Cyber Resilience Act und andere EU-Gesetzgebungsverfahren

[Ilu]

Die EU hat sich über den nicht festgelegten Einsatzzweck auch schon 
Gedanken gemacht: Haftungsgegenstand soll sein "was der Nutzer 
vernünftigerweise erwarten konnte". (PLD)

Welche/r Programmierer/in wird es sich unter diesen Umständen noch 
leisten können, Software der Allgemeinheit zu jedem beliebigen Zweck 
frei zur Verfügung zu stellen? Und damit ein völlig unbegrenztes (und 
unbegrenzbares) Haftungsrisiko gegenüber der ganzen Weltbevölkerung 
einzugehen?

Joachim: Es geht hier nicht um Firmen, die IOT verkaufen oder irgendwas 
in Autos einbauen. Die nutzen nämlich freie Software nur, aber erstellen 
sie nicht. Und ihren Kunden gegenüber haften sie ohnehin. Das ist alles 
schon längst geregelt.

Ich nehme als Beispiel mal curl, dessen Programmierer (sofern der 
beruflich sein Geld mit Software verdient, was ich vermute) in Zukunft 
keinen bug mehr leisten, weil seine großzügig freigegebene Software 
praktisch überall eingebaut wird und er für all das haften soll. Dass 
seine Software eine Schenkung ist, wird nach EU-Recht (und damit auch in 
D) keinen Unterschied mehr machen. Ein bug kann sein Leben ruinieren.

Joachim, Du findest es ernsthaft angemessen, dass etwa der Programmierer 
von curl haften soll, wenn in einem Auto oder einem IOT-Gerät (wegen 
einem bug) das Update fehlschlägt und deshalb was schiefgeht?

Am 15.10.23 um 17:41 schrieb Dr. Michael Stehmann:
> Hallo,
> 
> die grundsätzliche Frage scheint mir zu sein: Wer soll haften, die 
> Person, die Software herstellt, oder die, die Software einsetzt?
> 
> Ein einfaches Beispiel: Der Hersteller eines Datenbankmanagementsystems, 
> das als Freie Software verbreitet wird, Kann nicht alle Zwecke kennen, 
> für die es eingesetzt wird.
> 
> Wird es nur für die Verwaltung einer Briefmarkensammlung eingesetzt, ist 
> ein möglicher Schaden durch ein "Leck" eher irrelevant. Wird es für die 
> Verwaltung von Millionen Kreditkartendaten oder von einem Kranken- oder 
> Sozialversicherer eingesetzt, ist dies evidentermaßen anders.
> 
> Wird das Programm nur auf einen "unvernetzten" Rechner eingesetzt, wäre 
> ein solcher Fehler ebenfalls irrelevant, solange der unbefugte physische 
> Zugang zum Rechner verhindert wird.
> 
> Daher ist es IMO die verwendende Person, die die Risiken der Nutzung 
> einer solcher Software tragen sollte, denn sie hat erstens den Nutzen 
> vom Einsatz der Software und zweitens ist sie am Besten in der Lage, die 
> Risiken zu beherrschen und zu minimieren (von der Firewall bis zum 
> Türschloss).
> 
> Bei Freier Software kommt noch hinzu, dass das Recht und die Möglichkeit 
> zum Studium derselben eingeräumt wird, Warum sollen sich aus diesen 
> erhöhten Rechten der verwendenden Person nicht auch erhöhte 
> (Prüfungs-)Obliegenheiten derselben ergeben?
> 
> Ein weiteres Argument ist die Versicherbarkeit der Risiken. Das Risiko 
> ist für das Projekt, welches ein freies DBMS herstellt, kaum 
> kalkulierbar. Es ist aber viel besser kalkulierbar für die konkrete 
> Verwendung desselben.
> 
> Oder um zum "Handgranatengeschenk" zu kommen: Software an sich ist 
> ungefährlich. Erst ihr konkreter Einsatz kann riskant sein.
> 
> Aus guten Grund ist nach deutschem Recht auch der Haftungsmaßstab bei 
> einer Schenkung ein anderer, als bei einem Verkauf.
> 
> Gruß
> Michael
> 
> 
> _______________________________________________
> FSFE-de mailing list
> FSFE-de at lists.fsfe.org
> https://lists.fsfe.org/mailman/listinfo/fsfe-de
> 
> Diese Mailingliste wird durch den Verhaltenskodex der FSFE abgedeckt.
> Alle Teilnehmer werden gebeten, sich gegenseitig vorbildlich zu
> behandeln: https://fsfe.org/about/codeofconduct
>