Arbeitsgruppe CRA/Fragen
Dies sind einige Fragen, die wir uns im Rahmen unserer Arbeit gestellt haben. Zu jeder können Hinweise hier notiert werden und dann später eine Antwort. Weitere Fragen können hier natürlich auch gestellt werden.
Ab wann/wie bin ich als Entwickler betroffen, solange ich nur beitrage und nicht Maintainer bin?[Bearbeiten | Quelltext bearbeiten]
Eine reine Mitarbeit, ohne dass man für das Projekt verantwortlich ist, fällt ganz klar nicht unter den CRA.
Siehe https://github.com/orcwg/cra-hub/blob/main/faq.md#faq-tmp-17 .
Die Frage ist dann natürlich, wann man "responsible" ist. Ist das nur der Maintainer oder auch schon jemand mit Commit-Rechten? Unterscheidung könnte sein: Jemand, der Releases macht, ist wohl ziemlich sicher verantwortlich (wenn nicht der, wer dann?), aber ein Commit alleine reicht vielleicht noch nicht.
Ab wann/wie bin ich als Maintainer betroffen, wenn ich kein/etwas/viel Geld damit verdiene?[Bearbeiten | Quelltext bearbeiten]
Im Moment unklar. CRA sagt "Gewinnerzielungsabsicht" und "nur der Deckung der tatsächlichen Kosten", was total schwammig ist. "Spenden" alleine wären wohl okay.
Bei einer selbständigen Tätigkeit hat man steuertechnisch einen Gewinn, dafür muss man ja die EÜR machen, interpretiert man "Gewinnerzielungsabsicht" also nach dem deutschen Steuerrecht, wäre man da bei einer selbständigen Tätigkeit mit dabei. Als angestellter gilt das nicht, der macht keinen Gewinn.
Relevant wäre in Deutschland vielleicht die eher aus dem Steuerrecht kommende ["Gewinnerzielungsabsicht"] vs. ["Liebhaberei"]. Bei einer Spende hier oder dort (Github Sponsors) oder dergl. muss man steuerrechtlich wohl davon ausgehen, dass das immernoch ein Hobby ist.
Quellen:
(15) Diese Verordnung gilt für Wirtschaftsakteure nur in Bezug auf Produkte mit digitalen Elementen, die auf dem Markt bereitgestellt werden, d. h., die im Rahmen einer Geschäftstätigkeit zum Vertrieb oder zur Verwendung auf dem Unionsmarkt geliefert werden. Eine Lieferung im Zusammenhang mit einer Geschäftstätigkeit ist möglicherweise nicht nur dadurch gekennzeichnet, dass für ein Produkt mit digitalen Elementen ein Preis verlangt wird, sondern auch dadurch, dass für technische Unterstützungsleistungen ein Entgelt verlangt wird, das nicht nur der Deckung der tatsächlichen Kosten dient, dass eine Gewinnerzielungsabsicht besteht, beispielsweise durch Bereitstellung einer Softwareplattform, über die der Hersteller andere Dienste gewinnorientiert anbietet, oder dass als Bedingung für die Nutzung die Verarbeitung personenbezogener Daten zu anderen Zwecken als der alleinigen Verbesserung der Sicherheit, Kompatibilität oder Interoperabilität der Software verlangt wird oder dass Spenden angenommen werden, die die mit der Konzeption, Entwicklung und Bereitstellung eines Produkts mit digitalen Elementen verbundenen Kosten übersteigen. Die Annahme von Spenden ohne Gewinnabsicht sollte nicht als Geschäftstätigkeit gelten.
Bin ich als Firma betroffen, wenn ich die Software gar nicht verkaufe, sondern der Kunde die Software selbst runterlädt und ich nur Beratungen/Dienstleistungen dazu verkaufe?[Bearbeiten | Quelltext bearbeiten]
Aber auch schon "für technische Unterstützungsleistungen ein Entgelt verlangt" wird, d.h. wenn die Software selbst nicht verkauft wird, aber ein Service oder Beratung verkauft wird, dann würde die Software unter CRA fallen. Grenze aber unklar.
Quelle:
- CRA Vorwort (15)
Worauf muss ich bei Abschluss eines EVB-IT Vertrags achten, wenn FOSS ein Leistungsgegenstand ist?[Bearbeiten | Quelltext bearbeiten]
Wie ist "Product" im CRA definiert?[Bearbeiten | Quelltext bearbeiten]
So richtig scheint das nicht definiert zu sein. Es muss "digitale Elemente haben", also irgendwie muss Software drin sein. Und es muss "direkte oder indirekte ... Datenverbindung" haben. D.h. irgendwas, was keinerlei Verbindung nach draußen hat, ist nicht betroffen. Aber so ziemlich jede Software wird heute als vernetzt anzusehen sein, z.B. Netzwerkverbindung zur PostgreSQL haben oder so. Wegen dem "oder indirekt(e)" muss man davon ausgehen, dass das quasi alle Software betrifft.
(Es gibt Ausnahmen für einzelne Vertikale, z.B. Automobilmarkt, nationale Sicherheit, die ggf. anderswo geregelt sind.)
Quellen: Artikel 2 (1) "Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsge mäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt."
Was ist, wenn die Software nicht beim Kunden installiert wird, sondern als Dienst in der Cloud läuft (Webseite, SaaS, API, ...)?[Bearbeiten | Quelltext bearbeiten]
Gemeint ist wohl, dass reine Webseiten/APIs/Cloud-Lösungen/SaaS etc. nicht unter den CRA fallen (aber ggf. unter andere Richtlinien wie NIS2, das haben wir hier nicht weiter untersucht). Braucht ein Produkt Teile in der Cloud für seine Funktion, dann fallen die auch unter die CRA. Unklar ist, wo die Grenze verläuft. Beispiele:
- QGIS wird verkauft, jemand anderes betreibt ein WMS: Dann fällt das WMS nicht drunter, weil das QGIS auch ohne das WMS funktioniert, ist quasi nur ein Browser. Das WMS wird nicht mit verkauft.
- QGIS wird verkauft im Bundle mit einem Geoserver: Der Käufer kauft hier beides zusammen als Speziallösung und der Verkäufer garantiert auch für das Gesamtprodukt. Würde dann die Serverkomponente auch unter den CRA fallen?
- GPS-Tracker in der Armbanduhr lädt alle Daten in die Cloud: Ohne Cloud ist kein Zugriff auf die Daten möglich bzw. Auswertungen usw. laufen in der Cloud. Hier ist wohl von einem Produkt auszugehen, dass ohne die Cloud-Komponente nicht funktionieren würde.
- Nextcloud: Nextcloud ist ja eigentlich eine Office-Lösung in der Cloud, aber es gibt auch einen Client zum Syncen von Daten, den man auf seinem Rechner oder Smartphone installiert. Wird dadurch das ganze Nextcloud unter den CRA fallen? Macht es einen Unterschied, ob der Client mitverkauft wird oder nur zum kostenlosen Download angeboten wird?
Quellen:
Entscheidende Quellen sind wohl CRA Vorwort (11) und (12).
CRA Vorwort (12) "Mit dieser Verordnung soll ein hohes Niveau an Cybersicherheit von Produkten mit digitalen Elementen und ihren integrierten Datenfernverarbeitungslösungen sichergestellt werden. Solche Datenfernverarbeitungslösungen sollten als entfernt stattfindende Datenverarbeitung definiert werden, für die eine Software vom Hersteller des Produkts mit digitalen Elementen selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte. Damit wird sichergestellt, dass solche Produkte in ihrer Gesamtheit von ihren Herstellern angemessen gesichert werden, unabhängig davon, ob die Daten lokal auf dem Gerät des Nutzers oder aus der Ferne durch den Hersteller verarbeitet oder gespeichert werden. Gleichzeitig fällt die Fernverarbeitung oder -speicherung nur insoweit in den Anwendungsbereich dieser Verordnung, als sie notwendig ist, damit ein Produkt mit digitalen Elementen seine Funktionen erfüllen kann. Eine solche Fernverarbeitung oder -speicherung liegt vor, wenn eine mobile Anwendung den Zugang zu einer An wendungsprogrammierschnittstelle oder zu einer Datenbank erfordert, die über einen vom Hersteller entwickelten Dienst bereitgestellt wird. In diesem Fall fällt der Dienst als Datenfernverarbeitungslösung in den Anwendungs bereich dieser Verordnung...."
CRA Vorwort (12) "Cloud-Lösungen gelten nur dann als Datenfernverarbeitungslösungen im Sinne dieser Verordnung, wenn sie der in dieser Verordnung festgelegten Begriffsbestimmung entsprechen. So fallen beispielsweise vom Hersteller von intelligenten Haushaltsgeräten angebotene Cloud-Funktionen, die es den Nutzern ermöglichen, das Gerät aus der Ferne zu steuern, in den Anwendungsbereich dieser Verordnung. Dagegen fallen Websites, die die Funktionalität eines Produkts mit digitalen Elementen nicht unterstützen, oder Cloud-Dienste, die außerhalb der Verantwortung eines Herstellers eines Produkts mit digitalen Elementen entworfen und entwickelt wurden, nicht in den Anwendungsbereich dieser Verordnung."
Müssen wir auch die Schnittstellen zu verwandten EU-Richtlinien wie NIS2 und PSR berücksichtigen?[Bearbeiten | Quelltext bearbeiten]
Fallen SaaS-Lösungen auch unter den CRA?[Bearbeiten | Quelltext bearbeiten]
Siehe auch Grund (12) im Vorwort des CRA. Sie NIS-2-Richtlinie (EU) 2022/2555.
