:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/ea/cb/eacb9148689dcc0aff98ad0fde8f3d1a/0110383284.jpeg "Das Wachstum des Internets der Dinge wird in den nächsten Jahren weitergehen. Die Kombination aus Netzwerk- und Sicherheitsfunktionen macht SASE interessant für Unternehmen, die über eine große Zahl an IoT-Devices verfügen. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/93/e9/93e95863466ebeeb1c1f44322f9429e0/0110510164.jpeg "Für ihr Projekt haben die Forschenden Tausende von mikroskopischen Aufnahmen von Mikrochips gemacht. Hier ist ein solcher Chip in einem goldenen Chipgehäuse zu sehen. Die untersuchte Chipfläche ist nur etwa zwei Quadratmillimeter groß. (Bild: RUB, Marquard)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2b/39/2b39615bb59330a79c5721ff23b0e3de/0110385480.jpeg "Verschlüsselung ist als Mittel zur Datensicherheit gerade beim Transport oder Versand sensibler Daten unverzichtbar. Wir zeigen in diesem Beitrag zehn praktische Verschlüsselungstools für Dateien und USB-Sticks. (Bild: JustSuper - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/67/31/673143fd658b9c7cf226919bfd404398/0109123296.jpeg "ISA-99 ist ein in der Normenreihe IEC 62443 aufgegangener Cybersecurity-Standard für industrielle Automatisierungs- und Steuerungssysteme (IACS). (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Intelligente Verträge auf dem Prüfstand Große Erwartungen und rechtliche Hürden bei Smart Contracts
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Zwar stehen Entwicklung und Verbreitung von Smart Contracts in der Praxis noch am Anfang, doch erscheinen die Perspektiven für Unternehmen vielversprechend: Neben wirtschaftlichen Aussichten werden große Hoffnungen in ein erhöhtes Maß an Sicherheit und Vertrauen gesetzt. Allerdings sind einige, für Anwender höchst relevante, rechtliche Fragen noch offen: Wie sind Smart Contracts vertragsrechtlich einzuordnen, welche Risiken birgt der Einsatz und wie kann man mit diesen Risiken am besten umgehen?
Wer mit dem Begriff Smart Contract zum ersten Mal in Verbindung kommt, ist schnell versucht, ihn wörtlich zu nehmen und sich darunter einen intelligenten Vertrag vorzustellen. Im Grunde ein Vertrag wie jeder andere, nur digital und irgendwie in der Lage, das von den Parteien Vereinbarte in einem bestimmten Maße automatisiert umzusetzen. Das trifft es jedoch nicht ganz.
Auch wenn keine einheitliche Definition existiert, sollte ein Smart Contract eher als ein Programm verstanden werden, das eine vertragliche Vereinbarung durch vorgeschriebene Bedingungen abbildet. Bei Eintritt der Bedingungen sollen bestimmte, ebenfalls vorprogrammierte Handlungen vorgenommen werden. Typischerweise werden Smart Contracts heute in einer Blockchain-Infrastruktur umgesetzt. Das ist zwar nicht zwingend, aber die dezentrale Struktur einer Blockchain und die damit verbundene Fälschungssicherheit der ausgeführten Transaktionen schützen Anwender vor Manipulationen und stellen sicher, dass die festgelegten Handlungen auch wirklich ausgeführt werden. So sind Vertrauen und Sicherheit maßgebliche Vorteile von Smart Contracts, die in einer Blockchain-Umgebung ausgeführt werden.
Ein Smart Contract kann beispielsweise automatisch Lizenzen oder den Zugang zu Online-Plattformen freischalten und sperren, wenn Zahlungen nicht geleistet werden. Im Bereich Internet of Things (IoT) ist etwa die Freigabe von Mietwagen denkbar, sobald ein Nutzer ein Fahrzeug reserviert (Smart Lock). Auch Treuhandkonstellationen sind interessante Anwendungsfelder: So kann ein Smart Contract beispielweise einen bestimmten Geldbetrag vorhalten und automatisch, bei Eintritt eines bestimmten Ereignisses, z. B. dem Ablauf einer Frist, auszahlen. Die Möglichkeiten an Anwendungen finden erst dort ihre Grenzen, wo keine klaren Bedingungen und Folgehandlungen mehr definiert werden können.
Ein „intelligenter Vertrag“?
Nun stellt sich die Frage, ob Smart Contracts Verträge im herkömmlichen Sinn sind, wie etwa Kauf- oder Mietverträge. Die Verknüpfung bestimmter (Rechts-)Folgen an Bedingungen ist eine klassische Vertragskonstellation. Deswegen können Smart Contracts Sachverhalte abbilden, die auch juristisch als Vertragsbeziehungen bezeichnet werden - wenn etwa eine Kaufsache versendet und der Kaufpreis von einem Smart Contract überwiesen wird. Sobald die Sache beim Empfänger angekommen ist, liegt in aller Regel ein Kaufvertrag vor. Genauso, wie ein Vertrag auf einem Stück Papier möglich ist, können die übereinstimmenden Willenserklärungen der Parteien theoretisch in einem Programm verkörpert werden.
Dennoch besteht weitestgehend Einigkeit, dass ein Smart Contract als Programm nicht mit dem juristischen Vertrag selbst gleichgesetzt werden sollte, sondern es sich nur um seine konkrete Umsetzung handelt. Der juristische Vertrag ist die Einigung nach dem Willen der Parteien (außerhalb der Blockchain), die auch schriftlich festgehalten werden kann. Der Smart Contract ist hingegen ein Programm, das bei der Abwicklung des Vertrags unterstützt, für sich genommen aber keinen Vertrag darstellt.
Denn für einen Vertrag ist es erforderlich, dass die Parteien Willenserklärungen abgegeben haben, die übereinstimmen. Der Smart Contract muss also Ausdruck dieser Willenserklärungen sein. Zudem muss die Einigung der Parteien alle wesentlichen Vertragsbestandteile wie den Vertragsgegenstand oder den Preis umfassen. Außerdem ist bei bestimmten Rechtsgeschäften eine bestimmte Form erforderlich, etwa eine notarielle Beglaubigung. Für viele Parteien wird auch die Programmiersprache als Vertragssprache unverständlich bis unlesbar sein. In den allermeisten Fällen dürften daher nicht alle Voraussetzungen erfüllt sein, sodass im Smart Contract selbst kein wirksamer Vertrag zu sehen ist.
Parteien, die ihre Vertragsbeziehungen mit einem Smart Contract regeln wollen, sollten also unterscheiden: Empfehlenswert ist es, einen (schriftlichen) Vertrag nach den bekannten Regeln zu schließen, der die rechtliche Einigung darstellt, und einen entsprechenden Smart Contract auf dieser Basis zu entwickeln. In diesen kann das Vereinbarte dann eingeschrieben werden, damit es automatisch umgesetzt wird.
Rechtliche Unsicherheiten nicht auszuschließen
Aus dieser Unterscheidung folgt die praktische Gefahr, dass ein Smart Contract programmiert und eingesetzt wird, obwohl es keine übereinstimmenden Willenserklärungen gibt. Die Frage, wie das zu bewerten ist, ist von den Umständen des Einzelfalls abhängig. Bei der Konstellation, in der ein Smart Contract programmiert und Transaktionen, die mehrere Parteien betreffen, in Gang gesetzt wurden, aber kein wirksamer Vertragsschluss vorliegt, müssen bereits ausgetauschte Leistungen gegebenenfalls rückabgewickelt werden.
Doch auch wenn ein rechtlich einwandfreier Vertrag geschlossen und auf dessen Grundlage ein passender Smart Contract programmiert wurde, können Probleme auftreten. Denn das deutsche Vertragsrecht kennt einige Ausnahmen und Sonderregelungen, die nicht immer zu einem Smart Contract passen, der vereinfacht gesprochen einmal in Gang gesetzt, nicht mehr aufzuhalten ist. So gibt es zahlreiche Konstellationen, die zur Nichtigkeit, Unwirksamkeit, oder Rückabwicklung eines Vertrages führen, wie etwa Anfechtungen, sittenwidrig Geschäfte, Formmängel oder Widerruf. Auch an anderen Stellen lauern Unwägbarkeiten: Was passiert, wenn ein gekaufter Gegenstand defekt ist oder zu spät geliefert wird?
Natürlich können besondere rechtliche Konstellation und Rückabwicklungen auch manuell außerhalb des Smart Contracts realisiert werden. Dies ginge jedoch zu Lasten der Funktionalität und schmälert die Vorzüge von Smart Contracts, die im Vertrauen darauf eingesetzt werden, dass die vereinbarten Folgen zwingend, unumkehrbar und automatisch umgesetzt werden. Es bieten sich vor allem zwei Lösungswege an. Zum einen können sämtliche Wirksamkeitsvoraussetzungen des Vertrags technisch abgebildet werden, sodass z. B. der Widerruf eines Kaufvertrags dazu führt, dass Leistungen automatisch zurückgegeben werden. Zum anderen bleibt die Möglichkeit, sich auf möglichst klare Konstellationen zu beschränken, die mit wenig Unsicherheiten behaftet sind und aus eindeutigen Wenn-Dann-Beziehungen bestehen. Unerlässlich bleibt deshalb die Prüfung der Rechtslage im jeweiligen Einzelfall und eine wirksame Planung bevor der Smart Contract deployed wird.
Nicht ohne Datenschutz
Häufig werden bei der Nutzung von Smart Contracts personenbezogene Daten verarbeitet, wie etwa bestimmte Kundendaten (Name, E-Mail-Adresse, Anschrift etc.). Daher ist das Datenschutzrecht, insbesondere die Datenschutz-Grundverordnung (DSGVO), zu beachten. Wichtig: Auch, wenn Daten so unkenntlich gemacht werden, dass die betroffene Person auf den ersten Blick nicht erkennbar ist, kann die DSGVO dennoch anzuwenden sein. Oftmals sind die Daten nämlich nur pseudonymisiert, d. h. die Person ist mit einem vertretbaren Aufwand dennoch identifizierbar. Auch Hashes, die mit kryptografischen Haschverfahren geschrieben werden, können personenbeziehbar sein, wenn das Hashverfahren und mögliche Ausgangsdaten bekannt sind. Das Wesensmerkmal der (weitgehenden) Unveränderbarkeit der Blockchain stellt daher eine gewisse Herausforderung dar. Insbesondere wenn bei Smart Contracts aufgrund der Blockchain-Technologie personenbezogene Daten ohne Löschmöglichkeit gespeichert werden, wirft dies einige Probleme auf. Denn die Rechte auf Berichtigung (Art. 16 DSGVO) oder Löschung (Art. 17 DSGVO) drücken wesentliche Grundsätze des Datenschutzrechts aus, die nicht ausgehebelt werden dürfen. Gleiches gilt für die Widerrufbarkeit von Einwilligungen, auf deren Grundlage Datenverarbeitungen vorgenommen werden. Die Anwendung des Datenschutzrechts sowie dessen technische Umsetzbarkeit müssen sorgfältig im Vorfeld geprüft werden und stellen Anwender vor große Herausforderungen. Hier gilt die gleiche Überlegung wie im Vertragsrecht: Vieles kann zu Lasten der Praktikabilität von Smart Contracts gehen und muss im jeweiligen Einzelfall genau abgewogen werden.
Ein Ausblick
Die Frage, was passiert, wenn ein Programm selbst einen Vertrag schließt, kann in Bereichen wie Internet of Things eine große Rolle spielen. Eine Künstliche Intelligenz kann etwa in einem Warenlager automatisch durch Bestellungen den Bestand auffüllen, wenn bestimmte Waren zur Neige gehen. Je autonomer Programme zukünftig in der Lage sein werden zu handeln, desto dringender besteht der Bedarf nach einer klaren rechtlichen Bewertung solcher Fälle. Denn einige Fragen sind offen: Ob intelligente und autonome Systeme rechtsfähig und Vertragspartei sein können oder ob sie rechtsverbindliche Erklärungen für natürliche und juristische Personen abgeben können. Vor allem für Aspekte der Haftung oder Schadensersatz, etwa wenn ein Programm defekte Ware verkauft, ist das relevant. Auf wen soll abgestellt werden – auf das Programm selbst, den Nutzer/Verwender oder den Programmierer? Das deutsche Rechtssystem kennt nur natürliche und juristische Personen als Vertragsparteien, nicht jedoch Software oder Maschinen. Wer also Vertragspartei ist, wenn eine Maschine einen Vertrag schließt, ist im Gesetz nicht ausdrücklich geregelt, sodass jeder Fall einzeln zu bewerten ist. Herausgearbeitet hat sich folgende Überlegung: Je weniger autonom ein System ist, desto eher sind seine Handlungen dem Verwender zuzurechnen (der dann Vertragspartei ist) – und je autonomer, desto eher dem Programmierer.
Fazit
Smart Contracts haben offensichtlich eine Menge Potenziale. In vielen Anwendungsfeldern können Vertragsbeziehungen schneller, preiswerter und vertrauenswürdiger als sonst abgewickelt werden. Wer die Möglichkeiten voll ausschöpfen möchte, sollte aber bedenken, dass herkömmliche Verträge durch Smart Contracts im Regelfall nicht einfach ersetzt werden. In der Praxis ist es vielmehr empfehlenswert, Verträge auf die klassische Art und Weise zu schließen und auf dieser Grundlage Smart Contracts zu programmieren.
Notwendige Korrekturen, die sich aus Unwirksamkeitsgründen, Leistungsstörungen oder Datenschutzaspekten ergeben, sollten von Anfang an mitbedacht werden. Solange sich Rechtslage und Rechtsverständnis nicht tiefgreifend ändern oder es zu unvorhergesehenen technischen Entwicklungen kommt, wird der menschliche Beitrag bei der Nutzung von Smart Contracts in naher Zukunft erheblich bleiben, trotz Digitalisierung und Automatisierung. Ob Lösungsansätze wie spezielle Schiedsstellen für Konflikte mit Systemen wie Smart Contracts erfolgreich oder in Zukunft Programme so intelligent sein werden, dass sie auch auf Unvorhergesehenes angemessen reagieren können, muss abgewartet werden. In jedem Fall gibt es schon jetzt einige Anwendungsfelder wie im Lizenzbereich oder IoT, in denen Smart Contracts sich besonders eignen und rechtskonform einsetzbar sind, sofern die gesetzlichen Anforderungen nicht außer Acht gelassen werden.
Über die Autorin: Simone Rosenthal ist Partnerin bei Schürmann Rosenthal Dreyer und hat sich als Expertin für Datenschutz, IT-Recht und Wettbewerbsrecht etabliert. Ihre Schwerpunkte liegen insbesondere in der nationalen und internationalen Vertragsgestaltung, der Beratung von Unternehmen der Neuen Medien und der Digitalwirtschaft in Fragen des IT- und Datenschutzrechts. Die Expertin für Datenschutz und IT-Recht ist ebenfalls Geschäftsführerin der ISiCO Datenschutz GmbH, ein Unternehmen, welches Analyse, Auditierung und Beratung in den Bereichen Datenschutz, Datenschutz-Compliance und Informationssicherheit anbietet. Simone Rosenthal ist außerdem Co-Founder von lawpilots, einem E-Learning-Anbieter für Digitalisierung & Recht.
(ID:46800228)