Managed Security: …hätte ich nur einen guten Vertrag!

Unter dem Begriff „,“ werden aktuell viele Sicherheits-Services angeboten. Unterschiedliche IT-Sicherheitsleistungen eines Unternehmens werden im Rahmen von ausgelagert und/oder neu organisiert. Der Umfang reicht von einem Firewall Management Service bis hin zu einem Full-Service im Bereich . 

Die Ziele sind mit denen anderer -Projekte und Projekten zur Neuorganisation ähnlich. Es sollen Kosten reduziert und eingespart, die Bedienung soll vereinfacht, das Risiko-Management zu neuer Qualität geführt werden. Das alles bei einer Verfügbarkeit von 24 x 7.  

IT- bietet sich aufgrund seiner Komplexität für Auslagerungen an. Die in Unternehmen anfallenden Sicherheits-Aufgaben sind breit gestreut und reichen von einfachen -Updates der Betriebssysteme und der Applikationen, über Beratungsleistungen, Hardware-Wartungen und Neuanschaffungen von Hard- und Software, bis hin zu einer kontinuierlichen Überwachung der Systeme, Risikoprognosen und Notfall-Supportleistungen. Schulungen eigener Mitarbeiter in diesem Bereich sind kosten- und zeitintensiv.

 

Managed Security ist für die Geschäftsprozesse besonders heikel. Fehler in den IT-Systemen können die Arbeit in einem ganzen Unternehmen oder einer Verwaltung blockieren und zu Wettbewerbsnachteilen führen, sensible Daten können verloren gehen oder nach außen gelangen. Bei falschem Umgang mit Daten besteht sogar ein Strafbarkeitsrisiko.

 

 

Vertrauen steht im Vordergrund

 

Bevor zu einzelnen rechtlichen Fragen und Aspekten Stellung genommen werden soll, steht das Thema „Vertrauen“ im Vordergrund der Betrachtungen. Nur wenn zwischen einem Unternehmen und dem Anbieter von Managed Security Services ein Vertrauensverhältnis besteht, kommt eine Zusammenarbeit in Frage. Zwar lässt sich Vertrauen nicht in Verträgen fassen oder vereinbaren, die Phase der Vertragsverhandlungen und der Gespräche über den Leistungsumfang kann aber dazu dienen, Vertrauen zu  schaffen oder im negativen Fall entstehende Abhängigkeiten kritisch zu hinterfragen. An welchen rechtlichen Gesichtspunkten kann erkannt werden, dass der Anbieter vertrauenswürdig und mit dem Thema IT-Security vertraut ist? Hier ein kleiner Fragenkatalog, der zur Vertrauensfrage werden kann.

 

  • Wie geht der Anbieter mit den Auswirkungen des neuen § 202c StGB um und welche Strategie hat er? Ignoranz ist sicherlich nicht der richtige Weg.
  • Welche eigenen IT-Compliance-Regelungen sind beim Anbieter dokumentiert und wie werden diese Regelungen überwacht?
  • Wie ist der Umgang mit privaten E-Mails? Werden diese bei den Mitarbeitern geduldet oder gar erlaubt?
  • Gibt es einen betrieblichen Datenschutzbeauftragten, unabhängig ob dies gesetzlich notwendig ist? Wie ist der betriebliche Datenschutzbeauftragte in die Managed Security Services eingebunden?
  • Wer ist beim Anbieter für die betriebsinterne IT-Sicherheit, für IT-Compliance und für die IT-Sicherheitsmaßnahme für die Manages Security-Services zuständig und verantwortlich?

 

Und wahrscheinlich lässt sich die Liste noch lange fortsetzen, insbesondere unter Beachtung weiterer technischer Aspekte. Fragen und gute Antworten, klare Strategien und Prozesse beim Anbieter schaffen Vertrauen.

 

 

Anwendungsbereich und Risiken des Vertrages

 

Bevor alle Beteiligten in die Niederungen der Detailregelungen hinabsteigen, sind Vorarbeiten notwendig.

 

Die erste Frage lautet: „Für welche Bereiche der IT-Security soll der Vertrag über Managed Security gelten?“ Geht es um Sicherheit für Arbeitsplatz-PC´s, Server, um die Sicherheit von Internetverbindungen oder um die sichere Verbindung zwischen Niederlassungen und Standorten. Mit der Beantwortung dieser Frage kann aus technischer und kaufmännischer Sicht eine Aufstellung erarbeitet werden, welche Risiken aus Sicht des Unternehmens bei der Installation von Managed Security bestehen. Diese Risikoanalyse, die auch extreme Situationen erfasst, bildet dann eine Checkliste für den Vertrag. Anhand der Risikoanalyse kann am Schluss der Vertragsverhandlungen geprüft werden, ob alle Risiken im Vertrag behandelt werden oder zumindest aus rechtlicher, kaufmännischer und technischer betrachtet und bewertet wurden. Nur wenn dies der Fall ist, liegt ein guter Vertrag über Managed Security Services vor. Wichtig ist, dass bei der Risikoanalyse nicht die rechtlichen Risiken im Vordergrund stehen.

 

 

Leistungsumfang

 

Zentraler Punkt eines jeden EDV-Vertrages ist nicht die Haftung oder die Gewährleistung, sondern der Leistungsumfang. Hier werden in Praxis die meisten „Grundsteine“ für Auseinandersetzungen und Eskalationen im Vertragsverlauf gelegt. Beispiel: In einem Managed Security-Vertrag wird ein Teil der Leistung als „Firewall Management Service“ beschrieben. Der Anbieter führt ergänzend aus, dass Experten für die Systemintegrität sorgen. Wenn dies die gesamte Beschreibung des Leistungspaketes „Firewall Management Service“ ist, lässt sich erahnen, dass hier bei Störungen oder unzureichenden Leistungen Streit entsteht. Das Unternehmen erwartet der Auftraggeber einen umfassenden Service, maximale Verfügbarkeit und volle Systemintegrität, der Anbieter will vielleicht nur die beim Unternehmen vorhandene Firewall mit all ihren Komponenten besser als bisher managen, ohne dabei weitere Zusatzleistungen zu erbringen.

 

Viele Verträge haben hier Schwachpunkte. Es wird ein „Policy-konformer“ Betrieb vereinbart, ohne das die Policies bewertet und zum Vertrag in Bezug gebracht werden. Ein Monitoring soll installiert werden, wie mit den Ergebnissen konkret umgegangen wird, ist nicht geregelt und soll die Zukunft zeigen.

 

Daher die dringende Empfehlung, im Bereich der Leistungsbeschreibung die Inhalte und Aufgaben des Anbieters präzise in den Vertrag aufzunehmen. Dies vermeidet Unsicherheiten und führt bei Unstimmigkeiten über den Leistungsumfang zur Klärung.

 

 

Mitwirkungspflichten

 

Ähnliches gilt auch für die Mitwirkungspflichten. Im Vertrag sollte präzise beschrieben sein, welche Voraussetzungen und welches Personal mit welcher Qualifikation beim Unternehmer notwendig sind, damit der Anbieter seine Leistungen im vollen Umfang erbringen kann. So werden ebenfalls an einem wichtigen Punkt im Vertrag über Managed Security Services Unsicherheiten und zukünftige Unstimmigkeiten vermieden.

 

 

Vertragsart

 

Alle EDV-Verträge und damit auch ein Vertrag über Managed Security Services werden rechtlich anhand der Vorgaben des Bürgerlichen Gesetzbuches (BGB) gemessen. Dabei wird jeder EDV-Vertrag zur rechtlichen Beurteilung auf die „Grundvertragstypen“ des BGB Kauf, Miete, Dienstvertrag und Werkvertrag zurückgeführt. Die rechtliche Einordnung der Vertragsparteien ist dabei nicht ausschlaggebend. Die Frage, welcher Vertragstyp anzuwenden ist, wird anhand des konkreten vertraglichen Leistungsspektrums beurteilt. Wird nur ein „Bemühen“ geschuldet, dann liegt ein Dienstvertrag vor. Wenn ein Erfolg, beispielsweise eine erfolgreiche Fehlerbeseitigung vereinbart ist, dann ist Werkvertragsrecht anzuwenden. Bei Managed Security Services sollte in der Praxis ein Unternehmen möglichst einen Werkvertrag vereinbaren. Hier sind konkrete Verabredungen notwendig, welche Erfolge die Leistungen des Anbieters im Bereich IT-Security haben sollen. Andernfalls entstehen neue Risiken.

 

Um dies deutlich zu machen: Wird nur das „Bemühen“ um ein Content Filtering oder den Betrieb eines VPN vertraglich geschuldet, so bedeutet der Misserfolg keine Verletzung der vertraglichen Pflichten. Der Satz, der in Arbeitszeugnissen nur das Bemühen mit den Worten „Er/Sie war stets bemüht, den Anforderungen gerecht zu werden“ beschreibt, lässt sich auf die Regelungen zu den Managed Security Services übertragen. Das ist zu wenig Sicherheit. Auf der anderen Seite wird der Anbieter nicht bei allen Unwägbarkeiten der EDV garantieren können, dass die IT-Infrastruktur stets und immer vollumfänglich funktioniert. Wo von 24 / 7 und 100% Verfügbarkeit Abstriche gemacht werden müssen, entstehen aber Risiken beim Unternehmen und Auftraggeber, die zu bewerten und mit denen unter anderem vertraglich umgegangen werden muss.

 

 

Verkauf von IT-Security-Hardware

 

Der Hardwareverkauf durch den Dienstleister ist prinzipiell nicht anders zu beurteilen als jeder andere Sachkauf auch. Der Verkäufer hat daher die Geräte in mangelfreiem Zustand zu liefern. Da der Managed Security-Dienstleister den Kunden üblicherweise bezüglich des Einsatzes der Hardware berät, liegt ein Sachmangel jedenfalls dann vor, wenn sich das Gerät nicht für die für den Vertrag vorausgesetzte Verwendung eignet (vgl. § 434 I S. 2 Nr. 1 BGB). Ein Sachmangel kann aber auch dann bestehen, wenn die vereinbarte Montage durch den Verkäufer fehlerhaft ausgeführt worden ist (§ 434 II S. 1 BGB). Ist das Gerät mangelhaft, kann der Käufer Nacherfüllung verlangen, also die Lieferung eines neuen Geräts oder die Reparatur der defekten Hardware.

 

Tritt wegen eines Hardwaredefekts ein Schaden ein, zum Beispiel wenn ein vom Dienstleister erworbener Server ausfällt und daher Angestellte nicht arbeiten können, kann das Bedürfnis bestehen, sich am Verkäufer schadlos zu halten. Das ist jedenfalls dann möglich, wenn der Verkäufer den Mangel verschuldet hat, zum Beispiel durch fehlerhafte Erstmontage. Ist der Mangel nicht durch den Verkäufer verschuldet, kann er aber dennoch schadensersatzpflichtig sein, wenn er seiner Nacherfüllungspflicht auch nach einer Mahnung schuldhaft nicht nachkommt (§§ 437 Nr. 1, 439 I, 280 I,  III, 286 I BGB). Da es in der Praxis häufig unklar ist, ob ein Defekt vom Verkäufer verschuldet ist oder nicht, ist es in jedem Fall ratsam, zu mahnen und den Anbieter von Managed Security so in Verzug zu setzen.

 

Ohne gesonderte Abreden oder Haltbarkeitsgarantien (§ 443 BGB), verjähren die Gewährleistungsrechte des Käufers aus dem Kaufvertrag zwei Jahre ab Übergabe der Kaufsache (§§ 438 I Nr. 3, 446 S. 1 BGB). Schadensersatzansprüche und Nacherfüllungsverlangen müssen daher in dieser Zeit geltend gemacht werden.

 

 

Überlassung von IT-Security-Software

 

Bei der Überlassung von IT-Security-Software sind verschiedene Konstellationen denkbar, wobei sich die Rechte und Pflichten der Parteien nach der Überlassungsform richten. Unterschieden werden müssen die Überlassung einer bereits existierenden Software ohne zeitliche Begrenzung gegen eine Einmalzahlung (1), die Überlassung auf Zeit gegen wiederkehrende Zahlungen (2) und die gesonderte Erstellung einer Software für den Kunden, sog. Individualsoftware (3).

 

(1) Überlässt ein Dienstleister eine bereits existierende Software an den Kunden auf Dauer, so stellt sich der Vertragstyp als kaufähnlich dar, mit der Folge, dass die kaufrechtliche Systematik Anwendung findet. Dabei ist es unerheblich, ob der Kaufvertrag als solcher gekennzeichnet ist oder unter der Bezeichnung „Lizenzvertrag“ oder „Überlassungsvertrag“ firmiert. Maßgeblich sind der von den Parteien intendierte Vertragszweck und die Parteiinteressen.[1]

 

Die Folge ist, dass bei einer dauerhaften Softwareüberlassung im Rahmen eines Managed Security-Vertrags bei Mängeln grundsätzlich die gleichen Rechte des Käufers bestehen, wie beim Hardwarekauf, nämlich Nacherfüllung und Schadensersatz. Diese Rechte laufen allerdings in der Praxis regelmäßig leer, wenn die Software nicht vom Dienstleister selbst programmiert ist, sondern er nur als Verkäufer agiert, also ihm selbst eine Nachbesserung schon dadurch unmöglich ist, dass er nicht an den Quellcode herankommt. In solchen Fällen kann der Käufer lediglich den Kaufpreis mindern oder vom Vertrag zurücktreten (§ 437 Nr. 2, 3, §§ 441, 323, 326 V BGB).

 

(2) Bei einer zeitlich begrenzten Nutzungsbefugnis stellt sich der Vertrag als mietähnlich dar (vgl. §§ 535 ff. BGB). Das hat Auswirkungen auf die Käuferrechte. Auch der „Mieter“ hat ein Recht, auf mangelfreie Überlassung der Software. Für die Zeit, in der die Software mangelhaft und daher nicht nutzbar ist, ist der Software-„Mieter“ gesetzlich von seiner Zahlungspflicht befreit (§ 536 I S. 1 BGB). Ist der Dienstleister mit seiner Mangelbeseitigungspflicht im Verzug, so kann der Kunde Schadensersatz verlangen (§ 536 BGB) oder den Mangel im Rahmen des urheberrechtlich Zulässigen selbst beseitigen (§ 536a BGB). In besonderen Fällen kommt auch eine außerordentliche Kündigung in Betracht (§ 543 BGB).

 

(3) Im Falle von Individualsoftware liegt ein Werkvertrag (§§ 631 BGB) vor, wobei wegen der gleichen Rechtsfolgen und Rechte des Auftraggebers auf die Ausführungen unter (1) verwiesen wird. Ein relevanter Unterschied besteht jedoch darin, dass der Kunde einen Mangel nach erfolgloser Aufforderung des Herstellers unter Fristsetzung auf dessen Kosten von einem Drittanbieter beseitigen lassen kann (§ 637 BGB). Hier gelten allerdings die Einschränkungen des Urheberrechts, das regelmäßig keine Dekompilierung der Software erlaubt.

 

 

Datenschutzrechtliche Aspekte

 

Einige Bestandteile der Managed Security Services sind unter datenschutzrechtlichen Gesichtspunkten nicht unproblematisch. Leistungsumfang, Terminologie und technische Umsetzung der angebotenen Leistungen der verschiedenen Anbieter sind uneinheitlich, weshalb hier lediglich eine generalisierende Problemübersicht geboten werden kann. In der Praxis kommt es aber stets auf eine Einzelfallbetrachtung an, die insbesondere die organisatorischen und technischen Gegebenheiten berücksichtigt. 

 

Häufig zu finden sind die Bereitstellung einer „managed“ Firewall, eines „managed“ VPN-Zugangs, Datensicherungsleistungen durch den externen Anbieter, Security Monitoring rund um die Uhr und ein Log-Management. All diese Angebote haben gemein, dass notwendig oder jedenfalls potentiell Nutzereingaben abgefangen, gespeichert und teils technisch, teils manuell ausgewertet werden.

 

Das einschlägige Datenschutzrecht ist im Wesentlichen im Bundesdatenschutzgesetz (BDSG) und im Telekommunikationsgesetz (TKG) geregelt und bezweckt den Schutz der Persönlichkeit des Einzelnen vor dem Umgang mit dessen personenbezogenen Daten. Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmbaren Person (vgl. § 3 I BDSG). Solche Daten dürfen praktisch nur dann erhoben, gespeichert oder übermittelt werden, wenn der Betroffene schriftlich eingewilligt hat. Noch höhere Anforderungen sind zu stellen, wenn „besondere Arten personenbezogener Daten“ (§ 3 IX BDSG), also insbesondere Gesundheitsdaten, politische und religiöse Überzeugungen und philosophische Ansichten, berührt sind.

 

Eine „managed“ Firewall ist dafür zuständig, den Internetzugang zu überwachen und verdächtige Verbindungen zu blockieren. Dabei ist es sicherheitstechnisch und organisatorisch sinnvoll, alle blockierten und freigegebenen Verbindungen zu speichern und die Daten anschließend zur Verbesserung der Funktionalität einzusetzen oder zur Identifizierung von „schwarzen Schafen“ und potentiellen Risiken innerhalb des Unternehmens einzusetzen. Gerade wenn eine private Internetnutzung am Arbeitsplatz erlaubt oder geduldet ist, können sich daraus weitreichende Probleme ergeben. Sucht beispielsweise ein Angestellter im Internet nach Selbsthilfegruppen für eine bestimmte Krankheit oder informiert er sich in Internetforen über weltanschauliche Themen, könnten diese Daten und die personale Zuordnung über die IP-Adresse des Rechners im Hintergrund gelogged werden und dem Arbeitgeber oder dem externen Dienstleister zur Verfügung stehen. Hierzu ist jedenfalls eine deutlich gestaltete schriftliche Einwilligungserklärung der Angestellten erforderlich, die auf die Art und Weise der Datenerhebung hinweist und darauf, dass möglicherweise auch besondere Arten personenbezogener Daten gelogged werden könnten. Wegen des Grundsatzes der Datensparsamkeit (vgl. § 3a BDSG), wonach nur so wenige persönliche Daten zu erheben, wie unbedingt erforderlich, muss auch geprüft werden, ob für den Zweck der Logfile-Speicherung auch anonymisierte Daten ausreichend sind.

 

Ferner ist für das Übermitteln der Daten an den Dienstleister oder das Zulassen der Wartung von Systemen, bei der ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, erforderlich, dass sich der Auftraggeber von der besonderen Eignung und der technischen Organisation des externen Dienstleisters überzeugt (§ 11 BDSG). Dazu gehört auch, dass ein unbefugter Zugriff auf die gespeicherten Daten effektiv verhindert wird. Ferner sollten die Daten gegen unbefugten Zugriff, verbotene Weitergabe und eigenmächtige Änderungen geschützt sein (vgl. Anlage zu § 9 S. 1 BDSG). Dies kann durch elektronische Signaturen und kryptographische Maßnahmen erfolgen (vgl. Gola/Schomerus, BDSG, § 9, Rn. 22 ff.).

 

Vergleichbar mit der Managed Firewall ist die Problemlage beim Security Monitoring und dem Log-Management der internen Netzwerkaktivität. Es muss insbesondere die Möglichkeit einer anonymisierten oder pseudonymisierten Speicherung geprüft werden.

 

Weitergehende praktische Schwierigkeiten bereitet noch die Datensicherung und Datenfernwartung durch oder bei externen Dienstleistern. Hierbei sind nämlich regelmäßig nicht nur die Daten der eigenen Mitarbeiter betroffen, sondern auch die von Kunden, Geschäftspartnern und sonstigen Kontakten, über die Daten auf dem Firmensystem abgelegt sind. Eine nachträgliche Einwilligungserklärung der Betroffenen, die eine Übermittlung oder die Kenntnisnahme durch Dritte mit umfasst, wird in der Praxis nicht einzuholen sein. Nur ausnahmsweise kann auf eine Einwilligung verzichtet werden, wenn kein Grund zur Annahme besteht, dass der Betroffene mit einer Übermittlung nicht einverstanden wäre (vgl. § 28 I S. 1 Nr. 2 BDSG). Ein solches Urteil ist aber gerade bei größeren Datenbeständen pauschal nicht möglich und fällt daher zumeist weg. Wenn es sogar noch um sensible Daten, wie digitale Krankenakten, Mandantendaten von Anwälten, Datenbanken von Steuerberatern oder sonstigen Daten mit einem Geheimhaltungsinteresse geht, ist davon auszugehen, dass eine besondere schriftliche Einwilligung notwendig ist (Gola/Schomerus, BDSG, § 28, Rn. 9).

 

 

Kontrolle

 

§ 11 BDSG fordert, dass Anbieter von Managed Security Services überwacht werden. Wörtlich heißt es in § 11 Abs. 2 BDSG:

 

„Der Auftraggeber hat sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“

 

Dies ist nur möglich, wenn entsprechende Kontrollbefugnisse vertraglich vereinbart sind. Hier wird ein Auftraggeber überlegen müssen, welche Überwachungen auf der einen Seite notwendig sind, um den gesetzlichen Anforderungen zu genügen, auf der anderen Seite aber auch Risiken aus den ausgelagerten Leistungen möglichst gering zu halten. Dies kann bis zu einem Auditrecht gehen, dass dem Auftraggeber die Möglichkeit eröffnet, beim Anbieter von Managed Security vor Ort die Sicherheitsstandards zu prüfen. Nach den vorliegenden Erfahrungen sind solche Auditrechte in bestimmten Branchen, z.B. im Bankenbereich üblich, in anderen Branchen nahezu völlig unbekannt. Hier setzen sich viele Auftraggeber unnötigen Risiken aus.

 

 

Strafrechtliche Konsequenzen

 

Der fehlerhafte Umgang mit personenbezogenen Daten kann schwerwiegende strafrechtliche Folgen nach sich ziehen. So beinhalten die §§ 43, 44 BDSG einen umfangreichen Bußgeldkatalog und Strafvorschriften. Insbesondere sei hier darauf hingewiesen, dass bereits das fahrlässige unbefugte Erheben oder Übermitteln von personenbezogenen Daten mit einem Bußgeld von bis zu 250.000 Euro belegt werden kann (§ 43 II Nr. 1, III, 2. Halbsatz BDSG).

 

Eine Strafbarkeit wegen des Abfangens von Daten (§ 202b StGB) wird mit bis zu zwei Jahren Freiheitsstrafe bestraft, wenn unbefugt Daten aus einer nichtöffentlichen Datenübermittlung gespeichert werden. Das Einverständnis der Betroffenen, das durch eine wirksame Einwilligungserklärung (s.o.) eingeholt werden kann, wirkt tatbestandsausschließend und verhindert die Strafbarkeit gemäß § 202b StGB (Weidemann in: von Heintschel-Heinegg, Beck’scher Online-Kommentar, §202b, Rn. 11; § 202a, Rn. 18; Gröseling/Höfinger, MMR 2007, 549, 553).

 

Außerdem kommt insbesondere eine Strafbarkeit wegen der Verletzung von Privatgeheimnissen (§ 203 StGB) in Betracht, wenn fremde Geheimnisse offenbart werden. Das kann beispielsweise der Fall sein, wenn digitale Rechtsanwalts- oder Arztakten ohne die erforderliche Einwilligung an einen externen Dienstleister übermittelt werden oder dieser Zugriff auf die Daten erhält. Hier liegt der Strafrahmen bei Geldstrafe oder einer Freiheitsstrafe von bis zu einem Jahr. Ist die IT-Security noch in das Unternehmen integriert, also nicht outgesourced, und der IT-Verantwortliche erhält von den Geheimnissen Kenntnis, so liegt kein Offenbaren vor und damit ist keine Strafbarkeit gem. § 203 StGB begründet (Lackner/Kühl, StGB, § 203, Rn. 11b, 17). Sind die an den externen Dienstleister übermittelten Daten für diesen unkenntlich oder sind bei Systemwartungen die Daten nicht lesbar und ist daher eine Kenntnisnahme ausgeschlossen, was insbesondere durch zuverlässige Verschlüsselung erreicht werden kann, ist das Rechtsgut nicht verletzt, so dass ein Offenbaren ebenfalls ausgeschlossen werden kann (vgl. Weidemann in: von Heintschel-Heinegg, Beck’scher Online-Kommentar, § 203, Rn. 31; Cierniak in: Münchener Kommentar zum StGB, § 203 StGB, Rn. 48).

 

 

Fazit

 

Verträge über Managed Security Services sind in vielen Bereichen wie die sonstigen EDV-Verträge zu behandeln. Besonderes Augenmerk sollte bei der Vertragsgestaltung auf die Leistungsbeschreibung und auf die Mitwirkungspflichten gelegt werden. Hier sind detaillierte und präzise Regelungen notwendig. Datenschutzrechtlich stellen Managed Security Services verschiedene Anforderungen. Kritisch ist insbesondere der Umgang mit personenbezogenen Daten ohne Einwilligung des Betroffenen.



[1] Marly, Softwareüberlassungsverträge, Rn. 197; BGH, Urt. V. 15.11.2006, Az. XII ZR 120/04, S. 6; OLG Nürnberg CR 1993, 359, 360; vgl. BGH NJW 1983, 1489, 1490.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 1,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*