Offener Brief an die Bundesrechtsanwaltskammer (BRAK)

Lesedauer: 9 Minuten

Lizenzrechtsfragen an die BRAK

Update 6.10.2019: Mit Antwortschreiben vom 1.10.2019 erklärt die BRAK, dass beA Nutzer keine gesonderte JAVA Installation benötigen. Das ist falsch. Und für alle anderen Komponenten verzichte man seit Januar auf Sicherheitsupdates und demzufolge sei die Nutzung von JAVA kostenfrei möglich. Ein ausführliches Update finden Sie in meiner Auseinandersetzung mit dem Verzicht auf Sicherheitsupdates durch die BRAK.

Sehr geehrte Damen und Herren,

diesem offenen Brief gehen unzählige Versuche voraus, Sie telefonisch oder schriftlich zu erreichen. Bis auf eine einzige, sehr knappe E-Mail aus Ihrem Hause habe ich leider keine Antworten erhalten. Angesichts der Tragweite der von mir geäußerten Bedenken – möglicherweise Lizenzbetrug in Millionenhöhe – für mich nicht nachvollziehbar. Nur deshalb wende ich mich heute in einem offenen Brief an Sie.

Inhaltlich wiederholen Sie in Ihrer Antwort nur das, was in den FAQs und Ihren Lizenzinformationen beschrieben ist. Aber genau das hatte ich ja eben hinterfragen wollen, denn ich bin mir auch nach vielfacher Rücksprache mit Oracle (dem Hersteller der fraglichen Java Software) sicher, dass die von der BRAK bereitgestellten Informationen hierzu fehlerhaft oder unvollständig sind.

Anwender, die beA nach den Vorgaben der BRAK installieren, müssen nach jetzigem Kenntnisstand sehr wohl die Java Software kostenpflichtig lizenzieren.

Ich darf noch einmal Ihre Stellungnahme zitieren:

…teile Ihnen mit, dass die vom beA-System und von der beA-Anwendung bzw. der Client Security verwendeten Java-Komponenten unter einer Lizenz stehen, die für die Rechtsanwältinnen und Rechtsanwälte nicht gebührenpflichtig ist. Es fallen demzufolge keine gesonderten Kosten an.

Ihre E-Mail an mich vom 29.08.2019

In meinem Artikel vom 11.08.2019 habe ich ausführlich beschrieben, wie man beA nach den Anleitungen der Bundesrechtsanwaltskammer in Betrieb nimmt. Im Ergebnis hat man in aller Regel Java in einer kostenpflichtigen Version installiert. Insofern bin ich unverändert der Meinung, dass Ihre Auffassung nicht ganz richtig sein kann.

Wie bereits erwähnt habe ich mich wochenlang bemüht, auf anderem – nicht-öffentlichen Wege – Auskunft von Ihnen zu erhalten. Sie ignorieren mich aber seit Wochen vollständig, deshalb müssen Sie nun auch mit meinem offenen Brief leben.

Frage 1: Lizenzbestimmungen laut BRAK Webseite

In Ihren veröffentlichten Lizenzbestimmungen1)https://www.bea-brak.de/xwiki/bin/view/BRAK/%2300063 steht:

Java Runtime Environment (JRE) 8.0 jre
Oracle Binary Code License Agreement for the Java SE Platform Products and JavaFX

https://www.bea-brak.de/xwiki/bin/view/BRAK/%2300063

Die BCL, die Sie angeben, ist aber keine Lizenz sondern lediglich eine Nutzungsbedingung. Diese ist zudem veraltet und gilt nicht für aktuelle Java Software.

Auf Anfrage teilt mir Oracle hierzu mit:

Der Hinweis auf die BCL bringt hier also nicht viel Aufschluss. Die BCL ist das alte Agreement, unter der die Java 8 Patches bis Update 202 liefen. Die neuen Patches laufen unter dem OTN Agreement. Wenn Sie nicht den aktuellsten Sicherheitsstand brauchen, könnten Sie u.U.noch manuell auf einer alten Version bleiben, die kostenfrei ist. Müssen Sie allerdings GDPR Regelungen einhalten, müssen Sie zwingend auf den aktuellen Stand und dann lizenzieren.

E-Mail vom 12.9.2019 von der Java Technology Managerin D-CH bei Oracle an mich

Ich gehe doch davon aus, dass sich das beA System an Vorgaben der Datenschutzgrundverordnung (englisch: GDPR) hält.

Auch gehe ich davon aus, dass das beA System immer die jeweils aktuelle Java Software verwendet und nicht seit April diesen Jahres auf einem unsicheren Stand „eingefroren“ wurde.

Weiter schreibt mir Oracle:

NUR, wenn der Hersteller JRE/JDK mit seinem eigenen Softwareprodukt bundelt, dann muss er es für Sie lizenzieren und Ihre Nutzung ist bereits abgedeckt. Dann aber nicht unter BCL, sondern BLRA.

E-Mail vom 12.9.2019 von der Java Technology Managerin D-CH bei Oracle an mich

In diesem Zusammenhang stellt sich also die Frage, ob die BRAK möglicherweise nur vergessen hat, die Angaben zu den Lizenzinformationen auf der eigenen Webseite zu aktualisieren und statt der BCL die BLRA anzuführen.

Es gibt hinsichtlich dieser Angabe also drei möglich erscheinende Optionen:

  1. Die BRAK hat auf der Webseite falsche Angaben gemacht und die korrekt vorhandene BLRA nicht angegeben.
  2. Die BRAK setzt auf veraltete Java Software und installiert keine Sicherheitsupdates mehr.
  3. Die BRAK hat keine gültige Java BLRA Lizenz.

Ich wiederhole deshalb meine Frage: Unter welcher Lizenz stellt die BRAK das beA System zur Verfügung?

Frage 2: Lizenzbestimmungen für lokal installierte Java Software

Ich muss noch einmal Ihre Stellungnahme zitieren:

…teile Ihnen mit, dass die vom beA-System und von der beA-Anwendung bzw. der Client Security verwendeten Java-Komponenten unter einer Lizenz stehen, die für die Rechtsanwältinnen und Rechtsanwälte nicht gebührenpflichtig ist. Es fallen demzufolge keine gesonderten Kosten an.

Ihre E-Mail an mich vom 29.08.2019

Der Hersteller der Java-Software sieht das anders:

Grundsätzlich liegt es als Anwender in Ihren Händen, Java korrekt zu lizenzieren, sofern Sie die JRE/JDK selbst installieren.

E-Mail vom 12.9.2019 von der Java Technology Managerin D-CH bei Oracle an mich

Das bestätigt meine Ansicht. Meine ursprüngliche Anfrage, das darf ich noch einmal ins Gewissen rufen, ging nicht um mich selbst. Ich bin weder Anwalt noch beA Benutzer. Meine Firma betreut eine Vielzahl an Anwälten und zu unserer umfassenden Beratung gehört auch die Überprüfung der korrekten Einhaltung von Lizenz- und Nutzungsrechten. Bei Java für beA war mir das bis heute nicht möglich, weil die BRAK ohne Erklärung auf einer eher fragwürdigen Einschätzung beharrt.

Oracle teilt mir weiter mit:

Einzige Ausnahme wäre, wenn seine Applikation NUR mit Update 202 oder geringer funktioniert. Ist aber sehr unwahrscheinlich meiner Meinung nach. Immer, wenn Sie installieren müssen, ist auch das Updaten in Ihren Händen. Und somit auch die Lizenzpflicht.

Weitere E-Mail vom 13.9.2019 von der Java Technology Managerin D-CH bei Oracle an mich

Ich kann das absolut bestätigen. Die Updates der manuell installierten Java Software erfolgen definitiv nicht durch die BRAK sondern durch den Benutzer selbst (bzw. uns als IT-Systembetreuer).

Davon abgesehen, mit der Annahme, dass die beA Anwendungen nur mit Update 202 funktionieren, kann ich mich nicht anfreunden. Ich mag nicht davon ausgehen, dass das sichere Kommunikationsmittel für Anwaltskanzleien und Gerichte auf ungepatchte, veraltete Java Software setzt.

Wenn die BRAK tatsächlich über eine Lizenz für alle beA Anwender verfügt, dann wäre es das einfachste, dies entsprechend in den Lizenzbedingungen anzugeben. Spätestens auf meine so konkrete Anfrage hin darf eine Antwort auf meine Frage nicht zu viel verlangt sein.

Ich wiederhole deshalb meine Frage: Unter welcher Lizenz stellt die BRAK das beA System zur Verfügung?

Konsequenz

Von der BRAK wurde mir schriftlich bestätigt, dass die verwendeten Java-Komponenten unter einer Lizenz stehen, die für die Rechtsanwältinnen und Rechtsanwälte nicht gebührenpflichtig ist.

Ich habe ernsthaften Grund, an dieser Aussage Zweifel zu hegen.

Der Hersteller von Java bestätigt meine Zweifel.

So stellt sich mir nun die Frage, wie ich meinen Kunden glaubhaft vermitteln soll, dass sie entgegen der Angaben auf der Oracle Webseite keine Lizenz erwerben müssen weil die BRAK anderer Meinung ist; gleichwohl keine aktuelle und gültige Lizenz benennen kann.

Sie werden hoffentlich nachvollziehen können, dass ich dem Hersteller der Software und meiner eigenen ausführlichen Ausarbeitung mehr Glauben schenke als einem Zweizeiler aus Ihrem Hause, der mehr als lange auf sich warten ließ.

Mit Bitte, meine Anfrage nicht länger zu ignorieren

Über eine kurze Aufklärung hierzu würde ich mich noch immer freuen.

Wenn es wirklich eine gültige Lizenz gibt verstehe ich nicht, wieso Sie mir dies nicht einfach vor zwei Monaten bereits auf meine erste Anfrage nennen konnten. Vielleicht habe ich mich zu unklar ausgedrückt?

Dann könnte man aber doch zumindest trotzdem antworten und mich nicht komplett ignorieren. Was Sie damit versuchen zu bezwecken ist mir schleierhaft. Meine einzige schlüssige Erklärung ist, dass die BRAK als Inverkehrbringer einer Zwangssoftware schlichtweg nicht das fachliche Know How besitzt.

Solange Sie hier weiterhin keine Klarheit verschaffen, muss ich davon ausgehen, dass

  1. die meisten beA Nutzer über keine gültige und aktuelle Java Lizenz verfügen,
  2. über diesen Umstand Unwissenheit herrscht,
  3. viele deutsche Anwälte gegen Softwarelizenzbestimmungen verstoßen und
  4. ich deshalb meinen Kunden empfehlen muss, kommerzielle Java Lizenzen zu beschaffen.

Mit freundlichen Grüßen

Patrick Ruppelt

Quellenverzeichnis

patrick.ruppelt