Disclaimer: Dies ist keine Anfrage nach Rechtsberatung - mir ist klar, dass ich die nur vom Anwalt bekomme.
Ich würde gerne Eure Meinung zu folgendem Sachverhalt hören: ein Unternehmen in Deutschland kauft 100 Unternehmenslizenzen einer Desktop-Anwendung und nutzt sie auf 100 Rechnern. Es gibt keinen Lizenz-Server. Der Hersteller ist ein US-Unternehmen und hat stattdessen in die Software eine Nach-Hause-Telefonieren-Funktion eingebaut, die bei jedem Start der Anwendung über das Internet an den Hersteller datenschutzrelevante Daten sendet (z.B. den Namen des Benutzers, wie er in Windows bzw. dem ActiveDirectory-Server hinterlegt ist) per HTTPS. Diese Funktion lässt sich in der Software nicht deaktivieren und der Hersteller sieht auch nicht ein, dass diese Funktion in Deutschland illegal sein könnte, sondern verweist stattdessen darauf, dass man dieser Funktion im Rahmen der Lizenzvereinbarung zugestimmt hätte.
Die Idee ist nun, im Unternehmens-Proxy (über den die HTTPS-Verbindung läuft) einen falschen DNS-Eintrag zu hinterlegen, damit der Verbindungsversuch nicht über den Proxy hinaus kommt. In einem Test konnte bereits bestätigt werden, dass diese Maßmahme funktionieren würde.
Meine Meinung: Das US-Unternehmen verkauft Softwarelizenzen in Deutschland, es gilt in diesem Fall deutsches Recht. Die Software ist daher als fehlerhaft einzustufen. Aber welche Lösungen gibt es und welche Folgen hätten diese, wenn der Hersteller keine Lösung anbietet?
a) Software nicht mehr einsetzen, auf Konkurrenzprodukt ausweichen. Klar, super Lösung, aber nehmen wir mal an, das wäre in diesem Fall nicht möglich.
b) Die Idee mit dem falschen DNS-Eintrag im Unternehmens-Proxy umsetzen. Hilft kurzfristig, bedroht aber den langfristigen Rechtsfrieden mit dem Hersteller - wahrscheinlich verkauft der keine weiteren Lizenzen mehr. Okay, kann man verkraften, aber ist das Vorgehen überhaupt erlaubt?
b-1) Ist es ein Lizenzverstoß oder war diese Lizenzklausel von Beginn an nichtig, weil sie gegen Datenschutz-Gesetze verstößt? Ich denke letzteres.
b-2) Nehmen wir an, dass die Lizenzklausel nichtig war, erlischt dann die komplette Nutzungslizenz oder darf der Käufer die Software weiterhin einsetzen, weil er ansonsten alle Klauseln der Lizenz eingehalten hat? Ich denke auch hier wieder letzteres.
b-3) Zählt das Vorgehen als verbotene Selbsthilfe/Selbstjustiz? Das ist mir gerade noch spontan eingefallen, davon hab' ich aber keine Ahnung. Die entsprechenden Wikipedia-Seiten helfen mir nicht weiter.
b-4) Achtung, krasser Perspektivenwechsel: Kann der Käufer den Hersteller verklagen auf Grund des Verstoßes gegen den Datenschutz? Ich würde das bejahen.
Was ist Eure Meinung?
Zunächst einmal: Das anschließend gesagte ist nur meine Meinung und muss nicht rechtsgültig sein (wie du ja schon selbst geschrieben hattest). Das Thema Datenschutz ist aber ein brandaktuelles und für mich auch wichtiges und daher halte ich mich im Moment für ausreichend gut informiert, um dir eine halbwegs brauchbare Antwort geben zu können.
Also: Datenschutz ist ein Gebots-Gesetz = "Alles, was nicht ausdrücklich erlaubt ist, ist verboten"
ABER: Kann ein Unternehmen nachvollziehbar begründen und schriftlich mit dem Datenschutzbeauftragten gemeinsam erarbeiten, warum
a) Daten überhaupt ermittelt bzw. versendet werden
b) welchen genauen Umfang diese Daten haben
c) es nicht sofort eine andere Lösung geben kann (z.B. größerer wirtschaftlicher Schaden für das Unternehmen)
d) wie aber auch der mittelfristige Plan für die Lösung dieses Problems ist
bist du/die Firma nach meiner Einschätzung erstX weg von der "kritischen Seite", müsst aber an einer Lösung trotzdem dran bleiben.
Heißt konkret: Der Vorfall muss - falls noch nicht geschehen - gemäß Datenschutzgesetz gemeldet werden.
zu deinen Fragen:
b) Eure Firma hat nachweislich Lizenzen für Geld erworben. Einige Teile der Lizenzvereinbarung sind nach deutschem Recht rechtswidrig und somit automatisch ungültig. Und an rechtswidrige Vereinbarungen muss man sich nicht halten. Findet ihr also einen Weg, die Software im Sinne der deutschen Gesetzte zu verwenden, handelt ihr gesetzkonform und nicht gesetzwidrig. Handelt ihr aber im Rahmen der Lizenzvereinbarung, macht ihr euch strafbar. Gesetz toppt hier immer Lizenzvereinbarung. Zu der Frage nach "was ist dann gültig und was nicht" lese aber auch, was ich weiter unten zu b-4) schreibe.
b-1) Gesetz toppt hier immer Lizenzvereinbarung.
b-2) Nein, natürlich nicht. Wenn einige Teile einer Lizenzvereinbarung aus rechtlichen Gründen nichtig werden, gilt das nicht automatisch auch für andere rechtskonforme Teile. Die rechtskonformen Teile müssen von beiden Seiten eingehalten werden.
b-3) Nein, das ist keine Selbsthilfe/Selbstjustiz. Des weiteren habt ihr ja nicht die Software selbst modifiziert etc. sondern nur verhindert, das die Software nach deutschem Recht illegale Daten übermitteln kann.
b-4) Schwierige Frage: Würde die SW nach deutschem Recht komplett verboten sein, könntet ihr weder den Hersteller verklagen (ihr habt ein illegales Produkt gekauft) noch die Software weiterhin nutzen.
Bei der Frage nach der Haftbarkeit geht es aber immer auch um den Vorsatz bzw. den nach Prüfung der Sachlage feststellbaren Grad der "Fahrlässigkeit", mit dem Verkäufer oder Käufer gehandelt hat. Die größere "Schuld" liegt hier aus meiner persönlichen Sicht - die überhaupt nicht stimmen muss - auch eher beim Verkäufer.
