Cyber Resilience Act und andere EU-Gesetzgebungsverfahren

Dr. Michael Stehmann anwalt at rechtsanwalt-stehmann.de
So Okt 15 15:41:11 UTC 2023 

Hallo,

die grundsätzliche Frage scheint mir zu sein: Wer soll haften, die 
Person, die Software herstellt, oder die, die Software einsetzt?

Ein einfaches Beispiel: Der Hersteller eines Datenbankmanagementsystems, 
das als Freie Software verbreitet wird, Kann nicht alle Zwecke kennen, 
für die es eingesetzt wird.

Wird es nur für die Verwaltung einer Briefmarkensammlung eingesetzt, ist 
ein möglicher Schaden durch ein "Leck" eher irrelevant. Wird es für die 
Verwaltung von Millionen Kreditkartendaten oder von einem Kranken- oder 
Sozialversicherer eingesetzt, ist dies evidentermaßen anders.

Wird das Programm nur auf einen "unvernetzten" Rechner eingesetzt, wäre 
ein solcher Fehler ebenfalls irrelevant, solange der unbefugte physische 
Zugang zum Rechner verhindert wird.

Daher ist es IMO die verwendende Person, die die Risiken der Nutzung 
einer solcher Software tragen sollte, denn sie hat erstens den Nutzen 
vom Einsatz der Software und zweitens ist sie am Besten in der Lage, die 
Risiken zu beherrschen und zu minimieren (von der Firewall bis zum 
Türschloss).

Bei Freier Software kommt noch hinzu, dass das Recht und die Möglichkeit 
zum Studium derselben eingeräumt wird, Warum sollen sich aus diesen 
erhöhten Rechten der verwendenden Person nicht auch erhöhte 
(Prüfungs-)Obliegenheiten derselben ergeben?

Ein weiteres Argument ist die Versicherbarkeit der Risiken. Das Risiko 
ist für das Projekt, welches ein freies DBMS herstellt, kaum 
kalkulierbar. Es ist aber viel besser kalkulierbar für die konkrete 
Verwendung desselben.

Oder um zum "Handgranatengeschenk" zu kommen: Software an sich ist 
ungefährlich. Erst ihr konkreter Einsatz kann riskant sein.

Aus guten Grund ist nach deutschem Recht auch der Haftungsmaßstab bei 
einer Schenkung ein anderer, als bei einem Verkauf.

Gruß
Michael

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : OpenPGP_signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 203 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.fsfe.org/pipermail/fsfe-de/attachments/20231015/3d60cfab/attachment.sig>

Mehr Informationen über die Mailingliste FSFE-de