Überlegungen müssen gerade für IT-Projekte daher zu dem Ergebnis führen, dass die besondere Bedeutung der Mitwirkung eine Einordnung als Vertragspflicht erfordert und zulässt (hierzu III.). Hierdurch lassen sich auch die Rechtsfolgen einer unterlassenen Mitwirkung wieder dogmatisch sauber begründen (hierzu IV.).
  
• Schneider, Jochen, Zwischenbilanz zum Lebensraum der werkvertraglichen “Abnahme“ in IT-Projekten, CR 2016, 634-642
  Die Befassung mit der Abnahme bei IT-Projekten verläuft in langfristigen Iterationsschritten mit Pausen, tendiert aber zu immer ausgekügelteren, umfassenderen Konzepten, Phasen und Regelungen, um die Abnahme “richtig“ zu gestalten. Dies drückt sich auch in den Vertragsregelungen aus. Der Beitrag will vor dem Hintergrund der Vorschläge des Jubilars die zahlreichen und komplexen Hindernisse aufzeigen, die teils die Vertragsgestaltung, teils die Beteiligten überfordern. Als mögliche Lösung wird ein Vorschlag zu einem vereinfachten Konzept der “Freigabe“ unterbreitet.
  
• OLG Hamburg v. 16.6.2016 - 5 W 36/16, OLG Hamburg: Unlautere Veräußerung von Gebrauchtsoftware, CR 2016, 642-646

Daten und Sicherheit

• Härting, Niko, “Dateneigentum“ – Schutz durch Immaterialgüterrecht?, CR 2016, 646-649
  “Ist Software eine Sache?“ zeigte 2010 auf, dass es auf diese einfache Frage keine einfache Antwort gibt (CR 2010, 553). Seine Antwort war typisch : Es komme stets auf die “Passung“ an, auf den Kontext, in dem die Frage steht. Eine Antwort, die sich ohne weiteres auf die Frage nach einem “Dateneigentum“ übertragen lässt, die derzeit viel diskutiert wird.

• Heymann, Thomas, Rechte an Daten, CR 2016, 650-657
  Seit ihrer Gründung hat in Computer & Recht nahezu alle einschlägigen rechtsgrundsätzlichen Debatten begleitet und entscheidend geprägt. Geleitet wird er dabei durch eine vorsichtige und “analytische“ Grundeinstellung, die zunächst viele Facetten eines Problemkreises auffächert, statt gleich Rechtsgrundsätze zu postulieren. Ein gutes Beispiel hierfür ist seine Stellungnahme zu der Frage, ob Daten als Rechtsgut i.S.d. § 823 Abs. 1 BGB zu werten sind, was er im Ergebnis vorsichtig abwägend bejaht (, CR 2010, 553). In jüngster Zeit wurde nun von verschiedener Seite die Einführung eines gesetzlichen Sonderschutzes für Daten vorgeschlagen. ist ein Freund der gepflegten Kontroverse. Ihn wird es daher nicht stören, wenn der folgende Beitrag dafür plädiert, Daten weder de legel lata als Schutzgut i.S.d. § 823 Abs. 1 BGB zu qualifizieren, noch einen gesetzlichen Sonderschutz einzuführen. Soweit hier Schutzlücken bestehen, sollten sie durch bereichsspezifische Regelungen geschlossen werden.

• Witt, Thorsten / Freudenberg, Philipp, NIS-Richtlinie, CR 2016, 657-663
  Nach einer kurzen Einleitung (I.) stellt der Beitrag zunächst die Struktur und die Kernelemente der NIS-Richtlinie vor (II.) und prüft sodann den Umsetzungsbedarf auf nationaler Ebene im Lichte des IT-Sicherheitsgesetzes (III.).

• Schallbruch, Martin, Die EU-Richtlinie über Netz- und Informationssicherheit: Anforderungen an digitale Dienste, CR 2016, 663-670
  Der Beitrag stellt zunächst mit der NIS-Richtlinie und dem IT-SiG die wesentlichen Regelwerke für die Sicherheit digitaler Dienste vor (I.). Sodann wird die Unterscheidung der NIS-Richtlinie zwischen digitalen Diensten im engeren und im weiteren Sinne nachvollzogen und der aus ihr resultierende Umsetzungsbedarf im nationalen Recht aufgezeigt (II.). Schließlich werden die wesentlichen Sicherheitsanforderungen an digitale Dienste untersucht, die sich in IT-Sicherheitsmaßnahmen, besondere Meldepflichten und Überwachungsmaßnahmen unterteilen lassen (III.), bevor in einem Ausblick nicht nur der aktuelle Umsetzungsbedarf, sondern auch die Zukunftsperspektive für das IT-Sicherheitsrecht resümiert werden (IV.).

• Bergt, Matthias, Verhaltensregeln als Mittel zur Beseitigung der Rechtsunsicherheit in der Datenschutz-Grundverordnung, CR 2016, 670-678
  Die ab dem 25.5.2018 anwendbare Datenschutz-Grundverordnung (DSGVO) macht umfassenden Gebrauch von Generalklauseln, insbesondere mit Anordnungen zur Abwägung widerstreitender Interessen, von unbestimmten Rechtsbegriffen und Ermessenseinräumungen. Zugleich sieht sie für – sogar schuldlose – Verstöße gegen ihre oftmals unklaren Vorschriften Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes vor, gesteht betroffenen Personen Ersatz immaterieller Schäden und Verbänden ein – wenn auch beschränktes – Klagerecht zu. Da es sich um eine unmittelbar geltende Verordnung handelt, haben die Mitgliedsstaaten nur dort die Möglichkeit zur Beseitigung der Rechtsunsicherheit, wo die DSGVO dies explizit vorsieht. Doch Verhaltensregeln nach den Art. 40 und 41 DSGVO eröffnen Unternehmen und ihren Verbänden die Möglichkeit, rechtsverbindlich, optional gar mit Bindungswirkung für die Aufsichtsbehörden und Gerichte in der gesamten Europäischen Union, feststellen zu lassen, dass ihre Regelungen den gesetzlichen Anforderungen entsprechen. Verhaltensregeln können zudem Datenexporte in unsichere Drittländer rechtfertigen, ohne dass eine weitere Genehmigung der Aufsichtsbehörde erforderlich wäre. Aus der Unbestimmtheit des Gesetzes resultierende Haftungs- und Compliance-Risiken lassen sich so auf nahezu Null minimieren. Eine funktionierende Selbstkontrolle kann zudem dafür sorgen, dass selbst bei Verstößen kaum mit Geldbußen oder anderen Folgen für die betroffenen Unternehmen zu rechnen ist.Der Beitrag skizziert zunächst, wie sich die DSGVO auf die Instrumentarien zur Bestimmung der Datenschutz-Compliance eines Unternehmens auswirkt und Rechtsunsicherheit verursacht (I.). Sodann wird aufgezeigt, warum und wie ein Unternehmen mit dem neuen Instrument der Verhaltensregeln nach den Art. 40, und 41 DSGVO im Falle einer Genehmigung durch die Europäische Kommission EU-weit Rechtssicherheit erlangen kann (II.). Mit diesem Ziel vor Augen, werden im Schwerpunkt die Inhalte derartiger Verhaltensregeln (III.) und die Mechanismen zur Überwachung ihrer Einhaltung (IV.) beschrieben. Abschließend werden das Verfahren zur Genehmigung solcher Verhaltensregeln (V.) und die weitreichenden Rechtswirkungen einer Genehmigung (VI.) dargestellt, bevor die Wirkung von Verhaltensregeln als Nachweis der Erfüllung von Prüf- und Dokumentationspflichten (VII.) hervorgehoben wird.

Internet und E-Commerce

• EuGH v. 15.9.2016 - Rs. C-484/14, EuGH: Haftung gewerblicher WLAN-Betreiber für Urheberrechtsverletzungen Dritter, CR 2016, 678-684

Telekommunikation und Medien

• Heckmann, Dirk, Vertrauensdiensteanbieter als Kommunikationsmittler, CR 2016, 684-695
  Der Beitrag greift den Trend bei Unternehmen auf, Nachrichten und Dokumente an ihre Kunden zunehmend über ein eigenes Unternehmensportal abzuwickeln. Diese Veränderung im Kommunikationsverhalten (I.) bringt neue Herausforderungen für den Verbraucherschutz und für Postdienstleistungen mit sich. Der Beitrag zeigt zunächst die sich aus einer solchen Portalkommunikation ergebenden Rechtsfragen auf (II.), stellt sodann ein belastbares Lösungsmodell vor, in dem Vertrauensdienste im Sinne der eIDAS-Verordnung als Intermediäre eingesetzt werden (III.), bevor er mit einem kurzen Ausblick schließt.

Report und Technik

• Grützmacher, Malte, Die deliktische Haftung für autonome Systeme – Industrie 4.0 als Herausforderung für das bestehende Recht?, CR 2016, 695-698
  Die Frage, inwieweit das existierende Recht, der Fragestellung der deliktischen Haftung für autonome Systeme Herr werden kann, wird heute kontrovers diskutiert. Schaut man näher hin, so zeigt sich, dass der Begriff der Autonomie relativ und die Diskussion möglicherweise etwas verfrüht ist. Vieles spricht dafür, dass wir es insofern mit Blick auf die kommenden Jahre eher mit einem Beweis- bzw. Beweislastproblem zu tun haben. Die fernere Zukunft mag insofern aber zu grundsätzlicheren Problemen führen; dazu , CR 2016, 698 (in diesem Heft).Der Beitrag greift die Diskussion des haftungsrechtlichen Systems der Risikozuweisung für Fehlentscheidungen autonomer Systeme auf (I.) und hinterfragt auf der Grundlage des heutigen Stands der Technik die These, dass Hersteller oder Betreiber autonomer Systeme mangels Vorhersehbarkeit von Fehlentscheidungen nach den Grundsätzen der Verschuldenshaftung oder der Produkthaftung nicht haftbar gemacht werden könnten (II.). Ein Rückgriff auf das Konzept der Gefährdungshaftung erscheint beim derzeitigen Grad der Autonomie und künstlichen Intelligenz der Systeme nicht notwendig, zumal beweislastbasierte deliktische Haftungskonzepte (nach dem Vorbild des § 836 Abs. 1 BGB) zunächst vorzugswürdige Lösungen bieten dürften (III.). Denn noch geht es um Beweisprobleme; die Tage der Turing-Berechenbarkeit autonomer System scheinen allerdings gezählt (IV.).
• Spiecker gen. Döhmann, Indra, Zur Zukunft systemischer Digitalisierung – Erste Gedanken zur Haftungs- und Verantwortungszuschreibung bei informationstechnischen Systemen, CR 2016, 698-704
  Der Beitrag befasst sich mit einem zentralen Problembereich, dessen Folgen das Recht in der systemischen Digitalisierung vor erhebliche Herausforderungen stellen werden, nämlich die im System kaum mehr mögliche Zuschreibung von Verantwortung, rechtlicher Person und damit Anknüpfung an eine verbindliche Pflichten-/Rechtestellung (III.). Wegen der Geschwindigkeit und den technischen Grundlagen systemischer Digitalisierung sind diese Schwierigkeiten nicht ohne weiteres mit anderen Systemen zu vergleichen. Diese Folgen treffen das Zivil-, Straf- und Öffentliche Recht gleichermaßen. Gleichwohl beginnt der Beitrag nach kurzer Skizzierung des Begriffs der systemischen Digitalisierung (I.) damit, zunächst eine unterschätzte, gleichwohl schon früh erfolgte Weichenstellung des Rechts zur Bewältigung dieser Schwierigkeiten ins Bewusstsein zu rufen (II.).

Computer und Recht aktuell

• Schafdecker, Julia, EuGH: Keine unlautere Geschäftspraxis durch Verkauf von Laptops mit vorinstallierter Software, CR 2016, R111
• Hrube, Mandy, EuGH: Zur Haftung für Urheberrechtsverletzungen bei öffentlich zugänglichem WLAN-Netz, CR 2016, R111-R112
• Hrube, Mandy, EuGH: Zur Urheberrechtsverletzung beim Setzen eines Hyperlinks auf urheberrechtlich geschützte Werke, CR 2016, R112-R113
• Grenzer, Matthis, BGH: Schadensersatzanspruch nach ,Shill Bidding‘ bei eBay Auktion, CR 2016, R113-R114
• Grenzer, Matthis, EU-Kommission: FFG Abgabenpflicht auch für Video-on-Demand-Anbieter mit Sitz im Ausland, CR 2016, R114
• Scherer, Joachim / Heun, Sven-Erik, Regulierung von OTT-Diensten?, CR 2016, R114-R115
• Lundberg, Jan, OLG Karlsruhe: Keine Wohnungsdurchsuchung bei Spam-Mail-Versand an Polizei, CR 2016, R115

Report

• Savić, Laura / Grosskopf, Lambert, BuchbesprechungenIT-Forensik: Zur Erhebung und Verwertung von Beweisen aus informationstechnischen Systemen, CR 2016, R115-R116
• Sassenberg, Thomas, BuchbesprechungenDas neue Datenschutzrecht in der betrieblichen Praxis, CR 2016, R116-R117
• Lachenmann, Matthias, BuchbesprechungenDatenschutzrecht – Kommentar zum Bundesdatenschutzgesetz, zur neuen EU-DS-GVO, den Datenschutzgesetzen der Länder und Kirchen sowie zum Bereichsspezifischen Datenschutz, CR 2016, R117-R118

Computer und Recht aktuell

• DGRI Informationen, CR 2016, R118
• Lejeune, Mathias / Stögmüller, Thomas, Hackertechniken und Penetrationtest-Vereinbarungen, CR 2016, R118-R119