Mit fortschreitender Digitalisierung der Wirtschaft und des gesellschaftlichen Lebens insgesamt können Anomalien und Fehler von Software erhebliche, mitunter auch dramatische Auswirkungen haben. Fehlfunktionen führen zu Störungen der Arbeitsabläufe. Sicherheitslücken machen Unternehmen und andere Einrichtungen verwundbar für Cyberattacken, durch die Daten entwendet oder in erpresserischer Absicht Systeme blockiert werden. Nach Schätzungen des Bundesverbandes Informationswirtschaft, Telekommunikation und Neue Medien (Bitkom) entsteht der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage jährlich ein Gesamtschaden von 223 Milliarden Euro; Ursache sind überwiegend Cyberangriffe.
Ein Instrument der Prävention liegt in so genannten Bug Bounty-Programmen. Durch diese stellen Unternehmen Sach- oder Geldprämien in Aussicht, um redlich vorgehende („ethische“) Hacker zu motivieren, sie auf Bugs oder Schwachstellen in ihren Systemen hinzuweisen. Bug Bounty-Programme werden mittlerweile von einer Vielzahl von Unternehmen aufgelegt. Listen aktueller Programme werden auf Seiten wie www.bugcrowd.com, www.hackerone.com oder www.intigrity.com veröffentlicht. Einzelprämien können fünf- bis sechsstellige Beträge erreichen. Microsoft hat nach Medienberichten zwischen dem 1. Juli 2020 und dem 30. Juni 2021 im Rahmen seines Bug Bounty-Programms Prämien in Höhe von 13,6 Millionen Dollar an insgesamt 341 Hacker ausgeschüttet.
Weithin ungeklärt ist der Umgang mit Bug Bounties im Arbeitsverhältnis.
Rechtsnatur der Bug Bounty-Programme
Durch ein Bug Bounty-Programm stellt ein Unternehmen demjenigen eine Prämie in Aussicht, der einen Bug ermittelt und dem Unternehmen diesen meldet. Die Bekanntmachung von Bug Bounty-Programmen erfolgt zumeist auf der Homepage des Unternehmens, richtet sich also an die Öffentlichkeit („offene“ Bug Bounty-Programme). Daneben gibt es Programme, die eine Teilnahme nur auf Einladung des Unternehmens vorsehen („geschlossene“ Bug Bounty-Programme). Die Meldung eines Bugs muss in der Regel unter Beachtung bestimmter Vorgaben erfolgen. Typischerweise ist vorausgesetzt, dass durch einen Bug Report zunächst ausschließlich das Unternehmen informiert wird („Responsible Disclosure“). Damit soll dem Unternehmen Gelegenheit gegeben werden, den Bug zu beheben und insbesondere eine etwaige Sicherheitslücke zu schließen, bevor sie weiteren Personen bekannt wird.
Im Sinne des deutschen Zivilrechts sind damit jedenfalls offene Bug Bounty-Programme als „Bindende Versprechen“ bzw. Auslobung einzuordnen, geregelt in den §§ 657 ff. BGB. Danach setzt der Auslobende durch eine öffentliche Bekanntmachung eine Belohnung aus für die Vornahme einer Handlung, insbesondere für die Herbeiführung eines Erfolges. Nimmt eine Person die Handlung vor, erwirbt sie einen Anspruch auf die Belohnung. Auf einen Rechtsbindungswillen des Handelnden kommt es dabei nicht an; nicht einmal eine Kenntnis der Auslobung ist vorausgesetzt.
Zwischen dem Unternehmen und dem Bounty Hunter wird durch diesen Vorgang regelmäßig kein Arbeitsverhältnis oder sonst sozialversicherungspflichtiges Beschäftigungsverhältnis entstehen, selbst wenn der Bounty Hunter wiederholt an Bug Bounty-Programmen desselben Unternehmens teilnimmt. Denn der Bounty Hunter wird hierdurch weder in die betrieblichen Abläufe eingebunden noch unterwirft er sich den Weisungen des Unternehmens im Hinblick auf Zeit und/oder Ort seiner Tätigkeit. Dass das BAG im Dezember 2020 im Falle eines sogenannten „Crowd Worker“ (auch: „Plattformarbeiter“) – zu denen je nach Definition des Begriffs und Ausgestaltung des Programms auch die Bug Bounty Hunter gehören – ein Arbeitsverhältnis feststellte (PWWL berichtete), dürfte an diesem Ergebnis nichts ändern. Denn die Entstehung eines Arbeitsverhältnisses hatte das BAG insbesondere damit begründet, dass dem dortigen Crowd Worker durch die einfach gelagerte Tätigkeit und die zeitlich eng getakteten Vorgaben zur Auftragserfüllung letztlich keine ausreichende Gestaltungsfreiheit im Hinblick auf Ort, Zeit und Inhalt seiner Tätigkeit verblieb. Das ist bei Bug Bounty-Programmen ersichtlich anders.
Aus arbeitsrechtlicher Sicht interessanter sind dagegen die Fragen, die daraus entstehen, dass der Bounty Hunter in einem Arbeitsverhältnis zu einem anderen Unternehmen steht und den Bug im Auftrag seines Arbeitgebers, in Ausübung oder bei Gelegenheit seines Arbeitsverhältnisses entdeckt und meldet:
Bug Bounties im Arbeitsverhältnis
Ermittelt ein Arbeitnehmer im Rahmen seiner beruflichen Tätigkeit einen Bug, stellt sich die Frage, wem die Prämie zusteht, dem Arbeitnehmer oder dem Arbeitgeber?
Unzweideutig ist dies zunächst, wenn der Arbeitgeber selbst sich an einem Bug Bounty-Programm beteiligt und den Arbeitnehmer dafür einsetzt. Hier erfolgt die Recherche unmittelbar auf Weisung des Arbeitgebers und die Meldung etwaiger Bugs bzw. der Bug Report in dessen Namen. Im Erfolgsfall erwirbt daher der Arbeitgeber den Anspruch auf die Prämie. Allerdings dürfte dies in der Praxis noch eine seltene Konstellation sein. Zwar ist eine Teilnahme von Unternehmen an Bug Bounty-Programmen nicht ausgeschlossen. Bisher setzen aber wohl nur wenige Arbeitgeber ihre Arbeitnehmer gezielt für diese Zwecke ein.
Nicht anders ist der Fall zu beurteilen, in dem der Arbeitnehmer zwar nicht unmittelbar von seinem Arbeitgeber angewiesen wird, Bugs im Rahmen eines Bug Bounty-Programms zu ermitteln, solche aber bei Ausübung seiner arbeitsvertraglichen Tätigkeit entdeckt. In Betracht kommen etwa Situationen, in denen der Arbeitnehmer bei einer Tätigkeit für Kunden des Arbeitgebers in deren Systemen Schwachstellen erkennt. Auch hier steht eine etwaige Prämie aus einem Bug Bounty-Programm dem Arbeitgeber zu. Dies folgt aus § 667 Alt. 2 BGB. Danach ist der Beauftragte verpflichtet, dem Auftraggeber alles, was er aus der Geschäftsbesorgung erlangt, herauszugeben. Erfasst sind alle Vorteile, die der Auftragsausführung über einen inneren Zusammenhang zuzurechnen und damit dem Auftraggeber zugewiesen sind. § 667 Alt. 2 BGB ist nach ständiger Rechtsprechung im Arbeitsverhältnis entsprechend anzuwenden. Demzufolge steht eine Prämie aus einem Bug Bounty-Programm auch hier dem Arbeitgeber zu und muss die Meldung des Bugs im Namen des Arbeitgebers erfolgen. Selbstverständlich muss der Arbeitnehmer dies vorab mit dem Arbeitgeber abstimmen, sofern nicht bereits Regelungen für den Umgang mit Bug Bounties im Arbeitsverhältnis vereinbart worden sind.
Und auch dann, wenn der Arbeitnehmer Bugs ohne inneren Zusammenhang mit seinen arbeitsvertraglichen Aufgaben, also nur bei Gelegenheit der Tätigkeit für den Arbeitgeber ermittelt, steht eine Prämie grundsätzlich dem Arbeitgeber zu. Dies gilt jedenfalls dann, wenn der Arbeitnehmer hierfür, selbst in nur geringem Umfang, Ressourcen des Arbeitgebers, etwa dessen Hardware, in Anspruch nimmt. Entscheidend ist, ob eine Gesamtwürdigung der Umstände des Einzelfalls ergibt, dass der Arbeitgeber als der wirtschaftlich Berechtigte anzusehen ist.
Nur dann, wenn der Arbeitnehmer sich ohne einen Zusammenhang mit seinem Arbeitsverhältnis und außerhalb seiner Arbeitszeit mit eigenen Ressourcen an einem Bug Bounty-Programm beteiligt, steht eine etwaige Prämie ihm allein zu. Hier kann jedoch im Einzelfall zu prüfen sein, ob es sich um eine Nebentätigkeit handelt, die einer Genehmigung des Arbeitgebers bedarf.
Gestaltungsmöglichkeiten
Rechtsprechung zum Umgang mit Bug Bounties im Arbeitsverhältnis liegt bisher, soweit ersichtlich, nicht vor. Und auch in der juristischen Fachliteratur sind die hiermit zusammenhängenden Fragen bisher kaum behandelt. Zur Vermeidung von Unsicherheiten ist es daher sinnvoll, für Arbeitnehmer, die potenzielle Teilnehmer an Bug Bounty-Programmen sind, Regelungen zu treffen. Wesentliche Punkte können sein:
- die Verpflichtung des Arbeitnehmers zur Einholung der Zustimmung des Arbeitgebers für eine Teilnahme an einem Bug Bounty-Programm in jedem Einzelfall,
- Modalitäten zur Meldung des Bugs und zur Erstellung des Bug-Reports im Namen des Arbeitgebers,
- der Umfang der Arbeitszeit, den der Arbeitnehmer auf die Teilnahme an dem Bug Bounty-Programm verwenden darf und der Vorrang anderer dienstlicher Aufgaben,
- eine angemessene Beteiligung des Arbeitnehmers an etwaigen Prämien.
Entsprechende Regelungen können durch Vereinbarungen mit den Arbeitnehmern geschaffen werden. Da die angesprochenen Punkte grundsätzlich vom Weisungsrecht des Arbeitgebers erfasst sind, kommt aber auch eine einseitige Festlegung durch den Arbeitgeber, etwa in Gestalt von Richtlinien, in Betracht.
Fazit
Bug Bounties, die der Arbeitnehmer in Durchführung oder in Zusammenhang mit seiner vertraglichen Tätigkeit erzielt, stehen grundsätzlich dem Arbeitgeber zu. Nur wenn der Arbeitnehmer in seiner Freizeit und ohne Nutzung von Ressourcen des Arbeitgebers an einem Bug Bounty-Programm teilnimmt, stehen etwaige Prämien ihm selbst zu. Zur Vermeidung von Unsicherheiten ist es sinnvoll, für potenziell interessierte Arbeitnehmer Regelungen zum Umgang mit Bug Bounties zu schaffen.