Reales Recht in virtueller Welt
Artikel erschienen in Swiss IT Magazine 2009/06
Vor kurzem erzählte uns der CEO einer Klientin, ein mittelgrosses Informatikunternehmen, ganz begeistert von den Möglichkeiten der Virtualisierung und deren grossem Nutzen. Trotz Euphorie beschlich ihn aber das ungute Gefühl, dass damit rechtliche Probleme verbunden sein könnten. Sein Gefühl ist richtig. Bei der Virtualisierung muss aus juristischer Sicht besondere Beachtung der Lizenzierung, dem Datenschutz und den Dienstleistungsverträgen (Wartung, Support) geschenkt werden. Nicht alle Anbieter von Software und entsprechenden Dienstleistungen sind rechtlich gleich gut für die neuen Herausforderungen gerüstet. Mit einigen sind individuelle rechtliche Lösungen speziell auszuhandeln.
Wie viele der neuen Entwicklungen in der Informatik ist auch die «Virtualisierung» kein gefestigter, klar definierter Begriff. Für uns und unsere Klienten bedeutet Virtualisierung in der Regel, dass mehrere Betriebssysteme gleichzeitig auf einem Server, also auf der gleichen Hardware ausgeführt werden. Es werden somit auf dem gleichen Server mehrere Bereiche gebildet, sogenannt virtuelle Maschinen, die von verschiedenen Usern genutzt werden. In diesen Bereichen werden oft die gleichen Programme mit der gleichen Lizenz mehrmals installiert. Dazu werden die Daten verschiedener Eigentümer in den verschiedenen Bereichen, aber auf dem gleichen Server abgelegt.
Damit stellen sich für uns verschiedene rechtliche Fragen. Darf man eine Software auf dem gleichen Server mehrmals installieren? Ist der Schutz der Daten in den verschiedenen Bereichen insbesondere vom Zugriff der User der anderen Bereiche gewährleistet? Berücksichtigen die Dienstleistungsverträge die Virtualisierung?
In den uns bekannten Fällen ist bei der Virtualisierung von einer gesteigerten, also zusätzlichen Nutzung von Software auszugehen, obwohl die gleiche Hardware benutzt wird. Da es sich bei einer Lizenz um ein Nutzungsrecht handelt, stellt sich die Frage, ob diese Zusatz-nutzung auf der Basis der bestehenden Lizenz überhaupt zulässig ist und wenn ja, ob dafür mehr bezahlt werden muss.
In der Schweiz existiert dazu noch keine Rechtsprechung. Aufgrund der Meinung vereinzelter Schweizer Juristen zur Thematik ist jedoch davon auszugehen, dass für die Virtualisierung eine spezielle Lizenz notwendig ist, die dann auch regelt, ob dafür eine zusätzliche finanzielle Abgeltung geleistet werden muss.
Microsoft zum Beispiel offeriert verschiedene Virtualisierungs-Lizenzen, insbesondere zum Windows Server 2008. Dabei ist jedoch genau zu prüfen, welche Lizenz den eigenen Bedürfnissen entspricht. Dies ist nicht ganz einfach. So erlaubt die Standardlizenz eine virtuelle Maschine pro physischen Server, die Enterprise-Lizenz aber vier. Zusätzlich darf bei beiden Lizenzversionen jeweils noch gleichzeitig eine physische Instanz der Software ausgeführt werden, die allerdings nur zum Zweck der Virtualisierung genutzt werden darf, sofern die jeweilige Höchstzahl an zulässigen virtualisierten Instanzen einer Lizenz ausgenutzt wird.
Die Datacenter-Lizenz von Windows Server 2008 lässt demgegenüber eine beliebige Anzahl virtualisierter Instanzen zu. Wie viele Datacenter-Lizenzen erforderlich sind, richtet sich dabei nach der Prozessorenzahl. Jede Lizenz muss nach den Microsoft-Bestimmungen einem physischen Server zugewiesen werden. Die Zuweisung darf grundsätzlich nur alle 90 Tage verändert werden und nur, wenn die Software lizenzrechtlich nicht an den Server gebunden ist («OEM»). Eine Verschiebung virtueller Maschinen auf einen anderen physischen Server ist nur zulässig, wenn dort ebenfalls eine entsprechende, diesem physischen Server zugewiesene Lizenz vorhanden ist*.
Für Open-Source-Software gelten bezüglich Virtualisierung die gleichen Grundsätze wie bei der übrigen Software. Denn «Open Source» heisst nicht «Open Right».
Die rechtlichen Konsequenzen einer unerlaubten Virtualisierung können sowohl zivilrechtlicher als auch strafrechtlicher Natur sein. Zivilrechtlich kann der Inhaber der entsprechenden Software deren widerrechtliche Übernutzung als Schaden geltend machen. Eine unerlaubte Virtualisierung ist aber auch eine strafbare Handlung im Sinne des Urheberrechts und kann mit einer Geldstrafe oder sogar einer Freiheitsstrafe geahndet werden.
Auch wenn virtuelle Maschinen grundsätzlich wie physische Maschinen voneinander unab-hängig laufen, ist es doch faktisch so, dass sie sich im gleichen Warehouse befinden. Damit besteht neben der Gefahr des Zugriffs von aussen eine erhöhte Gefahr des Übergriffs vom einen zum anderen Bereich. Dies stellt vor allem dann ein datenschutzrechtliches Problem dar, wenn der Server von einem externen Dienstleister zur Verfügung gestellt wird. Aber auch inhouse müssen die Datenschutz-Grundsätze eingehalten werden. Inhouse kann die Virtualisierung insbesondere dann datenschutzrechtlich heikel sein, wenn nicht alle Mitarbeiter auf alle Daten Zugriff haben sollen. Im Übrigen kommt das Datenschutzrecht nur da zur Anwendung, wo es um Daten geht, die unmittelbare Rückschlüsse auf natürliche oder juristische Personen zulassen.
Da bei einer Virtualisierung mit oder ohne Erhöhung der Anzahl User die Nutzung ausgedehnt wird, müssen meistens auch die Dienstleistungsverträge (insbesondere Wartung und Support) angepasst werden. Dabei verhält es sich in der Regel so, wie wenn für eine Software weitere Lizenzen beantragt werden.