Juristische Spielregeln für die Verwendung von APIs

API = alle Probleme inbegriffen?
Keine Kommentare

Ohne APIs wären viele moderne Services wohl nicht möglich, allerdings gibt es auch so manche Stolperfalle. Ein Blick auf die rechtlichen Rahmenbedingungen, die Beachtung finden sollten.

Ein Application Programming Interface, kurz API, ist eine standardisierte Programmierschnittstelle, die unabhängig vom eingesetzten Betriebssystem funktioniert. APIs werden von Softwaresystemen bereitgestellt, um anderen Anwendungen eine Anbindung an das System zu ermöglichen. Dadurch können beispielsweise Preisvergleichsportale die Preise bei unterschiedlichen Onlineshops abfragen oder Reiseportale die Daten für Flüge, Hotels und Mietwagen (sogenannte Web Services). Softwarehersteller für Windows erhalten Zugriff auf die Benutzeroberfläche per API. Aber nicht nur der Zugriff auf Soft-, sondern auch auf Hardware kann mittels API erfolgen. Es gibt folgende Arten von Programmierschnittstellen:

  • funktionsorientiert (z. B. Dynamic Link Library)
  • dateiorientiert (z. B. Gerätedateien unter Unix)
  • objektorientiert (z. B. ActiveX DLLs)
  • protokollorientiert (z. B. FTP)

Unabhängig von der genauen Funktionsweise oder dem Ziel des Zugriffs müssen bei der Verwendung von APIs bestimmte juristische Spielregeln befolgt werden.

Lizenzrecht

Ein sehr prominenter Streit um Lizenzrechte findet zwischen Oracle und Google statt. Dieser läuft nun bereits seit mehreren Jahren. Das erstinstanzliche Urteil stammt aus dem Jahr 2012, die Berufungsentscheidung aus 2014.

Im Kern geht es um die Frage, wann die Nutzung eines API auch ohne Zustimmung des Rechtsinhabers zulässig ist. Die mit diesem Rechtsstreit befassten US-Gerichte müssen dabei den im angloamerikanischen Raum bestehenden Fair-Use-Grundsatz prüfen. Dies ist ein Rechtsinstrument u. a. des amerikanisches Copyright-Systems, das bestimmte Nutzungen von geschütztem Material zugesteht. Voraussetzung hierfür ist, dass die Nutzung der öffentlichen Bildung und der Anregung geistiger Produktionen dient. Typische Beispiele für Fair Use sind Parodien oder auch Zitate. Im deutschen Urheberrecht gibt es vergleichbare Schrankenregelungen, wie z. B. das Zitaterecht oder auch die Möglichkeit zur Verwendung von fremdem Material zu Unterrichtszwecken. Im Verfahren Oracle/Google geht es konkret um die Frage, ob die Nutzung der Java-Schnittstellen durch Google im Rahmen des Android-Betriebssystems unter die Fair-Use-Regelung fällt. Derzeit sehen die amerikanischen Gerichte Google im Recht, allerdings will Oracle Berufung einlegen. Letztlich hat die Entscheidung dieser Auseinandersetzung Signalwirkung für eine ganze Branche und könnte etwas Struktur in die bislang noch sehr uneinheitliche Rechtsprechungslinie in den USA bringen.

Es gibt verschiedene Aspekte, die vorliegen müssen, um das Vorliegen der Fair-Use-Voraussetzungen bejahen zu können. Dabei handelt es sich um die nachfolgenden:

  • Art des Originalwerks (rein funktionelles oder eher künstlerisches Originalwerk?)
  • Form der Übernahme (Veränderung des Originalwerks z. B. durch neue Bedeutung, Optik, Informationen etc.?)
  • Zweck und Art der Nutzung des neuen Werks (kommerzieller oder nicht kommerzieller Einsatz?)
  • Umfang und Bedeutung der Übernahme (wie viel Prozent werden übernommen, und welche Bedeutung kommt dem übernommenen Teil zu?)
  • Auswirkungen auf die Verwertung des Originalwerks (Schaden des Originalwerks durch neues Werk? Beeinträchtigung oder gar Verdrängung am Markt?)
  • Herzustellende Interoperabilität (war die Übernahme im gewählten Umfang notwendig, um Interoperabilität zu anderer Software herzustellen?)

Anhand des Copyright Act sowie der amerikanischen Rechtsprechung in diesem Bereich muss entschieden werden, ob die Bejahung von Fair Use einen Fortschritt der Wissenschaft und der nützlichen Künste fördern würde. Das ist bislang in ähnlicher Weise auch hierzulande juristisches Neuland und somit letztlich von starkem Interesse für alle Softwarehersteller, Programmierer und Webentwickler. Allerdings hat der Europäische Gerichtshof bereits 2012 klargestellt, dass weder die Funktionalität eines Computerprogramms noch die Programmiersprache oder das Dateiformat urheberrechtlich geschützt werden kann. Das entspricht dem kontinentaleuropäischen Grundsatz, dass Ideen als solches keinem urheberrechtlichen Schutz unterfallen.

Urheberrecht

Weitere urheberrechtliche Aspekte tauchen im Zusammenhang mit API-Nutzung z. B. auch dann auf, wenn fremde Inhalte auf diesem Weg in ein anderes Webangebot eingebunden und dort für separate Services genutzt werden. So geschieht es beispielsweise bei Preissuchmaschinen, bei denen oftmals nicht nur die Preisangaben, sondern auch Produktbilder übernommen werden. Dies ist im Grunde noch gar kein Problem. Zu einem solchen wird es erst dann, wenn die Bilder zwecks Ladezeitenoptimierung auf fremden Servern (zwischen-)gespeichert werden. Zur Beantwortung dieser Frage muss man zunächst wissen, welche Werke überhaupt nach dem Urheberrecht schutzfähig sind. Es geht um persönliche geistige Schöpfungen, also nur um von Menschen geschaffene Werke. Diese müssen aus den Bereichen Literatur, Wissenschaft und Kunst stammen. Zu den gemäß Urheberrecht geschützten Werken gehören also die folgenden:

  • Sprachwerke (wie Schriftwerke, Reden und Computerprogramme)
  • Werke der Musik
  • pantomimische Werke einschließlich der Werke der Tanzkunst
  • Werke der bildenden Künste einschließlich der Werke der Baukunst und der angewandten Kunst und Entwürfe solcher Werke
  • Lichtbildwerke (also Fotografien)
  • Filmwerke (also Videos)
  • Darstellungen wissenschaftlicher oder technischer Art (wie Zeichnungen, Pläne, Karten, Skizzen, Tabellen und plastische Darstellungen)

Aber nicht jedes Werk ist automatisch geschützt, es muss grundsätzlich eine ausreichende Schöpfungshöhe aufweisen, also von gewisser Qualität sein. Fotos bilden hiervon eine Ausnahme, da sie stets dem urheberrechtlichen Schutz unterfallen. Sofern sie nicht die erforderliche Schöpfungshöhe erreichen, unterfallen sie jedenfalls als sogenannte Lichtbilder dem mit dem Urheberrecht vergleichbaren Leistungsschutzrecht. Folglich darf in jedem Fall eine (Zwischen-)Speicherung von Fotos nur mit der entsprechenden Genehmigung des Rechteinhabers erfolgen; das gilt dem Grunde nach auch für Thumbnails. Und auch die Einbindung von Fotos mithilfe eines API muss von der Einwilligung des Rechteinhabers umfasst sein. Vor dem Hintergrund, dass Fotos in Preissuchmaschinen oder vergleichbaren Portalen ja öffentlich zugänglich gemacht werden, wird das Ausmaß und die Relevanz dieser Problemstellung für die Praxis sehr deutlich. Die Grundregel lautet daher: Die Nutzung von Bildern durch Preissuchmaschinen ist ohne die entsprechende Einwilligung rechtswidrig. Der Suchmaschinenbetreiber tut also gut daran, die Einwilligung einzuholen, im Idealfall schriftlich. Das kann entweder individualvertraglich oder im Rahmen von Allgemeinen Geschäftsbedingungen (AGB) erfolgen – entscheidend ist, dass die Frage der Rechteübertragung überhaupt irgendwie geklärt wird. Spätestens dann, wenn eine dritte Vertragspartei hinzutritt, wie z. B. ein Affiliate-Anbieter, führt kein Weg mehr an einer schriftlichen Fixierung des Umfangs der Nutzungsrechte vorbei.

ML Conference 2018

Making Enterprises Intelligent with Machine Learning

with Dr. Sebastian Wieczorek (SAP)

Machine Learning 101++ using Python

with Dr. Pieter Buteneers (Robovision)

Die Übertragung von Daten per API ist sowohl für die Betreiber von Preissuchmaschinen o. Ä. als auch für die partizipierenden Webshops eine praktische und effektive Methode, um das jeweilige Geschäftsmodell zu betreiben. Man stelle sich nur einmal vor, jede Änderung beim Preis oder jedes neue Produkt müsste manuell eingepflegt werden – heutzutage undenkbar. Allerdings sollte es für beide Parteien gleichermaßen wichtig sein, die Geschäftsbeziehung auf eine sichere Basis zu stellen. Das bedeutet letztlich auch, vernünftige Regelungen in puncto Datennutzung zu vereinbaren.

Datenschutzrecht

Bei der Übernahme von Daten via API ergeben sich mitunter auch datenschutzrechtliche Probleme, nämlich immer dann, wenn personenbezogene Daten übertragen werden. Gemäß EU-Datenschutzgrundverordnung (DSGVO) sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen; damit unterscheidet sich die Begriffsbestimmung nicht maßgeblich von der im deutschen Bundesdatenschutzgesetz (BDSG). Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung identifiziert werden kann. Als eine solche Kennung kommen u. a. Namen, Kennnummer, Standortdaten, Onlinekennung oder bestimmte Merkmale in Betracht. Als solche Merkmale zählen solche, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sind. Bei Licht betrachtet gehören also beispielsweise folgende Daten zu den personenbezogenen:

  • persönliche Daten (Name, Anschrift, Kontaktdaten etc.)
  • Finanzdaten (Bankverbindung, Gehaltsabrechnung etc.)
  • biometrische Daten (Fingerabdruck, DNA-Probe etc.)
  • Foto (erkennbare Darstellung einer Person)
  • Gesundheitsdaten (Krankmeldung, Diagnose, Überweisung etc.)
  • IP-Adressen

Erfolgt eine Übertragung solcher Daten mittels API von einem Unternehmen zu einem anderen, so ist das ein datenschutzrelevanter Vorgang. Es muss dabei zwischen einer Auftragsdatenverarbeitung (ADV) und einer Funktionsübertragung differenziert werden. Bei der erstgenannten Variante bleibt das Unternehmen die für die Datenverarbeitung verantwortliche Stelle, die das API bereitstellt. Das datenabfragende Unternehmen wird in diesem Fall lediglich als beauftragter „verlängerter Arm“ tätig. Anders bei einer Funktionsübertragung: Hier obliegt dem Unternehmen, das das API zur Erlangung von Daten nutzt, eine eigenständige Verantwortung, weil hier nicht nur eine einzelne Aufgabe, sondern ein ganzer Aufgabenbereich mit einer gewissen Eigenverantwortung übertragen wird. Es kommt stets auf die im konkreten Einzelfall übertragenen Daten und die in diesem Zusammenhang erbrachten Leistungen an, ob eine ADV oder eine Funktionsübertragung vorliegt. In beiden Fällen ist jedenfalls eine solide vertragliche Grundlage angebracht. Bei der Einstufung als ADV gibt es eine verantwortliche Stelle und einen Auftragnehmer, der seinerseits zumindest nicht mehr prüfen muss, ob er die per API erlangten Daten nutzen darf oder ob es datenschutzrechtliche Einschränkungen gibt. Die primäre Verantwortung dafür liegt beim Auftraggeber, also bei demjenigen, der das API und darüber die Daten bereitstellt. In einem ADV-Vertrag werden die Details der Zusammenarbeit festgelegt, u. a. der Zweck der Datenverarbeitung, die Kontrollrechte des Auftraggebers oder auch die verschiedenen Rechte und Pflichten des Auftragnehmers. Bei einer Funktionsübertragung wird das Unternehmen, das die Daten erhält, selbst zur verantwortlichen Stelle und erhält demzufolge eine höhere Eigenverantwortung, aber auch erweiterte Rechte hinsichtlich der Daten. Allerdings geht dies stets mit der Pflicht zur Prüfung einher, ob und inwieweit die Daten zum angestrebten Zweck genutzt werden dürfen. Liegt eine gesetzliche Erlaubnisnorm zur Verarbeitung der mittels API erhaltenen Daten vor oder bedarf es einer gesonderten Einwilligung der betroffenen Personen (weitergehende Infos siehe Kasten: „Praxistipp“)?

In puncto IT-Sicherheit muss bei der Verwendung von APIs, insbesondere bei Web Services, stets u. a. Folgendes Beachtung finden:

  • Absicherung der Datenübertragung (Einsatz von Verschlüsselungsmethoden)
  • Erstellen von Berechtigungskonzepten (wer hat worauf wozu wie lange Zugriff?)
  • Erstellen und Testen von Back-up-Konzepten (welche Daten werden wohin gesichert und klappt die Wiederherstellung im Schadensfall?)
  • Regelmäßige Prüfung von Verfügbarkeit und Funktionalität
  • Durchführen von Sicherheitstest (Penetrationstests etc.)
  • Protokollierung von Zugriffen
  • Regelmäßige Aktualisierung des Systems (Patches, Updates, Upgrades)

Die ab Mai 2018 zu beachtende DSGVO enthält noch mehr Vorgaben im Hinblick auf die Sicherheit von EDV-Systemen. Dazu zählen u. a. die Grundsätze „Privacy by Design“ und „Privacy by Default“. Es muss also bei Neuentwicklungen sichergestellt werden, dass diese schon „ab Werk“ nur diejenigen personenbezogenen Daten erheben, die für den Betrieb des betreffenden Produkts zwingend erforderlich sind. Außerdem müssen die datenschutzfreundlichen Einstellungen vorgegeben sein, die Kunden dürfen diese nicht erst selbst aktivieren müssen.

Praxistipp

Im Hinblick auf mittels API gewonnene, personenbezogene Daten sind folgende Aspekte zu berücksichtigen:

  • nur für Applikation unbedingt nötigen Daten erheben
  • Hinweis über Zweck der Datennutzung in Datenschutzerklärung
  • keine nachträgliche Änderung des Nutzungszwecks
  • nach Wegfall des Nutzungszwecks Sperre bzw. Löschung der Daten (sofern nicht z. B. steuerrechtliche Vorgaben dagegensprechen)
  • keine Nutzung für eigene Werbezwecke ohne entsprechende Einwilligung
  • keine Weitergabe zu Werbezwecken an Dritte
  • keine Weiterveräußerung der Daten an Dritte

Es muss aber stets auf den individuellen Einzelfall abgestellt werden um zu prüfen, was eventuell außer den gerade genannten Aspekten beachtet werden muss.

 

Entwickler Magazin

Entwickler Magazin abonnierenDieser Artikel ist im Entwickler Magazin erschienen.

Natürlich können Sie das Entwickler Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist das Entwickler Magazin ferner im Abonnement oder als Einzelheft erhältlich.

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -