Haben beA Nutzer eigentlich gültige JAVA-Lizenzen?

Gedankenspiel zur korrekten Lizenzierung der Oracle JAVA Software durch Anwälte und Kanzleien

Lesedauer: 9 Minuten

Update 18.08.2019: Seit 29.07.2019 versuche ich, Informationen hierzu von der BRAK zu erhalten. Leider erhalte ich weder telefonisch noch schriftlich eine verbindliche Auskunft. Man fragt sich, was daran so kompliziert sein kann, die auf der offiziellen beA Webseite veröffentlichten Lizenzinfos zu bestätigen und meine Zweifel auszuräumen.


Update 14.08.2019: Da habe ich wohl ins Schwarze getroffen, Infos von Oracle folgen in den kommenden Tagen. Die BRAK hüllt sich weiterhin in Schweigen, was nach derzeitigem Kenntnisstand vermutlich das beste ist, was sie machen kann.


Seit Monaten beschäftigt mich diese Frage. Die Antwort in Kurzform: ich weiß es echt nicht. Trotz tagelanger Recherche und diverser Anfragen bei allen allen Beteiligten.

Eine formale Anfrage beim Hersteller der gängigen JAVA Software, die praktisch eine Systemvoraussetzung für die Nutzung des beA ist, lässt zumindest ernsthafte Zweifel an der korrekten Lizenzierung durch die Bundesrechtsanwaltskammer (BRAK), die Bundesnotarkammer (BNotK) und/oder sämtliche Anwaltskanzleien sowie Einzelanwälte aufkommen.

Beginnen wir aber mal ganz am Anfang. Wie ist der Ablauf, wenn eine Kanzlei oder ein Anwalt das beA System für sich selbst einrichten. Dass es gemacht werden muss steht außer Frage, die rechtliche Verpflichtung ist zwingend.

Ich tue mal so, als kenne ich den Prozess noch nicht. Ich beginne so, wie es die Anleitungen der Bundesrechtsanwaltskammer vorsehen und hangle mich Schritt für Schritt von einer Hürde zur nächsten.

Starten wir doch einfach mal dort, wo es aus postalischen Anleitungen, Handbüchern und Newslettern der BRAK vorgeschlagen wird. Richtig. Auf der Webseite des beA, zu finden auf https://bea.brak.de/. Bevor es wirklich los geht, müssen wir als erstes eine „beA-Karte bestellen“.

Wir folgen also dem Link zur Bestellung der beA-Karte. Das geht auf der Webseite http://bea.bnotk.de/, die von der Bundesnotarkammer bereitgestellt wird. Diese Seite werden wir in Zukunft noch häufiger zu sehen bekommen.

Nicht nur das Bestellen der beA-Karten wird darüber abgewickelt, auch eine Reihe weiterer regelmäßig erforderlicher Arbeitsschritte wie das Einrichten und turnusmäßige Ändern der Sicherheits-PIN der eigenen Karte erfolgt über die Seite der BNotK. Ebenso das Nachladen des Signaturzertifikates der beA-Karte. Die PIN zum Beispiel wird auf https://bea.bnotk.de/sak/ eingestellt, wie in den weiteren Handbüchern und Anleitungen erläutert wird. Wir reden hier also definitiv schon einmal nicht von einem einmaligen Prozess der Assistenz sondern von regelmäßig nötigen Schritten eines jeden einzelnen beA Nutzers.

https://bea.brak.de/was-muss-man-jetzt-tun/technische-ausstattung-beschaffen/unterstuetzte-signaturkarten-und-chipkartenlesegeraete/

Da bin ich ja fast schon ein wenig überfordert, was ich hier alles als Endanwender machen soll. Aber zum Glück gibt es für alles Anleitungen, die hier auch immer direkt auf derselben Seite als Link zu finden sind:

Ui, die nächste Anleitung mit 20 Seiten DIN A 4 technischer Beschreibung. Egal, sehen wir doch mal nach, was in Kapitel 1. „Allgemeine Voraussetzungen“ dieser „Schritt-für-Schritt-Anleitung zur PIN-Verwaltung für Ihre beA-Karte (pdf)“ steht:

Unterstützte Betriebssysteme
• Microsoft Windows 7 – 10
• Apple Mac OS X 10
• Ubuntu Desktop 14.04 LTS

Java
Die Signaturkartenanwendung ist Java-basiert. Bitte stellen Sie sicher, dass Sie Java in Version 8 auf Ihrem System installiert haben und aktualisieren diese bei Bedarf unter folgendem Link: https://java.com/de/download/

Mac OS
Hier ist es erforderlich, das Development Kit in Version 8 (http://www.oracle.com/technet-work/java/javase/downloads/jdk8-downloads-2133151.html) zu installieren.

https://bea.bnotk.de/documents/Schluesselverwaltung_beA.pdf

Ach, da schau an. Da wird einfach mal so eben darauf verwiesen, man müsse sich von der Oracle Webseite eine aktuelle Java-Software herunterladen und diese installieren. Zu dem Zeitpunkt, als beA entwickelt wurde, war Java noch kostenlos. Da ist ein solcher Verweise wahrscheinlich legitim.

Was viele nicht wissen: seit dem 16.4.2019 ist Java von Oracle eben genau nicht mehr kostenlos. Jeder Benutzer und jeder Rechner benötigen zwingend eine kostenpflichtige Lizenz für diese Softwarekomponente.

Benutzer, die vorher schon Java auf ihrem Rechner hatten, sehen davon höchstens mal beim Aktualisieren auf die neue Version ein kleines Infofenster dazu. Dieses wird aber kaum Beachtung finden, weil es nicht nennenswert für unerfahrene Benutzer kenntlich ist und derartige Meldungen im Update-Prozess regelmäßig einfach nur mit weggeklickt oder gleich ganz ignoriert werden.

Anwender, die nach dem 16.4.2019 erstmalig Java von der Oracle Webseite herunterladen möchten, sehen übrigens durchaus auch die Information darüber, dass Java nicht mehr kostenlos ist:

vgl. https://java.com/de/download/

Die kostenlose Installation als solches funktioniert Stand heute noch. Noch. Wenn Oracle diesen Bericht liest wird es möglicherweise nicht mehr lange dauern, bis Java nur noch mit gültigem Oracle Konto heruntergeladen werden kann. Sorry liebe Anwälte, beschwert euch lieber bei der BRAK und bei der BNotK darüber, dass euch niemand darüber informiert hat. Ich bin nur der Überbringer der schlechten Nachrichten.

Java ist übrigens nicht wirklich teuer. Die Lizenzen pro Benutzer sind nach Abnahmemenge gestaffelt:

1+ Lizenzen US $ 30.00 pro Lizenz

1.000+ Lizenzen US $ 24.00 pro Lizenz

3.000+ Lizenzen US $ 21.00 pro Lizenz

10.000+ Lizenzen US $ 18.00 pro Lizenz

20.000+ Lizenzen US $ 15.00 pro Lizenz

https://shop.oracle.com/apex/f?p=DSTORE:6:::NO:RP,6:P6_LPI,P6_PROD_HIER_ID:132208699270491131625576,123775488249871532594385

Aber, und das ist das entscheidende, Java ist nicht kostenlos und so benötigt jeder beA Nutzer eben eine entsprechende Lizenz.

Das einzige, was ich dazu bei der BRAK finden kann, ist folgender Hinweis in den FAQs:

„Die Client Security, die für das beA lokal zu installierende Softwarekomponente, setzt Java ein. Zur Nutzung des beA ist die Client Security erforderlich. Java ist jedoch in der zu installierenden Software unmittelbar enthalten. Die Update-Funktion, die die Client Security automatisch aktualisiert, umfasst auch das enthaltene Java. Eine separate Installation von Java ist für das beA nicht erforderlich.“

https://bea.brak.de/faq-zur-nutzung-des-bea/anwendungsbezogene-technische-fragen/

Nun, das sehe ich etwas anders. Mag sein, dass in der beA Client Security irgend eine kostenfreie Alternative eingebaut wurde, müsste man mal auseinandernehmen und testen. Freie Java-Alternativen gibt es durchaus, über den Sinn und Unsinn kann man sicherlich streiten (vgl. hierzu unter anderem https://www.heise.de/developer/artikel/Wird-Java-jetzt-kostenpflichtig-4144533.html?seite=all).

Ich recherchiere also weiter und finde das folgende Dokument der Bundesrechtsanwaltskammer, tief auf deren eigenen Internetseiten versteckt (ich fand es nur über eine Google Suche):

Die Software beA Client-Security nutzt die nachfolgend aufgelisteten Softwareprodukte von Drittherstellern („3rd Party Software“). Diese unterliegen gesonderten Nutzungsbedingungen.

Java Runtime Environment (JRE) 8.0 jre
Oracle Binary Code License Agreement for the Java SE Platform Products and JavaFX

https://www.bea-brak.de/xwiki/bin/view/BRAK/%2300063

Da würde ich also davon ausgehen, dass der eigentliche beA Security Client unter die BCL Code Lizenz fällt. Wäre zu prüfen, ob dem tatsächlich so ist.

Das war aber nicht die Ausgangsfragestellung. Die Fragestellung ist, was nutzen beA Anwender tatsächlich?

Noch ein Beispiel: Mac-User müssen auch noch zusätzlich das Oracle Development Kit installieren. Ich sehe hier nicht, dass das irgendwo bei der für beA erforderlichen Software dabei wäre. Der Benutzer soll es ausdrücklich separat von der – ja, ausdrücklich – Oracle Webseite herunterladen und installieren. Also bitte, das ist nun wirklich nicht kostenfrei verfügbar (technische Randnotiz: wie peinlich ist das denn? Wer programmiert denn bitte so einen Mist für Anwender, die mit IT eigentlich nichts am Hut haben. Das gehört echt verboten).

Um noch einmal den Bogen zum ersten Bespiel zu schlagen: Wenn auf Seite 1 der Anleitung steht, dass man sich Java von der original Oracle Webseite herunterladen und installieren soll, dann werden das annähernd 100% der Anwender genau so machen. Noch dazu wurde der direkte Link auf die Java-Webseite angegeben, von dem ich mir zwangsweise nur eine lizenzkostenpflichtige Version herunterladen kann. Eine kostenfreie Alternative gibt es auf der Oracle Webseite nicht.

Um ganz sicher zu gehen, habe ich sogar bei Oracle angefragt. Es gibt kein OEM Programm, bei dem Entwickler irgend welche Lizenzen für Nutzer deren Software vorab einkaufen könnten. Für die Benutzung von beA gäbe es ausdrücklich nach jetzigem Kenntnisstand kein Lizenzabkommen, das läge eindeutig in der Verantwortung des beA Anwenders.

Und um auch das noch einmal deutlich zu machen: Dass Java bei beA dabei sein soll ist irgendwie unglaubhaft. Ich kann Supportfälle nachweisen, die durch ATOS bearbeitet wurden (der Dienstleister, der den beA Support übernimmt; wenn man das noch „Support“ nennen darf). Nach Update des offiziellen Oracle Java Clients funktionierte beA nicht mehr. Also irgendwie spricht das für mich nicht dafür, dass die beA Software wirklich unabhängig von Oracle Java arbeitet.

Im Rahmen einer anderen Serviceanfrage meinerseits an den beA Support wurde mir schriftlich mitgeteilt, ich müsse zusätzlich zur Java 8 Version auch das Java Development Kit in Version 8 (http://www.oracle.com/technetwork/java/javase/downloads/jdk8-downloads-2133151.html) installieren. Auch hier wieder der eindeutige Verweis auf die Oracle Webseite, von der ich nur kostenpflichtige Software herunterladen kann.

Fazit

Alles sehr undurchsichtig. Das neue Oracle Lizenzmodell stellt nicht wirklich klar ersichtlich klar, was nun von der BCL genau gedeckt ist und für was genau kostenpflichtige Lizenzen erforderlich sind. Die Bundesrechtsanwaltskammer setzt die Nutztung von Software voraus, die aber eigentlich die Bundesnotarkammer bereitstellet. Die Bundesnotarkammer verweist auf die Bundesrechtsanwaltskammer und die wiederum auf ATOS. Der Vertrag mit ATOS läuft aber, wenn ich das richtig im Kopf habe, noch dieses Jahr aus. Wird dort also auch keinen mehr interessieren und so bleibt schlussendlich wieder der Endnutzer in der Verantwortung, sich selbst zu erkundigen. Und daran verzweifle sogar ich, der sich seit über zwanzig Jahren mit solchen Themen beschäftigt, fast im beA Sumpf.

Es gibt in Deutschland rund 166.000 Anwälte, die rechtlich zur Nutzung von beA verpflichtet sind. Ich bin persönlich absolut überzeugt davon, dass ein Großteil dieser Anwender illegal kostenpflichtige Oracle Java Produkte verwendet, weil niemand Ihnen gesagt hat, dass man dafür etwas bezahlen muss.

Eine offizielle Anfrage an die Bundesrechtsanwaltskammer haben wir gestellt und erwarten deren Anwort. Das Ergebnis mitsamt unserer möglicherweise überdachten und überarbeiteten Einschätzung dazu werden wir selbstveständlich umgehend veröffentlichen.

Eine weitere offizielle Anfrage an Oracle ist ebenfalls raus. Ich habe explizit angefragt, ob die Oracle BCL auch Tools wie jene von der BNotK abdeckt, die nun einmal zur Nutzung von beA zwingend erforderlich sind.

Zum jetzigen Zeitpunkt stellt dieser Artikel eine bloße Faktensammlung dar, die Anlass zur Überprüfung der Lizenzen auf Kanzleirechnern gibt. Die endgültige Bewertung können wir erst abschließen, wenn die Bundesrechtsanwaltskammer Stellung dazu bezogen hat.

Für Nutzer des beA Systems hätte ich aber eine kleine Anregung: sehen Sie doch einfach mal selbst nach, ob Sie auf Ihrem Rechner irgend eine Oracle Java Software installiert haben.

Über Feedback hierzu per E-Mail an helpdesk@itk-security.de freue ich mich, gerne auch mit dem Vermerk ob ggf. Antworten auf unserer Webseite namentlich veröffentlicht werden dürfen. Bitte nicht böse sein, wenn ich nicht oder nicht sofort jede Nachricht beantworten kann. Ich gebe mir aber Mühe.

Oder einfach das Fomular da unten auf dieser Seite nutzen und natürlich daran denken, dass die eingegeben Daten automatisiert verarbeitet werden weil wir sie sonst nicht automatisiert verarbeiten könnten LOL https://www.itk-security.de/datenschutz/

patrick.ruppelt

0 Comments

    No comments!

    There are no comments yet, but you can be first to comment this article.

    Leave reply

    Time limit is exhausted. Please reload the CAPTCHA.