Risiken bei der Nutzung und beim Anbieten von No-Code Plattformen als SaaS

Die Überschrift dieses Blogposts könnte auf den ersten Blick wie ein Gewinner im Wettbewerb für die meisten Anglizismen in einem Satz wirken. Doch hinter dem scheinbaren „Denglisch“ verbirgt sich ein äußerst relevantes Thema: No-Code Plattformen.

In der zunehmend digitalisierten Welt haben sich No-Code Plattformen zu einem unverzichtbaren Werkzeug für Unternehmen entwickelt, die ihre Geschäftsprozesse optimieren und ihre digitale Präsenz ausbauen möchten. Sie sind die unsichtbaren Helden der digitalen Transformation, die es ermöglichen, Anwendungen zu erstellen und zu verwalten, ohne eine einzige Codezeile schreiben zu müssen. Dies reduziert die Notwendigkeit von spezialisierten Entwicklern und öffnet die Tür zu einer Welt, in der jeder zum Erbauer eigener digitaler Lösungen werden kann.

Doch wie bei jedem Superhelden gibt es auch hier eine Kehrseite. Trotz ihrer Vorteile bergen No-Code Plattformen auch Risiken, sowohl für die Nutzer als auch für die Anbieter dieser Dienste. Es ist, als ob man plötzlich Superkräfte hätte, aber nicht genau wüsste, wie man sie kontrolliert. Dieser Blogpost beleuchtet die Sicherheitsrisiken, die mit der Nutzung von Widgets und Funktionen von No-Code Plattformen verbunden sind. Zudem werden die potenziellen Probleme diskutiert, die Anbieter durch schlecht formulierte Allgemeine Geschäftsbedingungen (AGB) haben könnten. Denn wie bei jeder großen Macht, kommt auch hier große Verantwortung mit ins Spiel. Und in der Welt der No-Code Plattformen ist das nicht anders.

Sicherheitsrisiken bei der Nutzung von No-Code Plattformen

Eines der Hauptprobleme bei der Nutzung von No-Code Plattformen ist das Sicherheitsrisiko. Obwohl diese Plattformen es Benutzern ermöglichen, Anwendungen ohne Programmierkenntnisse zu erstellen, bedeutet dies auch, dass sie möglicherweise nicht über das technische Wissen verfügen, um die Sicherheitsrisiken zu verstehen, die mit der Nutzung bestimmter Widgets und Funktionen verbunden sind.

Einige Widgets könnten beispielsweise Sicherheitslücken aufweisen, die von Hackern ausgenutzt werden könnten, um auf sensible Daten zuzugreifen. Darüber hinaus könnten einige Funktionen, wenn sie nicht ordnungsgemäß konfiguriert sind, dazu führen, dass vertrauliche Informationen unbeabsichtigt öffentlich zugänglich gemacht werden. Daher ist es für Benutzer von No-Code Plattformen unerlässlich, sich über die potenziellen Sicherheitsrisiken im Klaren zu sein und geeignete Maßnahmen zu ergreifen, um ihre Daten zu schützen.

Ein weiteres Problem, das oft übersehen wird, ist die Anbindung von APIs Dritter. Viele No-Code Plattformen ermöglichen die Integration von Drittanbieter-APIs, um die Funktionalität der erstellten Anwendungen zu erweitern. Während dies auf den ersten Blick als Vorteil erscheinen mag, birgt es auch Risiken. Bei der eigenen Programmierung von APIs kann man jederzeit in den eigenen Code schauen und genau verstehen, wann, wo und welche Daten über eine Dritte API abgegriffen werden. Bei No-Code Plattformen ist dies jedoch oft nicht möglich.

Diese mangelnde Transparenz kann schnell zu Problemen mit der Datenschutz-Grundverordnung (DSGVO) und der Informationssicherheit führen. Es ist oft unbekannt, wie genau (und im Zweifel ob korrekt) die API auf der Plattform eingebunden wird und ob die Daten beispielsweise „encrypted in transit“ sind. Die meisten No-Code Plattformen schweigen auch darüber, was wiederum ein Problem für die eigene Datenschutzerklärung sein könnte.

Darüber hinaus könnte ein Fehler in der Programmierung der No-Code Plattform, der Hackern bekannt wurde, diesen Zugriff auf Tausende von Nutzern der Plattform bieten. Wenn keine eigenen Vorkehrungen getroffen werden, könnte dies zu einem massiven Datenleck führen. Daher ist es unerlässlich, geeignete Maßnahmen zu ergreifen, um die Daten zu schützen und die Einhaltung der DSGVO und Sicherheitsstandards zu gewährleisten.

Risiken für Anbieter von No-Code Plattformen

Für Anbieter von No-Code Plattformen können schlecht formulierte Allgemeine Geschäftsbedingungen (AGB) zu erheblichen rechtlichen Problemen führen. Die AGB sind ein wesentlicher Bestandteil des Vertrags zwischen dem Anbieter und dem Benutzer und legen die Bedingungen fest, unter denen der Dienst genutzt werden kann. Wenn diese Bedingungen nicht klar und präzise formuliert sind, könnte der Anbieter für Schäden haftbar gemacht werden, die aus der Nutzung seiner Plattform resultieren.

Die im vorherigen Abschnitt erwähnten Probleme können natürlich umfassende Herausforderungen für die Plattform darstellen. Fragen wie: Wo werden Daten gespeichert? Was passiert, wenn Hacker auf die Plattform eindringen können? Sind einzelne Instanzen für einzelne Kunden abgeschottet? Wirkt sich ein Fehler in einem Widget oder einer Funktion auf alle Kunden aus? Diese und viele weitere Fragen müssen in den AGB berücksichtigt werden.

Darüber hinaus könnten Anbieter Informationspflichten haben, wenn Fehler auftreten, bei denen der Kunde Anpassungen vornehmen muss. Sie könnten auch für die IT-Sicherheit bei dem Kunden verantwortlich sein und müssen möglicherweise Kunden über IT-Sicherheit aufklären.

Zum Beispiel, wenn ein Benutzer aufgrund einer Sicherheitslücke in einem Widget oder einer Funktion, die von der Plattform bereitgestellt wird, einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) erleidet, könnte der Anbieter, wenn seine AGB nicht ausdrücklich eine Haftung für solche Vorfälle ausschließen, rechtlich zur Verantwortung gezogen werden.

Die Erstellung von AGB für No-Code Plattformen kann daher sehr kompliziert sein und sollte nur von erfahrenen Juristen mit IT-Sachverstand durchgeführt werden. Sie müssen in der Lage sein, die technischen Aspekte der Plattform zu verstehen und die potenziellen Risiken und Verantwortlichkeiten, die damit verbunden sind, in klare und präzise rechtliche Bedingungen umzusetzen.

Die rechtlichen Aspekte der Nutzung von No-Code Plattformen sind vielfältig und komplex. Sie umfassen nicht nur das Datenschutzrecht, sondern auch das IT-Sicherheitsrecht, das Vertragsrecht und das Haftungsrecht. Jedes dieser Rechtsgebiete hat seine eigenen Regeln und Vorschriften, die beachtet werden müssen.

Im Bereich des Datenschutzrechts ist die DSGVO das zentrale Regelwerk, das die Verarbeitung personenbezogener Daten in der EU regelt. Sie legt strenge Anforderungen an die Sicherheit der Datenverarbeitung fest und verpflichtet die Anbieter von No-Code Plattformen, geeignete technische und organisatorische Maßnahmen zu treffen, um die Daten ihrer Benutzer zu schützen.

Im Bereich des IT-Sicherheitsrechts gibt es eine Reihe von Gesetzen und Standards, die Anforderungen an die Sicherheit von IT-Systemen stellen. Dazu gehören beispielsweise das Bundesdatenschutzgesetz (BDSG), das IT-Sicherheitsgesetz (IT-SiG) und die ISO 27001. Diese Gesetze und Standards können je nach Art der Plattform und den spezifischen Umständen der Datenverarbeitung unterschiedliche Anforderungen stellen.

Im Vertragsrecht müssen die AGB so gestaltet sein, dass sie die Rechte und Pflichten der Parteien klar und präzise regeln. Sie müssen auch den Anforderungen des Bürgerlichen Gesetzbuches (BGB) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) entsprechen.

Im Haftungsrecht müssen die AGB die Haftung des Anbieters für Schäden, die aus der Nutzung seiner Plattform resultieren, angemessen regeln. Sie müssen auch die Anforderungen des Produkthaftungsgesetzes (ProdHaftG) und des BGB berücksichtigen.

Die Erstellung von AGB für No-Code Plattformen erfordert daher ein tiefes Verständnis dieser verschiedenen Rechtsgebiete und die Fähigkeit, dieses Wissen in klare und präzise rechtliche Bedingungen umzusetzen. Es ist daher unerlässlich, dass Anbieter von No-Code Plattformen erfahrene Juristen mit IT-Sachverstand beauftragen, um ihre AGB zu erstellen und zu überprüfen.

Kleiner Ausflug: Codegenerierung durch KI?

Ein interessanter Nebenaspekt in der Diskussion um No-Code Plattformen ist die zunehmende Fähigkeit von Künstlicher Intelligenz (KI), Code zu generieren. Ein prominentes Beispiel dafür ist ChatGPT, eine KI von OpenAI, die in der Lage ist, menschenähnlichen Text zu generieren und dabei auch Code zu erstellen. Obwohl ChatGPT keine klassische No-Code Plattform ist, wirft seine Verwendung ähnliche Fragen in Bezug auf Haftung und Verantwortung auf.

Wenn ChatGPT zur Code-Generierung verwendet wird und dieser Code Fehler enthält oder zu unerwünschten Ergebnissen führt, wer ist dann verantwortlich? Ist es der Mitarbeiter, der ChatGPT für die Code-Generierung nutzt? Ist es der Arbeitgeber, der die Nutzung von ChatGPT ermöglicht oder sogar fördert? Oder könnte es sogar ChatGPT selbst oder dessen Entwickler, OpenAI, sein?

Die Antwort auf diese Fragen ist nicht einfach und hängt von vielen Faktoren ab, einschließlich der genauen Umstände der Code-Generierung und der geltenden rechtlichen Rahmenbedingungen. Im Allgemeinen könnte man jedoch argumentieren, dass der Mitarbeiter, der ChatGPT verwendet, eine gewisse Verantwortung für die Überprüfung und Validierung des generierten Codes hat. Schließlich ist es seine Entscheidung, die KI zur Code-Generierung zu nutzen, und er sollte in der Lage sein, den generierten Code zu verstehen und auf Fehler zu überprüfen.

Der Arbeitgeber könnte ebenfalls eine gewisse Verantwortung tragen, insbesondere wenn er die Nutzung von KI-Tools wie ChatGPT fördert oder vorschreibt. Er könnte verpflichtet sein, geeignete Schulungen und Unterstützung bereitzustellen, um sicherzustellen, dass seine Mitarbeiter die KI-Tools sicher und effektiv nutzen können.

Die Frage der Haftung von ChatGPT oder OpenAI ist komplexer und hängt von den spezifischen rechtlichen Rahmenbedingungen ab. In einigen Rechtsordnungen könnte es möglich sein, dass ein KI-Entwickler für Fehler oder Schäden haftet, die durch seine KI verursacht werden. In anderen Rechtsordnungen könnte dies jedoch nicht der Fall sein, insbesondere wenn die KI als „Werkzeug“ betrachtet wird, das vom Benutzer kontrolliert und gesteuert wird.

Diese Fragen zeigen, dass die zunehmende Verbreitung von KI und No-Code Plattformen neue und komplexe rechtliche Herausforderungen mit sich bringt. Es ist daher wichtig, dass sowohl Anbieter als auch Nutzer dieser Technologien sich der potenziellen Risiken bewusst sind und geeignete Maßnahmen ergreifen, um diese Risiken zu managen.

Fazit

Während No-Code Plattformen erhebliche Vorteile bieten, wie die Beschleunigung der digitalen Transformation und die Demokratisierung der Anwendungsentwicklung, ist es unerlässlich, dass sowohl Benutzer als auch Anbieter sich der damit verbundenen Risiken bewusst sind.

Benutzer müssen sich über die Sicherheitsrisiken im Klaren sein, die mit der Nutzung von Widgets und Funktionen verbunden sind. Dazu gehören potenzielle Sicherheitslücken, die von Hackern ausgenutzt werden könnten, sowie die Risiken, die mit der Anbindung von APIs Dritter verbunden sind. Es ist wichtig, dass Benutzer sich fortbilden und geeignete Maßnahmen ergreifen, um ihre Daten zu schützen und die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten.

Anbieter von No-Code Plattformen müssen ihrerseits sicherstellen, dass ihre Allgemeinen Geschäftsbedingungen (AGB) klar und präzise formuliert sind, um rechtliche Probleme zu vermeiden. Sie müssen auch die technischen und organisatorischen Maßnahmen implementieren, die notwendig sind, um die Sicherheit ihrer Plattformen zu gewährleisten und die Einhaltung der relevanten Gesetze und Standards, wie das Bundesdatenschutzgesetz (BDSG), das IT-Sicherheitsgesetz (IT-SiG) und die ISO 27001, zu gewährleisten.

Darüber hinaus zeigt die zunehmende Fähigkeit von Künstlicher Intelligenz (KI), Code zu generieren, dass die Grenzen zwischen Code und No-Code immer mehr verschwimmen. Dies wirft neue Fragen in Bezug auf Haftung und Verantwortung auf, die sowohl von den Benutzern als auch von den Anbietern dieser Technologien berücksichtigt werden müssen.

Durch ein besseres Verständnis dieser Risiken und durch die Implementierung geeigneter Schutzmaßnahmen können die Vorteile von No-Code Plattformen genutzt werden, ohne die Sicherheit zu gefährden oder rechtliche Probleme zu riskieren. Es ist eine spannende Zeit für die digitale Transformation, aber wie bei jeder technologischen Innovation ist es wichtig, dass wir die Risiken genauso ernst nehmen wie die Möglichkeiten.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.