Urheberrecht, Lizenzrecht, Piraterie

Risiken und Nebenwirkungen von Cloud-Software

29.09.2014
Von  und
Dr. Oliver Meyer-van Raay ist Rechtsanwalt, Fachanwalt für IT-Recht und Partner der insbesondere auf das IT-Recht spezialisierten Kanzlei Vogel & Partner mit Sitz in Karlsruhe und Stuttgart. Er berät schwerpunktmäßig im Bereich des Software-, Projekt- und Datenschutzrechts. Meyer-van Raay hat zum Softwarelizenz- und Softwarevertriebsrecht promoviert. Er ist Lehrbeauftragter für IT-Recht an verschiedenen Hochschulen sowie Dozent für Vertragsgestaltung und Vertragsverhandlung am Karlsruher Institut für Technologie (KIT).
Dr. Ralf Klühe ist Rechtsanwalt und Partner der auf das IT-Recht spezialisierten Kanzlei Vogel & Partner mit Sitz in Karlsruhe und Stuttgart. Er berät schwerpunktmäßig im Bereich des Software-, Urheber- und Onlinerechts. Nach Studium und Referendariat in Konstanz sowie Promotion am ITM der Universität Münster (Dissertation zum Domainrecht) war Klühe über sechs Jahre für eine der führenden Wirtschaftskanzleien im Bereich IP-/IT-Recht in Stuttgart tätig. Er ist Mitglied des Prüfungsausschusses Fachanwalt für IT-Recht der RAK Stuttgart.
Nutzen Anwender Software in der Private Cloud oder als Service aus der Public Cloud, müssen sie auch Fragen des Urheber- und Lizenzrechts mit auf dem Radar haben.
Die Cloud wirft eine Menge Rechtsfragen auf.
Die Cloud wirft eine Menge Rechtsfragen auf.
Foto: ferkelraggae - Fotolia.com

Das Thema Softwarepiraterie, verstanden als die Verletzung von Urheberrechten an Software, hat durch die inzwischen weit verbreitete Nutzung von Software in der Cloud noch einmal an Brisanz gewonnen. So identifiziert beispielsweise die Business Software Alliance (BSA) - neben der unerlaubten Weitergabe von Zugangsdaten - drei Varianten der Cloud-Piraterie:

  • eine "dunkle Wolke", die von einem Anbieter eingerichtet wird, um Software as a Service (SaaS) anzubieten, obwohl das Unternehmen nicht über die entsprechenden Softwarelizenzen verfügt;

  • eine "Graue Wolke", mit der ein Anbieter Software für mehr Anwender anbietet, als es seine erworbene Lizenz zulässt;

  • und eine "Dunkle Wolke", die innerhalb eines Anwender-Unternehmens für den eigenen Gebrauch eingerichtet wird, ohne dass entsprechende Nutzungsrechte bestehen.

Ob deshalb tatsächlich eine Modernisierung des Urheberrechtsgesetzes (UrhG) notwendig ist, wie von der BSA gefordert, erscheint indes zweifelhaft. Das bestehende gesetzliche Instrumentarium sollte ausreichende Mittel zur Bekämpfung von Urheberrechtsverstößen bieten, auch wenn diese im Cloud-Umfeld erfolgen.

Rechtliche Ausgangslage

Aus der Perspektive des Anwenders, der Software in einem rechtlich abgesicherten Rahmen in der Cloud nutzen möchte, stellt sich in erster Linie die Frage, wer die für den Cloud-Betrieb vorgesehene Software zur Verfügung stellt. Das kann er selbst sein oder aber auch der Cloud-Provider, der eine eigene Softwarelösung einer Vielzahl von Kunden über die Cloud anbietet.

In beiden Fällen ist es erforderlich, dass den Beteiligten die für einen Cloud-Betrieb und eine Cloud-Nutzung der Software erforderlichen Rechte zustehen. Rechtsverstöße sind aber auch dadurch denkbar, dass der Anwender dem Cloud-Provider die Software unter Verstoß gegen vertragliche Weitergabebeschränkungen überlässt. Die Wirksamkeit solcher Weitergabeverbote in den AGB eines Softwarehauses stellt unter IT-Rechtlern nicht zuletzt aufgrund ihrer Bedeutung für den sogenannten Gebrauchthandel mit Softwarelizenzen einen "Klassiker" dar. Die Thematik hat gerade angesichts eines Urteils des LG Hamburg zu einer entsprechenden Regelung in den Allgemeinen Geschäftsbedingungen der SAP AG noch an Brisanz gewonnen.

Welche Nutzungsrechte nötig sind

Für die urheberrechtliche Beurteilung sind zunächst zwei Konstellationen voneinander abzugrenzen: Zu einen gibt es die Situation, dass der Anwender eine Software vom Anbieter erwirbt und diese eventuell noch an seine individuellen Bedürfnisse anpassen lässt, um sie dann von einem externen Provider in einer Private Cloud für sein Unternehmen betreiben zu lassen.

Davon zu unterscheiden sind "originäre" Cloud-Angebote: Der Cloud-Provider stellt seine Softwarelösung nebst flankierender Dienstleistungen einer Vielzahl von Kunden zur Remote-Nutzung in einer Public Cloud zur Verfügung (Software as a Service / SaaS). Soweit es sich um selbsterstellte Software des Cloud-Providers handelt und der Kunde mit dem Provider einen wirksamen Vertrag zur Cloud-Nutzung der Software schließt, stellen sich in der Praxis eher selten urheberrechtliche Probleme.

Sofern der Kunde überhaupt eine urheberrechtlich relevante Nutzungshandlung in Form einer Vervielfältigung der Software (beispielsweise im Client-Arbeitsspeicher) vornimmt, kann diese gemäß §44a UrhG privilegiert sein. Nach dieser Ausnahmevorschrift sind vorübergehende Vervielfältigungen, die flüchtig oder begleitend sind, einen integralen Bestandteil eines technischen Verfahrens darstellen und die insbesondere keine eigenständige wirtschaftliche Bedeutung haben, ohne Erlaubnis des Urhebers zulässig. Selbst wenn man diese Ausnahmevorschrift für nicht anwendbar hält, wäre die Vervielfältigung der Software im Arbeitsspeicher des Client-Rechners nach §69d Abs. 1 UrhG nach verbreiteter Auffassung als zulässig anzusehen, weil sie für eine bestimmungsgemäße Benutzung der Software durch den berechtigten Nutzer erforderlich ist.

Lizenzierung empfehlenswert

Obwohl für den Anwender damit keine unbedingte Pflicht zur Lizenzierung der Cloud-Software besteht, ist diese dennoch zu empfehlen, um Rechtssicherheit zu haben. Die genannten Ausnahmevorschriften des UrhG sind in Zweifelsfällen grundsätzlich eher eng zugunsten des Urhebers auszulegen. Hinzu kommt, dass die Software gegebenenfalls auch außerhalb Deutschlands genutzt wird und deshalb ausländische Rechtsordnungen zur Anwendung kommen können.

Aus urheberechtlicher Sicht problematischer ist die Situation, wenn der Anwender die von ihm bereits angeschaffte Software in die Cloud auslagern und dort von einem Dritten für sich betreiben lassen möchte. Beispiel: Ein mittelständisches Unternehmen hat eine neue ERP-Software erworben und sich diese vom Softwarehaus an die eigenen Bedürfnisse anpassen lassen. Dafür wurden individuelle Funktionen und Schnittstellen entwickelt und integriert. Nun ist darauf zu achten, dass dem Anwender alle die für eine Übertragung auf den Provider und den anschließenden Cloud-Betrieb erforderlichen Nutzungsrechte zustehen. Das bezieht sich sowohl auf die Standard-ERP-Lösung, die unter Umständen den vorrangigen Lizenzbedingungen des Herstellers unterliegt, als auch auf die durch das Softwarehaus entwickelten individuellen Anpassungen und Ergänzungen.

Was für Nutzungsrechte sind das?

Zunächst ist festzustellen, dass für den Anwender in Bezug auf die urheberrechtlichen Befugnisse eine Art "Holschuld" besteht: Möchte ein Anwender eine von ihm erworbene Software nicht mehr selbst betreiben, sondern durch einen externen Provider für sich, seine konzernangehörigen Unternehmen oder auch für Dritte betreiben lassen, muss er sich die hierfür erforderlichen Rechte aktiv beschaffen, also ausdrücklich einräumen lassen. Das gilt beispielsweise für ein CRM-System, auf das auch externe Vertriebsmitarbeiter des Anwenders zugreifen sollen.

Grundsätzlich ist es nämlich so, dass ein Kunde nur solche urheberrechtlichen Nutzungsrechte an einer Software erhält, die er sich vertraglich durch den Lieferanten hat zusichern lassen. Zwar gibt es bei Fehlen einer ausdrücklichen Lizenzvereinbarung eine gesetzliche Auffangregelung im UrhG, die die Reichweite der Nutzungsrechte an den Zweck des zugrunde liegenden Vertrages knüpft. Die Anwendung dieses Zweckübertragungsgrundsatzes (auch Übertragungsweckgrundsatz genannt) führt in der Praxis aber zu nicht unerheblichen Unsicherheiten bei der Frage, welche Nutzungsrechte tatsächlich stillschweigend eingeräumt wurden. Es ist deshalb aus Sicht des Anwenders vorzuziehen, sich die für den Cloud-Betrieb notwendigen Nutzungsrechte im Vertrag von vornherein ausdrücklich einräumen zu lassen.

Die Technik "dahinter"

Bei der Frage, welche urheberrechtlichen Nutzungsarten im Einzelnen zu lizenzieren sind, ist auf einer ersten Stufe zunächst einmal die technische Ausgestaltung des Cloud-Angebots zu prüfen. An einer Speicherung der Software im Rechenzentrum des Cloud-Providers - und damit einer eigenen Vervielfältigung durch den Cloud-Provider - wird man kaum vorbeikommen. Aber wird die Software auch auf den Client-Rechnern der Mitarbeiter gespeichert, beispielsweise in den dortigen Arbeitsspeichern? Haben neben den eigenen Mitarbeitern des Kunden auch noch Dritte Zugriff auf die Software, kann auch ein Fall der - gesondert zu lizenzierenden - öffentlichen Zugänglichmachung der Software vorliegen (§ 69c Nr. 4 & §19a UrhG).

§19a UrhG ist auf On-Demand-Leistungen zugeschnitten und kann neben öffentlichen Cloud-Services auch bloße unternehmens-/konzernweitweite ("private") Cloud-Services erfassen. Dies gilt insbesondere dann, wenn die Beteiligten nicht durch persönliche Beziehungen untereinander verbunden sind und die Cloud-Services deshalb im gesetzlichen Sinne nicht nur "öffentlich" angeboten, sondern auch so genutzt werden.

Nicht verbunden in diesem Sinne sind nach der Rechtsprechung regelmäßig die Beschäftigten eines größeren Betriebes. Bei ihnen fehlt es an der persönlichen Verbundenheit im Gesetzessinne, die ein gewisses Vertrauensverhältnis voraussetzt. Für die Beschäftigten unterschiedlicher Konzernunternehmen gilt dies erst Recht.

Auf Basis dieser technischen Feststellungen sind auf der zweiten Stufe die vereinbarten Lizenzbedingungen zu prüfen - sowohl bezogen auf die Standardsoftware als auch die individuell erstellten und angepassten Komponenten. Es gilt sicherzustellen, dass die Auslagerung und der anschließende IT-Betrieb lizenzrechtlich zulässig sind und der Anwender seinem Cloud-Provider überhaupt die notwendigen Nutzungsrechte "vermitteln" kann.