Am 16.10.2023 fand der 22. Bayerische IT-Rechtstag mit dem Leitthema: “IT-Basics reloaded: Software (KI) und IT-Verträge (Data Act)” im hbw ConferenceCenter in München statt, zu dem Herr RA Michael Dudek, Präsident des Bayerischen Anwaltverbandes e.V., München mehr als 200 Teilnehmerinnen und Teilnehmer zum zweiten Mal hybrid begrüßte.
Überschattet wurde er vom plötzlichen Tod des IT-Rechts-Granden Prof. Dr. Gerald Spindler, wie der Moderator und Host des Tages, Herr RA Prof. Dr. Peter Bräutigam, Noerr Partnerschaftsgesellschaft mbB, München, betroffen anmerkte. Die Begrüßung im Namen der davit übernahm dankenswerter Weise Herr RA Dr. Thomas Lapp, Fachanwalt für IT-Recht, GfA davit und Mediator, Frankfurt am Main, für den krankheitsbedingt unpässlichen Herrn RA Karsten U. Bartels LL.M., Vorsitzender des GfA davit, Berlin.
Das Unterthema des Vormittags “Software reloaded: Softwareprojekte” begann Herr Prof. Dr. Alexander Pretschner, Technische Universität München, Professur für Software und Systems Engineering mit seinem technisch erhellenden Vortrag “Technische Softwareanalyse bei Softwareprojekten in der Krise”.
Er führte in die Qualitätsanalyse beim Software-Engineering ein, welche zentral die Bereitstellung messbarer Funktionalitäten betreffe. Bei dieser Analyse unterscheide man zwischen funktionalen sowie extrafunktionalen Eigenschaften. Letztere seien in interne Qualitäten wie Wartbarkeit oder Portierbarkeit sowie externe Qualitäten wie Performanz, Sicherheit oder Usability zu unterteilen. Im Unterschied zu funktionalen Eigenschaften seien extrafunktionale Eigenschaften nicht an einer dezidierten Stelle im Code implementiert, was deren Testung deutlich verkompliziere (bspw. die Security des Gesamtsystems).
Herr Prof. Dr. Thomas Riehm, Universität Passau, Lehrstuhl für Deutsches und Europäisches Privatrecht, Zivilverfahrensrecht und Rechtshistorie gab als ideeller Sponsor und Sprecher des IRDG der Universität Passau einen inhaltlichen Überblick zur “Prozessführung bei (fehlgeschlagenen) agilen Softwareprojekten”. Er erläuterte zunächst sehr anschaulich die Funktionsweise der agilen Softwareentwicklung (insb. Scrum) sowie die daran beteiligten Rollen und deren Aufgabenverteilung. Anschließend stieg er in die jeweilige Vertragstypisierung solcher Verträge ein, für die der Auftraggeber die Darlegungs- und Beweislast trage. In Betracht kämen zunächst ein Dienstverschaffungsvertrag, also die Bereitstellung geeigneter Arbeitskräfte durch den Auftragnehmer oder auch ein regulärer Dienstvertrag, also das Versprechen sorgfältiger Arbeit. Hier sei der Nachweis konkreter Verstöße gegen die leges artis sowie deren Kausalität für evtl. Schäden (ggf. Lösung über § 287 ZPO) erforderlich. Indes passe hier der Gedanke des Erarbeitens eines Projektergebnisses während des Projekts. Bei der Annahme eines Werkvertrags erfolge die Abnahme einer Sollbeschaffenheit, wobei als geschuldete Erfolge sowohl das Gesamtprojekt, die Summe aller user stories oder auch mehrere Verträge bezogen auf einzelne sprints in Betracht kämen. Anhand von Indizien läge im Zweifel, jedoch immer abhängig vom jeweiligen Gericht, ein Dienstvertrag vor; das bedeute ein hohes Prozessrisiko. “Sie müssen zu Allem vortragen. Eine IT-Spezialkammer ist daher wichtiger als die Klausel-Formulierung!” Der Moderator resümierte belustigt, man streite sich ja gerne mal, aber “als eine ebenfalls in Frage kommende BGB-Gesellschaft wollen Sie das sicherlich nicht”.
Nach einer wohlverdienten Kaffeepause betonte Herr RA Dr. Thomas Lapp, Fachanwalt für IT-Recht, GfA davit und Mediator, Frankfurt am Main, die “Chancen der Mediation bei Softwareprojekten in der Krise”. Seinen mit Filmausschnitten unterlegten Vortrag begann er mit einer Publikumsumfrage, in der, gefragt nach der Lieblingsbeschäftigung des Publikums bei IT-Projekten, “Prozess” nicht vorkam. Auch Unternehmen wollten ihre Streitigkeiten am liebsten durch Verhandlungen lösen. Anders als bei einem Urteil könne Mediation dazu führen, dass beide Parteien denken, sie hätten “das größte Stück vom Kuchen bekommen”. Anhand von Beispielen aus seiner Erfahrung als Mediator hob er insbesondere die “9 Eskalationsstufen nach Glasl” sowie das Verständnis für den Blick des anderen (“verfolgt genauso wirtschaftliche Interessen und ist nicht böse”) hervor. Letztlich empfehle er, bereits ex-ante eine Mediationsklausel aufzunehmen. So könne man sich als Partei auf die prozesshindernde Mediations-Einrede berufen, ohne - vermeintlich! - Schwäche zu zeigen.
Vor der Mittagspause referierte Frau RAin Elke Bischof, Fachanwältin für IT-Recht, MAYBURG Rechtsanwaltsgesellschaft mbH, München zu “Agile Softwareprogrammierung und EVB IT – Erfahrungen und Praxistipps”. Zunächst gab sie einen Überblick zu den EVB-IT Vertragsmustern für den Einsatz in der öffentlichen Verwaltung. Zwar würden sich agile Methoden auch in der Verwaltung anbieten; und seien dort auch bereits angekommen. Allerdings wären die vorhandenen Vertragsmuster des EVB-IT Erstellungsvertrags für ein agiles Softwareprojekt nicht ausreichend, weshalb sie einige Ergänzungsmöglichkeiten skizzierte: insb. klarere Definitionen und Vergütungsmodelle. Hauptproblem der Verwaltung bleibe jedoch das Erfordernis eines konstanten Personaleinsatzes bei der agilen Entwicklung. Daher sei es besser, erstmal mit kleineren Projekten zu beginnen.
Im Anschluss eröffnete Frau RAin Dr. Sonja Dürager LL.M., bpv Hügel Rechtsanwälte, Wien das nächste Unterthema “Software reloaded: KI und Haftung” mit ihrem Vortrag zu “Softwareregulierung: Chat GPT – Update der KI-Verordnung notwendig?”.
Sie begann zunächst mit einer Abgrenzung der Begriffe KI vs. Deep Learning. Anschließend stieg sie in die Differenzierungen des neuen AI-Act-E ein: Dieser spreche aktuell nicht von KI, sondern von “KI-Systemen”, jeweils mit einem unterschiedlichen Grad an Autonomie. Als Teil des Produktsicherheits- bzw. -haftungs-Rechts unterteile er, ausgehend von den grundlegenden Basismodellen/foundation models, zwischen General Purpose AI und Specific Intended Purpose AI, je nachdem wie viel Feintuning das jeweilige Modell bereits durchlaufen habe. Im Bereich des “specific purpose” würden einige KI-Systeme aufgrund eines inakzeptablen Risikos verboten, wie bspw. Biometrische Kategorisierungssysteme, die sensible Merkmale verwenden.
Hoch-Risiko KI-Systeme aus dem Anhang III hingegen unterlägen sehr hohen Anforderungen. Sie schloss mit einer Brücke ins Datenschutzrecht bzgl. Art. 22 und 13/14 DSGVO, die bei der Erstellung von Profilen durch KI auch zukünftig zu beachten seien.
Es folgte der Vortrag von Herrn RA Thomas Loipersberger, Noerr Partnerschaftsgesellschaft mbB, München zum Thema “Haftung für Software: Produkthaftungsrichtlinie und Richtlinie über KI-Haftung”. Zum einen befasste er sich mit der Novellierung der Softwarehaftung durch den sich noch im Gesetzgebungsverfahren befindlichen Entwurf der Produkthaftungs-RL. Im Kern ginge es dabei um die verschuldensunabhängige Produkthaftung auch für Software durch eine Änderung des Produktbegriffs; inkl. Updates bzw. Upgrades nach Inverkehrbringen der Software sowie digitale Dienste und auch KI-Systeme. Dazu komme, als Novum für das deutsche Verfahrensrecht, eine u.U. gewisse “discovery” zugunsten des Geschädigten. Daneben skizzierte er mögliche Auswirkungen des Entwurfs der KI-Haftungs-RL auf die Softwarehaftung. Anders als der Name vermuten lässt, gehe es im Kern um keinen eigenen Haftungstatbestand, sondern um Beweislasterleichterungen für außervertragliche, verschuldensabhängige Schadensersatz- Ansprüche ggü. Anbietern von KI-Systemen.
Nach einer kurzen Kaffee-Pause folgte der letzte Themenblock “IT-Vertragsrecht reloaded: Data Act”. Diesen begann Herr Prof. Dr. Andreas Wiebe, LL.M., Georg-August-Universität Göttingen, Institut für Wirtschafts- und Medienrecht, mit “Bestimmungen für Datennutzungsverträge gem. Art. 13 Data Act-E und deren Umsetzung”. Nach einem guten Überblick über die Eckpunkte der Anwendbarkeit des Data Act (bzgl. pers.bez. und nicht per.bez. Daten, die bei der Nutzung eines “connected product or related service” erzeugt werden) ging er auf dessen nutzerzentrierten Ansatz ein, der zwischen den Rollen Nutzer, Dateninhaber und Datenempfänger unterscheidet. Zwischen diesen werde ein vertragliches System aus verschiedenen Zugangsrechten und Nutzungsbeschränkungen statuiert. Der dreistufige Ansatz der neuen Missbrauchskontrolle nach Art. 13 DA-E greife zukünftig bzgl. aller einseitig nach Verhandlung auferlegten, datenbezogenen Vertragsklauseln und führe so zu einer gespaltenen AGB-Kontrolle.
Frau RAin Julia Kaufmann, LL.M. (University of Texas), Osborne Clarke, München beendete den Tag schließlich mit “Cloud-Verträge: Anbieterwechsel und internationale Datenübermittlung nach dem Data Act”. Kap. VI ziele speziell auf Anbieter von Datenverarbeitungsdiensten, also Cloud- und Edge-Dienste und verbiete diesen grds. das Errichten von Hindernissen für den Anbieterwechsel. Sie ging insbesondere auf die zeitliche Wechsel-Komponente (zukünftig ein Prozess von zumeist 3 Monaten) sowie auf technische und vertragliche Pflichtvorgaben auf Anbieterseite ein (u.a. TransitionServices und Informationspflichten sowie die Zurverfügungstellung von offenen Schnittstellen zur Portabilität und Interoperabilität). Größte Veränderung sei sicherlich die schrittweise Abschaffung von Wechselgebühren. Ebenfalls bemerkenswert sei die Einführung von Anforderungen an die internationale Datenübermittlung (zusätzlich zur DSGVO!) für nicht pers.bez. Daten. Zuständige Behörde diesbzgl. werde in Deutschland wohl das BSI werden.
Hiernach blieb Herrn Prof. Dr. Bräutigam nur noch, allen Speaker:innen und Teilnehmer:innen live und daheim für Ihre rege Teilnahme zu danken. Ein besonderer Dank ging auch an Frau Baral mit Team, Frau Breitenauer und Frau Pintz für die reibungslose Vorbereitung sowie an die diesjährigen Sponsoren. Bis zum nächsten Jahr!
Simon Tannen, Referendar@Google und WissMit. IP-Center Bucerius Law School
