Egal ob wir auf die Mandate von Olswang, auf Pressemitteilungen

Egal ob wir auf die Mandate von Olswang, auf Pressemitteilungen von IT-Providern oder auf die
Vielzahl von Studien in der Industrie schauen, es kann kein Zweifel daran bestehen, dass CloudServices mittlerweile einen Teil der aktuellen Angebote bzw. der zukünftigen Pläne der meisten
CTOs darstellen. Ein Cloud-Angebot kann für den richtigen Kunden ein höheres Maß an
Verfügbarkeiten, größere Sicherheit sowie eine weitreichendere Skalierbarkeit bedeuten. Diese
Vorteile sind für den Kunden oftmals mit niedrigeren und zugleich besser abschätzbaren Kosten
verbunden. Ähnlich wie bei jeder anderen Transaktion, müssen die Kunden natürlich einschätzen
können, ob zusätzliche Risiken entstehen, die mit einer Cloud-Transaktion einhergehen. Je
nachdem wie die Antwort auf diese Frage ausfällt, ist in einem zweiten Schritt zu prüfen, wie das
vertragliche Rahmenwerk all diese Risiken in angemessener Weise adressieren kann. Es
existieren bereits zahlreiche Veröffentlichungen im Bereich der Cloud-Lösungen zu den Themen
Datenschutz, Sicherheit und Risiko des Zugriffs durch staatliche Stellen. Dieser Beitrag
beschäftigt sich allein mit den Risiken in Bezug auf geistige Eigentumsrechte.
Der Beitrag richtet sein Augenmerk zunächst auf mögliche IP-Risiken für einen Kunden, der eine
Cloud-Transaktion mit einem Anbieter von Cloud-Lösungen durchführt. Dabei überprüfen wir, ob
diese IP-Risiken neu und ein Ergebnis der konkreten Kundentransaktion sind oder ob es sich
'nur' um Risiken handelt, die Teil des alltäglichen Geschäftes des Kunden sind, d.h.
Hintergrundrisiken darstellen, die unabhängig davon bestehen, ob die Vorgänge nun in die Cloud
verlagert werden oder nicht. In einem zweiten Schritt wird sodann beurteilt, ob ein tatsächliches
Risiko besteht, dass Dritte Ansprüche wegen Schutzrechtsverletzungen geltend machen können
– und zwar nicht gegenüber dem Anbieter sondern gegenüber dem Kunden – und unter welchen
Umständen dies höchstwahrscheinlich geschehen könnte. Schließlich werden verschiedene
Möglichkeiten erörtert, wie ein Kunde es vermeiden kann, überhaupt verklagt zu werden.
Darüber hinaus wird aufgezeigt, wie sich Kunden im Falle einer Inanspruchnahme schützen
können.
IP-Risiken in der Cloud
IP-Rechte, hier vor allem Urheberrechte und Patentrechte, verschwinden nicht einfach spurlos
dadurch,
dass
ein
Unternehmen
rechtsverletzenden
Code
in
die
Cloud
lädt.
Wenn fremder Code ohne Einwilligung des Rechteinhabers kopiert wird oder ein unabhängig
entwickelter Code das Patent eines Anderen verletzt und dieser Code dann in die Cloud geladen
wird, um so für ein Unternehmen zur Verfügung zu stehen, besteht ein eindeutiges Risiko für eine
Schutzrechtsverletzung. Am einfachsten ist dies wahrscheinlich am Beispiel des Urheberrechts
zu erklären. Das Kopieren eines fremden Codes (ohne eine Lizenz dafür zu haben) stellt eine
Urheberrechtsverletzung dar. Auch die Benutzung des Codes in der Cloud dürfte in den meisten
Ländern Urheberrechte verletzen. Wenn ein Anbieter urheberrechtsverletzenden Code als Teil
einer Cloud-Anwendung für einen Kunden bereitstellt, „beherbergt“ diese Cloud-Anwendung
verletzenden Code. Sofern der Kunde stattdessen eine Lizenz für den Code des Anbieters
23844243-2
1
erworben hat (z.B. als Object Code oder als Source Code) und diesen Code in seinen eigenen
Systemen in den Betriebsstätten vor Ort ausführt oder verwendet, könnte er von einem
potentiellen Kläger ebenfalls auf Schadensersatz und Unterlassung in Anspruch genommen
werden.
Auch eine Patentverletzung ist im Falle der Anwendung eines bestimmten Codes in der Cloud
denkbar, sofern die Patentansprüche entsprechende formuliert sind. Wenn der Code bzw.
dessen Anwendung aus dem Code-Stack oder den Systemen des Cloud-Anbieters stammt, ist es
gut möglich, dass der Patentinhaber, ähnlich wie beim Urheberrecht, wählen kann, wen er auf
Schadensersatz und möglicherweise Unterlassung verklagt. Zwar ist es richtig, dass Software –
bei entsprechender Formulierung der Patentansprüche – diese gegebenenfalls nur dann verletzt,
wenn die Software lokal eingesetzt wird, und nicht, wenn sie in der Cloud Verwendung findet.
Dennoch
sollten
Kunden
vorsichtig
sein,
wenn
ein
Anbieter
darauf
verweist,
dass
Patentverletzungen in der Cloud nicht vorkommen können. Die sich in solchen Fällen
ergebenden Zuständigkeitsfragen mögen Anwälte durchaus beschäftigen, das Risiko liegt aber
nach wie vor beim Kunden und dem Anbieter.
Tatsächliche IP-Risiken in der Cloud
Die beschriebenen Risiken werden durch die Risiken in der realen Welt, die durch den
Unterschied zwischen dem Einsatz vor Ort und dem Einsatz in der Cloud entstehen, noch
vergrößert. Normalerweise ist den Kunden die exakte Anzahl der Bits und Bytes in ihren eigenen
Anwendungen genau bekannt. Die Integrationsteams des Kunden sind häufig
dafür
verantwortlich, das komplette Angebot zusammenzustellen und es dann zu testen. Der Kunde
wird in vielen Fällen eine Open Source-Politik haben und in Bezug auf Open Source-Code, der
von Patenten geschützt ist, besonders aufmerksam sein. Der Kunde ist der Host für den Code
und kann ihn sogar über seine eigenen Seiten an Tausende von Kunden verteilen. Auf diese Art
und Weise kennt der Kunde Art und Umfang des fremden Codes und des Open Source-Codes,
den er verwendet, ganz genau.
Dies trifft allerdings nicht für die Cloud zu, was einerseits einen ihrer Reize, andererseits auch
eines ihrer Risiken darstellt. Durch die Dienstleistungen und Anwendungen, die ein Kunde von
einem Cloud-Anbieter erwirbt, geht der Kunde viel schneller unbewusst ein zusätzliches Risiko
von Schutzrechtsverletzungen, insbesondere von Patentverletzungen, ein. Die großen Anbieter
stehen in zunehmendem Maße nicht nur in Konkurrenz bezüglich der Rechenleistung,
Geschwindigkeit, Sicherheit und Verfügbarkeit (und Kosten!), sie stehen ebenso in Konkurrenz
bezüglich des Codes, den sie ihren Kunden in Form der Cloud-Dienstleistungen als fertiges
Produkt zur Verfügung stellen. Kunden werden eingeladen und oft dazu ermutigt, nicht nur
Rechen- und Speicherleistung sondern auch Plattformlösungen und bestimme Anwendungen von
Cloud-Anbietern zu erwerben, die im Gewand von Anbieter-, Dritt- und Open Source-Code daher
kommen. Der Erwerb solcher Zusatzdienste kann dann nahtloser und mit weniger Sorgfalt
23844243-2
2
erfolgen als es bei einer ähnlichen lokalen Systemerweiterung der Fall wäre. Natürlich ist genau
das einer der Vorzüge von Cloud Computing. Es bedeutet allerdings auch, dass obwohl das
theoretische Risiko der Schutzrechtsverletzung gleichbleibt, die praktischen Risiken zunehmen,
da der Umfang an Code von Dritten und neuem Code in der Cloud typischerweise zunimmt.
Wer verklagt wen und in welcher Höhe?
Bei der Erstellung von Verträgen für die Bereitstellung von IT-Dienstleistungen müssen sich die
Anwälte ab einem bestimmten Zeitpunkt von der Feststellung der tatsächlichen und theoretischen
Risiken abwenden und damit beginnen, diese Risiken zwischen den Parteien aufzuteilen. Falls
kein Risiko besteht, dass ein Kunde verklagt wird, wird der Ausgangspunkt eines Cloud-Anbieters
typischerweise der sein, dass der Kunde keine Gewährleistung oder Haftungsfreistellung
benötigt, da ja gerade kein Risiko besteht. Die eingespielte Antwort ist darauf normalerweise,
dass, wenn kein Risiko besteht, eine Absicherung durch den Anbieter dann ja unproblematisch
sein sollte und entsprechend vereinbart werden kann. Aber wie hoch ist eigentlich die
Wahrscheinlichkeit, dass ein Unternehmen, dessen Rechte verletzt wurden, einen Kunden
verklagt? Warum sollte ein solches Unternehmen nicht vielmehr immer den Anbieter verklagen
oder zumindest beide? Es gibt zahlreiche Gründe, weshalb ein Kläger sich vorzugsweise an den
Kunden halten wird. Diese werden im Folgenden aufzeigen.
Eine alte Binsenweisheit spricht vom „Verfahren der tiefen Taschen“ ("deep pocket litigation") und
bedeutet, dass immer der solventeste Gegner verklagt werden sollte, da hier die höchsten
Schadensersatzzahlungen erzielt werden können. Und so ist es zwar richtig, dass ein Kläger, der
auf Schadensersatz abzielt, immer sicherstellen wird, dass dieser auch bezahlt werden kann,
doch es ist nicht immer richtig, dass die einfachsten Erfolge gegen die solventeren Beklagten, wie
beispielsweise große IT-Anbieter, erzielt werden. Diese Anbieter sind in ihrem Bereich
üblicherweise technisch ausgefeilt und beschäftigen zudem gut ausgestattete In-House-Teams,
die bereit und dazu in der Lage sind, entsprechende Gerichtsverfahren zu führen. Zudem haben
IT-Anbieter meist mehr zu verlieren als ein Kunde und werden aus diesem Grund härter kämpfen,
da sie sich den Präzedenzfall eines Vergleichs nicht leisten können. Zusätzlich zu ihren
finanziellen und rechtlichen Ressourcen verfügen IT-Anbieter bisweilen auch noch über ein
eigenes Portfolio an gewerblichen Schutzrechten, auf dessen Grundlage sie Gegenangriffe
gegen einen Kläger durchführen können. Im Lichte dieser Risiken, könnte eine Klage gegen den
Kunden (statt gegen einen Anbieter) eine gute Option für einen (potentiellen) Kläger darstellen.
Kunden mögen im Übrigen ebenfalls über ausreichende finanzielle Mittel verfügen, um
Schadensersatz zu leisten und könnten zudem, wie im Folgenden beschrieben wird, den Vorteil
einer Haftungsfreistellung haben, so dass ihre Taschen für den Kläger oft "tief genug" sein
dürften. Außerdem haben sie meist kleinere Rechtsabteilungen. Aber selbst wenn diese groß
genug sein sollten, dürften die entsprechenden Teams in den seltensten Fällen über IPSpezialisten verfügen, die Erfahrung in der Verteidigung von Patentverletzungsklagen haben.
23844243-2
3
Aus diesem Grund müssen sie öfter auf externe Anwälte zurückgreifen und zwar früher und mit
größerer Abhängigkeit. Im Gegensatz zum Anbieter kann es sein, dass der Kunde nicht möchte,
dass sein Geschäft durch ein Gerichtsverfahren oder gar durch eine Unterlassung beeinträchtigt
wird. Ein Kunde könnte daher eher dazu bereit sein “einfach etwas zu zahlen, damit das Problem
verschwindet” – wohingegen ein Cloud-Anbieter eine entsprechende Angelegenheit eher als
Frage des Prinzips oder der Präzedenzfall betrachten mag. Last but not least haben
üblicherweise nur wenige Kunden ein Portfolio an Schutzrechten, das als Grundlage für eine
eigene Gegenklage gegen einen Kläger dienen kann.
Risikoverteilung in der Cloud
Was also ist dann das Beste, das ein Kunde erwarten kann, wenn er Verhandlungen mit einem
Anbieter zur Haftungsfreistellung für mögliche Schutzrechtsverletzungen führt?
Wie immer muss das Risiko dorthin verlagert werden, wo es zum einen aus wirtschaftlicher Sicht
Sinn macht und zum andern denjenigen trifft, der das Risiko am besten kalkulieren und
handhaben kann. Daraus folgt, dass Kunden vorsichtig sein sollten, wenn sie für den Fall, dass
ein Anspruch wegen Schutzrechtsverletzung aus dem Code oder der Plattform eines CloudAnbieters herrührt, etwas anderes akzeptieren als eine Haftungsfreistellung durch den Anbieter.
Ein Kunde erfährt darüber hinaus genug negative Auswirkungen durch eine gegen ihn gerichtete
Klage, so dass er nicht zusätzlich noch eine vertraglich geregelte Schadensminderungspflicht
übernehmen sollte. Ein Kunde sollte außerdem vorsichtig sein, eine Haftungsbegrenzung des
Cloud-Anbieters für Schutzrechtsverletzungen zu akzeptieren. Patentverletzungsverfahren
können außerordentlich teuer werden – sowohl was die Schadensersatzsummen als auch was
die Verfahrenskosten betrifft. Kunden sollten außerdem ganz genau darauf achten, ob
Ausnahmen für Bereiche wie die Verletzung der Rechte Dritter auf Grund der Verwendung von
Open Source-Code im Vertrag vorgesehen sind. Wie bereits dargelegt wurde, kann Open Source
in Cloud-Anwendungen oft viel leichter als in lokalen Anwendungen verwendet werden.
***
Dieser Artikel zeigt deutlich, dass gewerbliche Schutzrechte in den Tiefen des Serverraums eines
Kunden genauso leicht verletzt werden können wie auf der höchsten Ebene der Cloud. Kunden
verringern die Risiken in Bezug auf gewerbliche Schutzrechte nicht einfach dadurch, dass sie ihre
Anwendungen in die Cloud verlagern. Auf manche Weise können sie sogar die Risiken in der
realen Welt erhöhen, da die Steuerung und Verwendung innerhalb einer Cloud-Infrastruktur
schneller und agiler sein kann. Wir haben bereits Fälle gesehen, in denen die Kläger Kunden
verklagen, auch wenn der Ursprung der Verletzung im Angebot des Cloud-Anbieters zu finden
war. Während Kunden wenig dazu beitragen können, Rechtsstreitigkeiten abzuwenden, können
sie viel dafür unternehmen, dass IP-Risiken in die Cloud zurückgegeben werden, aus der sie
stammen.
23844243-2
4
Zusätzlich zur Nennung als „Global Outsourcing 100® Company“ für die Jahre 2014, 2015 und
2016 und der Auszeichnung als einer der „World’s Best Outsourcing Advisors“, wurde Dominic
Dryden auf Grund seiner bewährten Expertise und bekannten Arbeit in der „2015 The Lawyer Hot
100“ Liste geführt. Olswangs Sourcing-Team wurde ebenfalls von der European Outsourcing
Association zum „Outsourcing Advisory of the Year in 2013” gewählt. Die Kanzlei war in Jahr
2015 in NOAs Innovation-Kategorie nominiert und im Jahr 2016 von den British Legal Awards für
'Commercial Team of the Year'.
23844243-2
5

Download Report