Willkommen beim Original und Testsieger.
Online seit 2004, mit über 140.000 Fragen & Antworten. 
00.000
Bewertungen
0,0/5,0
Günstige Rechtsberatung für alle.
Anwalt? Mitmachen
1
 
Frage stellen
an unsere erfahrenen Anwälte.
Jetzt auch vertraulich
Frage stellen
einem erfahrenen Anwalt
Jetzt auch vertraulich
2
 
Preis festlegen
Sie bestimmen, wieviel Ihnen die Antwort wert ist.
Preis festlegen
Sie bestimmen die Höhe selbst
3
Antwort in 1 Stunde
Sie erhalten eine rechtssichere
Antwort vom Anwalt.
Antwort in 1 Stunde
Rechtssicher vom Anwalt
Jetzt eine Frage stellen

Sicherung/Archivierung von entwickelter Software im 'Internet'

31.03.2010 14:23 |
Preis: ***,00 € |

Internetrecht, Computerrecht


Bitte nur Antworten von Experten im IT/Internetrecht.
-----

Ein Freiberufler F im IT Bereich entwickelt u.a. für Kunden regelmässig Software. Die Vereinbarungen zu Nutzungsrechten sind kundenspezifisch angepasst, d.h. einem Kunden könnte z.B. ein "ausschließliches, unwiderrufliches, übertragbares und zeitlich unbeschränktes Nutzungsrecht" überschrieben worden sein, einem anderen ein "einfaches" oder "nicht ausschliessliches" oder "nicht übertragbares".

Einige der Kunden verlangen, dass der Freiberufler die Sourcen selber sichert bzw. archiviert. (Art und Umfang der Sicherung/Archivierung wird vom Kunden nicht spezifiziert, das Nichtvorhandensein einer Sicherung/Archivierung aber unter eine Vertragsstrafe gestellt)

*Abschottung des Rechners gegen Fremdzugriff*
F hat daraufhin einen Hosted Server (sogenannte Dedicated Root Server im Rechenzentrum des Hosters in Deutschland) angemietet und auf diesem die Versionsverwaltung Subversion installiert. Der Server steht geschützt hinter einer dedizierten Hardware Firewall, welche nur gesicherte Verbindungen durchlässt (SSH, HTTPS). Der Traffic von und zu dem Server (einschliesslich aller Sourcen und Passwörter) ist somit komplett verschlüsselt und nach aktuellem Stand der Technik für Andere nicht entschlüssel- oder einsehbar.

*Trennung der Kunden *
Die Software ist kundenspezifisch in sogenannten Repositories untergebracht, nehmen wir an repos/Firma_A, repos/Firma_B und repos/Firma_C (nur zur Verdeutlichung, de facto aber so etwas wie repos/r0789f).

*Zugriff*
Zugriff auf den Server, die Firewall und die Sourcen hat nur F.
Zugriff auf Server, Firewall und Sourcen ist durch unterschiedliche nicht triviale Passwörter geschützt.

*Sicherung/Archivierung*
Die Repositories werden täglich gesichert, liegen aufgrund von Hardware RAID1 damit auf den zwei getrennten Festplatten des Rechners (1. Sicherung) und werden danach per dediziertem Transfer auf ein Backup Medium des Hosters transferiert (2. Sicherung). Zudem liegen die ausgecheckten Versionen der Repositories verschlüsselt auf dem Heimatrechner des F (RAID1 SAN, 3. Sicherung); selbst bei Diebstahl des Heimatrechners bzw. des SANs kann ein Dieb also nicht auf die Sourcen zugreifen.


Fragen:

a) Hat F den Anforderungen zur Sicherung genüge getan?
b) Hat F den Anforderungen zur Sicherheit der Daten genüge getan?
Wenn a) oder b) nein, welche Anforderungen müssen erfüllt werden?

Muss F auf Anforderung einem Kunden preisgeben, wo und wie er die Sourcen gesichert hat?

Kann einer der Kunden F vorwerfen, er ware mit "seinen" Sourcen fahrlässig oder grob fahrlässig oder anderweitig vertragswidrig umgegangen, da diese potentiell, also bei Wissen über

Hostadresse z.B. https://www.meinGeheimRechner.de/
, Repository Basis z.B. repos/
, Repository Namen z.B. r0789f
, Namen des eingetragen Benutzers z.B. HeinzHugo
, sowie dessen Passwort z.B. #geheim0815

über eine "Internet" Adresse zugänglich wären?

Muss F den Hoster und seine Mitarbeiter zur Vertraulichkeit der Daten auf dem Backupmedium verpflichten oder ergibt sich dieses automatisch de jure für alle Hoster?

Kann ein Kunde Einsichtnahme in das für ihn angelegte Repository verlangen oder diese richterlich erwirken? Kann ein Kunde Einsichtnahme in alle Repositories (also auch die von evtl. Mitbewerbern) verlangen oder richtlich erwirken, weil er z.B. den Verdacht äussert, F hätte dort seine Rechte verletzt ?

Aendert sich an den Antworten etwas, wenn F seinem Kollegen K auf dem Server ein Repository repos/Firma_D anlegt und der Zugriff des K auf nur dieses eine Repository beschränkt bleibt?

Gruss
N.

Sehr geehrter Fragesteller,

vielen Dank für Ihre Anfrage, die ich aufgrund Ihrer Angaben gerne wie folgt beantworten möchte:

Zunächst ist festzuhalten, dass der jeweilige Kunde grundsätzlich keinen Anspruch auf Herausgabe des Sourcecodes hat. Etwas anderes gilt nur, wenn es eine diesbezügliche vertragliche Vereinbarung gibt.

Das gleiche gilt im Hinblick auf die Sicherung des jeweiligen Sourcecodes. Grundsätzlich ist der Kunde für die Sicherung- und Archivierung der ihm überlassenen Sourcen verantwortlich. Sollten Sie dem Kunden umfassende Nutzungs- und Verwertungsrechte übertragen und sich zugleich zur Herausgabe des Sourcecodes verpflichtet haben, bedeutet dies nicht, dass zugleich eine Verpflichtung zur Sicherung und Archivierung der Sourcen besteht. Der Softwareentwickler ist m.E. weder gesetzlich noch aus einer ungeschriebenen vertraglichen Nebenpflicht zur Sicherung und Archivierung der Sourcen verpflichtet. Es bedarf also einer ausdrücklichen vertraglichen Vereinbarung. Sie stellen dar, dass es teilweise derartige vertragliche Vereinbarungen geben würde, eine Spezifikation der Sicherungs- und Archivierungsanforderungen jedoch fehle.

Es ist daher durch Auslegung zu ermitteln, wie eine derartige Sicherung- und Archivierung zu erfolgen hat. Mangels vertraglicher Festlegungen hat die Sicherung und Archivierung „State of the Art“ zu erfolgen, ist also an den gängigen und üblichen Sicherungs- und Archivierungsmethoden auszurichten.

Die von Ihnen beschriebene Mehrfachsicherung und Archivierung, sowie der Schutz vor unbefugten Zugriffs Dritter, dürfte diesen Anforderungen insgesamt entsprechen. Eine technische Beantwortung dieser Frage bliebe einem Sachverständigengutachten vorbehalten. Maßgeblich ist jedoch, dass das gewählte Verschlüsselungssystem und die Art und Weise der Sicherungsmethoden dem Stand der Technik entsprechen. Davon ist nach Ihren Beschreibungen auszugehen.

Zu Ihren einzelnen Fragen:

a) Hat F den Anforderungen zur Sicherung genüge getan?
Ja, (s.o.) solange vertraglich keine weitergehende Einschränkung und Anforderung an die Methode gestellt wird. Weitergehende Verpflichtungen können sich z.B. aus einer sog. ESCROW-Vereinbarung ergeben.

b) Hat F den Anforderungen zur Sicherheit der Daten genüge getan?

Aus meiner Sicht ja (s.o).

Wenn a) oder b) nein, welche Anforderungen müssen erfüllt werden?
Entfällt!

Muss F auf Anforderung einem Kunden preisgeben, wo und wie er die Sourcen gesichert hat?
Dies kann nur aus der Gesamtschau der vertraglichen Vereinbarung und in Kenntnis des genauen Wortlauts beantwortet werden. Soll mit der Verpflichtung zur Sicherung und Archivierung nur sichergestellt werden, dass man jederzeit Zugriff auf die Sourcen hat, ist grundsätzlich unerheblich, wo und wie die Sourcen gesichert sind. Soll damit auch im Falle einer Insolvenz eine Zugriffsmöglichkeit bestehen, müsste der Kunde schon wissen, wo die Sourcen gesichert sind, um dann diesbezüglich Rechte u.U. auch durchsetzen zu können. Dies ginge jedoch schon wieder weiter in den Bereich einer ESCROW-Vereinbarung, welche ausdrücklich vereinbart werden müsste.

Kann einer der Kunden F vorwerfen, er ware mit "seinen" Sourcen fahrlässig oder grob fahrlässig oder anderweitig vertragswidrig umgegangen, da diese potentiell, also bei Wissen über
Hostadresse z.B. <a target="_blank" href="https://www.meinGeheimRechner.de/" rel="nofollow">https://www.meinGeheimRechner.de/</a>
, Repository Basis z.B. repos/
, Repository Namen z.B. r0789f
, Namen des eingetragen Benutzers z.B. HeinzHugo
, sowie dessen Passwort z.B. #geheim0815
über eine "Internet" Adresse zugänglich wären?

Nur, wenn diese Daten und Passwörter grob fahrlässig Dritten bekannt gemacht worden wären oder das System sehr einfach „gehackt“ werden kann.


Muss F den Hoster und seine Mitarbeiter zur Vertraulichkeit der Daten auf dem Backupmedium verpflichten oder ergibt sich dieses automatisch de jure für alle Hoster?

Dies ist grundsätzlich empfehlenswert. Unabhängig davon ergeben sich aus datenschutzrechtlichen und wettbewerbsrechtlichen Vorschriften entsprechende gesetzliche Geheimhaltungs- und Vertraulichkeitsvorschriften.

Kann ein Kunde Einsichtnahme in das für ihn angelegte Repository verlangen oder diese richterlich erwirken?

Nur, wenn dies vertraglich vereinbart ist.

Kann ein Kunde Einsichtnahme in alle Repositories (also auch die von evtl. Mitbewerbern) verlangen oder richtlich erwirken, weil er z.B. den Verdacht äussert, F hätte dort seine Rechte verletzt ?

Das bloße Äußern eines Verdachts ist hier nicht ausreichend. Der Kunde müsste darlegen und beweisen können, dass seine Rechte verletzt werden. Dazu muss er substantiiert darlegen, auf welche Tatsachen er eine behauptete Rechtsverletzung stützt. Behauptungen „ins Blaue hinein“ sind dafür nicht ausreichend.

Aendert sich an den Antworten etwas, wenn F seinem Kollegen K auf dem Server ein Repository repos/Firma_D anlegt und der Zugriff des K auf nur dieses eine Repository beschränkt bleibt?

M.E. ergeben sich hieraus keine Besonderheiten.

Ich hoffe, dass ich Ihnen in der Sache weiterhelfen konnte und weise bei Unklarheiten auf die kostenlose Nachfragefunktion hin.
Sollten Sie eine darüber hinausgehende Vertretung in Erwägung ziehen, empfehle ich Ihnen eine Kontaktaufnahme über die unten mitgeteilte E-Mail-Adresse.

Mit freundlichen Grüßen

André Sämann
Rechtsanwalt
_______________________________________
Herzogswall 34
45657 Recklinghausen

Telefon 02361 370 340 0
Telefax 02361 370 340 1

Mail info@ra-saemann.com
Web www.ra-saemann.com
_______________________________________


Durch Weglassen oder Hinzufügen weiterer Sachverhaltsangaben Ihrerseits kann die rechtliche Beurteilung anders ausfallen, sodass die Beratung innerhalb dieses Forums lediglich eine erste rechtliche Orientierung in der Sache darstellt und keinesfalls den Gang zu einem Kollegen vor Ort ersetzen kann.

FRAGESTELLER 30.12.1899 /5,0
Durchschnittliche Anwaltsbewertungen:
4,6 von 5 Sternen
(basierend auf 80467 Bewertungen)
Aktuelle Bewertungen
4,4/5,0
Sachverhalt richtig erfasst, auf Lösungsmöglichkeiten hingewiesen. ...
FRAGESTELLER
5,0/5,0
Alles super!! Sehr zufrieden!! ...
FRAGESTELLER
5,0/5,0
Eine sehr gute und klar argumentierte Antwort. ...
FRAGESTELLER