"Sie ziehen die Daten ab, kündigen und wechseln zur Konkurrenz"

ZUR PERSON

Rechtsanwalt Lukas Fässler gilt als einer der renommiertesten Informatik-Experten der Schweiz mit langjähriger Praxiserfahrung. Seit 1982 befasst er sich hauptberuflich mit Informatik und Telekommunikation. Von 1992 bis 1997 leitete er als Informatikchef des Kantons Luzern die Organisations- und Informatik-Dienste (OID). Fässler ist in Verwaltungsräten von zahlreichen privaten Unternehmen und öffentlich-rechtlichen Körperschaften tätig, so bei namhaften Rechenzentrumsdienstleistern, als Präsident der Viacar AG für die Strassenverkehrsämter und als Präsident des Vereins Schweizerische Städte- und Gemeinde-Informatik SSGI.

Herr Fässler, die öffentliche Hand steht wegen ihrer Praxis bei IT-Auftragsvergaben seit Jahren in der Kritik. Vor wenigen Wochen kam es beim Projekt Insieme zum Eklat. Wie haben Sie den Fall erlebt?

Ich spüre eine starke Verunsicherung bei den Behörden. Während der letzten Jahre hat sich eine – ich sage mal – "liberale" Praxis eingebürgert. Oft schrieben Behörden ihre IT-Aufträge entweder nicht aus oder publizierten sie erst, nachdem der Auftrag bereits vergeben war. Der bekannteste Fall war sicher der 42-Millionen-Franken-Auftrag des Bundes an Microsoft, gegen den Open-Source-Anbieter geklagt und vor rund zwei Jahren vor Bundesgericht verloren hatten. Insgesamt führen die aktuellen Entwicklungen mit Insieme dazu, dass wieder mehr ausgeschrieben wird. Unternehmen lassen ihre Pflichtenhefte und die Anforderungskataloge in zunehmender Anzahl von spezialisierten Rechtsanwälten auf ihre GATT- und WTO-Konformität prüfen. Sie wollen keine Beschwerden riskieren oder im Beschwerdefall auf der sicheren Seite sein.

Ein anderes grosses Thema sind – etwa im Zusammenhang mit den Ermittlungen bei Steuerhinterziehungen – die Datendiebstähle. Einige Unternehmen scheinen das Problem mit den Datendieben nicht in den Griff zu bekommen.

Unsere Unternehmen sind im Umgang mit ihren Mitarbeitern noch viel zu blauäugig. Sie vertrauen ihnen zu stark. Dabei müssten sie beispielsweise die Zugriffsrechte auf jene Datensätze beschränken, die diese für ihre Arbeit wirklich benötigen. Man sieht immer noch häufig darüber hinweg, dass Konzepte, Businesspläne oder Source Code in wenigen Sekunden auf einen USB-Stick kopiert werden können. Zudem haben viele Unternehmen kein Gesamtkonzept, wie sie mit elektronischen Informationen umgehen. Mit anderen Worten: Sie haben kein praxistaugliches Records-Management für elektronische, geschäftsrelevante Informationen. Wenn zum Beispiel bei einem Projekt etwas schiefläuft und nicht alle zum Dossier gehörenden Informationen an einem zentralen Ort gefunden werden können, dann geht im Fall von Rechtsstreitigkeiten der Stress los. Wer hat alles am Vorhaben mitgearbeitet? Wer hat was mit wem besprochen? Wo sind die E-Mails abgelegt? Wenn es dafür kein Konzept gibt, entsteht sehr rasch ein Durcheinander, weil auf verschiedenen Ebenen und verschiedensten Kanälen kommuniziert wird. Im entscheidenden Fall können die digitalen Informationen nicht als Beweismittel unanfechtbar reproduziert werden. Das wird eindeutig noch zu wenig ernst genommen. Dabei müsste es insbesondere beim Verwaltungsrat und der Geschäftsleitung eine hohe Priorität geniessen. Artikel 754 OR lässt bezüglich der Sorgfaltspflichten der Organe wohl kaum Zweifel an der Verantwortung aufkommen.

Sie sprechen damit grössere Unternehmen an. Welches sind denn die häufigsten juristischen Fehler, die Start-ups begehen?

Die obige Sorgfaltspflicht trifft alle KMUs, nicht nur die grossen. Start-ups neigen aber zusätzlich zu gröberen Misstritten. Nebst dem, dass viele Businesspläne wenig realistisch sind, wird bei vielen Webdiensten zu wenig klar kommuniziert, welche Leistungen die Kunden erwarten dürfen. Es fehlen garantierte Service Levels. Sollte ein Businessmodell dann doch abheben, fehlen zudem häufig entsprechende Supportprozesse und Pläne für Helpdesks. Ich stelle weiter fest, dass sich viele Unternehmer zu wenig mit Risiken auseinandersetzen. Oft werden Klauseln in AGBs kopiert, die schlichtweg vor dem Gesetz nicht standhalten. Dann wiegen sich die Verantwortlichen in einer fatalen Sicherheit, die sie dann teuer bezahlen, wenn der Richter eine vollständige Haftungsfreizeichnungsklausel (neudeutsch "Disclaimer", die Red.) aufhebt, weil sie gesetzeswidrig ist.

Es werden immer mehr Fälle von zweifelhaften Businessmodellen im Web bekannt. Sie haben an der ISSS-Tagung im Mai 2012 über den Fall eines illegalen App-Anbieters gesprochen. Was hatte es damit auf sich?

Ein Anbieter hat vor wenigen Jahren eine kostenpflichtige App lanciert, mit der durch die Eingabe von Autonummern Fahrzeughalterdaten abgefragt werden konnten. Der Anbieter hatte zuerst auf legalem Weg versucht, an die Daten zu kommen. Er fragte dazu die Strassenverkehrsämter an, die dies, gestützt auf die Gesetzgebung und den Datenschutz, jedoch zu Recht ablehnten. Der Anbieter rutschte dann in die Illegalität ab. Ein Bekannter, der bei einer Versicherung arbeitete, wurde bezüglich der Zugangsdaten zur Datenbank der Fahrzeughalter ausgehorcht. Dazu muss man wissen, dass die Versicherungen wegen des notwendigen Versicherungsnachweises über spezifische Datennutzungsverträge Zugang zu Fahrzeughalterdaten haben. Der Täter lud dann die ganze Datenbank herunter.

Und wie kam man ihm auf die Schliche?

Wie so oft spielte der Zufall mit. Eine Polizistin, die ihre Autonummer beim Strassenverkehrsamt hatte sperren lassen, testete den Dienst, als er in der Presse angepriesen wurde. Als ihre Nummer dann trotzdem im App-Service erschien, wurde sie stutzig und beim zuständigen Strassenverkehrsamt vorstellig. Der Grund war, dass der Täter den Versicherungszugang missbraucht und auch Daten von Haltern, die diese haben sperren lassen, heruntergeladen hatte. Damit war erst einmal klar, dass es beim Strassenverkehrsamt kein Leck gab. Wir recherchierten daraufhin gemeinsam mit Computer-Forensikern während dreier Monate. Wir fragten Datenbanken ab und werteten Logfiles aus, bis wir den Täter schliesslich fanden. Der Täter wusste, dass er vor Gericht kaum Chancen haben würde. Deshalb stimmte er später einer Vergleichszahlung zu und wurde somit für die Begehung der Delikte bestraft.

Kennen Sie weitere bemerkenswerte Fälle mit zweifelhaften Businessmodellen?

Ich habe gerade kürzlich einen Fall betreut, bei dem es um Konzept- und Source-Code-Klau ging. Bemerkt hatte das Unternehmen den Vorfall wegen unerwartet hoher Zugriffsraten auf die Serverinfrastruktur. Insgesamt müssen Unternehmen auf zwei Dinge achten: Sie müssen erstens aufpassen, dass sie nicht digital bestohlen werden. Zweitens sind sie in der Beweispflicht, sobald etwas passiert. Wer Anzeige erhebt und Schadenersatz einfordert, muss als geschädigtes Opfer Beweise vorlegen. Dazu braucht es eine enge Zusammenarbeit zwischen Anwälten, IT-Spezialisten- und IT-Forensikern und unbedingt auch gesicherte IT-Infrastrukturen. Es müssen taktische Szenarien entwickelt werden, wie Angreifer identifiziert, beweistauglich dingfest gemacht und straf- und zivilrechtlich zur Verantwortung gezogen werden können. Geschädigte Unternehmen sollten immer mit Spezialisten zusammenarbeiten, die sicherstellen, dass das vorhandene Beweismaterial forensisch verwertbar gesichert wird. Der Spezialanwalt muss nach meinen langjährigen Erfahrungen unbedingt von Anfang an einbezogen sein, damit er auch taktisch und rechtlich die massgeblichen Anweisungen geben kann.

Sehen Sie Trends, wie Täter vorgehen?

Es gibt beispielsweise Personen, die während der Probezeit Daten klauen. Sie ziehen die Daten ab, kündigen und wechseln zur Konkurrenz. Ich kenne einen Fall, in dem der Diebstahl nach diesem Muster wiederum durch Zufall bekannt wurde. Der ehemalige und der neue Arbeitgeber des betreffenden Mitarbeiters waren bei der gleichen Messe mit einem Stand präsent und boten dort weitgehend identische Software an. Die Polizei beschlagnahmte daraufhin die ganze IT-Infrastruktur der verdächtigen Firma mit dem kopierten Produkt und analysierte den Code. Was kam heraus? Auf der 32 000-sten Code-Zeile entdeckten sie den genau gleichen Befehl für ganz ein spezifisches Problem. Dann war der Fall klar. Mitarbeiter wurden entlassen. Das Unternehmen wurde mit Schadenersatzforderungen konfrontiert. Es stellten sich dann auch noch Regressfragen (Rückgriff eines Ersatzpflichtigen auf einen Dritten, der diesem gegenüber haftet, die Red.) gegenüber den schädigenden Mitarbeitern. Etwas mehr im Graubereich ist folgendes Szenario: Es gibt Firmen, die schauen, was der Marktführer macht und kopieren dann dessen Konzepte. Das fängt zum Beispiel bei der Gestaltung einer Suchmaske an. Der Marktführer hat aufgrund seiner Erfahrungen einen konzeptionellen Vorsprung gegenüber jemandem, der neu im Business ist und rein nach Logik vorgeht. Das Problem ist dabei, dass es zwar einen urheberrechtlichen Code-Schutz, aber keinen Konzeptschutz gibt. Immerhin kann das UWG (Bundesgesetz gegen den unlauteren Wettbewerb, die Red.) vor möglichen unlauteren Wettbewerb schützen.

Wie beurteilen Sie die Qualität der AGBs von Webshops und Webdiensten?

Sie sind häufig sehr schlecht bis katastrophal. Ich kenne beispielsweise einen Fall, in dem ein Getränkelieferant in seinen AGBs für den Webshop definiert hatte, "wenn die Lieferung der Blumen zu spät erfolgt, sind wir berechtigt ...". Dieser Lieferant hat ganz einfach abgeschrieben. Das ist nichts wert und spricht nicht für die Qualität des Shops. Zudem wird der Umgang mit den Daten schlecht kommuniziert. Bemerkungen wie "wir dürfen Ihre Daten zu Marketingzwecken verwenden" reichen nicht. Das steht jedoch fast überall drin. Sehr häufig wird dann auf legale und illegale Weise Datenhandel betrieben, von dem der Konsument nichts erfährt. Ein Kollege nahm vor kurzer Zeit an einem Wettbewerb teil und gab dort eine falsche Berufsbezeichnung an, die er später nie mehr verwendete. Ein halbes Jahr später erhielt er Werbung von einem anderen Unternehmen mit eben dieser falschen Berufsbezeichnung. (Hält kurz inne und schaut in seinen E-Mails nach.) Betreffend AGBs habe ich ein aktuelles Beispiel des Cloud-Diensts Evernote.

Diese E-Mail habe ich auch gesehen. Evernote hat die Datenschutzbestimmungen geändert. Was ist denn daran problematisch?

In der E-Mail steht im Grunde nur Blabla. Beispielsweise, dass die Daten weiterhin mir gehören. Was konkret geändert wurde, wird in dieser E-Mail nicht geschrieben. Es gibt nirgendwo neue AGBs, bei denen ich einen Haken setzen und sie akzeptieren muss. Ich muss die 20 Seiten der neuen und der alten AGBs ausdrucken und von vorne bis hinten durchlesen, um herauszufinden, was genau anders ist. Ich habe mir das genau angeschaut. Es gibt zum Beispiel neu eine Haftungsbeschränkung bis zu 10 000 US-Dollar. Das heisst, dass Evernote in einem Schiedsverfahren bis 10 000 Dollar übernehmen würde. Das ist eine Haftungsbeschränkung nach unten. Wenn die Kosten höher ausfielen, wäre grobfahrlässig oder vorsätzlich herbeigeführter Schaden jedoch vollumfänglich zu bezahlen. Solche Klauseln sind in unserem Rechtssystem Unsinn. Meines Erachtens müssen Veränderungen, die zulasten des Datenschutzes und des Nutzers gehen, zwingend vom Nutzer gutgeheissen werden. Da fehlt es eindeutig an passenden Regulierungen.

In der EU ist derzeit eine Datenschutzreform im Gange. Welche Punkte halten Sie für die wichtigsten?

Drei Punkte finde ich besonders wichtig: Das Marktortprinzip, das Recht auf die Datenportabilität und das Recht auf Vergessen. Zu Letzterem habe ich zwei Beispiele: Ein deutscher Mandant gründete in den 1960er-Jahren im Wallis eine GmbH. Diese war genau zehn Tage aktiv. Das bleibt im Handelsregister eingetragen. Der Mandant stellte 47 Jahre später ein Löschungsgesuch, weil er von deutschen Steuerbehörden durchleuchtet worden war. Diese hatten ihn gefragt, welchen Umsatz er damals erwirtschaftet hatte und ob er allenfalls Schwarzgeld dadurch angelegt habe. Doch eine Löschung ist nicht möglich. Oder: Ein anderer Mandant hat sich auf eine Stelle als Leiter einer Pensionskasse beworben. Er kommt in die engere Auswahl. Der Stiftungsrat macht eine Routinekontrolle – Facebook, Twitter, Xing etc. Dann finden sie eine alte Website, auf der der Kandidat als "Abzockerschwein" bezeichnet wird. Der Hintergrund: Rund 20 Jahre zuvor hatte er einen kleinen Elektrogeräte-Handel betrieben. Zwei unzufriedene Kunden publizierten eine Blacklist im Internet, auf dem sie ihn als "Abzockerschein" bezeichneten. Er hatte laut eigenen Angaben einen Bildschirm ausgeliefert, der nicht richtig funktioniert hatte. Daraufhin hatte er dem Kunden ein Ersatzgerät geliefert. Am Vorstellungsgespräch wurde er damit konfrontiert, was es mit der Anschuldigung auf sich habe. Einige Tage später bekam er einen Absagebrief, in dem stand, dass es einen besseren Kandidaten gegeben habe und dass seine Vergangenheit doch etwas problematisch sei. Es ist ein Fakt, dass man nichts mehr aus dem Netz wegbringt. Da muss ein Anspruch auf Vergessen durchsetzbar werden.

STICHWORTE

Das kann ich jederzeit empfehlen:
Eine Kanufahrt auf der Ardèche in Frankreich.

Darüber habe ich zuletzt gelacht:
Aus echter Freude über meinen Sohn, der mir vor 2 Tagen mitteilte, er werde jetzt ausziehen und mit seiner Freundin eine eigene Wohnung beziehen.

Darüber habe ich mich zuletzt geärgert:
Über ein Bezirksgericht, das es seit dem Urteil im Juni 2012 bis heute nicht geschafft hat, das begründete Urteil zu schreiben und uns zuzustellen.

Heute in zehn Jahren:
Werde ich pensioniert sein, aber wohl freiwillig weiterarbeiten, weil ich einen so spannenden Beruf als IT-Spezialanwalt habe.

ZUR FIRMA

FSDZ-Rechtsanwälte & Notariat Zug ist eine Spezialanwaltskanzlei, die sich vorwiegend mit Fragen des Wirtschaftsrechts befasst und dort insbesondere folgende Schwerpunkte bearbeitet: IT-Vertragsrecht, Bekämpfung von Computer-Kriminalität, Urheberrecht, Lizenzrecht, Markenrecht, Design-Recht, unlauterer Wettbewerb, IT-Submissionsrecht, Datenschutzrecht, Auditierungen und Implementierungen von Informationssicherheitssystemen ISMS, E-Commerce-Recht, Firmengründungen und gerichtliche Vertretungen von Unternehmen in allen Bereichen, insbesondere im Immaterialgüterrecht.