Compliance – Softwarerecht

Cybersecurity in der Software-Lieferkette

Die jüngsten Angriffe auf die JavaScript-Bibliotheksplattform npm zeigen auf dramatische Weise, wie verwundbar moderne Software-Lieferketten sind. Ein selbstvermehrender Wurm namens Shai-Hulud hat Hunderte von Code-Paketen infiziert, Zugangsdaten gestohlen und diese öffentlich zugänglich gemacht. Für Unternehmen und ihre Führungskräfte wirft dies nicht nur technische, sondern auch erhebliche rechtliche und haftungsrelevante Fragen auf. Was ist passiert, welche Risiken bestehen für Unternehmen, und wie können sich Verantwortliche absichern?

Designprinzipien für LLM-basierte Systeme des BSI

Ein aktuelles BSI-Whitepaper zu Designprinzipien für LLM-basierte Systeme mit „Zero Trust“-Ansatz enthält zentrale Empfehlungen zur sicheren Implementierung von KI-Systemen in Unternehmen und Behörden. Die Vorgaben reichen von der Authentifizierung und dem Input-/Output-Schutz bis hin zum Monitoring und Hintergrundwissen für die Awareness.

Doch Vorsicht, diese Empfehlungen sind mehr als reine IT-Empfehlungen: Sie berühren unmittelbar haftungsrechtliche Fragen und betreffen die konkrete Umsetzung datenschutzrechtlicher Vorgaben gemäß Art. 25 DSGVO („Privacy by Design“ und „Privacy by Default“).

Opensource-Software-Compliance

Open-Source-Software-Compliance

Open-Source-Software (OSS) hat in den letzten Jahren massiv an Bedeutung gewonnen. Unternehmen nutzen OSS aus verschiedenen Gründen: Dazu zählen Kosteneinsparungen, der Zugang zu hochwertigen Technologien und die Möglichkeit, auf einer breiten Basis von Entwicklern aufzubauen.

Doch der Einsatz von OSS bringt auch Herausforderungen mit sich, insbesondere im Bereich der Compliance. In diesem Kontext bedeutet Compliance die Einhaltung der verschiedenen Lizenzbedingungen, die mit Open-Source-Software verbunden sind. Verstöße gegen diese Bedingungen können erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen.

KI-Haftungsrichtlinie: Richtlinie zur KI-Haftung

Richtlinie zur KI-Haftung (“KI-Haftungsrichtlinie”): Der Entwurf für eine Richtlinie des Europäischen Parlaments und des Rates zur Anpassung der Vorschriften über außervertragliche zivilrechtliche Haftung an künstliche Intelligenz (KI-Haftung) zielt darauf ab, einheitliche Anforderungen für die Haftung bei Schäden, die durch KI-Systeme verursacht werden, zu schaffen.

KI-Verordnung: EU reguliert Einsatz künstlicher Intelligenz

KI-Verordnung (KI-VO, auch AI-Act): Die EU möchte Entwicklung und Einsatz künstlicher Intelligenz regulieren. Hierzu liegt inzwischen ein Vorschlag für eine Verordnung über ein europäisches Konzept für Künstliche Intelligenz vor, wobei aus meiner Sicht zuvorderst besonders spannend die Frage sein dürfte, was man überhaupt unter künstlicher Intelligenz verstehen möchte.

Im Übrigen ist es noch recht früh für eine umfassende Übersicht der KI-Verordnung. Wichtig ist: Es soll einen Katalog absolut verbotener Einsatz-Szenarien von KI geben, es soll eine “High-Risk”-KI geben, für die besondere Vorgaben gelten; darüber hinaus gibt es Transparenzpflichten bei eingesetzter KI.

Update zum Stand der KI-Verordnung: Am 19.10.2022 hat die (tschechische) EU-Ratspräsidentschaft einen neuen Kompromiss vorgeschlagen, Ziel ist gegen Ende des Jahres 2022 eine Einigung für ein “KI-Gesetz” zu finden. In dem 8. Vorschlag werden wesentliche Streitpunkte aufgegriffen. Am 11.5. wurde dann ein Kompromissvorschlag gefunden und beschlossen (der aber noch durch die weitere Gesetzgebung muss). Mehr dazu unten im Abschnitt “laufende Updates”.

Hinweis: Hier geht es um den Entwurf einer Verordnung zur Regulierung von KI (“KI-Verordnung”, auch “AI Act”). Dies ist nicht zu verwechseln mit dem zugleich laufenden Versuch der EU, zivilrechtliche Haftungsregelung für künstliche Intelligenz aufzustellen, dazu siehe beispielsweise den zwischenzeitlich beschlossenen Text hier.

Digitale Produkte

Digitale Produkte werden in Deutschland nun rechtlich eigenständig geregelt. Hintergrund ist, dass das deutsche Recht auf Basis zweier EU-Richtlinien aus seiner überwiegend analogen Zeit in eine moderne, digitale Form gezwungen wurde.

Softwareentwicklung unter IT-rechtlicher Betrachtung

Bei der Entwicklung von Software (“Softwareentwicklung”) und deren kommerzieller Nutzung sind einige rechtliche Aspekte zu beachten, um mögliche rechtliche Probleme zu vermeiden.

In den letzten Jahren meiner Tätigkeit haben sich dabei immer wieder die gleichen Baustellen herauskristallisiert, die von den Softwareentwicklern teils unterschätzt, teils ignoriert werden. Dabei leidet die hiesige IT-Startup-Branche unter etwas, was im Ausland in dieser krassen Form seltener zu beobachten ist: die völlige Verweigerung juristischen Beistands. Die Vorstellung, im Budget einen festen Anteil für laufende Rechtsberatungskosten einzuplanen, überfordert viele – und führt am Ende zu unnötigen Mehrkosten.

Scheinselbstständigkeit eines Programmierers

Beim LSG Baden-Württemberg (L 8 BA 1374/20) ging es um die Frage der Scheinselbstständigkeit eines Softwareentwicklers. Dabei konnte das Landessozialgericht hervorheben, dass bei diesem Beruf ein durchaus gewichtiges Argument die Frage sein kann, ob Spezialkenntnisse – etwa hinsichtlich einer speziellen Programmiersprache – vorhanden sind.

Grundsätzlich gilt bekanntlich, dass kein Indiz für eine selbstständige Tätigkeit ist, wenn in der vertraglichen Vereinbarung keine Arbeitnehmerschutzrechte wie Lohnfortzahlung im Krankheitsfall oder Urlaubsansprüche geregelt sind. Denn solche Vertragsgestaltungen sind als typisch anzusehen, wenn beide Seiten eine selbstständige freie Mitarbeit wollten. Ebenso ist der Gedanke der (hier fehlenden) Schutzbedürftigkeit des in Betracht kommenden Personenkreises kein Merkmal dafür, ob es sich um eine abhängige Beschäftigung oder selbstständige Tätigkeit handelt.

Ein gewichtiges Indiz für eine selbstständige Tätigkeit ist dagegen das mit dem Einsatz eigenen Kapitals verbundene Unternehmerrisiko. Maßgebliches Kriterium für ein solches Risiko eines Selbstständigen ist, ob eigenes Kapital oder die eigene Arbeitskraft auch mit der Gefahr des Verlustes eingesetzt wird, der Erfolg des Einsatzes der tatsächlichen und sächlichen Mittel also ungewiss ist. Hierbei ist mit dem LSG dann zu beachten, dass es sich bei dem Bereich der Softwareentwicklung um eine betriebsmittelarme Dienstleistungsbranche handelt, die im Wesentlichen durch den bloßen Einsatz von Know-how geprägt wird. In dem Zusammenhang macht das LSG deutlich, dass etwa Spezialkenntnisse dafür sprechen, dass man sich nicht an einen einzelnen Arbeitgeber heften möchte.

Rechtliche Implikationen aus der Log4J / Log4Shell Lücke

Eine der sicherlich herausragendsten Sicherheitslücken in diesem Jahrzehnt ist schon jetzt die Log4Shell-Sicherheitslücke, die zunehmend massiv ausgenutzt wird – ich hatte, wie üblich, auf LinkedIn frühzeitig dazu berichtet. Nun langsam, nachdem die Lücke bekannt ist und auch nicht nur in Teilen sondern massiv ausgenutzt werden kann und wird, stellt sich natürlich die Frage, was an rechtlichen Konsequenzen damit verbunden ist. Wie immer gilt: Es kommt drauf an.

Tatsächlich zeigt sich, dass die Lücke einige – vorhersehbare – Konsequenzen hat; viel interessanter ist, dass sich Datenschutzbehörden bereits postieren und auch anlasslose Kontrollen angekündigt haben. Dies nicht nur für Log4J speziell, sondern für Ransomware allgemein.

Neues Kaufrecht: Sicherheit als Mangel

Es tut sich etwas im Vertragsrecht in Sachen Sicherheit – zukünftig wird die Sicherheit ein zentrales Element sein bei der Frage, ob ein Mangel vorliegt, gleich ob Software (jedenfalls gegenüber Verbrauchern) oder Kaufgegenstand.

Denn: Mit dem neuen Kaufrecht zum 1.1.2022 ändert sich auch die Frage, wann ein Sachmangel vorliegt. Zum einen versucht der Gesetzgeber zwar am einheitlichen Sachmangel-Begriff festzuhalten – zum anderen aber gibt es ab dem 1.1.22 dann an drei verschiedenen Stellen einen unterschiedlichen Begriff des Sachmangels.