216 20 4MB
German Pages 397 Year 2019
Fischer/Hoppen/Wimmers (Hrsg.) DGRI Jahrbuch 2018
Informationstechnik und Recht Schriftenreihe der Deutschen Gesellschaft für Recht und Informatik e.V.
Band 28
DGRI Jahrbuch 2018 Im Auftrag der Deutschen Gesellschaft für Recht und Informatik e.V.
herausgegeben von
Dr. Veronika Fischer Karlsruhe und
Dr.-Ing. Peter J. Hoppen Brühl und
Jörg Wimmers, LL.M. Hamburg
2019
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.
Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/937 38-01, Fax 02 21/937 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-67027-6 ©2019 by Verlag Dr. Otto Schmidt KG, Köln
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung: Lichtenford, Mettmann Satz: Datagroup Int., Timisoara Druck und Verarbeitung: Stückle, Ettenheim Printed in Germany
Editorial Auch im 43. Jahr seit ihrer Gründung versteht sich die Deutsche Gesellschaft für Informatik e.V. (DGRI) als intellektuelles Kraftwerk für jenen Bereich, an dem Recht und Informatik zusammentreffen, sich überschneiden und verbinden. Im überspannenden Titel der letztjährigen Jahrestagung der Gesellschaft in München – Mensch Maschine Recht – klingt dies an. In Zeiten, in denen künstliche Intelligenz und Robotik nicht nur unser Wirtschaftsleben und die Produktionsstätten, sondern zunehmend auch unseren Alltag durchdringen, haben wir im thematischen Dreiklang der Tagung unseren Kerndisziplinen Informatik – Maschine im weiteren Sinne – und Recht bewusst den Menschen vorangestellt. Stichworte wie Künstliche Intelligenz, Robotik, Industrie 4.0, Internet of Things und Big Data stehen für die Zunahme und den Bedeutungsgewinn maschineller Prozesse und die Ersetzung menschlicher Handlungen mithilfe von Algorithmen und Maschinen. Dabei steht die dafür erforderliche Vernetzung von Maschinen und Geräten erst am Anfang; dies dürfte aber mit dem neuen Standard 5G deutlich an Fahrt gewinnen. Damit ist der Blick unmittelbar darauf gelenkt, was diese Entwicklung für den Menschen und die Gesellschaft bedeutet. Unsere Jahrestagung setzte die Tradition fort, das Kernthema der zweitägigen Veranstaltung vertiefend aus unterschiedlichen Disziplinen und Perspektiven zu betrachten und zu diskutieren. In einem ersten Schwerpunkt widmete sie sich den Fragen, die sich im Zusammenhang mit Künstlicher Intelligenz und Robotik stellen. Entsprechend unserem Ansatz wurde das Thema technisch – durch die Vorstellung von Entwicklungen und (möglichen) Schlüsseltechnologien – aber eben auch ethisch, ökonomisch und schließlich rechtlich aufbereitet. In diesem Jahrbuch ist der Themenkomplex Künstliche Intelligenz durch die Beiträge von Frank Hartmann und Matthias Prinz zum immaterialgüterrechtlichen Schutz von Systemen künstlicher Intelligenz sowie mit den grundlegenden Beiträgen von Nikolaus Marsch zu datenschutzrechtlichen Fragen und von Thomas Riehm und Stanislaus Meier zu den brennenden und teils unbehaglichen zivilrechtlichen Aspekten der Rechtsfähigkeit von Systemen künstlicher Intelligenz (bzw. dem Erfordernis von deren Zuerkennung) und der Zurechnung von deren Handlungen repräsentiert. Unmittelbar vor der Jahrestagung hatte die Bundesregierung ein Eckpunkte-Papier veröffentlicht, aufgrund dessen eine Strategie Künstliche Intelligenz (KI) erarbeitet und auf dem Digitalgipfel am 3./4. Dezember 2018 in Nürnberg vorgestellt wurde. Es entspricht dem Selbstverständnis unserer Or-
V
Editorial
ganisation, mit ihrer Arbeit und ihren Veranstaltungen auch als Impulsgeber für die Politik zu dienen. Der Beitrag von Nikolaus Marsch weist auch auf den zweiten großen Themenkomplex unserer Jahrestagung hin und rückt zugleich das Thema ‚Mensch‘ in den Blickpunkt: Die Bedeutung der Grundrechte im Umfeld der digitalen Transformation und einer globalisierten Gesellschaft. Marsch adressiert in seinem Beitrag den Konflikt mit der Grundkonzeption des Datenschutzrechts beim Einsatz künstlicher Intelligenz und zeigt anhand einer fundierten Untersuchung des europäischen Datenschutzgrundrechts auf, wie Spielräume für die technologische Entwicklung geschaffen werden können. Der ehemalige Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier, der krankheitsbedingt leider nicht an der Jahrestagung teilnehmen konnte, ist in diesem Jahrbuch mit seinem Plädoyer für die Bedeutung der Grundrechte und deren vorsichtige rechtsfortbildende Konkretisierungen angesichts der wachsenden Herausforderungen in der digitalen und globalisierten Lebenswirklichkeit vertreten. Wolfgang Schulz vervollständigt den Grundrechtskanon mit einer Betrachtung der Kommunikationsgrundrechte im Umfeld sozialer Netzwerke und Plattformen und der Auswirkung der Datenschutz-Grundverordnung (DSGVO) auf die Bedeutung der Grundrechte im Äußerungsrecht. Alle drei Beiträge behandeln dabei auch die zunehmend drängende Frage, welche Bedeutung den Grundrechten des Grundgesetzes und der Rechtsprechung des Bundesverfassungsgerichts angesichts der zunehmenden Durchdringung unserer nationalen Rechtsordnungen durch Unionsrechtsakte und der wachsenden Bedeutung der Rechtsprechung des Gerichtshofs der Europäischen Union auch für den grundrechtlichen Bereich zukommt. Die DGRI ist aber stets auch der Rechtsanwendung verpflichtet und hier gleichberechtigt mit ihren zwei wichtigen Säulen des (IT-)Vertragsrechts und des Datenschutzes. Anne Förster weist in ihrem Beitrag auf die arbeitsrechtlichen Fallstricke des AÜG bei einer agilen Projektgestaltung hin. Anke Nestler widmet sich den Bewertungsmethoden von Daten unter transaktionsbezogenen Aspekten sowie unter steuerlicher, bilanzieller und schadensersatzrechtlicher Betrachtung. Christiane Bierekoven eröffnet den Reigen von Beiträgen, die sich mit der DSGVO befassen. Kern ihres Beitrages ist Art. 25 DSGVO, in welchem die Implementierung der Datenschutzgrundsätze nunmehr als verbindliche gesetzliche Vorgabe normiert ist, und die daraus resultierenden Anforderungen an die Vertragsgestaltung bei IT-Projekten. Matthias Pruns schließlich widmet sich Fragen des digitalen Nachlasses in der anwaltlichen Beratung.
VI
Editorial
Das Drei-Länder-Treffen, der zweite große Fixpunkt im Jahr der DGRI, feierte 2018 ein Jubiläum: Es war die 25. Edition dieses besonderen Formats einer internationalen Konferenz. Neben den Themen E-Health und E-Government – Letzteres ist in diesem Jahrbuch mit dem Beitrag von Wilfried Bernhardt zum Stand der Digitalisierung von Verwaltungsleistungen und den gesetzlichen Grundlagen in Deutschland und in Europa vertreten – stand das Drei-Länder-Treffen ganz im Zeichen der DSGVO, wobei das Format des Treffens erlaubte, der „Innenansicht“ aus der Perspektive Österreichs – hierzu findet sich im Jahrbuch der Beitrag von Dietmar Jahnel – und Deutschlands eine „Außenansicht“ aus der Schweiz gegenüberzustellen. Christian Laux stellt in seinem Beitrag das schweizerische Datenschutzgesetz mit der DSGVO in Beziehung. Ebenfalls in diesem Band vertreten sind Berichte über die jüngste Rechtsprechung und Gesetzgebung im IT-Bereich in Österreich (siehe hierzu den Beitrag von Clemens Appl) sowie der Schweiz (siehe den Überblick von Clara-Ann Gordon). Zur Förderung junger Talente vergibt die Deutsche Stiftung für Recht und Informatik (DSRI) jährlich einen Absolventenpreis, dessen Preisgeld von der DGRI zur Verfügung gestellt wird. 2018 wurde Quincy Lobach mit dem Preis ausgezeichnet. Seine Arbeit zu den Neuerungen durch die Richtlinie über den Online-Warenhandel ist in diesem Band nachzulesen. Das Jahrbuch will zugleich ein Bericht über Entwicklungen in der Gesellschaft sein. Die im Jahrbuch enthaltene Chronik enthält eine Zusammenfassung der wesentlichen Ereignisse des Jahres 2018. Hervorheben wollen wir daraus die Ergänzung des Vorstandes der DGRI durch Prof. Dr. Louisa Specht-Riemenschneider, die seit dem 1. April 2018 den Lehrstuhl für Bürgerliches Recht, Daten- und Informationsrecht an der Rheinischen Friedrich-Wilhelms-Universität Bonn innehat. Hervorheben wollen wir auch die fortgesetzte Zusammenarbeit der DGRI mit dem Journal of Intellectual Property, Information Technology and E-Commerce Law (JIPITEC) und dessen Förderung durch die Gesellschaft. Dieses europaweit aufgestellte Open-Access-Journal erscheint seit 2010 als juristische Online-Fachzeitschrift drei- bis viermal im Jahr mit dem thematischen Schwerpunkt Europäisches Recht im Hinblick auf Geistiges Eigentum, Informationstechnologie und E-Commerce (https://www. jipitec.eu/). Dem Editorial Board von JIPITEC gehören mit Thomas Dreier, Axel Metzger und Gerald Spindler drei ehemalige Geschäftsführer und Vorstände unserer Gesellschaft an.
VII
Editorial
Daneben möchte das Jahrbuch einen Querschnitt durch die Arbeit der Gesellschaft abbilden. Es belegt, dass die DGRI auch im fünften Jahrzehnt ihres Bestehens das Ohr auf der Schiene technischer und rechtlicher Entwicklungen hat. Wir wünschen Ihnen viel Spaß beim Lesen. Alle Beiträge sind im Partnermodul IT-Recht auch bei juris abrufbar. Karlsruhe, Köln, Hamburg, im September 2019 Dr. Veronika Fischer Dr.-Ing. Peter J. Hoppen Jörg Wimmers, LL.M.
VIII
Inhaltsübersicht* Editorial (Veronika Fischer/Peter J. Hoppen/Jörg Wimmers) . . . . .
V
A. Jahrestagung 2018, München Künstliche Intelligenz im Zivilrecht (Thomas Riehm/Stanislaus Meier) . . . . . . . . . . . . . . . . . . . . . . . . .
1
Data as Assets – die finanzielle Bewertung von Knowhow (Anke Nestler) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
Agile Projekte aus arbeitsrechtlicher Sicht (Anne Förster) . . . . . .
47
Die DSGVO als wesentlicher Bestandteil von Leistungsbeschreibung und Vertragsgestaltung bei IT-Projekten (Christiane Bierekoven) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
Digitaler Nachlass und privates Datenmanagement in der anwaltlichen Beratung (Matthias Pruns) . . . . . . . . . . . . . . . . . . . .
97
Verfassungsrecht und Digitalisierung (Hans-Jürgen Papier) . . . . .
137
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz (Frank Hartmann/Matthias Prinz) . . . . . . . . . . . . . . . .
149
KI und das europäische Datenschutzgrundrecht – Spielräume für technologische Innovation und innovativen Schutz (Nikolaus Marsch) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
175
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht (Wolfgang Schulz) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
199
B. Drei-Länder-Treffen 2018, St. Gallen E-Government in Deutschland und Europa (Wilfried Bernhardt) . . .
213
Länderbericht Österreich (Clemens Appl) . . . . . . . . . . . . . . . . . . .
235
Länderbericht Schweiz (Clara-Ann Gordon) . . . . . . . . . . . . . . . . .
255
*
Ausführliche Inhaltsverzeichnisse jeweils zu Beginn der Beiträge.
IX
Inhaltsübersicht
Die DS-GVO aus österreichischer Sicht (Dietmar Jahnel) . . . . . .
263
Nachvollzug des europäischen Datenschutzrechts in der Schweiz (Christian Laux) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
283
C. Preisträger der DSRI 2018 Die Richtlinie über den (Online-)Warenkauf (Quincy C. Lobach) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
347
D. Jahreschronik DGRI Jahreschronik 2018 (Veronika Fischer). . . . . . . . . . . . . . . . .
373
E. Anhang DGRI-Stellungnahme zum Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs vom 5.10.2018. . . . . . . . . . . . . .
X
383
Künstliche Intelligenz im Zivilrecht Thomas Riehm/Stanislaus Meier* I. Künstliche Intelligenz – was ist das? 1. Determinismus – Autonomie – Künstliche Intelligenz 2. Gegenwart und Zukunft der künstlichen Intelligenz II. Herausforderungen für das Zivilrecht 1. „Willenserklärungen“ autonomer Systeme a) „Computererklärung“ b) „Botenlösung“ c) „Vertreterlösung“ d) Zwischenbilanz 2. Schädigung durch autonome Systeme a) Gefährdungshaftung nach dem Produkthaftungsgesetz b) Gefährdungshaftung des Betreibers c) Verschuldenshaftung des Betreibers: „Werkzeugtheorie“ d) KI-Systeme als Verrichtungsgehilfen e) Zwischenbilanz
III. Rechtsfähigkeit von KI-Systemen? 1. Rechtsfähigkeit von KI-Systemen als Begründungshilfe 2. Funktionen der zivilrechtlichen Rechtsfähigkeit 3. Implikationen der Rechtsfähigkeit 4. Ungeschriebene Prämissen der Rechtsfähigkeit a) Prämisse 1: Identifizierbarkeit des Rechtssubjekts („Abgrenzungsproblem“) b) Prämisse 2: Überlebenswille des Rechtssubjekts („Kamikaze-Problem“) 5. Bedingungen einer Zuerkennung von Rechtsfähigkeit de lege ferenda a) Abgrenzungsprobleme b) Materielle Schutzvorkehrungen 6. Teilrechtsfähigkeit? IV. Konsequenz: Weitgehend unbeschränkte Bindung und Haftung des Betreibers V. Fazit
I. Künstliche Intelligenz – was ist das? Der Themenkomplex „Künstliche Intelligenz im Zivilrecht“ umfasst 1 ein sehr weites Spektrum an Einzelfragen, welches ausführlich darzustellen den Umfang dieses Beitrages sprengen würde. Die nachfolgende Darstellung beschränkt sich auf einige wesentliche Aspekte und Heraus-
*
Prof. Dr. Thomas Riehm ist Inhaber des Lehrstuhls für deutsches und europäisches Privatrecht, Zivilverfahrensrecht und Rechtstheorie an der Universität Passau, Stanislaus Meier ist wissenschaftlicher Mitarbeiter und Doktorand an diesem Lehrstuhl; schriftliche Fassung des Vortrags des Erstverfassers am 16.11.2018 bei der DGRI-Jahrestagung in München.
1
Thomas Riehm/Stanislaus Meier
forderungen, die künstliche Intelligenz für die Zivilrechtsdogmatik mit sich bringt. 2 Einleitend ist zunächst der Begriff der künstlichen Intelligenz (KI) zu klären: Eine allgemeingültige Definition existiert bislang nicht.1 Für den nachfolgenden Beitrag soll gleichwohl eine Definition des Begriffes zugrunde gelegt werden, welche indessen keineswegs den Anspruch erhebt, als definitive juristische Definition für künstliche Intelligenz verstanden zu werden: Angelehnt an die KI-Strategie der Bundesregierung2 lässt sich künstliche Intelligenz in zwei Arten einordnen: starke KI und schwache KI. Unter starker KI versteht man Maschinen, die gleiche oder sogar bessere intellektuelle Fähigkeiten als Menschen besitzen und über einen eigenen Verstand verfügen, dem Menschen also geistig mindestens ebenbürtig sind.3 Dieses Bild der künstlichen Intelligenz liegt jedoch fern der gegenwärtigen Realität und dessen, was in absehbarer Zeit mit Technik möglich ist bzw. sein wird.4 Starke KI zählt daher derzeit noch in den Bereich der Science Fiction, sodass insoweit noch kein ernstzunehmender Diskussionsbedarf besteht.5 Schwache KI bezeichnet hingegen die Imitation oder Optimierung eines abgrenzbaren Bereiches des menschlichen Denkens.6 Diese existiert bereits heute in verschiedensten Bereichen; in diesem Sinne soll der Begriff künstlicher Intelligenz im Folgenden zugrunde gelegt werden. Insoweit könnte man sogar einen Taschenrechner bereits als (sehr schwache) künstliche Intelligenz bezeichnen, weil auch dieser einen abgrenzbaren Bereich menschlichen Denkens (Rechnen)
1 Pieper in: Taeger (Hrsg.), Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, 2017, 555 ff. 2 Bundesregierung, Strategie Künstliche Intelligenz der Bundesregierung, November 2018 (https://www.bmbf.de/files/Nationale_KI-Strategie.pdf), S. 4 f. (geprüft am 06.09.2019). 3 Bundesregierung, Strategie Künstliche Intelligenz der Bundesregierung, November 2018 (https://www.bmbf.de/files/Nationale_KI-Strategie.pdf), S. 4 f. (geprüft am 06.09.2019). 4 Vgl. Hillmann, Künstliche Intelligenz: Alles rund um KI einfach erklärt, 2018 (https://vr-world.com/kuenstliche-intelligenz-artificial-intelligence-ki-ai-erklaert/) (geprüft am 06.09.2019). 5 Burchardt, Stellungnahme vor der Enquete-Kommission des Bundestags, 15.10.2018 (https://www.bundestag.de/dokumente/textarchiv/2018/kw42pa-enquete-ki/573436) (geprüft am 06.09.2019). 6 Vgl. Bundesregierung, Strategie Künstliche Intelligenz der Bundesregierung, November 2018 (https://www.bmbf.de/files/Nationale_KI-Strategie.pdf), S. 4 (geprüft am 06.09.2019).
2
Künstliche Intelligenz im Zivilrecht
besser beherrscht als der Mensch selbst und diesem in Schnelligkeit und Präzision überlegen ist.7 Bereits an diesem Beispiel lässt sich ein erster Einfluss künstlicher In- 3 telligenz auf das Zivilrecht erkennen: Ein Buchprüfer, der ausschließlich mit Kopfrechnen und ohne Taschenrechner arbeitet, würde in der heutigen Zeit mit Sicherheit gegen die im Verkehr erforderliche Sorgfalt verstoßen und damit fahrlässig handeln. Was früher möglicherweise ein neuartiges und komplexes Gerät war, dessen Einsatz Wenigen vorbehalten war, gilt heute als so selbstverständlich, dass man sich nicht mehr die Frage der Haftung für den Einsatz dieser Geräte stellt, sondern umgekehrt die Haftung für deren Nicht-Einsatz außer Frage steht. Die gleiche Frage wird sich eines Tages auch für Roboter und andere KI-Systeme stellen (s. unten Rz. 27).8 Das Bild der künstlichen Intelligenz wird heute jedoch nicht mehr durch 4 die elementare Rechenmaschine geprägt, sondern durch komplexe softwarebasierte Entitäten, entweder in der Form reiner Softwareprogramme oder als cyberphysikalische Systeme, d. h. Software in Verbindung mit einem Hardwaregerät (z. B. Roboter). Diese sind durch zwei zentrale Fähigkeiten ausgezeichnet, die sich erst in den letzten Jahren in der technischen Forschung abgezeichnet haben: Die Fähigkeit zum Umgang mit unvollständigen Informationen, und die Fähigkeit zum selbständigen Lernen. Diese Merkmale waren Software bis vor wenigen Jahren noch fremd. 5 Durch das Zusammenwirken dieser beiden Eigenschaften erscheint das Verhalten von heutigen KI-Systemen für den Menschen häufig nicht mehr im Detail vorhersehbar. Dies gilt nicht nur für den Nutzer, sondern unter Umständen sogar für den Programmierer, der insbesondere bei selbstlernenden Systemen Entscheidungen der Software im Einzelfall nicht mehr voraussehen kann.9 Grund hierfür ist, dass die Software sich nicht mehr einer deterministischen Programmstruktur in Form klassischer Algorithmen bedient, sondern neuronale Netze einsetzt, welche bestimmte Eingabewerte (Input) gewichten und zu Ausgabewerten (Out-
7 8 9
Bryson/Wyatt, Artificial Intelligence, April 1997 (http://www.cs.bath. ac.uk/~jjb/web/whatisai.html) (geprüft am 06.09.2019). Zur Pflicht zum Einsatz von Robotern s. etwa Spindler in: Hilgendorf (Hrsg.), Robotik im Kontext von Recht und Moral, 2013, 63, 79 f. Auf die Unvorhersehbarkeit selbstlernender Systeme hinweisend Grapentin, NJW 2019, 181, 184; Herberger, NJW 2018, 2825, 2827; Brunnotte, CR 2017, 583, 584; Spiecker gen. Döhmann, CR 2016, 698, 701; Gless/Weigend, ZStW 126 (2014), 561, 563 f.; Müller-Hengstenberg/Kirn, MMR 2014, 225, 228.
3
Thomas Riehm/Stanislaus Meier
put) verarbeiten. Durch Rückkopplungsschleifen können die neuronalen Netze dann selbständig erfahrungsbasiert lernen und sich selbst für die gestellte Aufgabe optimieren (sog. deep learning10). Für den Programmierer mag bekannt sein, welche Eingabewerte existierten, wie die Gewichtung dieser Werte im Ursprung vorgesehen war und nach welchen Kriterien das System „gelernt“ hat. Wie die Entscheidung des Gerätes durch das Zusammenwirken dieser Faktoren letztlich ausfallen wird, ist im Einzelfall jedoch nicht mehr exakt vorhersehbar und ggfs. sogar nicht einmal mehr ex post im Sinne einer für Menschen verständlichen Begründung nachvollziehbar.11 Die Systeme handeln als sog. „Black Box“, deren interne Abläufe für Menschen nicht mehr erklärbar sind.12 1. Determinismus – Autonomie – Künstliche Intelligenz 6 Heutige Systeme künstlicher Intelligenz können daher fundamental von klassischen Algorithmen-Strukturen abweichen. Während das klassische Software-Paradigma letztlich eine endliche Anzahl von Wenn-Dann Strukturen abbildet, beruhen KI-Systeme auf unvollständigen Strukturen mit der Fähigkeit, diese durch Selbstlernen und Weiterentwicklung im Wege einer Art „Analogieschlüsse“ zu erweitern. Dies führt zu dem wesentlichen Unterschied, dass deterministische Systeme mit identischem Input bei identischen Parametern in jeder Lage zu identischem Output gelangen, ihr „Verhalten“ daher zumindest theoretisch vollständig vorhersehbar ist, während KI-Systeme bei identischem Input je nach „Lernzustand“ zu einem abweichenden Output führen können. Das beruht auf ihrer inhärenten anfänglichen Unvollständigkeit bei gleichzeitiger Fähigkeit zur Weiterentwicklung.13 Aufgrund dieser Fähigkeit werden sie daher auch als autonom bezeichnet.14
10 Vgl. generell zum deep learning gerade im Zusammenhang mit der BlackBox-Problematik Linardatos, ZIP 2019, 504, 505. 11 Linardatos, ZIP 2019, 504, 505; Meyer, ZRP 2018, 233, 235; Spiecker gen. Döhmann, CR 2016, 698, 701; Gless/Weigend, ZStW 126 (2014), 561, 564. 12 Insoweit besteht ein besonderes Interesse gerade aus juristischer Sicht an der jüngeren IT-Forschungsrichtung sog. „Explainable Artificial Intelligence“ (XAI); s. dazu etwa das XAI-Programm der DARPA (https://www.darpa.mil/ program/explainable-artificial-intelligence) (geprüft am 06.09.2019). 13 Zur Lernfähigkeit Graf von Westphalen, ZIP 2019, 889; Grapentin, NJW 2019, 181, 183; Müller-Hengstenberg/Kirn, MMR 2014, 225, 228; Zech, ZfPW 2019, 198, 200 f.; Kluge/Müller, InTeR 2017, 24, 25. 14 Vgl. Zech, ZfPW 2019, 198, 199 f.
4
Künstliche Intelligenz im Zivilrecht
Nicht alle KI-Systeme basieren freilich auf neuronalen Netzen.15 Auch 7 algorithmisch strukturierte Systeme können eine Komplexität aufweisen, die dazu führt, dass ihr „Verhalten“ nicht mehr vollständig nachvollziehbar ist. Dies ist letztlich kein kategoriales, sondern lediglich ein graduelles Problem, wenn die Komplexität derart anwächst, dass sie den menschlichen Erkenntnishorizont überschreitet, sodass Menschen das Verhalten des Systems nicht mehr vollständig prognostizieren können. Die fehlende Vorhersehbarkeit und damit auch fehlende Kontrollierbarkeit von KI-Systemen ist es, die die Zivilrechtsdogmatik vor erhebliche Herausforderungen stellt,16 denen der folgende Beitrag nachgehen will. Auf die genaue technische Konstruktion – klassisch algorithmisch oder mittels neuronaler Netze – kommt es hierfür nicht an. 2. Gegenwart und Zukunft der künstlichen Intelligenz Von künstlicher Intelligenz in einem engeren Sinne selbstlernender Sys- 8 teme mit der Fähigkeit zum Umgang mit unvollständigen Sachverhalten kann gegenwärtig nur in punktuellen Bereichen wie beispielsweise dem autonomen Fahren, selbstlernenden Chatbots, Industrierobotern und Diensten wie zum Beispiel Übersetzungsdienste gesprochen werden. Diese Systeme sind jeweils für genau festgelegte Aufgaben entwickelt und optimiert, mögen sie auch auf gemeinsame Core-Engines (z. B. IBM Watson oder Google Brain) zugreifen. Der Übergang von deterministischen zu autonomen Systemen ist dabei fließend: Mag der Programmablauf für den Softwareentwickler noch nachvollziehbar sein, kann der Nutzer das Verhalten des Systems als unvorhersehbar empfinden. Dieser fließende Übergang stellt auch eine Herausforderung für das Zivilrecht dar: So ist beispielsweise eine exakte Abgrenzung der technischen Systeme – etwa in deterministische und autonome – zum Zwecke der Regulierung nur schwer möglich. Weitere Herausforderungen für das Zivilrecht liegen gerade in den Kerneigenschaften von KI-Systemen, dass deren Output nicht berechenbar und das Ergebnis für die Nutzer der Systeme nicht in jeder Situation im Detail vorhersehbar und im Detail beeinflussbar im Sinne einer eindeutigen, determinierten Kausalkette ist. Aus zivilrechtlicher Sicht werfen KI-Systeme zwei wesentliche Fragen 9 auf, welche es im Folgenden zu klären gilt. Die eine ist vertragsrecht-
15 Vgl. Linardatos, ZIP 2019, 504, der künstliche Intelligenz auch bei algorithmisch basierten Systemen annimmt. 16 Ebenso EU-Parlament, Entschließung vom 16.2.2017 mit Empfehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik, 2015/2103(INL), Ziff. 50.
5
Thomas Riehm/Stanislaus Meier
licher Natur: Wie ist das „Verhalten“ von KI-System bei der Interaktion im Rechtsverkehr rechtlich zu werten? Zu denken ist dabei beispielsweise an Systeme wie die Google Duplex Engine, welche telefonisch Termine in Interaktion mit Menschen vereinbaren kann; an den intelligenten Kühlschrank, der selbständig Lebensmittel bestellt; oder an die Industriesoftware, welche bei Erreichung bestimmter Lagerzustände Waren bestellt oder im Rahmen eines predictive maintenance-Systems eigenständig Wartungen in Auftrag gibt. Weiter ist auch an automatisierte Systeme zum Hochfrequenzhandel an der Börse zu denken. All diese treten mit ihrer Umwelt in einer Weise in Kontakt, die bei Menschen als Willenserklärung zu deuten wäre. Es stellt sich die Frage, unter welchen Voraussetzungen und in welchem Umfang die Betreiber eines KI-Systems an derartige Erklärungen gebunden sind, insbesondere ob sie sich von Erklärungen lösen können, die ihrem tatsächlichen Willen widersprechen. 10 Die zweite Frage betrifft die Haftung für Schädigungen durch KI-Systeme. Dies betrifft zunächst physische Schäden, welche durch einen KI-gesteuerten körperlichen Gegenstand (cyberphysische Systeme) zugefügt werden. In diesem Zusammenhang immer wieder angeführte Beispiele sind autonom fahrende Kraftfahrzeuge bzw. Flugzeuge,17 die einen Unfall verursachen; hinzu kommen ehrverletzende Suchvorschläge von Suchmaschinen (prominentestes Beispiel in der Vergangenheit hierfür war die Google Autocomplete-Funktion in Zusammenhang mit dem Namen „Bettina Wulff“18) und Beleidigungen durch Chatbots (bekanntestes Beispiel hierzu war der Chatbot „Tay“ von Microsoft19), welche – betrieben durch künstliche Intelligenz – Rechtsgüter ihrer Umwelt verletzen. Hier stellt sich die Frage, unter welchen Voraussetzungen und in welchem Umfang Betreiber solcher Systeme für die Rechtsgutsverletzungen deliktsrechtlich verantwortlich sind. Diese Frage wird umso virulenter, je geringer der konkrete Einfluss der Betreiber auf das „Verhalten“ des KI-Systems ist.20
17 Borges, NJW 2018, 977, 979; Jänich/Schrader/Reck, NZV 2015, 313, 315. 18 Tota, Dreiundvierzig Wortkombinationen weniger, 16.1.2015 (https://www. faz.net/aktuell/feuilleton/google-entfernt-ergaenzungen-bei-suche-nachbettina-wulff-13373712.html) (geprüft am 06.09.2019); s. auch BGHZ 197, 213. 19 Graff, Rassistischer Chat-Roboter: Mit falschen Werten bombardiert, 3.4.2016 (https://www.sueddeutsche.de/digital/microsoft-programm-tay-rassistischer-chat-roboter-mit-falschen-werten-bombardiert-1.2928421) (geprüft am 06.09.2019). 20 Vgl. Wagner, Robot Liability, 19.6.2018 (https://papers.ssrn.com/sol3/papers. cfm?abstract_id=3198764), S. 9 (geprüft am 06.09.2019); Zech, ZfPW 2019, 198, 206 f.
6
Künstliche Intelligenz im Zivilrecht
II. Herausforderungen für das Zivilrecht 1. „Willenserklärungen“ autonomer Systeme Erzeugt ein KI-System nach außen den objektiven Tatbestand einer Wil- 11 lenserklärung, ist die Zurechnung dieses Verhaltens zum Betreiber als diesen bindende rechtsgeschäftliche Handlung zu klären. Hierzu werden im Wesentlichen drei Lösungsmöglichkeiten vertreten: a) „Computererklärung“ Nach der Lehre von der „Computererklärung“ gibt das KI-System eine 12 Willenserklärung unmittelbar für den Betreiber ab.21 Nach dieser Lösung wird jede Willenserklärung des KI-Systems dem Betreiber uneingeschränkt zugerechnet. Bekannt ist dieser Ansatz bereits von der Zurechnung des „Verhaltens“ gewöhnlicher Warenautomaten, wo im Aufstellen bereits ein Angebot „ad incertas personas“, also eine eigene Willenserklärung des Betreibers gesehen wird.22 Die „Computererklärung“ ist daher nicht als Kundgabe des Willens der Maschine, sondern des dahinterstehenden Rechtssubjekts zu verstehen.23 Wird gegenüber dem Computersystem eine Willenserklärung abgegeben (beispielsweise im Rahmen einer Online-Flugbuchung), ist daher konsequent darauf abzustellen, wie das Rechtssubjekt diese Erklärung verstehen darf.24 Für diese Konstruktion spricht, dass der Einsatz und die Konfiguration des Systems letztlich auf der freien Entscheidung des Betreibers beruhen, und der Rechtsverkehr häufig nicht erkennen kann, ob bzw. in welchem Maße die Willenserklärung – etwa die Erklärung einer Versicherungsgesellschaft, die mit dem Namen eines Mitarbeiters unterzeichnet ist – tatsächlich manuell oder automatisiert erstellt wurde. Je autonomer, je unvorhersehbarer und daher weniger kontrollierbar al- 13 lerdings das Verhalten eines IT-Systems ist, desto schwieriger ist eine derartige unbeschränkte Zurechnung zu rechtfertigen. Denn der Zusammenhang zwischen dem Willen des Betreibers und der tatsächlich 21 Spindler in: Spindler/Schuster/Döpkens (Hrsg.), Recht der elektronischen Medien, 32015, Vorbemerkung zu §§ 116 ff. Rz. 9; ders. in: Hilgendorf (Hrsg.), Robotik im Kontext von Recht und Moral, 2013, 63, 64 f.; Hötitzsch in: Hilgendorf/Hötitzsch (Hrsg.), Das Recht vor den Herausforderungen der modernen Technik, 2013, 75, 86; Cornelius, MMR 2002, 353, 355. 22 S. etwa Medicus/Petersen, Allgemeiner Teil des BGB, 112016, Rz. 256; Köhler, AcP 182 (1982), 126, 132; Brox/Walker, Allgemeiner Teil des BGB, 422018, § 8 Rz. 5; Flume, Allgemeiner Teil des Bürgerlichen Rechts – Das Rechtsgeschäft, 3 1979, § 35 I 1. 23 BGHZ 195, 126, 131 (Buchung für „noch unbekannt“). 24 BGHZ 195, 126, 131.
7
Thomas Riehm/Stanislaus Meier
vom System abgegebenen Erklärung wird mit zunehmender Autonomie des Systems immer lockerer: Bei den herkömmlichen Warenautomaten handelt es sich noch um deterministische und simple Programmabläufe, bei welchen der Betreiber alle denkbaren Verhaltensweisen bestimmen und vorhersehen kann. Aus einer Erklärung des Systems kann daher in der Regel auf einen entsprechenden Willen des Betreibers geschlossen werden. Anders ist dies jedoch bei autonomen KI-Systemen und Algorithmen ab einem gewissen Komplexitätsgrad, deren Verhalten für den Betreiber nicht mehr vorhersehbar ist.25 Hier besteht wegen der „Autonomie“ des Systems nurmehr eine schwache Basis für die vergleichbare Vermutung, die Erklärung „des Systems“ beruhe auf einem entsprechenden konkreten Willen des Betreibers.26 Eine vollständige Zurechnung aller Erklärungen des Systems führt hier letztendlich zu einer rechtsgeschäftlichen Risikohaftung des Betreibers: Ihm würde das gesamte Erklärungsrisiko des Systems auferlegt, auch insoweit, als er das Verhalten nicht ex ante überblicken und kontrollieren kann. Das ist rechtlich nicht ausgeschlossen und auch nicht ohne Präzedenz, wie etwa das häufig zitierte Beispiel der Blanketterklärung27 oder der Generalvollmacht zeigt, unterliegt aber anderen Begründungsanforderungen als die Bindung an ein vom Betreiber detailliert mithilfe streng deterministischer Algorithmen vorherbestimmtes Ergebnis. b) „Botenlösung“ 14 In einer ersten Stufe der Lockerung der Zurechnung wird auch eine „Botenlösung“ vertreten,28 bei welcher angenommen wird, das KI-System handele als Erklärungsbote des Betreibers. Durch die Überbringung der Willenserklärung des Betreibers erfolgt auch hierbei grundsätzlich
25 Auf die Unvorhersehbarkeit hinweisend Schulz, Verantwortlichkeit bei autonom agierenden Systemen, 2015, S. 104; Wettig, Vertragsschluss mittels elektronischer Agenten, 2010, S. 169; Kuhn, Rechtshandlungen mittels EDV und Telekommunikation, 1991, S. 62. 26 Vgl. Wettig, Vertragsschluss mittels elektronischer Agenten, 2010, S. 169. 27 S. bereits Köhler, AcP 182 (1982), 126, 134; Gitter/Roßnagel, K&R 2003, 64, 66; Grapentin, Vertragsschluss und vertragliches Verschulden beim Einsatz von künstlicher Intelligenz und Softwareagenten, 2018, S. 100; Schulz, Verantwortlichkeit bei autonom agierenden Systemen, 2015, S. 109 ff.; zumindest bei Robotern nach dem gegenwärtigen Stand der Technik auch Groß/Gressel, NZA 2016, 990, 992. 28 Zum österreichischen Recht s. van Haentjens, Rechtsfragen zum Einsatz von Shopping Agenten unter besonderer Berücksichtigung verbraucherschutzrechtlicher Bestimmungen (http://www.rechtsprobleme.at/doks/Agents-haentjens.pdf), S. 13 (geprüft am 06.09.2019).
8
Künstliche Intelligenz im Zivilrecht
die Zurechnung zur Person des Betreibers, dessen Willenserklärung das KI-System letztlich nur übermittelt.29 Durch die Dissoziation des Erklärungsboten (KI-System) vom Erklärenden (Betreiber) eröffnet sich in diesem Verhältnis allerdings die Möglichkeit einer Anfechtung der Erklärung gemäß § 120 BGB (analog), wenn das KI-System am Ende eine Erklärung abgibt, die nicht den Vorstellungen des Betreibers im Zeitpunkt der Abgabe seiner eigenen Erklärung – also der Inbetriebnahme – entsprach.30 Jene Begrenzung der Zurechenbarkeit erfolgt jedoch um den Preis eines möglichen Schadensersatzanspruches gemäß (oder analog) § 122 Abs. 1 BGB. Diese Lösung hat der BGH seiner Rechtsprechung zur Verfälschung von Daten innerhalb eines – nicht autonomen – Warenwirtschaftssystems zugrunde gelegt.31 c) „Vertreterlösung“ Auf einer weiteren Stufe der Lockerung der Bindung des Betreibers an die 15 Erklärung des KI-Systems wird diskutiert, das KI-System als Stellvertreter des Betreibers i. S. d. §§ 164 ff. BGB anzusehen.32 Dafür wird die Erklärung als „eigene Willenserklärung“ des KI-Systems gedeutet, die im Namen des Betreibers abgegeben wird, was dogmatisch eine Rechtsfähigkeit des KI-Systems voraussetzt, da andernfalls von einer „eigenen“ Willenserklärung nicht die Rede sein kann. Dieser offenbar im Vordringen befindliche Ansatz setzt nach § 164 Abs. 1 S. 1 BGB für die Bindung des Betreibers an die Erklärung des „KI-Stellvertreters“ voraus, dass diese im Rahmen einer diesem zustehenden Vertretungsmacht abgegeben wird. Das eröffnet dem Betreiber die Möglichkeit, durch eine Beschränkung der Vertretungsmacht – die wegen § 54 Abs. 3 HGB ggf. nach außen erkennbar sein muss – zugleich seine Bindung an die Erklärung eines KI-Systems nach bestimmten Kriterien (z. B. ein bestimmtes Geschäftsfeld, ein bestimmter Höchstbetrag o.ä.33) einzuschränken. Überschreitet das System diese Kompetenz, so agiert es konsequenterweise als falsus procurator.34
29 S. z.B. BGHZ 12, 327, 334. 30 Auf diesen Umstand hinweisend Schulz, Verantwortlichkeit bei autonom agierenden Systemen, 2015, S. 106. 31 BGH v. 26.1.2005 – Az. VIII ZR 79/04, NJW 2005, 976 f. 32 Specht/Herold, MMR 2018, 40, 43; Schirmer, JZ 2016, 660, 664; Teubner, AcP 218 (2018), 155, 181 f.; je nach Ausgestaltung der genauen Umstände auch Keßler, MMR 2017, 589, 592. 33 MüKoBGB/Schubert, § 164 BGB Rz. 186. 34 Teubner, AcP 218 (2018), 155, 184; Specht/Herold, MMR 2018, 40, 42; Eul/ Molitor in: Taeger (Hrsg.), Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht, 2018, 591, 593.
9
Thomas Riehm/Stanislaus Meier
16 Nach der Konzeption des BGB würde dies in der Regel zu einer Eigenhaftung des vollmachtlosen Vertreters gemäß § 179 BGB führen. Allerdings wird jene Haftung von den Vertretern dieser Ansicht im Hinblick auf KI-Systeme verneint. Teilweise wird dies unmittelbar auf die fehlende Rechtspersönlichkeit und damit fehlende Haftungsmasse des KI-Systems zurückgeführt,35 teilweise auf eine entsprechende Anwendung der Vorschriften zu beschränkt geschäftsfähigen Vertretern (§ 179 Abs. 3 S. 2 BGB).36 Auch wenn zum Teil gesehen wird, dass damit die Haftung des KI-Systems als falsus procurator ins Leere gehen würde,37 wird dennoch an dem Vertreteransatz festgehalten und die Lösung dieses Missstandes bis zur Klärung durch den Gesetzgeber anhand eines Interessensausgleichs zwischen Betreibern und dem betroffenen Vertragspartner gesucht.38 Diesen Missstand zum Anlass nehmend wird schließlich auch eine uneingeschränkte Vertretungsmacht des KI-Systems befürwortet, wobei allerdings das Handeln ohne Vertretungsmacht nicht vollständig ausgeschlossen werden kann, sondern jedenfalls in den Fällen des Missbrauchs der Vertretungsmacht und der Kollusion – etwa im Sinne eines gezielten Ausnutzens von Programmfehlern – angenommen werden muss;39 auch die Möglichkeit einer expliziten Beschränkung der Vollmacht mit Außenwirkung wird man wohl nicht negieren können.40 Gerade diese Position offenbart das Dilemma der „Vertreterlösung“: Entweder die Vollmacht des autonomen Systems wird als beschränkbar angesehen, dann besteht das Bedürfnis nach einer Eigenhaftung des Systems; oder sie wird als unbeschränkt und unbeschränkbar angesehen, dann wird aber der zentrale erstrebte Vorteil dieser Lösung, die nur eingeschränkte Bindung des Betreibers, gerade preisgegeben, sodass diese Lösung vom Ergebnis her identisch mit der Lehre von der „Computererklärung“ wäre. d) Zwischenbilanz 17 Zusammenfassend lässt sich anhand dieser Ansätze eine Tendenz erkennen, die Bindung des Betreibers an die „Erklärungen“ von KI zu lockern. Als Begründung hierfür wird im Kern die fehlende Kalkulierbarkeit sol35 36 37 38 39 40
10
Keßler, MMR 2017, 589, 592; Teubner, AcP 218 (2018), 155, 184. Specht/Herold, MMR 2018, 40, 43. Teubner, AcP 218 (2018), 155, 184. Teubner, AcP 218 (2018), 155, 184 f. Schirmer, JZ 2016, 660, 664. Nicht eindeutig insoweit Schirmer, JZ 2016, 660, 664, der von dem „Rechtsschein“ unbeschränkter Vollmacht spricht und insofern eher an § 54 HGB anzuknüpfen scheint, der allerdings durchaus von der Möglichkeit einer beschränkten Vollmacht ausgeht und einen Vertrauensschutz nur gegenüber gutgläubigen Vertragspartnern vorsieht (§ 54 Abs. 3 HGB).
Künstliche Intelligenz im Zivilrecht
cher Systeme angeführt. Eine Konsequenz dieser Ansätze ist allerdings, dass die Entlastung des Betreibers mit einer Belastung des Gegenübers mit den Risiken aus dem Einsatz von KI-Systemen einhergehen würde: Verneint man eine Bindung des Betreibers oder gestattet man ihm, sich von unerwünschten Erklärungen des KI-Systems wieder zu lösen, so würde das Vertrauen des Gegenübers in eine wirksame und bindende Willenserklärung enttäuscht; diesem würde im Ergebnis das Erklärungsrisiko aufgebürdet, evtl. sogar ohne dass dieser erkennen könnte, dass er es mit einem autonomen System zu tun hat. Eine solche Risikoverteilung widerspräche aber der ursprünglichen 18 Konzeption des BGB, wonach an die Stelle der gelockerten Bindung des Hintermannes in den genannten Konstellationen entweder ein Schadensersatzanspruch des Gegenübers gegen den Hintermann (§ 122 BGB – wenngleich nur auf das negative Interesse gerichtet) oder – wesentlich bedeutsamer – ein Anspruch gegen den Mittelsmann aus § 179 BGB tritt. Abgesehen von Ausnahmen wie der Vertretung durch Minderjährige, die einer eigenständigen Teleologie folgen (dazu unten Rz. 59), hat die Freistellung des Hintermannes nach dieser Vorschrift wirtschaftlich eine Bindung der Mittelsperson zur Folge, sodass sich der Erklärungsgegner vollständig an diesen halten kann, wenn der Vertretene die Erklärung nicht gegen sich gelten lassen will. Diese Konzeption ist daher bei sämtlichen oben angeführten Lösungsansätzen mit zu bedenken. 2. Schädigung durch autonome Systeme Ein ähnliches Bild konkurrierender Lösungsmodelle bietet sich auch bei 19 der zweiten Frage, der deliktischen Haftung für die Schädigung durch autonome Systeme. a) Gefährdungshaftung nach dem Produkthaftungsgesetz Ohne unmittelbaren Einfluss auf die Frage der Betreiberhaftung ist, ob 20 der Hersteller von KI-Systemen für diese einer Gefährdungshaftung nach dem ProdHaftG unterliegt. Dies ist im Grundsatz für sämtliche Hardware-Produkte i. S. v. § 2 ProdHaftG anerkannt, auch wenn die Rechtsgutsverletzung am Ende auf einen Softwarefehler zurückzuführen ist. Bei jeglicher Art cyberphysischer Systeme steht die Haftung des Hardwareherstellers im Grundsatz daher außer Frage.41 Anders liegt es hingegen bei der Haftung für die Software selbst, zum einen bei reinen Softwaresystemen, die nicht Bestandteil einer bestimmten Hardware sind, und
41 Redeker, IT-Recht, 62017, Rz. 830.
11
Thomas Riehm/Stanislaus Meier
zum anderen bei von Dritten zugelieferter Software für cyberphysische Systeme: Hier ist die Anwendbarkeit des ProdHaftG auf die Softwareherstellung (ggfs. als Teilprodukte-Hersteller i. S. v. § 4 Abs. 1 S. 1 Alt. 3 ProdHaftG) lebhaft umstritten, wobei sich in der Literatur – zu Recht – eine Tendenz in Richtung der Bejahung abzeichnet.42 21 Die wesentliche Schwäche dieses Ansatzes liegt jedoch in der Definition des Produktfehlers: Dieser ist auf den Zeitpunkt des Inverkehrbringens bezogen (§§ 1 Abs. 2 Nr. 5, 3 Abs. 1 lit. c ProdHaftG), sodass selbstlernende Systeme, die erst nach ihrem Inverkehrbringen mögliche schädliche Verhaltensweisen lernen, möglicherweise nicht als fehlerhaft anzusehen sind.43 Zudem beruht nicht jede Schadensverursachung auf einem Produktfehler; auch fehlerfreie autonome Systeme können in Situationen geraten, in denen kein Ausweg ohne Verletzung fremder Rechtsgüter mehr möglich ist.44 Zudem ist die Haftung der Hersteller nach § 1 Abs. 2 Nr. 5 ProdHaftG für sog. Entwicklungsrisiken ausgeschlossen, d. h. für solche Fehler, die nach dem Stand der Wissenschaft und Technik im Zeitpunkt des Inverkehrbringens nicht erkannt werden konnten. Auch das ist bei selbstlernenden Systemen eine gravierende Einschränkung der Herstellerhaftung.45 22 Diese Fragen sollen allerdings in diesem Rahmen nicht weiter vertieft werden. Vielmehr konzentriert sich dieser Beitrag im Folgenden auf die Haftung des Betreibers.
42 MüKoBGB/Wagner, 2017, § 2 ProdHaftG Rz. 17 ff.; BeckOGK BGB/Rebin, 1.5.2018, § 2 ProdHaftG Rz. 54; Taeger, Außervertragliche Haftung für fehlerhafte Computerprogramme, 1995, S. 108 ff.; Musulas, Die Haftung des Softwareherstellers im Hinblick auf das ProdHaftG, 1993, S. 21; s. im vorliegenden Kontext auch Hey, Außervertragliche Haftung für autonome Fahrzeuge, 2019, S. 118 ff. 43 Hey, Außervertragliche Haftung für autonome Fahrzeuge, 2019, S. 132. 44 Vgl. zu den Ausschlussmöglichkeiten des ProdHaftG Pieper, InTeR 2016, 188, 193; de lege ferenda für eine Erweiterung der Herstellerhaftung auch für die Schadensverursachung durch autonome Fahrzeuge unabhängig von einem Fehler im oben beschriebenen Sinne Meyer, ZRP 2018, 233, 236; Borges, CR 2016, 272 ff. 45 Zu den einzelnen produkthaftungsrechtlichen Problemen wie dem Haftungsprivileg und dem Maßstab der Sicherheitsanforderungen im Hinblick auf KI Graf von Westphalen, ZIP 2019, 889 ff.
12
Künstliche Intelligenz im Zivilrecht
b) Gefährdungshaftung des Betreibers Im Zweipersonenverhältnis zwischen Betreiber und Geschädigtem be- 23 steht für KI-Systeme de lege lata eine paradigmatische Gefährdungshaftung vor allem im Bereich der (teil-)autonom fahrenden Kraftfahrzeuge in Gestalt der Halterhaftung gem. § 7 Abs. 1 StVG.46 Lediglich im Fall höherer Gewalt ist diese Haftung ausgeschlossen (§ 7 Abs. 2 StVG); darunter fällt aber, wie sich aus § 17 Abs. 3 S. 1 a. E. StVG ableiten lässt, gerade nicht das technische Versagen eines Kraftfahrzeugs und damit auch nicht eine Fehlsteuerung durch dessen Software. Der Halter eines autonomen Kfz hat also ohne Freizeichnungsmöglichkeit für Rechtsgutsverletzungen einzustehen, die beim Betrieb seines Kfz eintreten. Diese Haftung wird jedoch dadurch in gewisser Weise abgefedert, dass für Kraftfahrzeuge erhebliche Zulassungshürden bestehen, sodass Privatpersonen üblicherweise nur Halter von Fahrzeugen werden können, deren grundsätzliche Verkehrssicherheit mit Hilfe von Typgenehmigungen sichergestellt wurde. Hinzu tritt eine gesetzliche Versicherungspflicht für Kraftfahrzeuge gemäß § 1 PflVG. Dogmatisch im Kern parallel zu § 7 StVG strukturiert finden sich Tatbe- 24 stände der Gefährdungshaftung auch für die Halter anderer gefährlicher Sachen bzw. Anlagen: Für Schienenfahrzeuge in § 1 HaftPflG, für Luftfahrzeuge in § 33 LuftVG, für Kernenergieanlagen in § 26 AtomG und schließlich – weniger detailliert geregelt – für Tiere in § 833 S. 1 BGB. Allerdings besteht in der zivilrechtlichen Rechtsprechung und Lehre Einigkeit dahingehend, dass diese spezialgesetzlichen Vorschriften keiner Verallgemeinerung zugänglich sind; es gilt das Enumerationsprinzip, also ein strenger numerus clausus der Gefährdungshaftungstatbestände.47 Eine verschuldensunabhängige Haftung alleine aufgrund des Betreibens eines KI-Systems könnte daher allenfalls durch den Gesetzgeber eingeführt werden.48 De lege ferenda wird – in Anlehnung an die Tierhalterhaftung gemäß 25 § 833 S. 1 BGB – die Einführung einer Gefährdungshaftung des Betreibers
46 Lutz/Tang/Lienkamp, NZV 2013, 57, 60; Jänich/Schrader/Reck, NZV 2015, 313, 315; Horner/Kaulartz, InTeR 2016, 22, 24; Frenz/Casimir-van den Broek, DAR 2009, 625, 627. 47 BGHZ 55, 1971, 229, 234; BGHZ 63, 1974, 234, 237; Bräutigam/Klindt, NJW 2015, 1137, 1139; BeckOGK BGB/Spindler, 1.8.2019, § 823 Rz. 6; Grigoleit/ Riehm, Schuldrecht IV, 22017, Rz. 230 ff.; zustimmend letztlich auch Teubner, AcP 218 (2018), 155, 191. 48 Vgl. Horner/Kaulartz, InTeR 2016, 22, 24 f.
13
Thomas Riehm/Stanislaus Meier
autonomer Systeme vorgeschlagen.49 Vergleichbar mit dem Halter eines gefährlichen Tieres scheint es angemessen, dass auch der Betreiber cyberphysikalischer Systeme verschuldensunabhängig für die risikotypischen Schäden, die durch die von ihm unterhaltene Gefahrenquelle eintreten, einstehen muss. Eine Haftung gemäß § 833 S. 1 BGB setzt die Verwirklichung einer typischen Tiergefahr voraus, welche aus der Unberechenbarkeit des tierischen Verhaltens herrührt.50 Das gleiche ist auch für KI-Systeme denkbar, deren Charakteristikum ebenfalls die Unvorhersehbarkeit ihres Verhaltens darstellt.51 Eine solche Haftung ist auch nicht etwa deswegen unangemessen, weil der Betreiber das KI-System nicht im Detail steuern kann: Vielmehr liegt gerade hierin die Begründung für seine Gefährdungshaftung, weil sich darin das spezifische Risiko zeigt, das dem Betreiber auferlegt werden soll. Er entscheidet nämlich selbst bei vollständig autonomen Systemen über das „ob“ und über die Intensität des Einsatzes und wählt das konkrete System aus. Damit steuert er – gleich einem Tierhalter im Sinne des § 833 S. 1 BGB – einen entscheidenden Anteil des Schadensrisikos, was eine Gefährdungshaftung des Halters de lege ferenda – ggfs. in Verbindung mit einer Pflichtversicherung – nach wie vor sinnvoll erscheinen lässt (s. unten Rz. 54). Hierdurch hat der Halter einen Anreiz, bei der Entscheidung über die Auswahl und den Einsatz von KI-Systemen das Haftungsrisiko zu berücksichtigen, sodass das Haftungsrecht seine Steuerungswirkung auch bei ihm entfalten kann.52 Ggfs. kann der Hersteller neben dem Betreiber gesamtschuldnerisch haften. c) Verschuldenshaftung des Betreibers: „Werkzeugtheorie“ 26 De lege lata besteht der allgemeine Ausgangspunkt für die Haftung des Betreibers darin, das KI-System als sein „Werkzeug“ anzusehen und ihn für seinen Umgang damit gem. §§ 823 ff. BGB haften zu lassen. Damit
49 Brunnotte, CR 2017, 583, 585 f.; eine Gefährdungshaftung generell befürwortend Gruber in: Günther/Hilgendorf (Hrsg.), Robotik und Gesetzgebung, 2013, 123, 151 ff.; Spindler, CR 2015, 766, 775; Schirmer, JZ 2016, 660, 665; stattdessen auf eine „digitale Assistenzhaftung“ abstellend Teubner, AcP 218 (2018), 155, 191 ff. 50 RGZ 60, 65, 69; BGH v. 28.9.1965 – Az. VI ZR 94/64, NJW 1965, 2397 f.; MüKoBGB/Wagner, 2017, § 833 Rz. 13. 51 Brunnotte, CR 2017, 583, 585; Spindler, CR 2015, 766, 775; s. auch Teubner, AcP 218 (2018), 155, 192, der allerdings eine Haftung nur für „rechtswidriges“ Verhalten von KI-Systemen vorsehen will; diese Kategorie passt allerdings nach hier vertretener Auffassung nicht auf das „Verhalten“ von Sachen – ebenso wenig wie bei Tieren. 52 Insoweit a.A. Zech in: Gless/Seelmann (Hrsg.), Intelligente Agenten und das Recht, 2016, 163, 196.
14
Künstliche Intelligenz im Zivilrecht
ist er im Grundsatz für dessen „Verhalten“ ebenso verantwortlich wie er das beim „Verhalten“ eines Hammers in seiner Hand wäre. Der haftungsrechtlichen Bewertung unterliegt mit anderen Worten der Umgang des Betreibers mit dem KI-System. Die Frage ist dann, welche deliktsrechtlichen Verkehrspflichten insoweit gelten. Ein radikaler Ansatz bestünde darin, bereits den Einsatz eines KI-Systems, dessen Verhalten der Betreiber nicht vorhersehen kann, als Verkehrspflichtverletzung zu werten. In der jüngeren Literatur ist im Hinblick auf die deliktische Haftung für den Einsatz von KI-Systemen allerdings die Tendenz zu verzeichnen, die fehlende Vorhersehbarkeit des „Verhaltens“ dieser Systeme als Grund für eine teilweise Haftungsentlastung anzuerkennen: Soweit für den Betreiber eines Systems nicht vorhersehbar ist, wie dieses auf die Umwelt reagieren wird, könne ihm nicht als Verkehrspflichtverletzung vorgeworfen werden, dass er das System einsetze.53 Dabei kann ihm das „Verhalten“ des Systems allerdings nicht als eigenes (unmittelbar) zugerechnet werden, sodass er nicht unbeschränkt für Rechtsgutsverletzungen haftet, die Dritte durch das System erleiden, sondern nur dann, wenn ihn ein eigenes Verschulden im Umgang mit dem System trifft. Die Haftung des Betreibers hängt dann vielmehr davon ab, ob der Betrei- 27 ber beim Umgang mit dem Werkzeug KI-System fahrlässig oder vorsätzlich gegen Verkehrspflichten verstoßen hat.54 Da die deliktsrechtlichen Verkehrspflichten in aller Regel nicht explizit gesetzlich definiert sind,55 obliegt es letztlich Rechtsprechung und Literatur, diese im Hinblick auf den Umgang mit KI-Systemen zu konkretisieren.56 Hierbei zeichnen sich verschiedene, einander widersprechende Tendenzen ab: In einem strengen Sinne wird zunächst vertreten, dass bereits der Einsatz eines KI-Systems, dessen Verhalten nicht exakt vorhersehbar ist, und das potenziell Rechtsgüter Dritter verletzen kann, eine Verkehrspflichtverletzung darstelle.57 Umgekehrt wird aber auch angenommen, dass – entsprechend dem eingangs erwähnten Beispiel des Taschenrechners – gerade der Verzicht auf den Einsatz eines solchen Systems verkehrspflichtwidrig sein könne.58 So lässt sich durchaus vertreten, dass das eigenhändige Steuern eines Kraftfahrzeuges als sorgfaltswidrig einzustufen ist, sobald bei auto53 Vgl. Bräutigam/Klindt, NJW 2015, 1137, 1138 f.; in diesem Sinne wohl auch Börding/Jülicher/Röttgen u.a., CR 2017, 134, 140. 54 Klarstellend Teubner, AcP 218 (2018), 155, 189. 55 Vgl. Deutsch/Ahrens, Deliktsrecht, 62014, Rz. 328. 56 Vgl. Horner/Kaulartz, InTeR 2016, 22, 25. 57 Zech, ZfPW 2019, 198, 210 f.; ders. in: Gless/Seelmann (Hrsg.), Intelligente Agenten und das Recht, 2016, 163, 191. 58 Vgl. Spindler in: Hilgendorf (Hrsg.), Robotik im Kontext von Recht und Moral, 2013, 63, 79.
15
Thomas Riehm/Stanislaus Meier
nom fahrenden Fahrzeugen die Unfallrate nachweislich geringer ausfällt. Letztlich wird die Frage des Umfangs der Verkehrspflichten nicht für jede Art von KI-Systemen einheitlich zu beantworten sein. Abzuwägen sind stets die Gefahr für fremde Rechtsgüter, die mit dem Einsatz verbunden ist, das Gewicht der gefährdeten Rechtsgüter, die Steuerbarkeit des Systems, die Möglichkeit des Ausweichens auf andere, weniger gefährliche Systeme, sowie die gesellschaftliche Nützlichkeit ihres Einsatzes. 28 Neue IT-Systeme stellen die Verschuldenshaftung des Betreibers vor eine weitere Herausforderung: Durch die zunehmende Vernetzung moderner KI-Systeme kommt es zu einem Datenaustausch intelligenter Systeme untereinander. Eine solche Vernetzung erschwert bei einer Rechtsgutsverletzung jedoch die Zurechnung eines Schadens zu einem bestimmten System (Vernetzungsrisiko).59 Ursächlich für die Rechtsgutsverletzung kann dabei ein Fehler in einer ausgetauschten Information, eine Funktion eines beteiligten Systems oder auch eine Kombination aus beidem sein.60 Aufgrund der Komplexität der vernetzten Systeme ist jedoch häufig unklar, welchem Akteur die Schädigung konkret zugerechnet werden kann.61 Zutreffend wird dabei auf die so entstehende Haftungslücke hingewiesen.62 Zur Lösung dieses Problems werden verschiedene Ansätze vorgeschlagen: Neben einer Pflichtversicherung63 wird teilweise eine gesamtschuldnerische Haftung64 bzw. eine Proportionalhaftung65 aller am Geschehen beteiligter Rechtssubjekte verlangt. Eine andere Ansicht fordert hingegen die Abkehr von der unmittelbaren Zurechnung des Schadens zu einem Rechtssubjekt und fokussiert sich stattdessen auf die konkrete schädigende Handlung.66 In Anspruch genommen werden soll dann ein „Risiko-Pool“67, dessen Mitglieder sich kraft Gesetz aus sämtlichen an den konkreten Handlungen Beteiligten zusammensetzen sollen.68 59 Zech in: Gless/Seelmann (Hrsg.), Intelligente Agenten und das Recht, 2016, 163, 169 f.; ders., ZfPW 2019, 198, 202 f.; Schulz, Verantwortlichkeit bei autonom agierenden Systemen, 2015, S. 76 f.; Spiecker gen. Döhmann, CR 2016, 698, 701 ff.; Teubner, AcP 218 (2018), 155, 201 ff. 60 Zech, ZfPW 2019, 198, 208. 61 Vgl. Spiecker gen. Döhmann, CR 2016, 698, 703; mit dem Hinweis, dass § 830 Abs. 1 S. 2 BGB in diesem Zusammenhang nicht anwendbar ist, Zech, ZfPW 2019, 198, 208. 62 Spiecker gen. Döhmann, CR 2016, 698, 700 ff.; Zech, ZfPW 2019, 198, 208. 63 Spiecker gen. Döhmann, CR 2016, 698, 704; Zech, ZfPW 2019, 198, 208 f. 64 Spiecker gen. Döhmann, CR 2016, 698, 703 f. 65 Zech, ZfPW 2019, 198, 208. 66 Teubner, AcP 218 (2018), 155, 202 f. 67 Teubner, AcP 218 (2018), 155, 202. 68 Teubner, AcP 218 (2018), 155, 202 f.; zust. Linardatos, ZIP 2019, 504, 509; in diese Richtung auch EU-Parlament, Entschließung vom 16.2.2017 mit Emp-
16
Künstliche Intelligenz im Zivilrecht
In Summe haftet der Betreiber de lege lata nur für ein Verschulden bei 29 der Auswahl des Systems, bei der Entscheidung über das „ob“ und das Maß des Einsatzes, bei der Konfiguration und bei seiner Überwachung. Es findet aber keine unmittelbare Zurechnung des „Verhaltens“ des Systems zum Betreiber statt. Nach der klassischen Konzeption des § 823 Abs. 1 BGB obliegt zudem dem Geschädigten die Beweislast für diese Verkehrspflichtverletzung.69 Erschwerend kommt bei unternehmerisch tätigen Betreibern hinzu, dass auch keine deliktsrechtliche Unternehmenshaftung existiert, sondern das Unternehmen – abgesehen von der strengen Haftung für die Organe einer juristischen Person (§ 31 BGB) – ebenfalls nur für die ordnungsgemäße Auswahl und Überwachung seiner Mitarbeiter haftet, sodass sich hier eine zusätzliche Exkulpationsmöglichkeit eröffnet: Schon die Mitarbeiter wären nur verantwortlich, wenn der Geschädigte ihnen eine Verkehrspflichtverletzung bei Auswahl, Konfiguration etc. des Systems nachweisen könnte; selbst hierfür könnte sich das Unternehmen dann noch entlasten, indem es die hinreichende Auswahl und Überwachung seiner Mitarbeiter nachweist (§ 831 Abs. 1 S. 2 BGB). d) KI-Systeme als Verrichtungsgehilfen In einer Variante der voranstehend dargestellten Auffassung wird das 30 KI-System als selbstständig handelnde Einheit gesehen, die analog einem Verrichtungsgehilfen des Betreibers zu behandeln sei. Im Falle einer Schädigung haftet der Betreiber damit weiterhin gemäß § 831 Abs. 1 S. 1 BGB (analog) bei falscher Auswahl, unsorgfältigem Einsatz bzw. Konfiguration und unzureichender Überwachung des Systems.70 Im Unterschied zu der oben angeführten Werkzeugtheorie besteht gemäß § 831 Abs. 1 S. 2 BGB jedoch eine Beweislastumkehr zu Lasten des Betreibers, d. h. mit dem Vorliegen einer Rechtsgutsverletzung infolge eines „rechtswidrigen“ Verhaltens des KI-Systems wird vermutet, dass der Betreiber seine Verkehrspflichten bei der Auswahl, Instruktion oder Überwachung des Systems verletzt hat. Es obliegt dann insoweit diesem, den Entlastungsbeweis gem. § 831 Abs. 1 S. 2 BGB zu führen.
fehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik, 2015/2103(INL), Ziff. 59 b) und c). 69 BGH v. 14.3.1985 – Az. III ZR 206/83, VersR 1985, 641, 641 f.; MüKoBGB/ Wagner, 2017, § 823 Rz. 85. 70 Denga, CR 2018, 69, 74 ff.; Keßler, MMR 2017, 589, 593 f.; Zech, ZfPW 2019, 198, 211.
17
Thomas Riehm/Stanislaus Meier
e) Zwischenbilanz 31 Auch im Deliktsrecht ist die Tendenz zu verzeichnen, den Betreiber von der uneingeschränkten Verantwortung für die „Handlungen“ von KI-Systemen zu entlasten. Wie bei der rechtsgeschäftlichen Zurechnung auch entsteht durch die Exkulpationsmöglichkeiten des Betreibers eine Haftungslücke. In der ursprünglichen Konzeption des BGB wird diese Lücke allerdings durch die persönliche Haftung der Hilfspersonen geschlossen, die – z. B. bei § 831 BGB – neben die Haftung des Geschäftsherrn tritt. Deren Durchsetzbarkeit ist zwar von weiteren Faktoren, insbesondere von der Solvenz der Hilfsperson abhängig; gleichwohl besteht eine reale Haftung der Hilfsperson, die auch einen Anreiz zu deren verkehrspflichtkonformem Verhalten bietet. Dieser Aspekt ist ein wichtiger Bestandteil der Haftungskonzeption des BGB. III. Rechtsfähigkeit von KI-Systemen? 32 Die vorstehenden Ausführungen haben gezeigt, dass zunehmend vertreten wird, die Zurechnung von und Haftung für KI-Systeme(n) zu lockern. Mit zunehmender Autonomie dieser Systeme scheint es immer schwieriger zu rechtfertigen, dem Betreiber die uneingeschränkte Verantwortung für die Handlungen des Systems aufzuerlegen. Wie ebenfalls bereits oben herausgearbeitet wurde, wird die durch eine Lockerung der Verantwortlichkeit des Hintermanns geschaffene Zurechnungs- bzw. Haftungslücke nach der ursprünglichen Konzeption des BGB jeweils durch eine Haftung der Hilfspersonen geschlossen: Im Vertragsrecht gem. § 179 Abs. 1 BGB, im Deliktsrecht gem. §§ 823 ff. BGB. Das setzt indessen deren Rechtsfähigkeit voraus. Konsequenterweise wird im jüngeren Schrifttum vermehrt zumindest eine Teilrechtsfähigkeit, wenn nicht gar eine volle Rechtsfähigkeit von KI-Systemen gefordert.71 Selbst das Europäische Parlament hat in seiner Resolution vom 16.2.2017 die Kommission aufgefordert, über die Schaffung eines spezifischen rechtlichen Status für
71 Specht/Herold, MMR 2018, 40, 43 f.; Beck in: Günther/Hilgendorf (Hrsg.), Robotik und Gesetzgebung, 2013, 239, 255 ff.; Teubner, AcP 218 (2018), 155, 182; Gruber in: Beck (Hrsg.), Jenseits von Mensch und Maschine, 2012, 133, 154 ff.; Schirmer, JZ 2016, 660, 663 f.; ders., JZ 2019, 711, 716 f.; in diesem Sinne wohl auch Kersten, JZ 2015, 1, 6 f.; ders., ZfRSoz 37 (2017), 8, 11 ff., der von relativer Rechtssubjektivität ausgeht; auch im Ausland wird eine „Digitale Rechtspersönlichkeit“ angedacht, s. etwa für die Niederlande Waltermann/Cauffman, Should robots be given legal personhood?, 2019 (https://www.maastrichtuniversity.nl/blog/2019/02/should-robots-be-given-legal-personhood) (geprüft am 06.09.2019).
18
Künstliche Intelligenz im Zivilrecht
Roboter einschließlich deren Rechtspersönlichkeit nachzudenken.72 Und selbst wo eine solche Forderung nicht explizit erhoben wird, müsste sie doch die logische Konsequenz einer Lockerung der Zurechnungsbeziehung zum Betreiber bzw. der Haftung des Betreibers sein, will man die entstehenden Lücken nicht zulasten der Vertragspartner oder Geschädigten bestehen lassen. 1. Rechtsfähigkeit von KI-Systemen als Begründungshilfe Die Rechtsfähigkeit von KI-Systemen wird unter verschiedensten Aspek- 33 ten diskutiert: Einen frühen Schwerpunkt der Debatte bildete die Frage der strafrechtlichen Behandlung autonomer Systeme.73 Weiter debattiert wurde die Frage einer Grundrechtsfähigkeit autonomer Systeme, bis hin zur Frage ihrer möglichen Würde i. S. v. Art. 1 GG.74 Diese Diskussion soll hier nicht vertieft werden. Aus zivilrechtlicher Sicht ist die Frage der Rechtsfähigkeit zunächst von allen metaphysischen Hintergründen befreit. Relevant ist allein, inwieweit es sinnvoll ist, ein Rechtssubjekt als selbstständigen Adressaten der Zivilrechtsordnung und als Träger einer selbständigen Vermögensmasse anzuerkennen, wie das etwa auch bei den juristischen Personen des Gesellschaftsrechts erfolgt ist. Auch diese sind zivilrechtlich ohne Zweifel rechtsfähig, können jedoch strafrechtlich (noch) nicht als solche belangt werden,75 und sind auch nur beschränkt grundrechtsfähig.76 Im Folgenden soll daher die Frage nach der zivilrechtlichen Rechtsfähigkeit von KI-Systemen unabhängig von etwaigen Folgerungen für das Strafrecht oder das Verfassungsrecht untersucht werden. Die Annahme einer zivilrechtlichen Rechtsfähigkeit von KI-Systemen 34 könnte zunächst die Funktion erfüllen, die Rechts- und Haftungsverhält-
72 EU-Parlament, Entschließung vom 16.2.2017 mit Empfehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik, 2015/2103(INL), Ziff. 59 f). 73 Beck, JR 2009, 225, 229 f.; Gless/Weigend, ZStW 126 (2014), 561, 570 ff. 74 Vgl. Fitzi/Matsuzaki in: Joerden/Hilgendorf/Thiele (Hrsg.), Menschenwürde und Medizin, 2013, 919 ff; Kersten, ZfRSoz 37 (2017), 8, 15 f. 75 Vgl. zur unternehmensstrafrechtlichen Diskussion etwa Henssler/Hoven/ Kubiciel u.a., Grundfragen eines modernen Verbandsstrafrechts, 2017; Böse, ZStW 126 (2014), 132 ff.; aktuell noch unter Verschluss gehalten wird der Referentenentwurf eines Verbandssanktionsgesetzes (VerSanG-E), das ein Sanktionsrecht für Unternehmen vorsieht. 76 Maunz/Dürig/Remmert, Mai 2009 (EL 55), Art. 19 Abs. 3 Rz. 100 ff.
19
Thomas Riehm/Stanislaus Meier
nisse zu vereinfachen:77 In Gestalt des KI-Systems kann eine Vermögensmasse als Rechtssubjekt definiert werden, auf welche sich die rechtsgeschäftliche Zurechnung und die deliktische Haftung beziehen kann. Die Schaffung eines solchen Rechtssubjekts, das von seinem Betreiber und sonstigen Hintermännern abstrahiert ist, ermöglicht es, die vermögensmäßigen Folgen der Handlungen eines KI-Systems an einer Stelle zu bündeln. Zugleich könnte das System dann selbst als Adressat von Rechtsnormen fungieren, die sein Verhalten steuern, etwa durch Haftungsrecht. Auch insoweit führt die Abstraktion vom dahinterstehenden Betreiber zunächst zu einer größeren Übersichtlichkeit der Rechtslage. Zudem enthebt eine solche Konstruktion den Rechtsanwender von der Notwendigkeit, stets einen konkreten Betreiber ausfindig zu machen, was mit zunehmender Vernetzung und Selbständigkeit der Systeme immer schwieriger wird. Adressat von Rechtsnormen könnte dann schlicht das System selbst sein, ungeachtet der Person seines Betreibers oder auch Herstellers. 35 Vorweg ist festzuhalten, dass de lege lata eine Rechtsfähigkeit von KI-Systemen nicht in Betracht kommt. Nach geltendem Recht ist die Rechtsfähigkeit beschränkt auf natürliche Personen (§ 1 BGB) und auf gesetzlich anerkannte rechtsfähige Personengesellschaften (§ 14 Abs. 2 BGB) und Körperschaften. Insoweit gilt ein strenges gesetzliches Enumerationsprinzip,78 das einer Anerkennung von Rechtsfähigkeit einer völlig neuen Art von Rechtssubjekten im Wege der Rechtsfortbildung zwingend entgegensteht.79 Die Forderung nach der Anerkennung einer Rechtsfähigkeit von KI-Systemen kann daher nur als eine Forderung de lege ferenda verstanden werden. Im Folgenden soll untersucht werden, inwieweit eine solche Forderung mit den Funktionsbedingungen zivilrechtlicher Rechtsfähigkeit vereinbar ist. 2. Funktionen der zivilrechtlichen Rechtsfähigkeit 36 Die zivilrechtliche Rechtsfähigkeit, wie sie bei natürlichen Personen, juristischen Personen und rechtsfähigen Personengesellschaften anerkannt ist, lässt sich im Kern auf pragmatische Zwecke zurückführen: Zur Abgrenzung von anderen Vermögensmassen werden bestimmte Vermögens77 Ähnlich Mayinger, Die künstliche Person, 2017, S. 216 f.: Rechtssicherheit durch Einführung einer „Künstlichen Person“. 78 Vgl. Medicus/Petersen, Allgemeiner Teil des BGB, 112016, Rz. 1090. 79 Die Anerkennung der Rechtsfähigkeit einer Außen-GbR war nur möglich, weil der Gesetzgeber die konkrete Festlegung darüber bewusst vermieden und diese Frage der Rechtsprechung und Wissenschaft überlassen hatte; zudem bestand in § 124 I HGB eine gewisse Analogiebasis.
20
Künstliche Intelligenz im Zivilrecht
werte, Rechte und Pflichten bei einer virtuellen Entität gebündelt.80 Dies erfolgt durch die Zuordnung dieser Positionen – Aktiva wie Passiva – zu einem Rechtssubjekt. Dieses Verständnis besteht – mit der Anerkennung der Rechtsfähigkeit juristischer Personen als Körperschaften – spätestens seit dem 19. Jahrhundert.81 Die Existenz einer einheitlichen Vermögensmasse ermöglicht es, einen 37 Gleichlauf von Vorteilen und Risiken zu bewirken: Werden Rechte und Pflichten in derselben Entität – nämlich der „E-Person“ – gebündelt, so trifft das Risiko aus einem Geschäft genau diejenige Entität, die auch den jeweiligen Vorteil daraus ziehen würde. Das gilt insbesondere für ein mögliches haftungsrelevantes Verhalten: Hier würde das Haftungsrisiko diejenige Entität treffen, die das entsprechende Verhalten steuert und daraus Vorteile zieht. Diese Parallelität führt schließlich dazu, dass die Entität für eine Regulierung durch Recht, insbesondere durch Haftungsrecht, ansprechbar wird.82 Das zeigt sich etwa bei den klassischen juristischen Personen, den Kapitalgesellschaften, deren Entscheidungsträger innerhalb einer juristischen Person bei ihren Entscheidungen stets die Vor- und Nachteile eines bestimmten Verhaltens für das Vermögen der juristischen Person selbst gegeneinander abwägen. Solange die Rechtsordnung dafür sorgt, dass Vor- und Nachteile in derselben juristischen Person eintreten, werden die Entscheidungsträger der juristischen Person daher deren Verhalten so ausrichten, dass Nachteile, zum Beispiel eine Haftung oder Vollstreckungsmaßnahmen, möglichst vermieden werden, solange sie nicht durch größere Vorteile kompensiert werden. Dadurch wird die juristische Person ansprechbar für rechtliche Verhaltenssteuerung. Dieser Gedanke lässt sich theoretisch auch auf „E-Personen“ bzw. digi- 38 tale Rechtspersönlichkeiten übertragen. Die Rechtspersönlichkeit könnte einem KI-System zugewiesen werden, das als vertragsrechtlich und haftungsrechtlich eigenständiges Rechtssubjekt, als subsidiär haftender Stellvertreter oder als parallel eigenständig haftender Verrichtungsgehilfe auftreten könnte. Hierdurch bestünde die Möglichkeit, jene Haftungslücken zu schließen, welche – wie oben bereits aufgezeigt – zwischen Betreiber und Geschädigtem entstehen, sollte sich ersterer erfolgreich exkulpieren können: Die Haftung würde dann schlicht das KI-System selbst – anstelle des Betreibers oder neben diesem – treffen. 80 Medicus/Petersen, Allgemeiner Teil des BGB, 112016, Rz. 1085 ff.; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 42016, Rz. 186. 81 Flume, Allgemeiner Teil des Bürgerlichen Rechts – Die juristische Person, 1 1983, § 1 I. 82 Wagner, AcP 206 (2006), 352, 451 ff.
21
Thomas Riehm/Stanislaus Meier
3. Implikationen der Rechtsfähigkeit 39 Die Annahme zivilrechtlicher Rechtsfähigkeit hätte darüber hinaus weitere Implikationen: Die Folgen der Handlungen von KI-Systemen würden zunächst ausschließlich das virtuelle Rechtssubjekt selbst treffen. Eine Bindung bzw. Haftung Dritter (z. B. des Betreibers) träte nur unter besonderen Voraussetzungen ein: So müsste das KI-System in vertragsrechtlichen Zusammenhängen etwa im Namen seines Betreibers und im Rahmen einer ihm zustehenden Vertretungsmacht handeln, damit dieser an die Erklärungen des Systems gebunden wäre. In allen anderen Fällen würde es selbst für seine Erklärungen einstehen müssen (§ 164 Abs. 2, § 179 BGB). Im Deliktsrecht wäre das KI-System ebenfalls grundsätzlich selbst für von ihm verursachte Schäden verantwortlich; eine Zurechnung zum Betreiber käme grundsätzlich nicht in Betracht, solange das System nicht als Organ im Sinne von § 31 BGB angesehen werden kann. Die deliktische Haftung des Betreibers würde sich auf die Haftung für sein eigenes (vermutetes) Verschulden bei der Auswahl oder Überwachung des Systems beschränken, wenn man dieses als Verrichtungsgehilfen i. S. v. § 831 BGB qualifiziert. 40 Die Annahme der Rechtspersönlichkeit solcher Systeme könnte diese sowohl in vertragsrechtlicher als auch in haftungsrechtlicher Hinsicht faktisch Arbeitnehmern des Betreibers gleichstellen. Gleichzeitig könnte die Eigenhaftung solcher Geräte eine Entlastung des Betreibers rechtfertigen. Diese erscheint intuitiv umso angemessener, je geringer sich die konkrete Einflussmöglichkeit des Betreibers auf das System darstellt. So findet sich sowohl in der Literatur als auch in der rechtspolitischen Diskussion häufig das Argument, dass der Betreiber für Software, dessen Verhalten er nicht genau einzuschätzen vermag, gerade wegen dieses unvorhersehbaren Umstandes nicht ohne Weiteres in Anspruch genommen werden dürfe.83 In der Konsequenz müsste dann das KI-System als verbleibender Akteur haften, wenn das entsprechende Risiko nicht auf den Vertragspartner bzw. den Geschädigten verlagert werden soll. 4. Ungeschriebene Prämissen der Rechtsfähigkeit 41 Die zivilrechtliche Gewährung von Rechtsfähigkeit unterliegt jedoch einigen ungeschriebenen Prämissen. Diese sind teilweise in der Diskussion um die Schaffung juristischer Personen im 19. Jahrhundert be-
83 Vgl. Teubner, AcP 218 (2018), 155, 164; Zech in: Gless/Seelmann (Hrsg.), Intelligente Agenten und das Recht, 2016, 163, 175 f.
22
Künstliche Intelligenz im Zivilrecht
reits aufgedeckt worden.84 Teilweise werden sie erst jetzt sichtbar, wenn die Rechtsfähigkeit auch Entitäten zugesprochen werden soll, die – im Unterschied zu den juristischen Personen des Gesellschaftsrechts – nicht mehr vollständig menschlicher Steuerung unterliegen. Hiervon sollen im vorliegenden Zusammenhang zwei zentrale Prämissen herausgegriffen werden. a) Prämisse 1: Identifizierbarkeit des Rechtssubjekts („Abgrenzungsproblem“) Die erste Prämisse ist die Notwendigkeit, eine konkret identifizierba- 42 re Entität zu definieren, welche nach außen wahrnehmbar am Rechtsverkehr teilnimmt.85 Das Rechtssubjekt muss mit anderen Worten eine abgrenzbare, identifizierbare Einheit sein. Das Abgrenzungsproblem stellt sich in formeller und in materieller Hinsicht: Formell ist erforderlich, dass das Rechtssubjekt überhaupt in irgendeiner Form erfassbar oder identifizierbar ist. Bei natürlichen Personen ist dies kraft ihrer physischen Existenz, bei den gegenwärtigen juristischen Personen des Gesellschaftsrechts aufgrund deren Registereintragung als Publizitätsakt möglich. Selbst die als rechtsfähig angesehene GbR, die nicht im Handelsregister eingetragen werden kann, erlangt nach der Rechtsprechung ihre Rechtsfähigkeit erst mit ihrer Tätigkeit nach außen, wenn auch sie ihre Identität für den Rechtsverkehr objektiv erkennbar offenlegt.86 Gleiches gilt für die noch nicht eingetragene oHG oder KG, die gemäß § 124 Abs. 1 HGB ebenfalls rechtsfähig ist,87 aber nur wenn sie unter ihrer Firma nach außen in Erscheinung getreten ist.88 In materieller Hinsicht erfordert die Abgrenzbarkeit, dass die Vorausset- 43 zungen erkennbar sind, unter welchen die Rechtsfähigkeit zugesprochen wird. Bei natürlichen Personen ist dies die Eigenschaft als Mensch (im Gegensatz zu Tieren oder leblosen Sachen), bei juristischen Personen ihre Verfasstheit als Personenvereinigung mit einer bestimmten Struktur und Zielsetzung, an welche das Gesetz die Gewährung von Rechtsfähigkeit knüpft.
84 S. die Diskussion um die Anerkennung juristischer Personen im 19. Jhdt. bei Bekker, JherJb 12 (1873), 1 ff.; ders., ZHR 4 (1861), 499 ff.; Ritter von Brinz, Lehrbuch der Pandekten, 21888, Bd. III, Abt. 2 (S. 453 ff.). 85 Pieper, InTeR 2016, 188, 191. 86 BGHZ 146, 341 ff. 87 MüKoHGB/Schmidt, 2016, § 124 Rz. 2 ff. 88 Diese Voraussetzung übergeht Mayinger, Die künstliche Person, 2017, S. 181 f.
23
Thomas Riehm/Stanislaus Meier
b) Prämisse 2: Überlebenswille des Rechtssubjekts („Kamikaze-Problem“) 44 Wie bereits angeführt, besteht eine Funktion der Rechtsfähigkeit darin, Rechtssubjekte qua Haftungsrecht und sonstiger Sanktionen für Verhaltenssteuerung empfänglich zu machen.89 Diese Funktion kann aber nur greifen, wenn das Rechtssubjekt Haftung bzw. sonstige Sanktionen vermeiden, also wirtschaftlich überleben will. Bei natürlichen Personen liegt dieser Wille nahezu immer vor. Zwar gefährden Haftung und sonstige Sanktionen in letzter Konsequenz in heutigen Zeiten von Verbraucherinsolvenzverfahren und Restschuldbefreiung nicht mehr das physische Überleben des Menschen. Doch selbst ein Verbraucherinsolvenzverfahren ist eine Erfahrung, die Menschen typischerweise vermeiden wollen, so dass sie jedenfalls aus Furcht vor den damit verbundenen gravierenden Freiheitsbeschränkungen und emotionalen Tiefschlägen haftungsvermeidend agieren. Welche Bedeutung diesem Selbsterhaltungstrieb bzw. „Überlebenswillen“ für die Steuerbarkeit durch Recht zukommt, zeigt sich in den seltenen Fällen, in denen eine Haftung oder andere vollstreckungsrechtliche Sanktionen keinen spürbaren Effekt mehr haben, weil der Schuldner bereits am verfassungsrechtlich garantierten untersten Rand des Existenzminimums lebt. Praktiker der Zwangsvollstreckung kennen die Konsequenzen, die damit für die Ansprechbarkeit der Schuldner durch rechtliche Verhaltenssteuerung verbunden sind: Wer finanziell nichts mehr zu verlieren hat, kann faktisch nahezu ungeniert leben, solange er die Grenzen des Strafrechts beachtet, das mit der Freiheitsstrafe bzw. Ersatzfreiheitsstrafe noch weitergehende, physisch spürbare Sanktionsmechanismen vorhält. 45 In dieser nachgerade physischen Form ist ein solcher Überlebenswille nur bei Menschen vorhanden und wirkt bei diesen verhaltenssteuernd im Sinne einer grundsätzlichen Tendenz zur Haftungsvermeidung. Bei juristischen Personen folgt ein solcher Überlebenswille typischerweise aus dem unternehmerischen Zweck der Eigner der juristischen Person, der auf Gewinnerzielung oder zumindest (bei non profit-Organisationen) auf nachhaltige Verfolgung eines anderen Zwecks angelegt ist. Auch diese Zwecke können nur erreicht werden, wenn das Unternehmen nachhaltig am Markt existiert, also wirtschaftlich überlebt. Dass der Überlebenswille der Gesellschaft über ein bloß empirisches Faktum hinaus auch eine mitgedachte Voraussetzung der Zuerkennung einer eigenständigen Rechtspersönlichkeit ist, wird in den Fällen deutlich, in denen
89 Zur Verhaltenssteuerung durch Recht Rehbinder, Rechtssoziologie, 82014, 100 ff.; Wagner, AcP 206 (2006), 352, S. 451 ff.
24
Künstliche Intelligenz im Zivilrecht
er tatsächlich fehlt. Derartige Konstellationen sind vor allem aus dem Konzernrecht bekannt, wenn innerhalb einer Unternehmensgruppe eine einzelne Gesellschaft „geopfert“ werden soll, um dem Gewinnstreben des Gesamtkonzerns zu dienen.90 Dieser Umstand wird indessen von der Rechtsordnung missbilligt, weswegen neben konzernrechtlichen Schutzvorschriften Rechtsinstitute wie die Existenzvernichtungshaftung gemäß § 826 BGB91 bestehen, die die haftungsrechtliche Entlastungswirkung der Rechtsfähigkeit der juristischen Person de facto aufhebt.92 Das letztgenannte Rechtsinstitut, das eine Haftung der Gesellschafter für das „Ausblutenlassen“ ihrer Gesellschaft begründet, lässt sich nur vor dem Hintergrund einer angenommenen Pflicht der Gesellschafter erklären, für jede einzelne Gesellschaft innerhalb eines Konzerns einen eigenen Überlebenswillen zu verfolgen.93 Diese Pflicht besteht, weil eine entgegengesetzte Handlungsweise das Funktionsgefüge des Marktes stören würde: Es würde die implizite Erwartung des Verkehrs enttäuschen, dass jedes Rechtssubjekt am Markt rational zu seinem eigenen Vorteil agiert. Ein Rechtssubjekt, das an seinem eigenen Überleben kein Interesse hat, ist für die übrigen Marktteilnehmer unberechenbar und für die Rechtsordnung letztlich nicht steuerbar. 5. Bedingungen einer Zuerkennung von Rechtsfähigkeit de lege ferenda Wollte man demnach KI-Systemen zukünftig zivilrechtliche Rechts- 46 fähigkeit zusprechen, so müssten insbesondere die beiden soeben herausgearbeiteten Prämissen erfüllt sein. Jede Zuerkennung von Rechtsfähigkeit muss mithin das oben genannte „Abgrenzungsproblem“ in formeller wie in materieller Hinsicht sowie das „Kamikaze-Problem“ bewältigen: Die entsprechende Entität muss identifizierbar sein (z. B. „keine Rechtsfähigkeit ‚der cloud‘“); die Anforderungen an die Autonomie des Systems, die Bedingung der Rechtsfähigkeit sein sollen, müssen definiert sein („keine Rechtsfähigkeit für Taschenrechner“); und das System muss einen inhärenten Überlebenswillen einprogrammiert haben („keine Rechtsfähigkeit für Kamikaze-Systeme“).94 Umgekehrt gilt: Wo 90 Vgl. Grigoleit, Gesellschafterhaftung für interne Einflussnahme im Recht der GmbH, 2006, S. 59 f. 91 BGHZ 173, 246. 92 Roth/Altmeppen/Altmeppen, GmbHG, § 13 Rz. 73 ff. 93 Grigoleit, Gesellschafterhaftung für interne Einflussnahme im Recht der GmbH, 2006, S. 321 ff. beschreibt dies treffend als „Prinzip der dezentralen Gewinnverfolgung“. 94 In diesem Sinne auch Schwarzkopf, wiedergegeben bei Jandl, E-Person, 7.12.2018 (https://legal-technology.net/rechtspersoenlichkeit-e-person/) (geprüft am 06.09.2019); Hofmann/Hornung in: Engemann/Sprenger (Hrsg.),
25
Thomas Riehm/Stanislaus Meier
diese Probleme nicht gelöst sind, kommt auch de lege ferenda keine Zuerkennung von Rechtsfähigkeit in Betracht. a) Abgrenzungsprobleme 47 Das Abgrenzungsproblem in formeller Hinsicht erscheint zunächst bei cyberphysischen Systemen grundsätzlich lösbar, weil diese physisch verkörpert sind, sodass die formelle Abgrenzung anhand des konkreten körperlichen Gegenstandes vorgenommen werden kann: Dieser Verkörperung, die die sie steuernde KI-Software repräsentiert, könnte dann ein Vermögen und damit eine Haftungsmasse zugeordnet werden. Bei Systemen ohne entsprechende Verkörperung ist die Abgrenzung erheblich schwieriger. Abgestellt werden kann nicht auf den Algorithmus als solchen, sondern nur auf eine jeweilige Instanz davon. Das ließe sich allerdings durch eine dem Handelsregister ähnelnde obligatorische Registrierung konkreter KI-Instanzen lösen.95 Denkbar wären dabei branchenspezifische Register in klassischer Form (beispielsweise für an der Börse handelnde Algorithmen) oder auch Blockchain-basierte Systeme. Ein Beispiel für Letzteres ist die Ethereum-Blockchain, auf der Smart Contracts eigene Adressen („wallets“) haben können, an welche Tokens („ether“) gesendet werden können,96 sodass dort bereits effektiv Vermögen in Gestalt von „Tokens“ einer Instanz eines Algorithmus zugeordnet Internet der Dinge, 2015, 181, 190; dies. in: Hornung (Hrsg.), Rechtsfragen der Industrie 4.0, 2018, 9, 38 f.; im Ansatz wohl auch hinsichtlich verschiedener Rechtsbeziehungen bei juristischen Personen Möslein in: Barfield/Pagallo (Hrsg.), Research Handbook on the Law of Artificial Intelligence, 2019, 649, 655. 95 Wettig/Zehendner, The Electronic Agent: A Legal Personality under German Law?, 2003 (http://www.wettig.info/biometrie_uni_jena-s/el_agent-legal_personality_under_german_law20030624.pdf), IV.4. (geprüft am 06.09.2019); Beck in: Günther/Hilgendorf (Hrsg.), Robotik und Gesetzgebung, 2013, 239, 256; Mayinger, Die künstliche Person, 2017, S. 186 ff., 210 f., 245 f.; EU-Parlament, Entschließung vom 16.2.2017 mit Empfehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik, 2015/2103(INL), Ziff. 2. 96 Grundlegend Jentzsch, Decentralized Autonomous Organization to Automate Governance, 2016 (https://download.slock.it/public/DAO/WhitePaper. pdf) (geprüft am 06.09.2019); ferner Buterin, A next generation smart contract & decentralized application platform (http://blockchainlab.com/pdf/ Ethereum_white_paper-a_next_generation_smart_contract_and_decentralized_application_platform-vitalik-buterin.pdf), S. 13 (geprüft am 06.09.2019); Braegelmann/Kaulartz (Hrsg), Rechtshandbuch Smart Contracts, 2019, S. 1, 11; Mann, NZG 2017, 1014, 1015; grundsätzlich zu Smart Contracts und der Blockchain-Technologie Kaulartz/Heckmann, CR 2016, 618 ff.; Heckelmann, NJW 2018, 504 ff.; Paulus/Matzke, ZfPW 2018, 431 ff.
26
Künstliche Intelligenz im Zivilrecht
werden kann. Eine praktische Anwendung hat dies bei der sogenannten DAO erfahren.97 Das materielle Abgrenzungsproblem, also die Frage, welche Systeme 48 hinreichend autonom sind, um ihnen eine eigene Rechtspersönlichkeit zuzusprechen, könnte in Anlehnung an die bereits heute für autonome Kraftfahrzeuge erarbeiteten Kategorien98 gelöst werden (s. auch § 1a Abs. 2 StVG). Zu unterscheiden wären danach assistierende, teilautomatisierte, hochautomatisierte, vollautomatisierte und vollständig führerlose Systeme.99 Dieses Regulierungsprinzip ließe sich mindestens auf andere cyberphysische Systeme übertragen, eventuell auch auf Algorithmen. Hierbei handelt es sich um materielle Anforderungen an die Systeme, die im Rahmen einer etwaigen Registrierung zu prüfen wären, bevor ihnen Rechtsfähigkeit zuerkannt würde. Aus Gründen der Rechtssicherheit wird es erforderlich sein, die einschlägige Kategorie im Rahmen der Registrierung verbindlich festzustellen. Aus Gründen des Verkehrsschutzes können diese Kriterien aber eine Registrierung nicht überflüssig machen, also insbesondere nicht eine Rechtsfähigkeit ohne Registrierung begründen. b) Materielle Schutzvorkehrungen Die mit der Gewährung von Rechtsfähigkeit an das KI-System verbun- 49 dene Haftungsentlastung für den Betreiber ist ferner nur gerechtfertigt, wenn auch das oben angeführte „Kamikaze-Problem“ gelöst wird. Mit anderen Worten sollen KI-Systeme nur dann selbständig (und ohne uneingeschränkte Verantwortlichkeit der Betreiber) am Markt „tätig“ sein dürfen, wenn gesichert ist, dass sie einen einprogrammierten „Überlebenswillen“ haben, also auf eigene wirtschaftliche Nachhaltigkeit ausgerichtet sind, sodass sie ihre eigene Haftung grundsätzlich vermeiden „wollen“. Zudem müsste bei der Konstruktion dafür Sorge getragen werden, dass sie keine unangemessenen Schäden ohne korrelierende Ersatzpflicht zufügen können. Hierfür sind verschiedene Kriterien denkbar, je nach der Eigenart der eingesetzten KI-Systeme.
97 Blocher in: Braegelmann/Kaulartz (Hrsg.), Rechtshandbuch Smart Contracts, 2019, 115, 116 f. 98 S. Gasser, DAR 2015, 6, 8 sowie Runder Tisch „Automatisiertes Fahren“, Bericht zum Forschungsbedarf, 2015 (https://www.bmvi.de/SharedDocs/DE/ Anlage/DG/Digitales/bericht-zum-forschungsbedarf-runder-tisch-automatisiertes-fahren.pdf), Anhang 5 (S. 116) (geprüft am 06.09.2019). 99 In Anlehnung an Gasser, DAR 2015, 6, 8.
27
Thomas Riehm/Stanislaus Meier
50 Eine erste Möglichkeit bildet insoweit etwa eine Algorithmen-Prüfung, soweit das System über deterministische Algorithmen verfügt;100 bei Systemen auf Basis neuronaler Netze kommt stattdessen branchenspezifisch die (regelmäßige) Prüfung der System-Reaktion auf einen definierten Muster-Input in Betracht.101 Reagiert das Gerät dabei abweichend von den normativ festgelegten Erwartungen, darf ihm keine Rechtsfähigkeit zugesprochen werden; eine Haftungsbeschränkung des Betreibers kommt nicht in Betracht.102 Entsprechend „durchgefallene“ Systeme sind dabei aber auch nicht verboten; vielmehr bleibt es bei einer uneingeschränkten Haftung des Betreibers, die ggf. sogar am Einsatz selbst anknüpfen kann. Der Einsatz eines systematisch schädigenden Systems dürfte dabei in aller Regel verkehrspflichtwidrig sein. 51 Erforderlich dürfte in vielen Bereichen auch ein obligatorisches „Sandboxing“ (d. h. Einsperren in einen „Sandkasten“) sein,103 wie es bei physischen Robotern schon jetzt in geeigneten Konstellationen üblich ist. Darunter ist bei cyberphysischen Systemen ein gegenüber der Außenwelt abgeschiedenes, käfigartiges Konstrukt zu verstehen, in dem sich der Roboter befindet. Bei reinen Softwaresystemen ist auch die „Sandbox“ rein virtuell und beschreibt, dass die Software in einer beschränkten Umgebung bei klar definierten Interaktionsmöglichkeiten mit der Außenwelt betrieben wird. Eine Kommunikation aus der „Sandbox“ heraus ist nur anhand kontrollierter Schnittstellen möglich, sodass auch der mögliche Ergebnisraum für die Interaktion mit der Außenwelt feststeht. Freilich ist „Sandboxing“ nicht in allen Bereichen möglich; manche KI-Systeme sind gerade für eine breite Interaktion mit der Außenwelt konzipiert, die durch eine – physische oder virtuelle – Sandbox nicht beschränkt werden kann, ohne wesentliche Funktionalitäten des KI-Systems zu opfern. Das zeigt sich etwa beim autonomen Fahren, wo ein Schutz der Umwelt vor dem Fahrzeug im Sinne eines physischen „Sandboxing“ nicht möglich ist, und auch ein virtuelles „Sandboxing“ (etwa durch Beschränkung der Höchstgeschwindigkeit oder Programmierung bestimmter Mindestdistanzen zu umgebenden Gegenständen) keine absolute Sicherheit für die 100 Wischmeyer, AöR 143 (2018), 1, 61 ff.; Busch, IWRZ 2018, 147, 150. 101 Wischmeyer, AöR 143 (2018), 1, 62. 102 Ähnlich Mayinger, Die künstliche Person, 2017, S. 221: IT-sicherheitsrechtliche Zertifizierung autonomer Agenten als Voraussetzung der Anerkennung ihrer Rechtsfähigkeit. 103 Vgl. zum Erfordernis zu Testzwecken Delponte, European Artificial Intelligence (AI) leadership, the path for an integrated vision, 14.9.2018 (http:// www.europarl.europa.eu/RegData/etudes/STUD/2018/626074/IPOL_ STU(2018)626074_EN.pdf), S. 36 (geprüft am 06.09.2019); Zech, ZfPW 2019, 198, 210 f.
28
Künstliche Intelligenz im Zivilrecht
Umwelt bewirken und damit die eigentliche Aufgabe des „Sandkastens“ nicht erfüllen kann. Gleichwohl ist „Sandboxing“ für viele Systeme ein taugliches Verfahren, um die Auswirkungen der Handlungen autonomer Systeme im Zweifel steuern zu können. So kann beispielsweise eine Schädigung oder Verselbstständigung des Systems durch das Schließen sämtlicher Schnittstellen unterbunden werden. Die Begrenzung der Schnittstellen und die Kenntnis über die möglichen Ergebnisräume trägt folglich zu einer besseren Kontrollierbarkeit und Vorhersehbarkeit der Handlungen autonomer Systeme bei. Nicht auf der präventiven, sondern eher auf der repressiven Ebene liegt 52 die Forderung nach obligatorischer Accountability von KI-Systemen, im Sinne einer möglichst vollständigen Protokollierung des Inputs und der Aktionen eines KI-Systems (s. in Ansätzen bereits § 63a Abs. 1 StVG für hoch- oder vollautomatisierte Fahrzeuge).104 Eine solche Einrichtung dient der exakten Nachvollziehbarkeit sämtlicher Aktionen der betroffenen Software. Damit kann bei Fehlfunktionen aufgrund der verfügbaren Informationen ex post eine Fehlerzuordnung vorgenommen werden, um das System weiter zu optimieren und zukünftige vergleichbare Fehlfunktionen auszuschließen. Außerdem können haftungsrechtliche Verantwortlichkeiten auf der Grundlage der protokollierten Daten besser nachvollzogen werden. Denkbar ist etwa, eine Haftungsfreistellung des Betreibers eines Systems von der Einrichtung einer hinreichenden Accountability auf dem KI-System abhängig zu machen. Als Voraussetzung für die Gewährung von Rechtsfähigkeit an KI-Syste- 53 me wird teilweise ein Start-bzw. Mindestkapital gefordert, wie dies bei Kapitalgesellschaften bekannt ist.105 Dabei zeigt gerade der Vergleich mit diesen, dass ein solcher Ansatz auch dort nicht mehr flächendeckend verfolgt wird: Bereits eine rechtsfähige UG (haftungsbeschränkt) kann gem. § 5a GmbHG mit einem Betrag von lediglich einem Euro gegründet werden. Nicht ersichtlich ist, weswegen bei cyberphysischen Geräten etwas Anderes gelten sollte, können doch beide Akteure gleichermaßen und unabhängig von dem geringen Startkapital einen erheblichen
104 Schulz, Verantwortlichkeit bei autonom agierenden Systemen, 2015, S. 381 ff.; Horner/Kaulartz, CR 2016, 7, 10; aus technischer Sicht s. etwa Kacianka/Pretschner in: IEEE International Conference on Systems, Man, and Cybernetics (SMC 2018), 2018, 3165 ff.; in diesem Sinne wohl auch Herberger, NJW 2018, 2825, 2827 f.; zurückhaltend gegenüber den Möglichkeiten Meyer, ZRP 2018, 233, 237. 105 Pieper, InTeR 2016, 188, 191; ähnlich Hötitzsch in: Hilgendorf/Hötitzsch (Hrsg.), Das Recht vor den Herausforderungen der modernen Technik, 2013, S. 82.
29
Thomas Riehm/Stanislaus Meier
Schaden durch ihr Tätigwerden verursachen. Zudem vermögen Anforderungen alleine an das Startkapital nicht zu garantieren, dass die Gesellschaft – bzw. eine digitale Rechtspersönlichkeit – finanziell im weiteren Verlauf ihrer Existenz stets hinreichend ausgestattet ist, um die Risiken ihrer Handlungen zu tragen.106 Und schließlich wäre es bei denjenigen – wohl erheblich zahlreicheren – KI-Systemen, deren primäres Tätigkeitsfeld nicht die Verwaltung von Geld darstellt, und die insbesondere für ihren Betrieb kein oder kaum Geld benötigen (z. B. autonome Fahrzeuge), eine sinnlose Kapitalbindung, sie zwingend mit einem Grundkapital auszustatten.107 Ohne Aktiva führt allerdings die Zuerkennung einer zivilrechtlichen Rechtsfähigkeit von KI-Systemen nicht wesentlich weiter, weil ihre Haftung dann wirtschaftlich wertlos wäre. Für autonome Börsenagenten scheint eine solche Regelung dagegen durchaus sinnvoll (s. auch § 25 KAGB). 54 Alternativ erscheint das Erfordernis einer Pflichtversicherung für KI-Systeme in bestimmten Bereichen sinnvoll, um die jeweiligen Haftungsrisiken abzudecken.108 Dieses Regulierungsinstrument würde Sorge dafür tragen, dass Schäden in der Außenwelt grundsätzlich kompensiert werden können.109 Knüpft man diese Versicherung unmittelbar an die Haftung des (als rechtsfähig gedachten) KI-Systems selbst an, so könnte sogar evtl. auf eine zusätzliche Haftung des Betreibers verzichtet wer-
106 Zum Problem der materiellen Unterkapitalisierung im Gesellschaftsrecht s. BGHZ 176, 204, 215 f.; Wüst, DStR 1991, 1388; nach der Rspr. und h.L. begründet die materielle Unterkapitalisierung keinen eigenständigen Haftungsgrund gegen die Gesellschafter, eine Haftung kommt nur in engen Ausnahmefällen im Rahmen des Deliktsrechts (§ 826 BGB) in Betracht: BGHZ 176, 204 ff.; OLG Oldenburg v. 10.2.2000 – 8 U 187/99, NZG 2000, 555 ff.; Wüst, DStR 1991, 1388 ff.; Roth/Altmeppen/Altmeppen, GmbHG, § 13 Rz. 133 ff.; Baumbach/Hueck/Fastrich, GmbHG, § 5 Rz. 6; Michalski/Leitzen, GmbHG, § 5 Rz. 19; MüKoGmbHG/Schwandtner, § 5 Rz. 38; eine solche Haftung befürwortend jedoch Hachenburg/Ulmer, GmbHG, Anh. § 30 Rz. 50 ff.; Lutter/ Hommelhoff/Bayer, GmbHG, § 13 R. 20 ff. 107 Gless/Janal, JR 2016, 561, 571. 108 EU-Parlament, Entschließung vom 16.2.2017 mit Empfehlungen an die Kommission zu zivilrechtlichen Regelungen im Bereich Robotik, 2015/2103(INL), Ziff. 59 a); Graf von Westphalen, ZIP 2019, 889, 894; Hilgendorf in: Beck (Hrsg.), Jenseits von Mensch und Maschine, 2012, 119, 128; Gruber in: Günther/Hilgendorf (Hrsg.), Robotik und Gesetzgebung, 2013, 123, 155 f.; zusammen mit der Einführung einer Gefährdungshaftung auch Grapentin, Vertragsschluss und vertragliches Verschulden beim Einsatz von künstlicher Intelligenz und Softwareagenten, 2018, S. 208 f.; krit. Hanisch in: Hilgendorf (Hrsg.), Robotik im Kontext von Recht und Moral, 2013, 27, 43. 109 Günther/Böglmüller, BB 2017, 53, 55.
30
Künstliche Intelligenz im Zivilrecht
den, wenn die versicherten Haftungssummen ausreichend sind. Dann könnte das KI-System selbst Versicherungsnehmer sein und die Kapitalausstattung durch die Versicherungsdeckung ersetzen. Wirtschaftlich im Wesentlichen gleichbedeutend ist insoweit allerdings eine Pflichtversicherung des Betreibers in Kombination mit einer strengen Betreiberhaftung, wie sie aus dem Straßenverkehrsrecht bekannt ist. Eine solche käme ohne Zuerkennung der Rechtsfähigkeit und die damit verbundenen rechtsdogmatischen Schwierigkeiten aus.110 Die aufgezeigten Ansätze zeugen von der Bandbreite möglicher Lösun- 55 gen. Je nach Eigenart des betroffenen KI-System können einzelne davon – und auch weitere, hier nicht erwähnte Lösungswege – miteinander kombiniert werden, um die mit dem Einsatz von KI-Systemen für den Rechtsverkehr verbundenen Risiken abzufedern, und so evtl. die Voraussetzungen für die Gewährung der Rechtsfähigkeit von KI-Systemen de lege ferenda zu schaffen. Eine vollständige Lösung dieser Probleme dürfte allerdings nur bei wenigen KI-Systemen möglich sein. Damit ist aber auch die Anerkennung ihrer Rechtsfähigkeit de lege ferenda in aller Regel nicht wünschenswert, weil deren ungeschriebene Prämissen meist nicht sinnvoll erfüllbar sind. Das praktische Kernproblem dürfte dabei die Kontrolle der Algorithmen auf den wirtschaftlichen „Überlebenswillen“ darstellen. Hinzu kommt, dass in der Zuerkennung von Rechtsfähigkeit meist kein signifikanter Gewinn gegenüber einer strengen Haftung des Betreibers in Kombination mit einer Pflichtversicherung liegen dürfte, der den rechtsdogmatischen und bürokratischen Aufwand rechtfertigen würde. Völlig ausgeschlossen erscheint das aber nach dem heutigen Stand der 56 Technik nicht: So sind beispielsweise schon heute rechtsfähige autonome Börsenagenten durchaus vorstellbar, die fremde Anlegergelder aufgrund einer Steuerung der Anlageentscheidungen durch ein KI-System verwalten.111 Der Schritt von einer traditionellen Fondsgesellschaft, die durch einen Menschen verwaltet wird (der sich schon heute problemlos an Entscheidungen eines KI-Systems orientieren könnte), zu einer rechtsfähigen Vermögensmasse, die ausschließlich durch eine KI verwaltet wird, scheint de lege ferenda nicht weit. Freilich müssten auch hier das formelle und das materielle Abgrenzungsproblem gelöst (z. B. durch 110 So auch Lohmann, ZRP 2017, 168, 171; Armbrüster, ZRP 2017, 83, 85; Gless/ Janal, JR 2016, 561, 571. 111 Bereits heute sind Vorstufen solcher Software als „Robo-Advisor“ bekannt, Grzanna, Robo was?, 28.9.2018 (https://www.sueddeutsche.de/wirtschaft/ robo-advisor-robo-was-1.4144670) (geprüft am 06.09.2019); siehe dazu auch Söbbing, ZIP 2019, 1603 ff.
31
Thomas Riehm/Stanislaus Meier
eine Registrierung des Agenten) und der Algorithmus auf seinen „Überlebenswillen“ geprüft werden; das scheint aber nicht ausgeschlossen. 6. Teilrechtsfähigkeit? 57 Gewissermaßen als Minus zur Gewährung einer vollen Rechtsfähigkeit von KI-Systemen ist in jüngerer Zeit verschiedentlich vorgeschlagen worden, ihnen zumindest eine Teilrechtsfähigkeit zuzuerkennen.112 So wird zum Teil vertreten, dass KI-Systeme nur insoweit als rechtsfähig anerkannt werden sollen, als dies zu einer wirksamen Stellvertretung erforderlich ist; eine darüber hinausgehende Vermögensfähigkeit sei ihnen nicht zuzuerkennen.113 Das Problem einer möglichen Haftung des Systems als Vertreter ohne Vertretungsmacht soll dann durch die Gleichbehandlung mit einem minderjährigen Stellvertreter gelöst werden (§ 179 Abs. 3 S. 2 BGB), wodurch eine Haftung bereits tatbestandlich ausscheiden würde.114 Wieder andere stellen allgemeinere pragmatische Überlegungen an und schlagen vor, die Abgrenzung zur Vollrechtsfähigkeit nach der Zweckmäßigkeit der Zuerkennung rechtlicher Fähigkeiten zu einem KI-System zu beurteilen.115 Vorgeschlagen wird sogar der konkrete Normtext eines § 90b BGB, um autonomen Systemen eine ‚Teilrechtsfähigkeit‘ zu verleihen.116 58 Dieses Konzept der Teilrechtsfähigkeit leidet allerdings schon darunter, dass keine einheitliche Auffassung darüber besteht, was unter Teilrechtsfähigkeit zu verstehen ist. Offenbar sollen einzelne Aspekte der Rechtsfähigkeit herausgegriffen werden. Letztlich handelt es sich dabei aber um eine willkürliche Definition der Wirkungen von Rechtsfähigkeit, die insbesondere nicht teleologisch an die Gründe für die Zuerkennung von Rechtsfähigkeit rückgebunden ist.117 Soweit etwa für den Nasciturus von einer gesetzlich anerkannten Teilrechtsfähigkeit ausgegangen wird,118 ist der Umfang der zuerkannten Rechte gesetzlich festgelegt (etwa § 331 Abs. 2, § 844 Abs. 2, § 1923 Abs. 2 BGB, § 12 SGB VII); zudem besteht Einigkeit darüber, dass der tatsächliche Rechtserwerb unter der Bedin112 Specht/Herold, MMR 2018, 40, 43; Teubner, AcP 218 (2018), 155, 182; Schirmer, JZ 2016, 660, 663; ders., JZ 2019, 711, 716 f. 113 Teubner, AcP 218 (2018), 155, 182. 114 Specht/Herold, MMR 2018, 40, 43 f. 115 Schirmer, JZ 2016, 660, 662 f.; ders., JZ 2019, 711, 716 f. 116 Schirmer, JZ 2019, 711, 717. 117 Krit. zu derartigen Abschwächungen der Rechtsfähigkeit auch Medicus/ Petersen, Allgemeiner Teil des BGB, 112016, Rz. 1099; Bork, Allgemeiner Teil des Bürgerlichen Gesetzbuchs, 42016, Rz. 191. 118 S. etwa BeckOK BGB/Bamberger, 1.8.2019, § 1 Rz. 27 f. m.w.N.
32
Künstliche Intelligenz im Zivilrecht
gung des Erwerbs voller Rechtsfähigkeit durch Vollendung der Geburt gem. § 1 BGB steht,119 so dass der Nasciturus als Vorbild für Teilrechtsfähigkeit ausscheidet. Doch auch im Gesellschaftsrecht ist das Konzept der Teilrechtsfähigkeit (etwa von GbR oder WEG) überzeugender Kritik ausgesetzt: Unklar sei, welcher Teil der GbR denn zur Rechtsfähigkeit fehlen solle;120 auch der BGH spricht bei der GbR – ebenso wie § 14 Abs. 2 BGB – insoweit von einer „rechtsfähigen“ (und eben nicht von einer „teilrechtsfähigen“) Personengesellschaft.121 Aufrechterhalten wird das Konzept – jedenfalls begrifflich – im Wesentlichen noch bei der Wohnungseigentümergemeinschaft,122 doch auch hier ist damit keine Einschränkung der Wirkungen oder des Umfangs der Rechtsfähigkeit verbunden, sondern allenfalls eine Begrenzung der Rechtsfähigkeit auf die Fälle, in denen die WEG als solche handelt (und nicht die einzelnen Eigentümer).123 Daher wird auch dort vertreten, dass es sich um volle Rechtsfähigkeit, nicht um eine bloße Teilrechtsfähigkeit handelt.124 Die Beschränkung der Rechtsfähigkeit auf bestimmte Rechtsfolgen – insbesondere die Fähigkeit zur Stellvertretung – ist daher mit dem Konzept der Rechtsfähigkeit unvereinbar. Das gleiche gilt für jede andere Beschränkung des Umfangs bzw. der Wirkungen der Rechtsfähigkeit. Es wäre in diesen Fällen unvorhersehbar, welche Aspekte der Rechtsfähigkeit gelten sollen und welche nicht. In der Folge überzeugt zudem der Verweis auf § 179 Abs. 3 S. 2 BGB 59 schon im Ansatz nicht, weil ein KI-System mit einem Minderjährigen hinsichtlich seiner Schutzwürdigkeit nicht vergleichbar ist: Der Grund für die Privilegierung des § 179 Abs. 3 S. 2 BGB besteht darin, dass der Minderjährigenschutz nach der grundlegenden Konzeption des BGB stets dem Verkehrsschutz vorgeht, weil die Schutzwürdigkeit Minderjähriger eines der höchsten Schutzgüter darstellt, und diese vor den Folgen ihrer Erklärungen zu schützen sind. Dieser Gedanke lässt sich indessen nicht auf KI-Systeme übertragen, weil es hier an einer vergleichbaren Schutzwürdigkeit fehlt; der Betreiber könnte ja schlicht die entsprechenden Geschäfte selbst vornehmen und auf den Einsatz eines KI-Systems verzichten. Zudem müsste konsequenterweise auch die Ausnahme des 119 BeckOGK BGB/Behme, 1.4.2019, § 1 Rz. 19; Soergel/Fahse, BGB, 13. Aufl. 2000, § 1 Rz. 16. 120 Seibert, JZ 1996, 785. 121 BGHZ 146, 341 = NJW 2001, 1056; s. dazu auch Wertenbruch in Ebenroth/ Boujong/Joost/Strohn (Hrsg.), HGB, 3. Aufl. 2014, § 105 Rz. 13 m.w.N. 122 BGHZ 163, 154 = NJW 2005, 2061 (passim); dem folgend die Begründung der WEG-Reform 2006, BT-Drs. 16/887, 56 ff. 123 Näher Suilmann in Bärmann (Hrsg.), WEG, 14. Aufl. 2018, § 10 Rz. 208 f. 124 BeckOGK BGB/Falkner, 1.5.2019, § 10 WEG Rz. 435 ff.
33
Thomas Riehm/Stanislaus Meier
§ 179 Abs. 3 S. 2 BGB Anwendung finden, wonach der Vertreter ohne Vertretungsmacht gleichwohl haftet, wenn er mit Einwilligung des gesetzlichen Vertreters tätig war. Eine vergleichbare Einwilligung des Betreibers dürfte bei KI-Systemen regelmäßig vorliegen. Insgesamt stellt sich die Annahme von Teilrechtsfähigkeit als reines Zweckkonstrukt dar, das dogmatisch nicht begründbar ist und sich in das System der Rechtsfähigkeiten nicht schlüssig einfügen lässt.125 IV. Konsequenz: Weitgehend unbeschränkte Bindung und Haftung des Betreibers 60 Verzichtet man, wie hier für die weitaus meisten Fälle vorgeschlagen, auf eine Rechtsfähigkeit von KI Systemen, so muss das Entstehen von Zurechnungs- und Haftungslücken anderweitig verhindert werden. Im Haftungsrecht geschieht das am sinnvollsten durch eine strenge Gefährdungshaftung des Betreibers.126 Zwar müsste auch in diesem Zusammenhang das formelle und materielle Abgrenzungsproblem gelöst werden. Dieses Problem erscheint allerdings jedenfalls für cyberphysische Systeme lösbar, die in diesem Zusammenhang die größte praktische Bedeutung haben werden, wie dies bereits de lege lata für Kraftfahrzeuge in § 7 StVG geschehen ist. Anderen Rechtsordnungen ist eine solche universelle Gefährdungshaftung für gefährliche Sachen bereits de lege lata nicht fremd, so etwa in Frankreich, wo die „responsabilité du fait des choses“ in Gestalt einer faktischen Gefährdungshaftung des Halters für jegliche gefährliche Sache auf der Grundlage des heutigen Art. 1242 Abs. 1 Code Civil (früher Art. 1384 Abs. 1 Code civil) seit über einem Jahrhundert anerkannt ist.127 61 Abgesehen hiervon dürfte der Gesetzgeber gut beraten sein, keine spezifischen Regelungen zu KI-Systemen zu treffen – insbesondere nicht im 125 Krit. daher auch Mayinger, Die künstliche Person, 2017, S. 185. 126 Hierfür Spindler, CR 2015, 766, 775; Horner/Kaulartz, InTeR 2016, 22, 24; Schaub, JZ 2017, 342, 348; Bräutigam/Klindt, NJW 2015, 1137, 1138 f.; Riehm, ITRB 14 (2014), 113, 114; Brunnotte, CR 2017, 583, 585 f. 127 Grundlegend Cour de cassation, DP 1897, 1, 433 (arrêt „Teffaine“); ferner Fages, Droit des obligations, 72017, n° 404 ff., dort auch n° 406 zu der komplexen Differenzierung zwischen „garde de la structure“ und „garde du comportement“, die der heutigen Diskussion um die Verantwortungsverteilung zwischen Hersteller, Halter, Nutzer und anderen Akteuren entspricht; im deutschen Recht existiert mit dem nachbarrechtlichen Ausgleicheisanspruch analog § 906 Abs. 2 S. 2 BGB unter bestimmten Voraussetzungen ebenso eine faktische Gefährdungshaftung, siehe dazu beispielsweise BGH v. 9.2.2018 – V ZR 311/16, BeckRS 2018, 2352.
34
Künstliche Intelligenz im Zivilrecht
Vertragsrecht. Die Lösung der auftretenden Fragen kann gegenwärtig u. E. ohne weiteres Rechtsprechung und Wissenschaft überlassen bleiben, die mit den offenen und auslegungsfähigen Regeln der allgemeinen Rechtsgeschäftslehre genug Material haben, um angemessene Lösungen für die auftretenden Sachprobleme zu finden. Vorzugswürdig erscheint insoweit im Hinblick auf Rechtsgeschäfte aus Gründen des Verkehrsschutzes eine uneingeschränkte Bindung des Betreibers an die Erklärungen „seines“ KI-Systems, die nur nach den allgemeinen Regeln über die Anfechtung wegen Willensmängeln – ohne Anwendung der Anfechtung wegen fehlerhafter Übermittlung, soweit die Aufgabe des Systems nicht in der unveränderten Übermittlung des Betreiberwillens liegt – gelöst werden kann. Im Hinblick auf die deliktsrechtliche Haftung erscheint de lege lata die Definition von Verkehrspflichten im Umgang mit KI-Systemen durch die Rechtsprechung, verbunden mit einer analogen Anwendung der Vermutungsregel des § 831 Abs. 1 BGB, ebenfalls als tragfähigste Lösung für die Gegenwart.128 V. Fazit Die wesentlichen Fragen, die sich im Hinblick auf KI im Zivilrecht stel- 62 len, betreffen die Zurechnung von geschäftlichen Erklärungen und schädigenden Handlungen von KI-Systemen an ihre Betreiber. Mit zunehmender Unberechenbarkeit von KI-Systemen steigt dabei das Unbehagen gegenüber einer unbeschränkten Zurechnung sämtlicher Handlungen zum Betreiber. Die hierfür vorgeschlagenen Lockerungsmöglichkeiten zugunsten des Betreibers führen letztlich explizit oder implizit zu dem Bedürfnis, KI-Systeme als rechtsfähig anzuerkennen. Vorstehend wurde herausgearbeitet, dass diese Anerkennung mindestens an die Lösung dreier Probleme gebunden werden muss: Zum einen das formelle Abgrenzungsproblem, also die Identifikation der Entität, die als Rechtssubjekt anerkannt werden soll; ferner das materielle Abgrenzungsproblem, also die Klärung der Frage, ab welchem Autonomiegrad von einem KI-System gesprochen werden kann; und schließlich das „Kamikaze-Problem“, also die Sicherung eines wirtschaftlichen „Überlebenswillens“ eines KI-Systems. Diese Probleme in ihrer Gesamtschau erscheinen derzeit trotz verschiedenster Versuche nur selten lösbar, sodass nach hier vertretener Auffassung die Zuerkennung von Rechtsfähigkeit de lege ferenda nur in wenigen Fällen in Betracht kommen wird.
128 So bereits Riehm, ITRB 14 (2014), 113, 114.
35
Thomas Riehm/Stanislaus Meier
63 Zur Behandlung von KI-Systemen wird daher hier vorgeschlagen, den Betreiber autonomer cyberphysischer Systeme einer durch den Gesetzgeber zu schaffenden Gefährdungshaftung zu unterwerfen, in deren Rahmen die relevanten Systeme möglichst klar zu definieren sind. Im Vertragsrecht sollte es bei einer strengen Zurechnung der Willenserklärungen unter dem Vorbehalt der Irrtumsanfechtung bleiben, im Haftungsrecht bei einer Anwendung des allgemeinen Deliktsrechts einschließlich einer analogen Anwendung des § 831 BGB. Inwiefern das bloße Betreiben eines KI-Systems hierbei als verkehrspflichtwidrig angesehen wird, hängt von der Eigenart des jeweiligen Systems und den damit verbundenen (bekannten bzw. vorhersehbaren) Risiken ab.
36
Data as Assets – die finanzielle Bewertung von Knowhow Anke Nestler* I. Einführung 1. Daten als Asset 2. Abgrenzung des Bewertungsobjekts II. Bewertungsanlässe III. Finanzielle Werthaltigkeit von Daten 1. Definition finanzieller Werthaltigkeit
2. Bewertungsperspektive 3. Betriebswirtschaftliche Bewertungsmethoden 4. Anwendung der Bewertungsverfahren auf das Bewertungsobjekt „Daten“ IV. Schlussfolgerung
Literaturübersicht: Hoppen/Hoppen, Bewertung und Bilanzierung selbst erstellter Software, in: Computer und Recht, 12/2009, 25. Jg., 761 ff.; Hoppen, Bewertung von Software, Due Diligence, Compliance, in: Schneider/Graf von Westphalen (Hrsg.), Software-Erstellungsverträge, 2. Aufl. 2014, Köln, 1385 ff.; Institut der Wirtschaftsprüfer (IDW) (Hrsg.), IDW Standard: Grundsätze zur Bewertung immaterieller Vermögenswerte (IDW S 5), in: IDW Fachnachrichten 7/2011, 467 ff.; Institut der Wirtschaftsprüfer (IDW) (Hrsg.), Bewertung und Transaktionsberatung, Kapitel L., Bewertungen immaterieller Vermögenswerte, 2018, Düsseldorf, 577 ff.; Kasperzak/Nestler, Bewertung von immateriellem Vermögen, 2010, Weinheim; Parr, Intellectual Property – Valuation, Exploitation, and Infringement Damages, 5. Aufl., 2018, New Jersey.
I. Einführung 1. Daten als Asset Die Sammlung und Verarbeitung von Informationen ist aus der heutigen 1 Wirtschaft kaum noch wegzudenken. Datenzentren, in denen Daten von Unternehmen oder Institutionen und Behörden liegen, werden als Hochsicherheitszonen sorgfältig vor unerlaubtem Zutritt geschützt. Datenbestände wurden schon immer verwaltet, sie sind aber zunehmend 2 auch eine wesentliche Grundlage zahlreicher Geschäftsmodelle. Soziale Medien wie z. B. Facebook, Google oder Twitter finanzieren sich ganz wesentlich über die Lizensierung der Daten, die sie von ihren Nutzern *
Dr. Anke Nestler, ö.b.u.v. Sachverständige für Bewertung von immateriellem Vermögen, VALNES Corporate Finance.
37
Anke Nestler
sammeln. Der Nutzer, der den Dienst – wie z. B. seinen Twitter Account – in der Regel kostenlos nutzt, stimmt bei Registrierung regelmäßig zu, dass seine Daten weiter verwendet werden dürfen. Daten bzw. Datenbanken sind beispielsweise in der Regel auch die Grundlage für Portale. Für den Anwender liegt der Mehrwert darin, dass Informationen kompakt aufbereitet sind und unter einer erheblichen Zeitersparnis standardisiert recherchiert werden kann. Der Anbieter eines Produktes kann sich entsprechend über diese Portale gut im Markt positionieren. Was macht Daten heute dann so besonders wertvoll? 3 Daten sind ganz grundsätzlich zunächst Beobachtungen, Messungen, statistische Erhebungen, u. a. gewonnene Zahlenwerte, Angaben, formulierbare Befunde bzw. elektronisch gespeicherte Zeichen, Angaben und Informationen.1 Was Daten besonders wertvoll macht, ist die Möglichkeit der elektronischen Verarbeitung einer Vielzahl von Messpunkten. Auf diesem Wege können –
Daten nach verschiedenen Kriterien analysiert und gebündelt,
–
Muster erkannt und neue Schlussfolgerungen gezogen werden.
4 D. h. die EDV-gestützte Kombination verschiedener Informationen sowie die Menge an erhobenen Daten ermöglichen neue Rückschlüsse, die einen erheblichen Mehrwert für Entscheidungen und Strategien bilden können. Während früher die Adressliste an sich schon einen Wert darstellte, liegt der Umfang verfügbarer Daten bzw. personenbezogener Daten durch die Datenverarbeitung (v. a. auch durch Big Data) heute auf einem ganz anderen Niveau. Während man in der Vergangenheit z. B. noch über die jeweilige Lage von Adressen versucht hat, Schlussfolgerungen auf die Finanzkraft einer Person zu ziehen, lassen sich heute ganz andere Profile, Verhaltensmuster und Bewegungsbilder von Konsumenten erstellen. Das führt zu neuen Geschäftsmodellen und macht Daten als eigenes Asset letztlich zu einem werthaltigen immateriellen Vermögensgegenstand. 5 Aktuell sind weder in der Theorie nennenswerte Ausarbeitungen zur Frage der Bewertung von Daten zu finden, noch gibt es zu praktischen Erfahrungen systematische Informationen. Es ist aber davon auszugehen, dass sich dieses Thema in den nächsten Jahren intensiv entwickeln wird, da Daten als „intelligente Sammlung“ von Informationen nach bestimmten Auswertungsschemata einen erheblichen wirtschaftlichen Wert darstellen.
1
38
Vgl. Online-Duden, s. www.duden.de.
Data as Assets – die finanzielle Bewertung von Knowhow
2. Abgrenzung des Bewertungsobjekts Materielle Vermögenswerte oder Schulden bzw. Unternehmen sind re- 6 gelmäßig durch ihre rechtliche Einheit oder ihre vertragsspezifische Gestaltung hinreichend abgegrenzt, so dass sich das „Asset“ eindeutig identifizieren lässt. Bei immateriellen Werten tauchen dagegen einige praktische Probleme auf. Die Datensätze als solche können zwar erfasst bzw. beschrieben werden. 7 Wesentlich ist aber, den Zeitpunkt festzulegen, zu dem der Umfang der zu bewertenden Daten bestimmt wird. Daten werden regelmäßig geändert, ergänzt und aktualisiert. Je nach Inhalt können Daten daher relativ schnell überaltern, so dass sich ihr Wert erheblich vermindert. Folglich muss für Zwecke einer Bewertung genau der Zeitpunkt der Datenerfassung determiniert werden sowie dokumentiert werden, wie das Thema Datenpflege in eine Bewertung eingehen soll. Im Hinblick auf eine mögliche Transaktion und einen Wechsel von 8 Eigentumsrechten ist insbesondere der rechtliche Schutzumfang zu identifizieren. Immaterielle Vermögenswerte können auf der Basis des gewerblichen Rechtsschutzes vor einem unerlaubten Zugriff bzw. einer unerlaubten Nutzung durch Dritte geschützt werden. Wirtschaftlicher Bewertungsgegenstand und rechtliches „Bündel“ von Assets sind dabei eindeutig zu identifizieren. Streitigkeiten über das rechtmäßige Eigentum an dem gewerblichen Schutzrecht bzw. Verletzungen des geistigen Eigentums können einen ganz erheblichen Einfluss auf den Wert haben. Grundsätzlich ist zu klären, ob die Daten überhaupt rechtmäßig gesam- 9 melt, gespeichert und verarbeitet wurden. Darüber hinaus ist im Falle einer Separierung als Asset zu analysieren, ob diese aus dem bestehenden Nutzungskonzept überhaupt herausgelöst werden können. Soweit eine Verwertung durch Dritte nicht möglich oder eingeschränkt ist, vermindert dies die Werthaltigkeit erheblich bzw. macht die Daten praktisch wertlos. Letztlich ist eine wesentliche Voraussetzung für eine Separierung von 10 Daten aus dem bestehenden Kontext, eine rechtliche Analyse durchzuführen. Da die elektronische Datenverarbeitung ein wesentlicher Werttreiber für 11 die Werthaltigkeit von Daten darstellen kann, sind Voraussetzungen und Auswirkungen der verwendeten Hard- bzw. Software zu untersuchen. Für die Bewertung ist zu analysieren, ob sich Daten und elektronische
39
Anke Nestler
Datenverarbeitung überhaupt trennen lassen bzw. getrennt voneinander bewertet werden sollen. 12 Im Ergebnis ist für eine Nutzung von Daten als Asset das Bewertungsobjekt genau hinsichtlich des Zeitpunkts sowie des Umfangs zu definieren und die Aspekte der Datenpflege sowie der Datenverarbeitung zu untersuchen. II. Bewertungsanlässe 13 Wesentlich für die finanzielle Bewertung eines einzelnen Assets ist der jeweilige Anlass. Die Bewertungsanlässe lassen sich grundsätzlich wie folgt unterscheiden: –
Transaktionsbedingte Anlässe: z. B. Kauf bzw. Verkauf von Daten zwischen fremden Dritten, Daten als Sacheinlage
–
Steuerlich bedingte Anlässe: z. B. Nutzungsüberlassung in einer Unternehmensgruppe über Landesgrenzen hinweg (Verrechnungspreise), Ansätze in der Steuerbilanz oder Transfer zwischen Konzerngesellschaften
–
Bilanzielle Anlässe: z. B. Kaufpreisallokation nach nationalen oder internationalen Rechnungslegungsvorschriften, Abschreibung von Bilanzwerten
–
Schadensersatz: z. B. bei Verlust oder Untergang, Verletzung von Eigentums- oder Urheberrechten.
14 Der jeweilige Bewertungsanlass, für den eine finanzielle Bewertung von Daten erforderlich ist, bestimmt auch die Rahmenbedingungen und Annahmen der Vorgehensweise. So werden z. B. im steuerlichen Kontext die Bewertungsparameter durch Richtlinien, Gesetze oder Verordnungen bestimmt. Bei bilanziellen Anlässen geben die entsprechenden Rechnungslegungsvorschriften einen verbindlichen Rahmen vor. Dies gilt es somit zu beachten. Folglich kann das gleiche „Asset“ in einem anderen Bewertungsanlass unterschiedlich bewertet werden. So kann z. B. im Rahmen einer Transaktion zwischen Dritten ein Risikoabschlag angesetzt werden, der bei einer steuerlich bedingten Bewertung so nicht angesetzt werden darf. Eine finanzielle Bewertung ist folglich immer zweckgebunden. 15 Ergänzend zur Abhängigkeit einer Bewertung vom Bewertungsanlass ist das Stichtagsprinzip zu beachten. Bewertungen können immer nur auf einen bestimmten Zeitpunkt erstellt werden. Dieser Zeitpunkt ist der Tag der Erkenntnis. Das bedeutet, dass alle Informationen, die zu 40
Data as Assets – die finanzielle Bewertung von Knowhow
diesem Bewertungsstichtag vorliegen, in der Bewertung entsprechend berücksichtigt werden. Umgekehrt können neue Informationen oder Veränderungen, die nach diesem Stichtag liegen, auch zu einem anderen finanziellen Wert führen. Bewertungen können daher grundsätzlich auch nicht für einen Stichtag bestimmt werden, der in der Zukunft liegt. III. Finanzielle Werthaltigkeit von Daten 1. Definition finanzieller Werthaltigkeit Daten sind aus betriebswirtschaftlicher Sicht immaterielle Vermögens- 16 werte. Der finanzielle Wert eines immateriellen Vermögensgegenstands bestimmt sich in diesem Kontext nach dem erwarteten zukünftigen finanziellen Nutzen, den ein (fiktiver) Erwerber aus dem Vermögenswert ziehen kann.2 Dabei steht eine finanzorientierte Perspektive im Vordergrund, d. h. welchen Wert unabhängige, rational handelnde Parteien mit finanzieller Zielsetzung einem immateriellen Vermögenswert beimessen. Es geht somit rein um ökonomische Vorteile, die mit einem immateriellen Vermögenswert verbunden sind. Im Ergebnis dieser Analyse steht immer ein finanzieller Betrag, der – bei fehlender Werthaltigkeit – auch Null betragen kann. 2. Bewertungsperspektive Wesentlich in einer finanziellen Bewertung ist die Perspektive, aus der 17 bewertet wird. Grundsätzlich kann eine Bewertung neutral, d. h. als unabhängiges Gutachten erarbeitet werden. In diesem Fall wird von den individuellen Vorstellungen einer konkreten Partei abstrahiert und ein allgemein realisierbarer Verkehrswert ermittelt. Alternativ kann die Bewertung von Daten für eine bestimmte Partei, also subjektiv erfolgen. Dies ist z. B. bei der Beratung eines Erwerbers in einer konkret geplanten Transaktion der Fall. Bei einer subjektiven Bewertung ist der Grenzpreis aus der Perspektive einer Partei zu bestimmen, der dann etwa als möglicher Ansatzpunkt für eine Kaufpreisverhandlung zugrunde gelegt werden kann. Schließlich kann eine Bewertung auch im Rahmen eines Schiedsgutachtens erfolgen. Die Bewertungsperspektive hängt somit unmittelbar mit
2
Vgl. IDW S 5, Tz. 14.
41
Anke Nestler
dem Bewertungsanlass zusammen und ist entsprechend zu dokumentieren.3 18 Darüber hinaus ist zu definieren, ob die Bewertung unter going concern Gesichtspunkten erfolgt, d. h. der Wert des immateriellen Vermögensgegenstands aus dem Zusammenspiel mit den anderen „Assets“ ermittelt werden soll (z. B. im Rahmen eines sale-and-license-back Modells), oder ob der Wert völlig losgelöst von den bestehenden Assets erfolgt und ein separater stand-alone Wert zu berechnen ist (z. B. isolierter Verkauf der Daten).4 Letzteres führt in der Regel zu zusätzlichen Bewertungsabschlägen, da ein erhöhtes Risiko durch Abhängigkeiten von anderen, noch unbekannten Faktoren besteht. Dies entspricht im Grunde auch dem Gedanken der US-GAAP, die eine Unterscheidung nach „in use“ versus „in exchange“ treffen. Der Bewertungsanlass spielt somit auch hier eine unmittelbare und sehr bedeutende Rolle. 3. Betriebswirtschaftliche Bewertungsmethoden 19 Ist das Bewertungsobjekt hinreichend abgegrenzt, muss für die Wahl des entsprechenden Bewertungsansatzes und der korrespondierenden Bewertungsmethode die Bewertungsperspektive einbezogen werden. 20 Für die Bewertung immaterieller Vermögenswerte werden in der Regel drei grundsätzliche Methoden herangezogen:5 –
Kostenorientierter Ansatz (Cost Approach)
–
Kapitalwertorientierter Ansatz (Income Approach)
–
Marktorientierter Ansatz (Market Approach)
21 Ausgangspunkt des kostenorientierten Ansatzes sind die Anschaffungsbzw. Herstellungskosten des Bewertungsobjektes. Kostenorientierte Methoden basieren auf der Annahme, dass für die Reproduktion des Bewertungsobjektes nicht mehr als diejenigen Kosten aufgewendet werden müssten, die beim Ersatz durch ein vergleichbares Gut notwendig wären. Damit folgt die Betriebswirtschaftslehre dem Opportunitätskostenprinzip. 22 Hintergrund des kostenorientierten Ansatzes ist folglich, den durch die Nutzung des Bewertungsobjektes in der Zukunft entstehenden finanziellen Vorteil mit dem Preis eines Substitutes zu vergleichen. Es wird dem
3 4 5
42
Zur Bewertungsperspektive s. IDW S 5, Tz. 5 ff. S. IDW S 5, Tz. 5. S. Kasperzak/Nestler, S. 59 ff., IDW S 5, Tz. 18 ff., Parr, S. 67 ff.
Data as Assets – die finanzielle Bewertung von Knowhow
Bewertungsobjekt der durch die Nutzung entstehende finanzielle Vorteil entzogen und den Bereitstellungskosten gegenübergestellt. In diesem Zusammenhang können Kosten als Summe der Aufwendungen definiert werden, die zur Bereitstellung des Vermögens benötigt werden. Der kapitalwertorientierte Ansatz hat seine Wurzeln in der klassischen 23 Investitions- und Unternehmensbewertungstheorie. Der Wert eines immateriellen Vermögens stellt die Eigenschaft dar, dem Eigentümer in Zukunft entziehbare finanzielle Vorteile zu gewähren. Aufgrund dieser Orientierung in die Zukunft wird dieses Verfahren generell auch den Zukunftserfolgswertverfahren zugeordnet. Betriebswirtschaftlich wird dabei auf die isolierte zu erwartende Ertragskraft des Bewertungsobjektes abgestellt, d. h. auf die Möglichkeit, in Zukunft Einzahlungsüberschüsse zu generieren. Allerdings bereitet die Isolierung der Ertragskraft immaterieller Werte in der Praxis erhebliche Probleme. Kapitalwertorientierte Verfahren ermitteln den Wert des immateriellen 24 Vermögens mittels Kapital- bzw. Barwertbildung. Der Wert ist somit ein Gegenwartswert prognostizierter zukünftiger Zahlungsströme (Barwert, present value). Der Wert des immateriellen Vermögens ergibt sich aus dem Vergleich der zukünftigen Zahlungsströme mit einer geeigneten Handlungsalternative. Eine wesentliche Schwierigkeit bei den kapitalwertorientierten Ansät- 25 zen ist somit die Ermittlung von risikoadäquaten Kapitalkosten. Bei einem marktorientierten Ansatz wird der Wert des immateriellen 26 Vermögenswertes durch die Analyse ähnlicher Transaktionen vergleichbarer immaterieller Werte unabhängiger Dritter determiniert. Als zentraler Bewertungsparameter wird dabei der auf dem Markt erzielte Preis herangezogen. Folglich basieren marktwertorientierte Methoden auf der Annahme, dass der erzielte Marktpreis den Nutzen des Bewertungsobjektes widerspiegelt. Voraussetzung für die Anwendung dieser Verfahren ist die Kenntnis von Preisbildungen auf einem aktiven Markt für einen vergleichbaren Vermögenswert. 4. Anwendung der Bewertungsverfahren auf das Bewertungsobjekt „Daten“ Für die Anwendung eines Bewertungsverfahrens kommt es sehr auf den 27 jeweiligen Einzelfall an. Vor diesem Hintergrund können auf allgemeiner Ebene nur einige Grundprinzipien diskutiert werden, die sich in der Praxis auch anders darstellen können.
43
Anke Nestler
28 Lassen sich auf die Daten selbst keine Zahlungsströme unmittelbar zuordnen, wird in der Regel auf das kostenorientierte Verfahren abgestellt.6 Hierbei sind die Kosten im Detail zu analysieren, um eine vergleichbare Qualität an Daten herzustellen. Hinzu kommt gegebenenfalls – je nach Abgrenzung des Bewertungsobjektes – eine qualifizierte Bewertung der Software für die Datenverarbeitung. Zu den Herstellungs- bzw. Reproduktionskosten einer Datensammlung bzw. Datenbank zählen z. B. angefallene Such- und Aufbereitungskosten, ggf. Übersetzungskosten sowie sonstige Kosten zur Bereitstellung der Daten in einem passenden Format und einer passenden Struktur. Die laufenden Kosten der Datenpflege sind hingegen in der Regel hier nicht anzusetzen, da der kostenorientierte Ansatz den Datensatz zu einem bestimmten Stichtag zu dem jeweiligen Stichtag bewertet. 29 Ist eine Software für die Verarbeitung von Daten ebenfalls mitzubewerten, sind die entsprechenden Überlegungen zur Bewertung von Software mit einzubeziehen.7 30 Bei der Anwendung der kostenorientierten Verfahren ist allerdings zu beachten, dass die historischen Kosten bzw. die Reproduktionskosten keine unmittelbare Aussage über die Wirtschaftlichkeit dieses Bewertungsobjekts treffen. Ein solcher Bewertungsansatz verkörpert im Grundsatz die rechenbare „Make-or-Buy-Alternative“. Dieser Ansatz ist bei der Bewertung von Daten oftmals ein vertretbares Konzept. 31 Sollte es möglich sein, die Zahlungsströme unmittelbar auf das Bewertungsobjekt „Daten“ abzustellen, können auch kapitalwertorientierte Verfahren zum Einsatz kommen. In diesem Fall ist allerdings genau zu analysieren, inwieweit auch andere Vermögenswerte des Unternehmens, z. B. Marke, Kundenbeziehungen, Reputation, Prozesse, Kontakte, Verträge, für die Entwicklung der Cashflows eine Rolle spielen. Gegebenenfalls können diese Werte ebenfalls bewertet und von dem ermittelten Barwert abgezogen werden, um den isolierten Wert des Bewertungsobjekts zu erhalten. 32 Bei einer Anwendung von kapitalwertorientierten Verfahren sind folgende wesentlichen Schritte erforderlich –
Abgrenzung der vermögensspezifischen Cashflows
–
Prognose der vermögensspezifischen Cashflows
6 7
S. z.B. ein ähnlicher Grundgedanke im IDW WP Handbuch, Tz. L166. Zur Bewertung von Software s. Hoppen/Hoppen, S. 763 ff., Hoppen, Rz. 1 ff., Kasperzak/Nestler, S. 219.
44
Data as Assets – die finanzielle Bewertung von Knowhow
–
Bestimmung der erwarteten Lebens- bzw. Nutzungsdauer
–
Ermittlung von risikoadäquaten Kapitalkosten
–
Berechnung eines Barwertes.
Bei der Abgrenzung der vermögensspezifischen Cashflows ist zu prüfen, 33 welche Kosten dem Bewertungsobjekt „Daten“ unmittelbar zuzuordnen sind. Bei der Frage der erwarteten Nutzungsdauer sind die rechtlichen, ökonomischen und technischen Rahmenbedingungen zu beachten. Die rechtliche Lebensdauer kann möglicherweise begrenzt sein, wenn eine Person ihre Zustimmung, dass die Daten genutzt und weitergegeben werden können, widerruft. Ansonsten sind Daten – anders als z. B. Patente – nicht als eigenständiges Subjekt im gewerblichen Rechtsschutz registriert und unterliegen damit keiner festen Schutzdauer. Ökonomische Obsoleszenz kann aus der Verwertbarkeit der Daten resultieren. Die Werthaltigkeit von Daten wird im Regelfall durch deren Aktualität bestimmt. Verhaltensmuster, Geschmäcker und Gewohnheiten können sich im Zeitablauf, durch neue Produkte oder Trends schnell ändern, so dass auch die Datensätze zu aktualisieren sind. Hinsichtlich der technischen Rahmenbedingungen spielen v. a. die Möglichkeiten der Datenverarbeitung eine wichtige Rolle. Für die risikoadäquaten Kapitalkosten geht die Betriebswirtschaftsleh- 34 re in der Regel von der Risikozuschlagsmethode aus. Dabei müssen die Cashflows Erwartungswerte darstellen, die mit einem risikoangepassten Zins auf den Stichtag diskontiert werden.8 In der aktuellen Bewertungstheorie und -praxis wird von einem gewogenen, durchschnittlichen Kapitalkostensatz eines Unternehmens (Weighted Average Cost of Capital, WACC) ausgegangen. IV. Schlussfolgerung Die Betriebswirtschaftslehre hat anerkannte Methoden für die Bewer- 35 tung von immateriellen Vermögenswerten entwickelt, zu denen auch das Bewertungsobjekt „Daten“ zu zählen ist. Diese Methoden gilt es für diese Fragestellungen anzuwenden und anhand der aufkommenden praktischen Probleme systematisch weiterzuentwickeln. Dabei ist eine sehr enge Verzahnung mit der Bewertung von Software zu berücksichtigen.
8
Vgl. IDW S 5, Tz. 41.
45
Agile Projekte aus arbeitsrechtlicher Sicht Anne Förster* 1. Überblick über die Rechtsverhältnisse 2. Abgrenzung Dienst-/Werkverträge von der Arbeitnehmerüberlassung nach neuem Recht a) Ziele der Gesetzesreform b) Kodifikation der Rechtsprechung in § 1 Abs. 1 S. 2 AÜG und § 611a BGB 3. Allgemeine Abgrenzungskriterien a) Vereinbarung eines abgegrenzten Leistungsgegenstandes b) Keine Eingliederung des Fremdpersonals in die Betriebsorganisation des Auftraggebers c) Weisungsausübung
4. Abgrenzung des Fremdpersonaleinsatzes bei agilen Projektmethoden a) Vorab abgegrenzter Leistungsgegenstand bei agilen Projekten b) Keine Eingliederung in die Arbeitsorganisation des Auftraggebers c) Keine Weisungsbefugnis gegenüber dem Fremdpersonal seitens des Product Owners 5. Fazit
Literaturübersicht: Baeck/Winzer, Drittpersonaleinsatz: Risiko der Fiktion eines Arbeitsverhältnisses mit dem Auftraggeber, NZA 2015, 270; Giesen, Reform der Leiharbeit, ZRP 2016, 130; Heise, Sozialversicherungspflicht in der agilen Arbeitswelt, NZA 2017, 1571; Heise/Friedl, Flexible („agile“) Zusammenarbeit zwischen Unternehmen versus illegale Arbeitnehmerüberlassung – das Ende von Scrum?, NZA 2015, 129; Henssler, Arbeitnehmerüberlassung und Werkverträge, 1. Auflage 2017; Henssler, Fremdpersonaleinsatz durch ON-Site-Werkverträge und Arbeitnehmerüberlassung – offene Fragen und Anwendungsprobleme des neuen Rechts, RdA 2017, 83; Henssler, Überregulierung statt Rechtssicherheit – der Referentenentwurf des BMAS zur Reglementierung von Leiharbeit und Werkverträgen, RdA 2016, 18; Litschen/Yacoubi, Arbeitnehmerüberlassung und agile Prozess- und Organisationsmethoden, NZA 2017, 484; Maschmann, Fremdpersonaleinsatz im Unternehmen und die Flucht in den Werkvertrag, NZA 2013, 1305; Schüren/Hamann, C., Kommentar Gesetz zur Regelung der Arbeitnehmerüberlassung (Arbeitnehmerüberlassungsgesetz AÜG), 5. Auflage 2018; Siebert/ Novak, Neue gesetzliche Regelungen zu AÜG und Werkvertrag – Update 2017, ArbR Aktuell 2016, 391; Thüsing/Schmidt, Rechtssicherheit zur effektiveren Bekämpfung von missbräuchlichem Fremdpersonaleinsatz, ZIP 2016, 54; Tuengerthal/ Andorfer, Neue Abgrenzung von Arbeitnehmerüberlassung und Werkvertrag? BB *
Rechtsanwältin Dr. Anne Förster, Fachanwältin für Arbeitsrecht, Salary Partner bei Taylor Wessing Partnergesellschaft mbB.
47
Anne Förster 2016, 1909; Zieglmeier, Werkverträge und Arbeitnehmerüberlassung im Lichte des AÜG 2017, DStR 2016, 2858.
1 In der arbeitsrechtlichen Literatur wurde lange Zeit nicht (und in der Rechtsprechung soweit ersichtlich bis heute nicht) die Frage der rechtskonformen Umsetzung agiler Projekte thematisiert. Obwohl bereits im Jahr 2001 das „Manifest für agile Softwareentwicklung“1 von einer Gruppe renommierter Softwareentwickler verfasst worden ist und die agile Softwareentwicklung von dort seinen Siegeszug in die Welt antrat, geschah dies (weitgehend) unbemerkt von der deutschen arbeitsrechtlichen Literatur und Rechtsprechung. Dies änderte sich erst mit der Gesetzesreform des Arbeitnehmerüberlassungsgesetzes (AÜG) im Jahr 2016, die den rechtskonformen Fremdpersonaleinsatz in den Fokus rückte.2 Bis zur Reform des AÜG war es üblich, dass der (IT-) Dienstleister eine vorsorgliche Arbeitnehmerüberlassungserlaubnis für den Fall besaß, dass die zwischen ihm und dem jeweiligen Kunden praktizierte Vertragsbeziehung zu einer Arbeitnehmerüberlassung umgedeutet wird. Damit war für den Auftraggeber eine Beauftragung auf Werk-/Dienstvertragsbasis möglich, unabhängig davon, ob die tatsächliche Durchführung der Vertragsbeziehung nachträglich als Arbeitnehmerüberlassung gewertet wurde. Das Vertragsverhältnis wurde in diesem Fall umgedeutet und hatte – jedenfalls für den Auftraggeber – keine weiteren Konsequenzen. Seit dem 1.4.2017 ist ein Rückgriff auf diese sogenannte „Vorrats-Arbeitnehmerüberlassung“ nicht mehr möglich. Vielmehr müssen sich die Vertragspartner vor Aufnahme der Tätigkeit entscheiden, ob sie einen Werk- bzw. Dienstvertrag oder einen Arbeitnehmerüberlassungsvertrag abschließen möchten und dies auch entsprechend im Vertrag kenntlich machen. Eine Fehleinordnung hat – sowohl für den Auftragnehmer wie den Auftraggeber – erhebliche Konsequenzen: Liegt ein Tatbestand verdeckter Arbeitnehmerüberlassung vor, kommt gem. § 9 Abs. 1 Nr. 1-1b, § 10 Abs. 1 S. 1 AÜG kraft Gesetzes ein Arbeitsverhältnis zwischen dem Entleiher und dem eingesetzten Fremdpersonal zustande – und zwar rückwirkend auf den Zeitpunkt der erstmaligen Umsetzung des Scheinwerk- bzw. Scheindienstvertrages. Anderes gilt nur, sofern die eingesetzten Mitarbeiter des Dienstleisters form- und fristgerecht eine Festhaltenserklärung abgeben (§ 9 Abs. 1 Nr. 1b AÜG). Daneben kann der Mitarbeiter Nachvergütungsansprüche geltend machen: Er hat Anspruch auf die gleiche
1 2
48
https://agilemanifesto.org/iso/de/manifesto.html. Vgl. Litschen/Yacoubi, NZA 2017, 484 ff.; Henssler, RdA 2017, 83 ff.; Heise, NZA 2017, 1571 ff.; Heise/Friedl, NZA 2015, 129 ff.; Schüren/Hamann/ Hamann, § 1 AÜG Rz. 35
Agile Projekte aus arbeitsrechtlicher Sicht
Vergütung wie ein vergleichbarer Stammarbeitnehmer des Kunden (§ 8 Abs. 1 AÜG). Hierbei sind nicht nur der Stundenlohn zu berücksichtigen, sondern alle dem Stammarbeitnehmer zustehenden Entgeltbestandteile, etwa Urlaubsgeld oder vergünstigtes Kantinenessen. Ein solcher Nachvergütungsanspruch verpflichtet zudem den Auftraggeber, Sozialversicherungsabgaben sowie die Lohnsteuer für diese Mitarbeiter abzuführen.3 Zudem ist der Verstoß gegen die „Falschbezeichnung“ des Vertrages bußgeldbewehrt (§ 16 Abs. 1 Nr. 1c und/oder § 16 Abs. 1 Nr. 1d AÜG).4 Schließlich kann auch eine Strafverfolgung nach § 266a StGB in Betracht kommen, wenn die Art des Tätigwerdens der eingesetzten Mitarbeiter dem (neuen) Arbeitgeber bekannt war. In diesem Fall handelt es sich um eine vorsätzliche Fehlqualifizierung der Einsatzform. Die durch die Reform des AÜG bewirkte Verschärfung der Sanktionen hat auch Auswirkungen auf die Vertragsgestaltung bei (agilen) IT-Projekten. Da den Parteien der „Ausweg“ einer Umbenennung der Vertragsart genommen wurde, ist besondere Sorgfalt bei der Vertragsgestaltung sowie der späteren Umsetzung des Vertrages geboten. Als rechtlicher Rahmen für die (agile) Softwareentwicklung wird zu- 2 meist ein Werk- oder Dienstvertrag gewählt. Agile IT-Projektmethoden wie Scrum oder Kanban zeichnen sich dadurch aus, dass die zu entwickelnde Software in kleine Projekte gegliedert und in enger Abstimmung zwischen Aufraggeber und Auftragnehmer schrittweise entwickelt wird. Aufgrund der eng verzahnten Zusammenarbeit mit den Kunden im Bereich des agilen Programmierens besteht jedoch – je nach Ausgestaltung der Vertragsbeziehung – das Risiko, dass die Grenze zur Arbeitnehmerüberlassung überschritten wird. Im Folgenden wird daher der Frage nachgegangen, welche Kriterien bei der Ausgestaltung von agilen IT-Projekten auf Basis von Dienst- bzw. Werkverträgen zu beachten sind, damit diese Grenze nicht überschritten wird. 1. Überblick über die Rechtsverhältnisse Nach § 1 Abs. 1 S. 1 AÜG liegt Arbeitnehmerüberlassung vor, wenn 3 Arbeitgeber als Verleiher Dritten (Entleihern) Arbeitnehmer (Leiharbeitnehmer) im Rahmen ihrer wirtschaftlichen Tätigkeit zur Arbeitsleistung überlassen. Die Arbeitnehmerüberlassung ist damit von anderen Vertragskonstruktionen, insbesondere dem Fremdpersonaleinsatz im Rahmen von Dienst-Werkverträgen abzugrenzen. Dabei spielt aus arbeits3 4
Schüren/Hamann/Hamann, § 1 AÜG Rz. 141. Vgl. zum Ganzen Schüren/Hamann/Schüren, § 9 AÜG Rz. 94 ff.
49
Anne Förster
rechtlicher Sicht die zivilrechtliche Abgrenzung eines Dienstvertrages von einem Werkvertrag keine Rolle. Sowohl das BAG wie der BGH definieren Werk- sowie Dienstvertrag einheitlich.5 Zwar ist aus zivilrechtlicher Sicht eine Abgrenzung eines Dienst- von einem Werkvertrag, gerade mit Blick auf die haftungsrechtlichen Folgen, notwendig. Aus arbeitsrechtlicher Sicht stellt sich jedoch allein die Frage, ob der im Rahmen eines Dienst- oder Werkvertrages erfolgte Einsatz des Fremdpersonals die Grenze zur (verdeckten) Arbeitnehmerüberlassung überschreitet. 2. Abgrenzung Dienst-/Werkverträge von der Arbeitnehmerüberlassung nach neuem Recht a) Ziele der Gesetzesreform 4 Mit Wirkung zum 1.4.2017 wurde das AÜG mit dem Ziel reformiert, die Zeitarbeit „auf ihre Kernfunktion hin zu orientieren und den Missbrauch von Werkvertragsgestaltungen zu verhindern“.6 Dabei hatte der Gesetzgeber solche Vertragskonstruktionen im Blick, in denen Werkverträge gezielt eingesetzt wurden, um Arbeitnehmerschutzrechte zu umgehen.7 In den auch in der Presse vielfach diskutierten Fällen handelte es sich meist um die Vergabe von einfachen Helfertätigkeiten, die (unzulässigerweise) auf Werkvertragsbasis vergeben wurden und in denen die eingesetzten Werkunternehmer oftmals einen Stundenlohn weit unter dem Mindestlohn erhielten. Die IT-Branche mit ihren – im Projektgeschäft weit über dem Mindestlohn – gezahlten Stundenlöhnen war insofern nicht im Fokus der Reform des AÜG. Daher bestand in der IT-Branche zunächst die Hoffnung, dass das reformierte AÜG für Projektgeschäfte eine Bereichsausnahme enthalte. Diese Hoffnung wurde genährt durch Formulierungen in der Beschlussempfehlung des Ausschusses für Arbeit und Soziales vom 19.10.2016, in der es zunächst heißt: „Das Gesetz ziele nicht darauf ab, die unternehmerische Tätigkeit beispielsweise von Beratungsunternehmen einzuschränken. Die Neuregelung solle dem sachgerechten Einsatz von Werk- und Dienstverträgen in den zeitgemäßen Formen des kreativen oder komplexen Projektgeschäfts nicht entgegenstehen, wie sie zum Beispiel in der Unterneh5 6 7
50
BAG v. 25.9.2013 – 10 AZR 282/12, NZA 2013, 1348 Rz. 16; BGH, BGHZ 151, 330, II.1 der Gründe zu Werkverträgen. Vgl. Entwurf des Gesetzes zur Änderung des Arbeitnehmerüberlassungsgesetzes und anderer Gesetze v. 20.7.2016, BT-Drucks. 18/9232. Vgl. Zeit Online v. 2.6.2017 (https://www.zeit.de/politik/deutschland/2017-06/ fleischindustrie-bundestag-staerkt-rechte-arbeitnehmer-arbeitsrecht): „Arbeiter in Schlachthöfen erhalten mehr Rechte“.
Agile Projekte aus arbeitsrechtlicher Sicht
mensberatungs-oder IT-Branche in Optimierungs-, Entwicklungs- und IT-Einführungsprojekten anzutreffen seien.” 5
Allerdings heißt es sodann weiter: „Auch für solche Einsätze und für die Tätigkeit von Beratern sollen die allgemeinen Grundsätze zur Abgrenzung zwischen Dienst- und Werkleistungen auf der einen und Arbeitnehmerüberlassung auf der anderen Seite weiterhin zur Anwendung kommen.” Damit hat der Gesetzgeber eindeutig klargestellt, dass es bei der Frage der Abgrenzung der Werk-/Dienstverträge von der (verdeckten) Arbeitnehmerüberlassung keine Branchenausnahmen geben wird, sondern vielmehr in jedem Einzelfall – unabhängig von der Branche – geprüft werden muss, ob die von der Rechtsprechung entwickelten Abgrenzungskriterien eingehalten worden sind. b) Kodifikation der Rechtsprechung in § 1 Abs. 1 S. 2 AÜG und § 611a BGB
Der Gesetzgeber hat sich entschieden, die verfolgten Ziele – Verhinde- 6 rung des Missbrauchs von Werkvertragsgestaltungen sowie „Rückorientierung“ des Einsatzes der Zeitarbeit auf ihre Kernfunktion – mit einer Neuregelung in § 611a BGB sowie der Reform des Arbeitnehmerüberlassungsgesetzes zu erreichen. So wurde mit Blick auf die vorliegend zu erörternde Frage der Abgrenzung der Vertragsarten § 1 Abs. 1 S. 2 AÜG wie folgt neu gefasst: „Arbeitnehmer werden zur Arbeitsleistung überlassen, wenn sie in die Arbeitsorganisation des Entleihers eingegliedert sind und seinen Weisungen unterliegen.“ Parallel zur Neuregelung des AÜG hat der Gesetzgeber in § 611a BGB 7 den Arbeitsvertrag definiert. Ursprünglich war im ersten Referentenentwurf in § 611a Abs. 2 BGB ein sogenannter „Negativkatalog“ enthalten. Hier wurden die folgenden Kriterien aufgezählt, die für die Arbeitnehmereigenschaft sprechen sollen: „Für die Feststellung, ob jemand in eine fremde Arbeitsorganisation eingegliedert ist und Weisungen unterliegt, ist eine wertende Gesamtbetrachtung vorzunehmen. Für diese Gesamtbetrachtung ist insbesondere maßgeblich, ob jemand a. nicht frei darin ist, seine Arbeitszeit oder die geschuldete Leistung zu gestalten oder seinen Arbeitsort zu bestimmen,
51
Anne Förster
b. die geschuldete Leistung überwiegend in Räumen eines anderen erbringt, c. zur Erbringung der geschuldeten Leistung regelmäßig Mittel eines anderen nutzt, d. die geschuldete Leistung in Zusammenarbeit mit Personen erbringt, die von einem anderen eingesetzt oder beauftragt sind, e. ausschließlich oder überwiegend für einen anderen tätig ist, f. keine eigene betriebliche Organisation unterhält, um die geschuldete Leistung zu erbringen, g. Leistungen erbringt, die nicht auf die Herstellung oder Erreichung eines bestimmten Arbeitsergebnisses oder eines bestimmten Arbeitserfolges gerichtet sind, h. für das Ergebnis seiner Tätigkeit keine Gewähr leistet.“8 8 Dieser Negativkatalog war jedoch auf harsche Kritik gestoßen.9 Kritisiert wurde insbesondere, dass „der Diskussionsvorschlag in dem Katalog des Abs. 2 Kriterien von ganz untergeordneter Bedeutung aufwertet und andere von der Rechtsprechung entwickelte Merkmale vernachlässigt“.10 Der Kriterienkatalog hätte auch die IT-Branche stark getroffen, da gerade in IT-Projekten die Mitarbeiter oftmals vor Ort sitzen und die Betriebsmittel des Auftraggebers verwenden mit der Folge, dass das Risiko gestiegen wäre, dass bei der Prüfung „vorschnell“ von einer Arbeitnehmereigenschaft dieser Mitarbeiter ausgegangen werde. Der Gesetzgeber reagierte auf die Kritik und formulierte stattdessen eine von der Rechtsprechung11 entworfene und von Thüsing/Schmidt12 zur Übernahme ins Gesetz vorgeschlagene Definition des Arbeitnehmerbegriffs in § 611a S. 1-3 BGB, die eine bloß typologische Beschreibung darstellt.13 Der Gesetzgeber hat sich damit entschieden, keinen abschließenden Kriterienkatalog festzulegen. Vielmehr ist nun gemäß § 611a S. 4 BGB für die Feststellung der Arbeitnehmereigenschaft eine Gesamtbetrachtung aller Kriterien maßgeblich.14 Hiernach ist nun entscheidend:
8 Referentenentwurf des Bundesministeriums für Arbeit und Soziales v. 16.11.2015 zum Entwurf eines Gesetzes zur Änderung des Arbeitnehmerüberlassungsgesetzes und anderer Gesetze, S. 10. 9 Vgl. nur Thüsing/Schmidt, ZIP 2016, 54 ff.; Henssler, RdA 2016, 18 ff. 10 Henssler, RdA 2016, 18, 19. 11 BAG v. 11.8.2015 – 9 AZR 98/14, NZA-RR 2016, 288 ff. 12 Thüsing/Schmidt, ZIP 2016, 54 ff. 13 S. hierzu Wissenschaftlicher Dienst, WD 6 – 3000 – 113/16, 14 f. 14 Die Reaktion der Literatur hierauf war gemischt – während Hamann meinte, „da kann man wenig falsch machen“ (ArbuR 2016, 136 f.), sieht Giesen, ZRP
52
Agile Projekte aus arbeitsrechtlicher Sicht
„Durch den Arbeitsvertrag wird der Arbeitnehmer im Dienste eines anderen zur Leistung weisungsgebundener, fremdbestimmter Arbeit in persönlicher Abhängigkeit verpflichtet. Das Weisungsrecht kann Inhalt, Durchführung, Zeit und Ort der Tätigkeit betreffen. Weisungsgebunden ist, wer nicht im Wesentlichen frei seine Tätigkeit gestalten und seine Arbeitszeit bestimmen kann. Der Grad der persönlichen Abhängigkeit hängt dabei auch von der Eigenart der jeweiligen Tätigkeit ab. Für die Feststellung, ob ein Arbeitsvertrag vorliegt, ist eine Gesamtbetrachtung aller Umstände vorzunehmen. Zeigt die tatsächliche Durchführung des Vertragsverhältnisses, dass es sich um ein Arbeitsverhältnis handelt, kommt es auf die Bezeichnung im Vertrag nicht an.“ 3. Allgemeine Abgrenzungskriterien Für die Abgrenzungsfrage beim Einsatz von Fremdpersonal auf Werk-/ 9 Dienstvertragsbasis von einer (verdeckten) Arbeitnehmerüberlassung kommt es demnach auf den Grad der persönlichen Abhängigkeit des Fremdpersonals zum Auftraggeber an.15 Für diese Beurteilung sind im Wesentlichen die nachfolgenden Kriterien anzuwenden: –
Konkretisierter Leistungsgegenstand vor Leistungserbringung
–
Eingliederung des Fremdpersonals in die Arbeitsorganisation des Auftraggebers,
–
Weisungsausübung des Auftraggebers gegenüber dem Fremdpersonal.16
a) Vereinbarung eines abgegrenzten Leistungsgegenstandes Ein wesentliches Abgrenzungskriterium des Dienst- bzw. Werkvertra- 10 ges zur Arbeitnehmerüberlassung stellt zunächst die Vereinbarung eines konkreten Leistungsgegenstandes dar. Während die Arbeitnehmerüberlassung durch die reine Personalgestellung gekennzeichnet ist, ist Basis eines Dienst- bzw. Werkvertrages die Vereinbarung einer konkret zu erbringenden Leistung bzw. die Herstellung eines konkreten Werkes. Dabei müssen die Leistungen vertraglich grundsätzlich soweit präzisiert sein,
2016, 130 ff., in dieser 1:1 Kodifizierung der Rechtsprechung des BAG „keine inhaltlichen Veränderungen“. 15 BAG v. 25.9.2013 – 10 AZR 282/12, NZA 2013, 1348, 1350; BAG v. 21.1.2003 – X ZR 261/01, NZA 2003, 616; BGH v. 25.6.2002 – X ZR 83/00, NZA 2002, 1086; BAG v. 9.11.1994 – 7 AZR 217/94, BB 1995, 1293. 16 BAG v. 6.8.2003 – 7 AZR 180/03, NZA 2004, 1182; BAG v. 24.5.2006 – 7 AZR 365/05, EzAÜG § 10 AÜG Fiktion Nr. 114; BAG v. 18.1.2012 – 7 AZR 723/10, NZA-RR 2012, 455.
53
Anne Förster
dass auf dieser Grundlage die Dienstleistungen ohne weitere Weisungen in eigener Verantwortung erbracht werden können.17 b) Keine Eingliederung des Fremdpersonals in die Betriebsorganisation des Auftraggebers 11 Darüber hinaus darf es im Rahmen einer Dienst- bzw. Werkleistung nicht zu einer Eingliederung des Fremdpersonals in den Betrieb des Auftraggebers kommen. Eine solche wird angenommen, wenn das Fremdpersonal selbst in die fremde Arbeitsorganisation eingebunden wird und der Auftraggeber typische Entscheidungen über den Arbeitseinsatz trifft18. Dabei implizieren arbeitgebertypische Entscheidungsbefugnisse des Auftraggebers, insbesondere hinsichtlich der Arbeitszeit, des Arbeitsortes und der Auswahl der eingesetzten Mitarbeiter (Anzahl und Qualifikation), dass die Personal- und Organisationshoheit – konträr zu einem Werk-/Dienstvertrag – bei dem Auftraggeber liegen.19 12 Ein weiteres – gewichtiges – Indiz für die Integration des Fremdpersonals in den Auftraggeberbetrieb stellt ein arbeitsteiliges Zusammenwirken des Eigen- und Fremdpersonals dar. Durch die Verzahnung der einzelnen Arbeitsbeiträge wird die Selbstständigkeit und Eigenverantwortlichkeit des Auftragnehmers erheblich eingeschränkt. Die einzelnen Arbeitsbeiträge können nicht mehr eindeutig dem Auftraggeber oder Auftragnehmer zugeordnet werden. Diese abgestimmten Arbeitsprozesse führen zu einer unmittelbaren Einbindung in die Arbeitsorganisation des Fremdbetriebs, da der Auftraggeber über das eingesetzte Fremdpersonal wie über Eigenpersonal verfügt.20 Auch die Überlassung von Arbeitsmitteln (z. B. Nutzung der Hard- und Software des Auftraggebers, unentgeltliche Bereitstellung von Büroräumen) stellt ein Integrationsindiz dar, das gegen einen Dienst- bzw. Werkvertrag spricht, da die Versorgung des Personals mit Arbeitsmitteln zu den wesentlichen Aufgabenbereichen des Arbeitsgebers zählt.21
17 Vgl. LSG Baden-Württemberg v. 14.2.2012 – L 11 KR 3007/11, juris; BAG v. 9.11.1994 – 7 AZR 217/94, juris. 18 Schüren/Hamann/Hamann, § 1 AÜG Rz. 129. 19 Zieglmeier, DStR 2016, 2858, 2859. 20 BAG v. 9.7.1991 – 1 ABR 45/90, NZA 1992, 275; Baeck/Winzer, NZA 2015, 270 f. 21 BAG v. 30.1.1991 – 7 AZR 497/89, NZA 1992, 19.
54
Agile Projekte aus arbeitsrechtlicher Sicht
c) Weisungsausübung Schließlich sprechen die fortlaufende Erteilung von arbeitsbezogenen 13 Weisungen durch den Auftraggeber gegenüber dem Fremdpersonal gegen einen Dienst- bzw. Werkvertrag. Bei der Erteilung von Weisungen ist allerding zwischen arbeitsvertraglichen Weisungen gem. § 106 GewO, welche der Arbeitgeber gegenüber seinem Personal ausübt, und fachlichen Weisungen nach § 645 Abs. 1 S. 1 BGB, die dem Auftraggeber gegenüber dem Auftragnehmer zustehen, zu differenzieren22. Arbeitsvertragliche Weisungen betreffen die Art und Weise der Leis- 14 tungsausführung und ermöglichen dem Arbeitgeber das Eigenpersonal inhaltlich, zeitlich und örtlich zu disponieren. Da dieses Recht den Kernbereich eines Arbeitsverhältnisses betrifft, ist die Erteilung arbeitsvertraglicher Weisungen allein dem Arbeitgeber vorbehalten. Fachliche Weisungen, die werkbezogen ausgestaltet sind (z. B. welche Bezahlmethoden bei der Programmierung eines Online-Shops zur Verfügung stehen sollen), sind werkvertragstypisch und führen nicht zu einer verdeckten Arbeitnehmerüberlassung, da diese die Grundlage für eine reibungslose Leistungsdurchführung bilden können.23 Die Abgrenzung ist in der Praxis häufig schwierig, da sich arbeitsvertragliche und fachliche Weisungen oft überschneiden. Maßgeblich ist daher, dass der Leistungsgegenstand vor Ausführung hinreichend konkret beschrieben wird, sodass eine selbstständige und selbstbestimmte Arbeit des Fremdpersonals gewährleistet werden kann.24 4. Abgrenzung des Fremdpersonaleinsatzes bei agilen Projektmethoden Besondere Schwierigkeiten bereitet die Abgrenzung werk-/dienstver- 15 traglicher Einsätze von der Arbeitnehmerüberlassung beim Einsatz agiler Projektmethoden wie Scrum oder Kanban.25 Bei diesen Projektmethoden geht es um die Abwicklung komplizierter Prozesse über einen längeren Zeitraum. In Abkehr von der früher vorherrschenden „Wasserfallmethode“, bei der die Softwareentwicklung anhand eines vorab festgelegten Pflichtenhefts erfolgte, erfolgt die Entwicklung bei Scrum in iterativen Schritten.26 Bedingt durch die Komplexität des Projekts 22 Schüren/ Hamann/Hamann, § 1 AÜG Rz. 165. 23 BAG v. 14.6.2016 – 9 AZR 305/15, NZA 2016, 1453; Heise/Friedl, NZA 2015, 129, 133 f. 24 BAG v. 25.9.2013 – 10 AZR 282/12, NZA 2013, 1348; BAG v. 30.1.1991 – 7 AZR 497/89, NZA 1992, 19. 25 Heise/Friedl, NZA 2015, 129 ff.; Litschen/Yacoubi, NZA 2017, 484 ff. 26 S. hierzu Schüren/Hamann/Hamann, § 1 AÜG Rz. 203 ff.
55
Anne Förster
wird die Verwirklichung in mehrere aufeinander folgende Aufgaben („Sprints“) aufgeteilt. Der Dienstleister übernimmt die Realisierung der Aufgaben auf der Grundlage von Werk- bzw. Dienstverträgen. Dabei organisiert sich das Entwickler-Team eigenständig. Die Nähe zur Arbeitnehmerüberlassung resultiert daraus, dass die an den Dienstleister vergebenen Projekte oder Sprints oft eng mit der Tätigkeit eigener Mitarbeiter des Auftraggebers verflochten sind und es eines ständigen wechselseitigen Informationsaustausches und einer Abstimmung beim Projektfortschritt bedarf. 16 Üblicherweise ist der Ablauf eines Scrum-Projekts wie folgt: Der Entwicklungsprozess wird von einem Projektleiter des Auftraggebers („Product Owner“) gesteuert. Der Product Owner definiert und konkretisiert die Sprints und stellt sie in eine Auftragsliste ein („Product Backlog“). Auf dieses sich ständig weiterentwickelnde Lastenheft hat das Fremdpersonal unmittelbar Zugriff. Sie entscheiden im Team, welcher Mitarbeiter welche Aufgabe lösen soll. Darüber hinaus soll der sogenannte „Scrum Master“ für den reibungslosen Ablauf des Projektes sorgen. Dieser wird häufig vom Auftragnehmer gestellt oder wird als Selbständiger vom Auftragnehmer mithinzugezogen. Der Scrum Master hat keine Weisungsbefugnisse, sondern nur beratende Funktion. Er soll beraten und Hindernisse beseitigen helfen.27 Dabei ist der Scrum Master insbesondere für das Coachen des Entwicklungsteams hin zu Selbstorganisation und funktionsübergreifender Teamarbeit, der Unterstützung des Entwicklungsteams bei der Schaffung hochwertiger Produkte sowie dem Beseitigen von Hindernissen, die das Entwicklungsteam aufhalten könnten, zuständig.28 Zudem ist er Ansprechpartner für den Product Owner. 17 Wie oben dargelegt, folgt die Grenzziehung auch bei agilen Projektmethoden den allgemeinen Grundsätzen für die Abgrenzung der Arbeitnehmerüberlassung von Dienst-/Werkvertragseinsätzen. Demnach ist entscheidend, ob die Tätigkeit der externen Projektmitarbeiter fremdgesteuert wird, ihre Arbeit also vom Auftraggeber direkt oder über eine zwischengeschaltete Person organisiert wird.29 Dabei ist zu beachten, dass die rechtliche (vertragliche) Ausgestaltung des Vertragsverhältnisses bei der Abgrenzung zwischen einer Arbeitnehmerüberlassung und einem Dienst-/Werkvertrag zwar herangezogen wird, jedoch nicht die alleinige Entscheidungsgrundlage darstellt. Vielmehr hat eine wertende Gesamt-
27 So Schüren/Hamann/Hamann, § 1 AÜG Rz. 203. 28 So Heise/Friedel, NZA 2015, 129, 131. 29 Schüren/Hamann/Hamann, § 1 AÜG Rz. 205.
56
Agile Projekte aus arbeitsrechtlicher Sicht
betrachtung der tatsächlichen Gestaltung des Geschäftsinhalts zu erfolgen, die alle Umstände des Einzelfalls berücksichtigt. a) Vorab abgegrenzter Leistungsgegenstand bei agilen Projekten Auf den ersten Blick schließen sich agile Projektmethoden und das Erfor- 18 dernis des vorab definierten Leistungsgegenstandes aus. Eine vorab festgelegte Leistungsbeschreibung – etwa in Form eines Lasten- bzw. Pflichtenhefts – entspricht gerade nicht dem Wesen agiler Projekte, sondern dem „alten“ Wasserfallmodell. Es ist bei agilen Projekten nicht möglich, vorab die zu erbringende Leistung bzw. das Werk so konkret zu beschreiben, dass es keiner weiteren Konkretisierung des Auftraggebers bedarf. Insofern kann der zwischen den Parteien geschlossene Vertrag auch nur generisch festlegen, welches Werk bzw. welche Leistung der Auftragnehmer erbringen soll. Die Parteien schließen demnach zumeist einen Rahmenvertrag, der generisch den Leistungsgegenstand beschreibt und die Art und Weise der Zusammenarbeit der Parteien regelt. Die Konkretisierung der Leistung erfolgt sodann im Rahmen von Einzelabrufen (den „Sprints“). Auf diese Weise ist sichergestellt, dass vor der Leistungserbringung durch den Auftragnehmer die Leistung hinreichend durch den Auftraggeber in Person des Product Owners konkretisiert wurde.30 Dabei ist darauf zu achten, dass die einzelnen zu erbringenden Leistungen nicht zu Kleinstgewerken atomisiert werden, da solche Kleinstaufträge Indiz für eine verdeckte Arbeitnehmerüberlassung (bzw. Scheinselbständigkeit) sein sollen.31 b) Keine Eingliederung in die Arbeitsorganisation des Auftraggebers Darüber hinaus ist bei der Umsetzung agiler Projekte auf Basis von 19 Dienst- bzw. Werkverträgen darauf zu achten, dass es nicht zu einer Eingliederung der Fremdpersonalmitarbeiter in die Arbeitsorganisation des Auftraggebers kommt. Schwierigkeiten bereiten hierbei vor allem die Konstellationen, in denen der Auftraggeber eine Vor-Ort-Tätigkeit des Entwicklungsteams wünscht, um (auch) einen Know-How-Transfer zu seinen Mitarbeitern zu gewährleisten. Aus diesem Grund werden oft „gemischte“ Teams bestehend aus Auftraggeber- und Auftragnehmer-Mitarbeitern gebildet, die vor Ort beim Auftraggeber das Projekt realisieren.
30 Kritisch hierzu Schüren/Haman/Hamann, § 1 AÜG Rz. 208. 31 S. hierzu Fachliche Weisungen Arbeitnehmerüberlassungsgesetz Bundesagentur für Arbeit, S. 16.
57
Anne Förster
Eine solche enge Abstimmung und Zusammenarbeit stellt ein starkes Indiz für die Eingliederung des Fremdpersonals in die Arbeitsorganisation des Auftraggebers dar. Insofern ist darauf zu achten, dass keine gemischten Teams gebildet und auf eine vor-Ort Tätigkeit – bis auf Besprechungen – verzichtet wird. Es muss sichergestellt werden, dass auch in der Rückschau der Leistungsbeitrag des seitens des Auftragnehmers eingesetzten Entwicklungsteams eigenständig erbracht und abgrenzbar von den Leistungen der Auftraggeber-Mitarbeiter ist. c) Keine Weisungsbefugnis gegenüber dem Fremdpersonal seitens des Product Owners 20 Bei einer strikten Befolgung der agilen Projektorganisation kommt es zu keinen arbeitsbezogenen Weisungen des Product Owners gegenüber dem Entwicklungsteam. Dies würde gegen das den agilen Prozessmethoden immanente Grundprinzip der Selbstorganisation verstoßen. Die Verteilung der Aufgaben innerhalb des Entwicklungs-Teams erfolgt gerade einvernehmlich zwischen den Teammitgliedern, und somit sind keine arbeitsrechtlichen Weisungen erforderlich. In Scrum sind die Einflussmöglichkeiten des Product Owners klar umgrenzt, in dem er (nur) fachliche, ergebnisbezogene Anforderungen stellen kann, die im Product Backlog hinterlegt werden. Allerdings ist die Grenzziehung in der gelebten Praxis oft schwierig – sie erfordert ein hohes Maß an Selbstdisziplin unter den Projektbeteiligten.32 Erteilt der Product Owner – oder andere Mitarbeiter des Auftraggebers – den einzelnen Mitarbeitern des Entwicklungsteams gegenüber unmittelbar Weisungen in fachlicher, örtlicher und zeitlicher Hinsicht, handelt es sich nicht mehr nur um die – zulässige – Konkretisierung des werkvertraglich geschuldeten Leistungsgegenstandes. Wenn sich dann die Leistung des Vertragsarbeitgebers im Ergebnis auf die reine Personalgestellung beschränkt, ist die Grenze zur (verdeckten) Arbeitnehmerüberlassung überschritten.
32 Vgl. LAG Baden-Württemberg v. 1.8.2013 – 2 Sa 6/13, NZA 2013, 1017: Hier war zwar nach den vertraglichen Regelungen eine Direktbeauftragung des eingesetzten Fremdpersonals durch die Zwischenschaltung eines Ticketsystems ausgeschlossen. Da diese Vorgabe jedoch (beinahe) durchgängig nicht eingehalten wurde, wurde eine Weisungsgebundenheit des Fremdpersonals angenommen.
58
Agile Projekte aus arbeitsrechtlicher Sicht
5. Fazit Das reformierte AÜG hat keine Rechtssicherheit für die (IT-) Beratungs- 21 branche gebracht. Eine Bereichsausnahme vom AÜG für die (IT)-Beratungsbranche existiert nicht. Deshalb ist bei agilen (Software-)Projekten auf eine klare Aufgabenabgrenzung und strikte Einhaltung der „Spielregeln” zu achten. Wenn dies der Fall ist, kann auch ein agiles Projekt rechtskonform als Dienst- oder Werkvertrag umgesetzt werden. Wichtig ist hierbei vor allem, dass sich nicht nur aus dem Vertrag die Einhaltung der Abgrenzungskriterien ergibt, sondern dass der Vertrag in der Praxis auch entsprechend gelebt wird. Hierbei kann die Einführung eines Compliancesystems, das die rechtskonforme Umsetzung (agiler) Projekte sicherstellt, helfen und den Auftraggeber vor unerwünschten (strafrechtlichen) Sanktionen schützen.
59
Die DSGVO als wesentlicher Bestandteil von Leistungsbeschreibung und Vertragsgestaltung bei IT-Projekten Christiane Bierekoven* Einleitung I. Bedeutung des Art. 25 DSGVO für das IT-Projekt 1. Inhalt und Bedeutung des Datenschutzes durch Technik, Art. 25 Abs. 1 DSGVO 2. Inhalt und Bedeutung datenschutzfreundlicher Voreinstellungen, Art. 25 Abs. 2 DSGVO 3. Adressatenkreis 4. Bedeutung für das IT-Projekt a) Allgemeine Bedeutung b) Umsetzung der Anforderungen c) Auswirkungen auf Gewährleistungsansprüche d) Inhalt der Gewährleistungsansprüche aa) Kauf- und werkvertragliche Überlassung (1) Fehlen der vereinbarten Beschaffenheit (2) Fehlen der vertraglich vorausgesetzten Verwendung (3) Fehlen der gewöhnlichen Verwendung und üblichen Beschaffenheit bb) Mietvertragliche Überlassung – SaaS cc) Referenzierung und Implementierung eines Datenschutzkonzeptes e) Bedeutung für die Sorgfaltspflichten des Verantwortlichen
*
5. Zwischenergebnis 6. Bedeutung für die Praxis heute II. Anforderungen des Art. 25 DSGVO 1. Privacy by Design, Art. 25 Abs. 1 DSGVO a) Technische Maßnahmen b) Organisatorische Maßnahmen c) Implementierungskosten 2. Privacy by Default, Art. 25 Abs. 2 DSGVO 3. Zeitpunkt a) Entwicklungsstadium b) Beginn der Datenverarbeitung und laufende Nutzung aa) Kauf-/Werkvertrag bb) SaaS-Lösung 4. Abwägung Implementierungskosten und Risikoabschätzung III. Umsetzung im Projekt 1. Wasserfall-Methode a) Definition b) Umsetzung in der Praxis c) Umsetzung der Anforderungen des Art. 25 DSGVO 2. Agile Methode a) Definition b) Umsetzung in der Praxis c) Umsetzung der Anforderungen des Art. 25 DSGVO 3. Hybrides Projekt 4. Detaillierungsgrad
Dr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht, Köln.
61
Christiane Bierekoven IV. Support 1. Aktualisierung des Standes der Technik 2. Änderungen der Datenverarbeitungsprozesse 3. Zwischenergebnis V. Fazit 1. Adressat 2. Technische und organisatorische Maßnahmen
3. Bedeutung von Pflichtenheft/ Leistungsbeschreibung 4. Bedeutung der Leistungsbeschreibung für die Gewährleistung 5. Notwendigkeit einer Leistungsbeschreibung im agilen Projekt 6. Detaillierungsgrad der Leistungsbeschreibung
Literaturübersicht: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage 2016; Bamberger/Roth/Hau/Poseck, BeckOK BGB, 50. Edition Stand: 1.11.2018; Baumgartner/Gausling, Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, ZD 2017, 308; Borges/Meents, Cloud Computing, 1. Auflage 2016; Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Auflage 2018; Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019; Hoeren/Pinelli, Agile Programmierung, MMR 2018, 199; Intveen/Gennen/Karger, Handbuch des Softwarerechts, 1. Auflage 2018; Kühling/ Buchner, Datenschutzgrundverordnung, 2. Auflage 2018; Münchener Kommentar zum BGB, Band 4, 47. Auflage 2016; Paal/Pauly, DS-GVO BDSG, 2. Auflage 2018; Plath, DSGVO/BDSG, 3. Auflage 2018; Redeker, Handbuch der IT-Verträge, 38. Lieferung 05.2019; Redeker, IT-Recht, 6. Auflage 2017; Schantz/Wolf, Das neue Datenschutzrecht, 1. Auflage 2017; Schneider/von Westphalen, Software-Erstellungsverträge, 2. Auflage 2013; Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019; Söbbing, Neue SAP-Lizenzbedingungen, ITRB 2018, 161; Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018.
Einleitung 1 Unter dem BDSG war der Grundsatz des Datenschutzes durch Technik in § 9 BDSG aF und in Anl. 1 des BDSG aF verankert1 sowie in der Richtlinie 95/46/EG vom 24.10.19952 in Art. 17 Abs. 1.3 Der Grundsatz des Datenschutzes durch datenschutzfreundliche Voreinstellungen war durch den Grundsatz der Datensparsamkeit als abstrakte Zielvorgabe angelegt.4 Die Aufsichtsbehörden hatten hingegen die datenschutzfreund-
1 2 3 4
62
Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 54. ABl. EG Nr. L 281 v. 23.11.1995, S. 31-50. Plath/Plath, Art. 25 DSGVO Rz. 3. Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 54b.
DSGVO in IT-Projekten
lichen Voreinstellungen bereits als verbindliche gesetzliche Vorgabe angesehen.5 In Art. 25 Abs. 1 und 2 DSGVO hat der europäische Gesetzgeber diese 2 Grundsätze nunmehr als verbindliche Anforderungen festgeschrieben. Dieser Beitrag stellt dar, welchen Inhalt diese Anforderungen haben, an wen sie sich richten, namentlich an den Verantwortlichen und/oder den Hersteller von Datenverarbeitungsprodukten, wie und zu welchem Zeitpunkt sie zu implementieren sind, welche Bedeutung der Leistungsbeschreibung in diesem Zusammenhang zukommt und welche Unterschiede es je nach Projektmethode zu berücksichtigen gilt. I. Bedeutung des Art. 25 DSGVO für das IT-Projekt Art. 25 DSGVO differenziert in seinen Absätzen 1 und 2 zwischen den 3 Grundsätzen des Datenschutzes durch Technik und denjenigen der datenschutzfreundlichen Voreinstellungen. 1. Inhalt und Bedeutung des Datenschutzes durch Technik, Art. 25 Abs. 1 DSGVO Nach Art. 25 Abs. 1 DSGVO hat der Verantwortliche geeignete tech- 4 nische und organisatorische Maßnahmen zu treffen, die dafür ausgelegt sind, die Datenschutzgrundsätze wie z. B. Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen und die Rechte der betroffenen Personen zu schützen. Dieser Grundsatz nimmt also z. T. die Pflicht zur Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO voraus.6 Für die Implementierung der Datenschutzgrundsätze sieht die Vorschrift 5 zwei Zeitpunkte vor, zum einen den Zeitpunkt der Festlegung der Mittel der Verarbeitung und sodann den Zeitpunkt der eigentlichen Verarbeitung. Dies bedeutet, dass bereits im Zeitpunkt der Konzeption und der 5
6
Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 54b; Orientierungshilfe an App-Entwickler und Anbieter des Düsseldorfer Kreises vom 16.6.2014, S. 3, abrufbar unter https://www.lda.bayeRz.de/media/oh_apps.pdf; Gemeinsame Position der Aufsichtsbehörden im nicht-öffentlichen Bereich (Düsseldorfer Kreis) und der Datenschutzbeauftragten der öffentlich rechtlichen Rundfunkanstalten, Ziff. 3, abrufbar unter https://www.datenschutz.rlp.de/fileadmin/ lfdi/Konferenzdokumente/Datenschutz/Duesseldorfer_Kreis/Beschluesse/ 201405xxUmlauf_smarttv.html. Plath/Plath, Art. 25 DSGVO Rz. 2; Baumgartner, S. 309.
63
Christiane Bierekoven
Entwicklung von datenverarbeitenden Produkten, Diensten und Anwendungen die Datenschutzgrundsätze zu beachten und demnach einzubeziehen sind.7 Deshalb müssen vom Verantwortlichen bereits bei der Beschaffung von Hard- und Software die Datenschutzgrundsätze berücksichtigt und bei der Anschaffung von Standard-Software-Produkten und Apps ebenso wie beim Erwerb komplexerer Lösungen, wie ERP-, DMS-, CRM-Systemen oder spezifischer Branchenlösungen in die Planung und Konzeption einbezogen werden. Die Vorschrift fordert damit insgesamt, dass schon bei der Programmierung, Erstellung und Konzeptionierung von Hardware-Komponenten datenverarbeitender Systeme und Prozesse jeder Art technische Vorkehrungen getroffen werden, die später eine Verwirklichung der Datenschutzgrundsätze fördern und überhaupt erst ermöglichen.8 6 Dies baut auf der Erkenntnis auf, dass sich der Schutz personenbezogener Daten am besten sicherstellen lässt, wenn er bereits in die Programmierung und architektonische Konzeptionierung der Datenverarbeitungsvorgänge sowie der Datenverarbeitungstechnik integriert ist und bei deren Entwicklung Berücksichtigung findet.9 2. Inhalt und Bedeutung datenschutzfreundlicher Voreinstellungen, Art. 25 Abs. 2 DSGVO 7 Art. 25 Abs. 2 DSGVO verlangt von den Verantwortlichen eine besondere Form des Datenschutzes durch Technik. Die Voreinstellungen müssen dem Grundsatz der Datenminimierung entsprechen, womit der Gesetzgeber die Verwirklichung des Verarbeitungszweckes einschränkt und die Datenverarbeitung auf das für die Zweckerfüllung Erforderliche beschränkt.10 3. Adressatenkreis 8 Adressat von Art. 25 DSGVO ist ausweislich des Wortlauts nur der Verantwortliche, Hersteller von Produkten, Diensten und Anwendungen werden dem Pflichtenkatalog nicht unterworfen.11 Entsprechendes gilt
7 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 1. 8 Plath/Plath, Art. 25 DSGVO Rz. 14. 9 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 10; ähnlich Plath/Plath, Art. 25 DSGVO Rz. 11. 10 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 12. 11 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 25; Plath/Plath, Art. 25 DSGVO Rz.7.
64
DSGVO in IT-Projekten
für Auftragsverarbeiter.12 Die Vorschrift geht jedoch davon aus, dass die Pflichten des Verantwortlichen die Nachfrage nach entsprechenden Herstellerleistungen steuern, so dass der Mechanismus Privacy-by-Design gleichsam übers Eck wirkt.13 Man erhofft sich hiervon eine Vorfeldwirkung in der Weise, dass die Verantwortlichen praktisch gezwungen werden, nur auf solche Hersteller bzw. Anbieter zurückzugreifen, die ihnen die Einhaltung der DSGVO ermöglichen.14 Im Zusammenhang mit Auftragsverarbeitern gilt dies insofern entspre- 9 chend, als der Verantwortliche nur solche Auftragnehmer beauftragen darf, die Gewähr dafür bieten, dass sie die Anforderungen des Art. 25 DSGVO erfüllen. Dementsprechend unterliegen auch Auftragsverarbeiter mittelbar den Anforderungen des Art. 25 DSGVO.15 4. Bedeutung für das IT-Projekt a) Allgemeine Bedeutung Der Verantwortliche als Adressat des Art. 25 DSGVO muss bei der An- 10 schaffung neuer Hard- und Software sicherstellen, dass dessen Anforderungen erfüllt werden. Dementsprechend trifft ihn eine Pflicht zur Risikoanalyse und zur Vorbereitung von technischen und organisatorischen Maßnahmen bereits bei der Auswahlentscheidung für ein Produkt. Die Beachtung der Datenschutzgrundsätze spielt deshalb eine wesentliche Rolle, denn der Verantwortliche ist jederzeit zum Nachweis der Einhaltung der erforderlichen Maßnahmen verpflichtet.16 Hieraus resultiert umgekehrt die mittelbare Verpflichtung der Hersteller, datenschutzfreundliche Produkte, die die Anforderungen des Art. 25 DSGVO erfüllen, zu entwickeln und anzubieten.17 b) Umsetzung der Anforderungen Unabhängig davon ist jedoch nach den gesetzlichen Regelungen nicht 11 klar, welche Verantwortung den Verantwortlichen bzgl. Einhaltung der Anforderungen des Art. 25 DSGVO trifft, insb. ob er in der Weise verantwortlich ist, dass er diese im Lasten- oder Pflichtenheft beim herkömmlichen Wasserfallprojekt oder im Anforderungskatalog im agilen
12 13 14 15 16 17
Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 25. Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 25. Plath/Plath, Art. 25 DSGVO Rz. 7. Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 26; Baumgartner, S. 311. Sydow/Mantz, DSGVO, Art. 25 Rz. 79. Sydow/Mantz, DSGVO, Art. 25 Rz. 79.
65
Christiane Bierekoven
Projekt spezifizieren muss, ob er sich im Einzelfall darauf beschränken kann, die Anwendungstauglichkeit des Produktes hierauf zu überprüfen, oder ob dies je nach Produkt überhaupt nicht erforderlich ist. Letzteres wäre im Hinblick auf die Geltendmachung von Gewährleistungsansprüchen jedoch nur dann der Fall, wenn auch ohne Spezifizierung der Datenschutzanforderungen diese zur Sollbeschaffenheit der Produkte gehören würden. c) Auswirkungen auf Gewährleistungsansprüche 12 Relevant ist diese Frage für Gewährleistungsansprüche und Abnahme bei OnPremise-Produkten ebenso wie insb. die Instandhaltungsverpflichtung bei SaaS-Produkten. Dabei ist zudem zu berücksichtigen, dass die technischen Maßnahmen dem jeweiligen Stand der Technik entsprechen müssen. Dieser kann sich jedoch über die Nutzungsdauer ändern, sodass sich die Prüfung der Einhaltung der Anforderungen des Art. 25 DSGVO nicht nur auf den Zeitpunkt der Anschaffung beschränkt, sondern weit über diesen Zeitpunkt hinaus in die Dauer der Nutzung der Produkte reicht. In diesem Fall ist weiter zu klären, ob der Verantwortliche über einen Supportvertrag sicherstellen muss, dass der jeweilige Stand der Technik eingehalten wird, bzw. ob dies bei SaaS-Produkten zur allgemeinen Instandhaltungsverpflichtung des Herstellers zählt mit der Konsequenz, dass dieser verpflichtet ist, während der Vertragslaufzeit für ein stets dem Stand der Technik entsprechendes Produkt Sorge zu tragen. d) Inhalt der Gewährleistungsansprüche 13 Im Hinblick auf die Geltendmachung von Gewährleistungsansprüchen ist darauf abzustellen, ob die Datenschutzanforderungen bzw. unter welchen Voraussetzungen diese Gegenstand von Gewährleistungsansprüchen sein können. Dabei ist zwischen kauf- und werkvertraglicher Überlassung einerseits und mietrechtlicher Überlassung andererseits zu differenzieren. aa) Kauf- und werkvertragliche Überlassung (1) Fehlen der vereinbarten Beschaffenheit 14 Nach den Gewährleistungsregelungen der §§ 434, 633 Abs. 2 S. 2 Nr. 2 BGB liegt ein Sachmangel zunächst dann vor, wenn die Sache, vorliegend das Hard- und/oder Softwareprodukt, nicht die vereinbarte Beschaffenheit aufweist.
66
DSGVO in IT-Projekten
Gewährleistungsansprüche wegen fehlender Datenschutzanforderungen kann der Verantwortliche in diesem Fall also nur dann geltend machen, wenn er diese zuvor in einem Lasten-/Pflichtenheft bzw. Anforderungskatalog (dazu unten Ziffer III, Rz. 67 ff.) spezifiziert hat, das/der Vertragsbestandteil wurde. (2) Fehlen der vertraglich vorausgesetzten Verwendung Daneben liegt ein Sachmangel dann vor, wenn die vertraglich vorausge- 15 setzte Verwendung nicht gegeben ist. In diesem Fall kommt es bei Fehlen von Datenschutzanforderungen nicht auf das Lasten-/Pflichtenheft oder den Anforderungskatalog an, sondern auf den Vertragszweck. Deshalb ist danach zu differenzieren, welches Produkt der Verantwortliche erworben hat, und ob dieses nach dem Vertragszweck gerade die fehlenden Datenschutzanforderungen enthalten musste. (3) Fehlen der gewöhnlichen Verwendung und üblichen Beschaffenheit Schließlich liegt ein Sachmangel vor, wenn sich das Produkt nicht für die 16 gewöhnliche Verwendung eignet und nicht eine Beschaffenheit aufweist, die bei Sachen der gleichen Art üblich ist, und die der Erwerber nach Art der Sache erwarten kann. Ein Sachmangel liegt danach bei Fehlen von Datenschutzanforderungen nur dann vor, wenn nach der gewöhnlichen Verwendung des Produktes die fehlenden Datenschutzanforderungen vorgelegen hätten und bei der Beschaffenheit von (Software-)Produkten der gleichen Art üblich waren, und der Verantwortliche diese nach der Art des (Software-)Produktes deshalb hätte erwarten können. Gewährleistungsansprüche sind in diesen Fällen also nur dann gegeben, wenn das fragliche Produkt die fehlenden Datenschutzanforderungen üblicherweise bzw. gewöhnlich aufweisen würde. Dies ist dann der Fall, wenn das Produkt wegen seines typischen Einsatzzweckes für eine Vielzahl von Kunden bestimmte Datenschutzanforderungen aufweisen muss und es sich nicht um eine Spezialanfertigung im Einzelfall handelt. Ob und inwieweit ein Software- oder Hardwareprodukt Datenschutzan- 17 forderungen aufweisen muss, die eine Vielzahl von Kunden erwarten, ist für jedes einzelne Produkt zu bestimmen. So kann beispielsweise von einem Archivierungssystem erwartet werden, dass nur die personenbezogenen Daten archiviert werden, die im konkreten Anwendungsfall, wie im Rahmen der steuerlichen oder handelsrechtlichen Aufbewahrungspflichten nach § 147 AO, § 146a Abs. 1 UStG bzw. § 257 HGB, erforderlich sind. Es kann weiter erwartet werden, dass ein solches Sys-
67
Christiane Bierekoven
tem nach Ablauf der Aufbewahrungsfristen die Daten, einschließlich der personenbezogenen Daten, löscht. 18 Eine andere Frage ist in diesem Zusammenhang, ob eine solche Archivierungslösung lediglich die Möglichkeit bieten muss, die jeweils erforderlichen Archivierungs- und Löschvorgänge durchzuführen, die im Einzelfall im Wege des Customizings bzw. Parametrierung an die Besonderheiten des jeweiligen Verantwortlichen angepasst werden, oder ob diese schon in der Lösung enthalten sein müssen. Es dürfte zwar genügen, dass die Lösung grundsätzlich über die Möglichkeit verfügt, Archivierungs- und Löschvorgänge nach entsprechender Parametrierung oder Customizing zu implementieren, ohne dass es erforderlich ist, jeden Archivierungsoder Löschvorgang voreinzustellen. Diese Möglichkeit ist indessen zwingender Bestandteil der Beschaffenheit eines solchen Produktes. 19 Bietet eine solche Archivierungslösung indes überhaupt keine Löschfunktion, ist sie auch ohne Spezifizierung der Anforderungen zum Löschen in einem Lasten-/Pflichtenheft oder Anforderungskatalog durch den jeweiligen Erwerber-Verantwortlichen mangelhaft, da die Kunden einer solchen Lösung dies üblicherweise erwarten und eine solche Lösung dazu eingesetzt wird, aufbewahrungspflichtige Daten nach Ablauf der Archivierungsfrist zu löschen. 20 Diese Grundsätze sind auf jedes Soft- und Hardware-Produkt zu übertragen, sodass für die jeweilige Lösung zu prüfen ist, ob und welche Datenschutz-Anforderungen für den konkreten Verwendungszweck üblicherweise von den Kunden/dem relevanten Markt erwartet werden, ohne dass es einer gesonderten Spezifizierung durch den einzelnen Verantwortlichen bedarf. 21 Etwas anderes gilt im Gegensatz dazu für individuelle Lösungen, die auf die besonderen Bedürfnisse eines Verantwortlichen, der in einer speziellen Branche tätig ist, und individuelle, nicht für den Markt dieser Branche allgemein erforderliche Anforderungen benötigt, zugeschnitten werden müssen. In diesen Fällen greifen die Kriterien der „gewöhnlichen Verwendung“ ebenso wenig wie die der „üblichen Beschaffenheit“. Hier muss der Verantwortliche die in die Lösung zu implementierenden Datenschutzanforderungen in einem Lasten- oder Pflichtenheft bzw. Anforderungskatalog spezifizieren. Dies dürfte nur dann nicht gelten, wenn es sich wiederum um eine übliche, in einer solchen Branche verwendete Hard- oder Software-Lösung handelt, die ebenso üblicherweise bestimmte Datenschutzanforderungen enthalten muss, weil diese von den Nutzern einer solchen Branchenlösung erwartet werden.
68
DSGVO in IT-Projekten
Demnach ist bei der Beurteilung der „gewöhnlichen Verwendung“ und 22 „üblichen Beschaffenheit“ zwischen solchen Produkten, bei denen der relevante Markt die Erfüllung (bestimmter) Datenschutzanforderungen erwartet (nachfolgend „Standard-Produkte“) und individuellen, für einzelne Verantwortliche mit spezifischen, nicht vom relevanten Markt erwarteten Datenschutzanforderungen zu erstellenden Produkten (nachfolgend „Individual-Produkte“) zu differenzieren. bb) Mietvertragliche Überlassung – SaaS Bei einer mietrechtlichen Überlassung liegt ein Sachmangel nach § 536 23 BGB vor, wenn die Sache nachteilig von der vereinbarten Beschaffenheit abweicht und die Tauglichkeit zu dem von den Vertragsparteien vereinbarten Gebrauch aufgehoben oder gemindert ist.18 Dabei bleiben unerhebliche Minderungen außer Betracht.19 Für die Beurteilung, ob eine Sache mangelhaft ist, kommt es deswegen auch im Mietrecht zunächst auf die vertraglichen Vereinbarungen an.20 Es können daneben jedoch auch solche Dokumente herangezogen werden, die im Zuge der Vertragsverhandlungen ausgetauscht wurden, um die Sache zu beschreiben, wie Programmbeschreibung, Werbeprospekte und/oder Power Points.21 Fehlt eine Vereinbarung über die Beschaffenheit, ist auf die nach dem 24 Vertrag vorausgesetzte Verwendung abzustellen und, sollte auch dies nicht möglich sein, auf den üblichen bzw. gewöhnlichen Gebrauch.22 Für die mietrechtliche Gewährleistung gelten deswegen im Wesentlichen die Ausführungen zu den werk- bzw. kaufrechtlichen Gewährleistungsansprüchen unter lit. d) entsprechend. Auch hier ist deswegen zwischen Standard-Produkten und Individual-Produkten bzgl. der gewöhnlichen Beschaffenheit zu differenzieren. Um einen Rückgriff auf die gewöhnliche Beschaffenheit zu vermeiden, 25 empfiehlt es sich deshalb auch bei einer als mietrechtlich qualifizierten SaaS-Lösung, die datenschutzrechtlichen Anforderungen zu spezifizieren und zum Gegenstand des Vertrages zu machen oder bei einem Standardprodukt zu prüfen, ob diese Anforderungen Vertragsgegenstand sind23 und sie ggf. gesondert vertraglich festzulegen.
18 19 20 21 22 23
Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 147. Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 147. Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 147. Redeker/Karger, Kap. 1.9 Rz. 212. Münchener Kommentar BGB/Häublein, § 536 BGB Rz. 4. So allgemein Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 147.
69
Christiane Bierekoven
cc) Referenzierung und Implementierung eines Datenschutzkonzeptes 26 Wenn und soweit auf ein bereits beim Verantwortlichen vorhandenes Datenschutzkonzept zurückgegriffen wird, ist zu beachten, dass dieses in den Vertrag einbezogen werden muss, um die darin festgelegten datenschutzrechtlichen Anforderungen zum Gegenstand des Vertrages zu machen. Dabei bietet es sich an, das Datenschutzkonzept – oder im Einzelfall die hieraus für die Software-Lösung relevanten Anforderungen – in das Lastenheft und/oder Pflichtenheft, also die Leistungsbeschreibung,24 einzubeziehen. So kann sichergestellt werden, dass diese Anforderungen eine vertragliche Vereinbarung über die Beschaffenheit der Hard- und/ oder Software-Lösung darstellen und bei ihrem Fehlen eine nachteilige Abweichung von der Sollbeschaffenheit vorliegt. Diese Grundsätze gelten für sämtliche der zuvor dargestellten Überlassungsformen. e) Bedeutung für die Sorgfaltspflichten des Verantwortlichen 27 Aus den Ausführungen zu lit. d) folgt, dass der Verantwortliche nur dann die Datenschutzanforderungen nicht in einem Lasten-/Pflichtenheft oder Anforderungskatalog spezifizieren muss, wenn und soweit er ein Produkt erwerben möchte, bei dessen gewöhnlicher Verwendung bestimmte Datenschutzanforderungen implementiert sind, da sie der üblichen Beschaffenheit entsprechen und deswegen von diesem Produkt erwartet werden können. 28 Unabhängig davon ist der Verantwortliche gleichwohl auch in diesen Fällen verpflichtet, sich von der Anwendungstauglichkeit der Lösung für seine Datenschutz-Anforderungen zu überzeugen, da er nach Art. 25 DSGVO als direkter Adressat verpflichtet ist, die Implementierung der Datenschutzgrundsätze in der Lösung nach Art. 5 Abs. 2 DSGVO nachzuweisen. 29 Wenn und soweit auf die vertraglich vorausgesetzte Verwendung abgestellt wird, ist zwar ebenfalls weder ein Lasten- noch ein Pflichtenheft zwingend erforderlich, jedoch müssen im Vertrag, im Vertragswerk und/ oder in den Anlagen die vertraglich vorausgesetzte Verwendung und die hierfür erforderlichen Datenschutzanforderungen spezifisch vereinbart werden, damit klar ist, dass die Einhaltung der Datenschutzanforderungen zur vertraglich vorausgesetzten Verwendung gehört. Die allgemeine Formulierung, wonach in Vertragsbestimmungen die jeweils anwend-
24 Schneider in Schneider/v. Westphalen, Rz. 64.
70
DSGVO in IT-Projekten
baren Datenschutzanforderungen von der Lösung erfüllt werden, genügt mangels hinreichender Spezifizierung der jeweiligen für die Erreichung des Vertragszweckes notwendigen Datenschutz-Bestimmungen nicht. Hierbei ist schon unklar, welche Anforderungen in welchem Kontext umzusetzen sind, mit der Folge, dass schon kaum ein Mangel spezifisch gerügt und geltend gemacht werden kann. Sollen bestimmte Datenschutzanforderungen Gegenstand der gewünsch- 30 ten Lösung sein, sind diese als vertragliche Beschaffenheit zu vereinbaren, mithin in der Leistungsbeschreibung oder dem Anforderungskatalog zu spezifizieren. Dies gilt insbesondere für die Anforderungen der Datenminimierung, -Löschung und Erfüllung der Betroffenenrechte, vor allem, wenn und soweit für die Erfüllung der Betroffenenrechte die Interaktion und Interoperabilität mit Drittlösungen erforderlich ist. In diesen Fällen bedarf es der genauen Spezifizierung der IT-Infrastruktur und der Schnittstellen zu Drittsystemen, der Art der auszutauschenden Daten, ihrer Datenformate und -strukturen sowie der Kategorien von personenbezogenen Daten, um die technischen Mittel zu bestimmen, die zur Erfüllung der Anforderungen des Art. 25 DSGVO zwingend zu implementieren sind. 5. Zwischenergebnis Art. 25 DSGVO ist bedeutend für die Bestimmung des Verantwortli- 31 chen als Adressaten und damit der Parteirolle, der Wahl der konkreten IT-Lösung, bei der Auswahlentscheidung des Verantwortlichen für ein Software- oder Hardwareprodukt und für den Detaillierungsgrad der Vorgaben des Verantwortlichen oder seine Prüfungsintensität bzgl. der Datenschutzanforderungen mit Blick auf Gewährleistung und Haftung sowie die Dokumentation der Datenschutz-Anforderungen zum Nachweis nach Art. 5 Abs. 2 DSGVO. 6. Bedeutung für die Praxis heute Dies bedeutet für die Praxis, dass Vorgaben des Verantwortlichen in je- 32 dem Fall erforderlich sind. Der Detaillierungsgrad dieser Vorgaben hängt von der Art und dem Umfang der Lösung sowie von der Projektmethode ab. DSGVO-konforme Standardlösungen der Hersteller haben sich bislang erst zum Teil entwickelt. Die in solchen Lösungen integrierten Datenschutzanforderungen sind vom Verantwortlichen mit den Anforderungen der DSGVO abzugleichen, die in seinem konkreten Fall für seinen konkreten Einsatzzweck erforderlich sind.
71
Christiane Bierekoven
Relevant ist dies insbesondere für die Abnahme, die Gewährleistung und die hierfür maßgeblich vereinbarte Beschaffenheit, vertraglich vorausgesetzte oder gewöhnliche Verwendung und die Dokumentation nach Art. 5 Abs. 2 DSGVO zum Nachweis der Erfüllung der Anforderungen des Art. 25 DSGVO. 33 In anderen Fällen, insbesondere bei komplexen IT-Lösungen, sind ausführlichere Vorgaben im Hinblick auf die DSGVO-Anforderungen (Lastenheft/Pflichtenheft bzw. Leistungsbeschreibung) erforderlich. Bei einer Kombination aus Standard- und Individuallösung sind die Anforderungen in einer Leistungsbeschreibung zu einer einheitlichen, Art. 25 DSGVO-konformen Lösung zusammenfassend zu spezifizieren. II. Anforderungen des Art. 25 DSGVO 34 Für die Auswahlentscheidung des Verantwortlichen, ob eine Standardoder eine Individuallösung, eine hybride Lösung bestehend aus OnPremise- und Cloud-Lösung gewählt werden soll, ist wesentlich, welche Anforderungen diese nach Art. 25 DSGVO erfüllen muss. 1. Privacy by Design, Art. 25 Abs. 1 DSGVO 35 Art. 25 Abs. 1 DSGVO benennt die zu implementierenden Datenschutzgrundsätze nicht. Der Gesetzgeber betont jedoch in besonderer Weise die Datenschutzgrundsätze des Art. 5 DSGVO, greift namentlich den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c) heraus und verlangt hierfür notwendige Garantien.25 Zu diesen gehören technische und organisatorische Maßnahmen.26 Dies sind alle Vorkehrungen, die sich entweder auf den Vorgang der Verarbeitung von Daten erstrecken oder den Software- bzw. Hardwareprozess der Verarbeitung steuern. 27 a) Technische Maßnahmen 36 Diese Maßnahmen müssen dem Stand der Technik entsprechen. Eine Definition dieses Begriffs liefert die DSGVO nicht.28 Sie gibt auch keinen technischen Stand und damit kein datenschutzrechtliches Lastenheft
25 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 34. 26 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 27. 27 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 34; Sydow/Mantz, Art. 25 DSGVO Rz. 20. 28 Baumgartner, S. 310.
72
DSGVO in IT-Projekten
vor. 29Während sich die organisatorischen Maßnahmen auf die äußeren Rahmenbedingungen der Datenverarbeitung konzentrieren, beziehen sich die technischen Maßnahmen auf den Vorgang der Datenverarbeitung selbst.30 Jedenfalls muss der Verantwortliche die vorhandenen technologischen Möglichkeiten nutzen, um effektive Maßnahmen und Garantien zu ergreifen.31 Zudem muss er die ergriffenen Maßnahmen laufend daraufhin überprüfen, ob diese weiterhin dem aktuellen Stand der Technik entsprechen.32 Hierzu zählen Maßnahmen der Zugriffs- oder Weitergabekontrolle, wie 37 beispielsweise Verschlüsselung oder Passwortsicherung sowie Rollenund Berechtigungssysteme, die durch selektive Zuteilung von Zugriffsund Schreibrechten die effektive Durchsetzung der Datenschutzgrundsätze technisch absichern33 und Pseudonymisierung, Anonymisierung, Datenaggregation oder Datensynthese34. Dabei muss sichergestellt sein, dass das aktuell sicherste Verschlüsselungsverfahren genutzt wird.35 Ebenso zählen hierzu sämtliche Maßnahmen, die zu einer automatisierten Umsetzung der Vorgaben der DSGVO gehören, wie im Bereich der Löschfristen, der Beachtung von Widersprüchen der betroffenen Personen gegen die weitere Verarbeitung ihrer Daten oder der Erfüllung von Auskunftspflichten.36 Um dem Zweckbindungsgrundsatz Wirksamkeit zu verleihen, sind 38 Datenverarbeitungssysteme denkbar, die Daten bei ihrer Erhebung mit einem elektronischen Etikett, einem so genannten „tag“, versehen und so den Daten einen Verarbeitungszweck dauerhaft zuweisen. Das weitere Verarbeitungssystem ist sodann so auszugestalten, dass es eine Verarbeitung nur erlaubt, wenn diese demselben oder einem kompatiblen Zweck dient, welchen das „tag“ den Daten zugeordnet hat. Durch entsprechende Softwarelösungen können auch die Löschpflichten nach Art. 5 Abs. 1 lit. e) und Art. 17 DSGVO automatisiert umgesetzt
29 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 15; Baumgartner, S. 310. 30 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 3; Baumgartner, S. 310. 31 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 15; ähnlich Plath/Plath, Art. 25 DSGVO Rz. 13. 32 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 15. 33 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 28. 34 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 29. 35 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 15. 36 Plath/Plath, Art. 25 DSGVO Rz. 10.
73
Christiane Bierekoven
werden.37 Ebenso kann dem Grundsatz der Datenminimierung Genüge getan werden, wenn Nutzer-Authentifizierungssysteme eingesetzt werden. Hierzu zählen beispielsweise Single-Signon-Services.38 39 Von wesentlicher Bedeutung ist die Implementierung der Mitteilungsund Benachrichtigungspflichten, d. h. die Umsetzung der Betroffenenrechte nach Art. 12 ff. DSGVO.39 Dies bedeutet, dass die Lösung so konzipiert sein muss, dass der Verantwortliche über die Datenverarbeitungen, die seine Lösung durchführt, ebenso Auskunft geben kann wie darüber, in welchen Modulen, Komponenten, Primär-, Sekundär- und Randsystemen eine solche Verarbeitung erfolgt. Darüber hinaus muss er sicherstellen, dass die Daten nach Beendigung des Datenverarbeitungsprozesses nach Zweckerreichung in allen Modulen, Komponenten und Systemen der Lösung gelöscht werden, wenn sie nicht unter die Aufbewahrungspflichten fallen.40 b) Organisatorische Maßnahmen 40 Die organisatorischen Maßnahmen beziehen sich auf die äußeren Rahmenbedingungen, die die technischen Verarbeitungsprozesse gestalten, wie das Vier-Augen-Prinzip sowie die Protokollierung von Tätigkeiten und Stichprobenroutinen.41 Diese werden im Folgenden nicht weiter dargestellt. c) Implementierungskosten 41 Die Kosten, die sich aus der Integration organisatorischer und technischer Maßnahmen ergeben, also die Implementierungskosten, muss der Verantwortliche nicht in unbegrenztem Umfang auf sich nehmen, sie markieren vielmehr eine Grenze der Verhältnismäßigkeit.42 Sie dienen als Korrektiv dahingehend, dass der Verantwortliche nicht auch solche Maßnahmen treffen muss, die das Risiko für die betroffenen Personen unwesentlich senken, aber im Verhältnis zu den Kosten unangemessen
37 38 39 40
Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 30. Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 31. Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 33. Dazu unten zur Leistungsbeschreibung, Ziffer III 1, Rz. 67 ff. und III 4, Rz. 98 ff.: Spezifizierung des gesamten Datenverarbeitungsprozesses zur Verarbeitung bestimmter Datenkategorien und Festlegung, welche Daten, in welcher Form für welche Form der Verarbeitung benötigt werden. Deshalb ist eine detaillierte Leistungsbeschreibung erforderlich. 41 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 28. 42 Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 41.
74
DSGVO in IT-Projekten
sind. Er kann sich jedoch andererseits nicht unter Berufung auf die Implementierungskosten der Umsetzung der Datenschutzgrundsätze oder der Achtung der Betroffenenrechte entziehen. Der Wirtschaftlichkeit der vom Verantwortlichen zu treffenden Maßnahmen und seiner individuellen Leistungsfähigkeit sind unter dem Gesichtspunkt der Berufsfreiheit und der unternehmerischen Freiheit auf einer grundrechtlichen Abwägungsebene Rechnung zu tragen.43 Dabei kommt dem Verantwortlichen ein weiter Ermessensspielraum zu.44 2. Privacy by Default, Art. 25 Abs. 2 DSGVO Die Vorschrift benennt die Anforderungen ebenfalls nur zum Teil. Unter 42 dem Begriff „Voreinstellungen“ sind die Eingabevarianten, die der Verantwortliche dem Nutzer vorgibt, bevor dieser das System zu nutzen beginnt, zu verstehen.45 Das System muss dabei so eingestellt sein, dass es einen bestimmten Verarbeitungsvorgang auslöst oder gerade nicht auslöst, wenn der Nutzer die Voreinstellung nicht eigenständig ändert.46 Hierzu zählt beispielsweise das Anklicken eines Kästchens zur Erteilung von Einwilligungen.47 Keine Voreinstellungen sind solche Verarbeitungsvorgaben, die der Nut- 43 zer selbst kraft autonomer Entscheidung vorgenommen bzw. geändert hat. Der Verantwortliche ist nicht verpflichtet, eigenständige Datenschutzeinstellungen seiner Nutzer auf datenschutzrechtliche Grundeinstellungen zurückzusetzen. Die Vorschrift will den Nutzern keine Einstellungen aufzwingen, die diese selbst anders getroffen haben.48 Datenschutzfreundlich sind Voreinstellungen, wenn der Nutzer grund- 44 sätzlich keine Änderungen an Einstellungen vornehmen muss, um unter den konkreten Umständen und der Beachtung des Grundsatzes der Erforderlichkeit ein Maximum an „Privatsphäre“ für seine Daten zu erreichen.49 Die datenschutzfreundlichsten Einstellungen und Komponenten sind 45 bereits bei Übergabe eines Produktes oder erstmaligem Freischalten oder Zur-Verfügung-Stellen einer Leistung unter Beachtung des Grundsatzes
43 44 45 46 47 48 49
Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 42. Baumgartner/Gausling, ZD 2017, 308 (310). Plath/Plath, Art. 25 DSGVO Rz. 17. Plath/Plath, Art. 25 DSGVO Rz. 17. Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 46c. Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 46d. Plath/Plath, Art. 25 DSGVO Rz. 18.
75
Christiane Bierekoven
der Erforderlichkeit zu verwenden. Im Wege der „Opt-In“-Lösung kann der Betroffene sodann entscheiden, ob und inwiefern er diese Einstellungen zum Nachteil seiner Privatsphäre abändern möchte. Hierdurch soll er vor Überrumpelung und Ausnutzung von Unerfahrenheit in Bezug auf solche Produkte und Dienstleistungen geschützt werden. Als gleichsam klassischer Anwendungsfall dürften Voreinstellungen bei der Einholung von Einwilligungen gelten,50 wenngleich Erwägungsgrund 32 zur DSGVO klarstellt, dass bereits angekreuzte Kästchen oder Untätigkeit des Betroffenen keine wirksame Einwilligung begründen sollen. Unabhängig hiervon bedeutet „Privacy-by-Default“ jedoch nicht, dass die Wahlfreiheit der betroffenen Personen eingeschränkt werden soll, sodass die Einholung wirksamer Einwilligungen stets möglich bleibt.51 46 Als weitere Maßnahmen in diesem Sinne nennt Erwägungsgrund 78 zur DSGVO die Minimierung der zu verarbeitenden personenbezogenen Daten, deren möglichst unverzügliche Pseudonymisierung, Transparenz bzgl. der Funktionen und der Verarbeitung der personenbezogenen Daten, die Möglichkeit der betroffenen Personen, die Verarbeitung der Daten zu überwachen sowie die Implementierung und Verbesserung von Sicherheitsfunktionen. 3. Zeitpunkt 47 Wie ausgeführt, sind die technischen und organisatorischen Maßnahmen nach Art. 25 Abs. 1 DSGVO bereits im Zeitpunkt der Festlegung der für die Datenverarbeitung genutzten Mittel zu treffen52, was bedeutet, dass diese vor Beginn der Datenverarbeitung, also im Entwicklungsstadium, geplant und konkretisiert, wenngleich noch nicht notwendigerweise implementiert, werden müssen.53 Ab dem Zeitpunkt der eigentlichen Verarbeitung sind diese Maßnahmen bereits nach Art. 24 Abs. 1, Art. 32 Abs. 1 DSGVO zu implementieren bzw. müssen sie implementiert sein.54 Hierbei kann der Verantwortliche jedoch nicht stehenbleiben, vielmehr muss er die Vorgaben des Art. 25 DSGVO fortlaufend beachten, da es sich um einen iterativen Prozess handelt.55 50 Plath/Plath, Art. 25 DSGVO Rz. 19. 51 Plath/Plath, Art. 25 DSGVO Rz. 19; Paal/Pauly/Martini, DS-GVO, Art. 25 Rz. 12. 52 So auch: Forgó/Helfrich/Schneider/Schmieder, Teil III, Kap. 2 B IV Rz. 13; Schantz/Wolf/Wolf, E II 1 b), Rz. 836. 53 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 16. 54 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 16; Baumgartner/Gausling, ZD 2017, 308 (310). 55 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 16.
76
DSGVO in IT-Projekten
Somit sind hinsichtlich der technischen und organisatorischen Maß- 48 nahmen drei Zeitpunkte zu unterscheiden: Zunächst muss der Verantwortliche diese im Entwicklungsstadium, also im Rahmen der Konzeptionsphase, planen und spezifizieren. Vor Beginn der Datenverarbeitung müssen diese Maßnahmen implementiert sein. Anschließend ist fortlaufend während der Nutzung der Lösung der Stand der Technik für die technischen und organisatorischen Maßnahmen nach Art. 25 DSGVO aufrechtzuerhalten. a) Entwicklungsstadium Der Verantwortliche muss im Entwicklungsstadium prüfen, welche 49 technischen und organisatorischen Maßnahmen die Lösung vorsehen muss. Dies beinhaltet eine Prüfung der Implementierung der vorgenannten Datenschutzgrundsätze ebenso wie eine solche der Implementierung der Betroffenenrechte. Demnach muss er in diesem Stadium ebenfalls festlegen, ob die Sicherstellung der Erfüllung der Betroffenenrechte automatisiert oder manuell erfolgen soll. Im ersten Fall sind sämtliche angrenzenden Systeme, die mit der neuen Lösung Daten austauschen sollen, in den technischen Prozess einzubeziehen und die dahingehenden Anforderungen in der Leistungsbeschreibung oder im Anforderungskatalog zu spezifizieren (zum Detaillierungsgrad siehe unten Ziffer III 4, Rz. 98 ff.). Im zweiten Fall ist dies so zwar nicht erforderlich, jedoch ist bei der Konzeptionierung in der Leistungsbeschreibung oder im Anforderungskatalog der Datenaustausch mit den angrenzenden Systemen und das Vorgehen bei der manuellen Erfüllung der Betroffenenrechte zu spezifizieren, um sicherzustellen, dass diese im Rahmen des manuellen Prozesses ebenso erfüllt werden können. Im Hinblick auf künftige Anwendungen und die mit diesen einherge- 50 henden Datenverarbeitungen ist in diesem Stadium zudem zu berücksichtigen, ob eine IoT-Anbindung geplant ist oder der Einsatz von KI, um die damit verbundenen spezifischen Risiken für die insoweit zu verarbeitenden personenbezogenen Daten nach Art. 25 DSGVO einzubeziehen. In die Konzeptionierung ist die Anbindung von Drittsystemen einzube- 51 ziehen und ist für die Erfüllung der Datenschutzanforderungen zudem sicherzustellen, dass die für den Datenaustausch erforderlichen Lizenzen vorliegen56, damit eine mögliche Unterlizenzierung nicht die Erfüllung der Datenschutzanforderungen gefährdet. Zudem ist festzulegen, wel56 Dies kann bspw. bei indirekter Nutzung der Fall sein, insb. auch in dem geänderten SAP-Lizenzierungsmodell Human/Digital Access; dazu Söbbing, ITRB 2018, 161 ff.
77
Christiane Bierekoven
che Schnittstellen zur Verarbeitung welcher Arten und Kategorien von Daten angebunden werden müssen, und innerhalb welcher (übergreifender) Prozesse Daten verarbeitet werden. b) Beginn der Datenverarbeitung und laufende Nutzung 52 Zu Beginn der Datenverarbeitung müssen die technischen und organisatorischen Maßnahmen implementiert sein. Anschließend muss der Verantwortliche jedoch dafür Sorge tragen, dass der Stand der Technik dieser Maßnahmen während der Nutzungsdauer aufrechterhalten wird. Hinsichtlich der Umsetzung dieser Anforderungen ist zwischen der mietvertraglichen Gestaltung des Überlassungsvertrages und der werkbzw. kaufvertraglichen zu differenzieren. aa) Kauf-/Werkvertrag 53 Bei der Überlassung der Software-Lösung auf Basis eines Kauf- oder Werkvertrages muss der Verantwortliche einen Pflege- oder Supportvertrag mit dem Anbieter/Hersteller abschließen, um sicherzustellen, dass die in der Lösung implementierten technischen Maßnahmen dem jeweiligen Stand der Technik entsprechen. 54 Der Hersteller oder Anbieter ist bei der kauf- oder werkvertraglichen Gestaltung lediglich verpflichtet, die dem Stand der Technik zum Zeitpunkt der Überlassung oder Abnahme entsprechenden technischen Maßnahmen (mithin beim Gefahrübergang auf den Käufer bzw. Besteller, §§ 446, 644 BGB) zur Verfügung zu stellen. Nach Übergabe bzw. Abnahme geht die Gefahr der zufälligen Verschlechterung der Sache/des Werkes auf den Käufer/Besteller über, §§ 446, 644 BGB. 55 Eine Verschlechterung nach Gefahrübergang führt also nicht zum Vorliegen eines Sachmangels. Deshalb stehen dem Käufer die Rechte des § 437 BGB nicht zu,57 denn § 434 BGB stellt für das Vorliegen eines Sachmangels auf den Zeitpunkt des Gefahrübergangs ab.58 Entsprechendes gilt für den Werkvertrag.59 Somit stehen dem Käufer oder dem Besteller nach Übergabe oder Abnahme keine Rechte gegen den Verkäufer/Hersteller zu, wenn sich die Beschaffenheit der Software-Lösung dadurch verschlechtert hat, dass sich
57 BeckOK BGB/Faust, § 446 BGB Rz. 16. 58 BeckOK BGB/Faust, § 446 BGB Rz. 17. 59 BeckOK BGB/Voit, § 634 BGB Rz. 22.
78
DSGVO in IT-Projekten
der Stand der Technik geändert hat und die Lösung diesem nicht mehr entspricht. bb) SaaS-Lösung Bei der Überlassung als SaaS-Lösung, die typischerweise mietrechtlich 56 einzuordnen ist60, ist hingegen zu prüfen, ob sich die Verpflichtung zur Aufrechterhaltung des jeweiligen Standes der Technik nicht bereits aus der dem Mietvertrag innewohnenden Instandhaltungs- oder Erhaltungsverpflichtung (§ 535 Abs. 1 BGB) ergibt, ohne dass es eines gesonderten Supportvertrages bedarf. Der Anbieter hat die Lösung während der gesamten Vertragslaufzeit in einem vertragsgemäßen Zustand zu erhalten.61 Hierzu gehören alle Maßnahmen, die die Mietsache vor Abnutzung schützen und den vertragsgemäßen Zustand erhalten.62 Dabei ist grundsätzlich anerkannt, dass die mietrechtliche Erhaltungs- 57 pflicht weder die Durchführung von Modernisierungs- noch von Aktualisierungsmaßnahmen63 oder Weiterentwicklungen enthält.64 Die Software darf technisch auf dem Stand zum Zeitpunkt des Vertragsschlusses gehalten werden.65 Es kann sich jedoch während der Vertragslaufzeit ein Mangel aus einer während der Vertragsdauer im Zusammenhang mit der Softwarenutzung stehenden, veränderten Umgebungsbedingung ergeben. Wenn sich die für die Vertragsgemäßheit des Gebrauchs relevanten – außerhalb der Software liegenden – Parameter (z. B. Gesetzesänderungen, Währungsumstellungen, Umsatzsteueränderungen) ändern, muss der Vermieter aufgrund der ihn treffenden Erhaltungspflicht die für die weitere vertragsgemäße Nutzung erforderlichen Anpassungen durchführen, ohne dass er hierfür eine zusätzliche Vergütung in Rechnung stellen darf.66 Es stellt sich deswegen die Frage, ob die Verpflichtung nach Art. 25 58 Abs. 1 DSGVO, dem Stand der Technik entsprechende technische Maßnahmen in der Software-Lösung zu implementieren, bedeutet, dass die Software-Lösung mangelhaft ist, wenn die zum Zeitpunkt des Vertragsschlusses implementierten technischen Maßnahmen später nicht mehr dem Stand der Technik entsprechen.
60 61 62 63 64 65 66
Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 42 m.w.N. Borges/Meents/Meents, § 4 Rz. 76. Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 68. Borges/Meents/Meents, § 4 Rz. 76. Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 73. Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 68. Auer-Reinsdorff/Conrad/Roth-Neuschild, § 13 Rz. 72.
79
Christiane Bierekoven
59 Dagegen könnte sprechen, dass, wie zuvor ausgeführt, die mietrechtliche Erhaltungsverpflichtung grundsätzlich nur dahin geht, die Software technisch auf dem Stand zum Zeitpunkt des Vertragsschlusses zu halten. Dies hätte zur Folge, dass die technischen Maßnahmen während der gesamten Vertragslaufzeit nur dem Stand der Technik zum Zeitpunkt des Vertragsschlusses entsprechen müssten und eine im Laufe der Zeit insoweit nicht mehr dem Stand der Technik entsprechende Lösung nicht mangelhaft wäre, sondern der vertragsgemäßen Sollbeschaffenheit entsprechen würde. Der Anbieter/Hersteller wäre im Rahmen seiner Erhaltungspflicht nicht verpflichtet, die technischen Maßnahmen zum Schutz der mit der Software-Lösung zu verarbeitenden personenbezogenen Daten auf dem jeweils aktuellen Stand der Technik zu halten. Die Software-Lösung wäre also in diesem Fall nicht mangelhaft. 60 Richtigerweise ist hingegen darauf abzustellen, dass eine Änderung des Standes der Technik während der Vertragslaufzeit einen Parameter außerhalb der Software-Lösung darstellt, der die Software-Lösung mangelhaft macht. Hierfür spricht weiter, dass mit dem Verweis auf den „Stand der Technik“ in Art. 25 Abs. 1 DSGVO gerade sichergestellt werden soll, dass die technischen Maßnahmen zum Schutz der mit der Software-Lösung verarbeiteten personenbezogenen Daten dem jeweiligen Stand der Technik entsprechen müssen, um zu verhindern, dass aufgrund von Sicherheitslücken, die aus einem nicht mehr aktuellen Stand der Technik resultieren, personenbezogene Daten kompromittiert werden. Deshalb gehört es zur mietvertraglichen Erhaltungspflicht, die technischen Maßnahmen auf dem aktuellen Stand der Technik zu halten. Dementsprechend ist der Anbieter einer SaaS-Lösung während der gesamten Vertragslaufzeit verpflichtet, dem jeweiligen Stand der Technik entsprechende technische Maßnahmen zum Schutz der personenbezogenen Daten zu implementieren und veraltete auszutauschen, andernfalls ist die SaaS-Lösung mangelhaft. 61 Letztlich dürfte dieses Ergebnis dem Vorgehen der Anbieter von SaaS-Produkten in der Praxis entsprechen. Bei One-to-Many-Produkten wie SaaS-Lösungen sind Anbieter darauf bedacht, für alle Kunden eine Standard-Lösung anzubieten. Neuere Kunden erhalten deswegen einen zum Zeitpunkt des Vertragsschlusses bzw. der anschließenden Auslieferung der Software entsprechenden aktuellen Stand der Technik. Dieser kann aktueller sein als Stand der Technik von Software-Lösungen, die frühere Kunden zu einem früheren Zeitpunkt erworben haben. Diese erhalten regelmäßig Updates oder Upgrades, um Sicherheitslücken zu beseitigen, die auch aus einem veralteten Stand der Technik resultieren können. Um den Pflege- und Bereitstellungsaufwand der Software-Lösungen 80
DSGVO in IT-Projekten
möglichst gering zu halten, werden grundsätzlich sämtliche, also ebenso ältere Anwendungen aktualisiert, damit sich das Geschäftsmodell trägt. Einzel- oder Insellösungen mit älteren Software-Ständen sind deshalb bei SaaS-Lösungen eher die Ausnahme. Demnach dürfte es bereits aus diesem Grund für SaaS-Anbieter von 62 Vorteil sein, für alle Kunden jeweils nur die neueste Version der SaaS-Lösung zur Verfügung zu stellen, die dem jeweils aktuellen Stand der Technik entspricht. Die möglicherweise aufgrund dessen erforderliche Anpassung der übrigen IT-Infrastruktur liegt nicht mehr in der Verantwortung des Anbieters, sondern derjenigen des Verantwortlichen. Dieser müsste – wie dies auch in der Vergangenheit zum Teil erfolgte – im Gegenteil umgekehrt vertraglich festlegen, dass er eine ältere Software-Version benötigt. Wenngleich dies in der Vergangenheit vor Inkrafttreten der DSGVO in Ausnahmefällen möglich gewesen sein mag, ist dies mit Inkrafttreten der DSGVO bei Aktualisierungen des Standes der Technik indessen nicht mehr zulässig, will der Verantwortliche keine Bußgelder nach Art. 83 Abs. 3 Nr. 4a) DSGVO und/oder sonstige Sanktionen der Aufsichtsbehörden nach Art. 58 DSGVO riskieren, da die Verantwortung für die Sicherstellung des Standes der Technik ihn trifft. 4. Abwägung Implementierungskosten und Risikoabschätzung Bei der Entscheidung, welche technischen Maßnahmen implementiert 63 werden sollen, sind die mit der Verarbeitung verbundenen Risiken für personenbezogene Daten einerseits mit den Kosten für die Implementierung der Maßnahmen andererseits abzuwägen. Dabei ist der Verantwortliche nicht gehalten, die optimalen und teuersten Maßnahmen auszuwählen, sondern kann sich im Einzelfall auch gegen effektive Maßnahmen entscheiden, wenn deren Kosten unangemessen wären67. Es bleibt indes abzuwarten, welchen Stellenwert die Aufsichtsbehörden den wirtschaftlichen Faktoren einräumen werden68. Der Verantwortliche sollte deshalb bei der Auswahl der technischen Maßnahmen stets berücksichtigen, dass er den Aufsichtsbehörden gegenüber die Einhaltung der Anforderungen des Art. 25 Abs. 1 DSGVO jederzeit nachweisen können muss.69
67 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 15. 68 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 15. 69 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 14.
81
Christiane Bierekoven
64 Hinsichtlich der mit der Verarbeitung verbundenen Risiken muss der Verantwortliche bei den zu stellenden Anforderungen die Eintrittswahrscheinlichkeit und die Schwere der Risiken berücksichtigen. Dabei ist Grundlage eine Risiko- und Folgenabschätzung70, bei der auf Standards wie die IT-Grundschutz-Kataloge des BSI oder das Standarddatenschutzmodell zurückgegriffen werden kann, solange es keine anderen detaillierteren Vorgaben der Aufsichtsbehörden gibt.71 65 Hierbei ist künftig weiter zu berücksichtigen, ob und wenn welche Zertifizierungsverfahren eingesetzt werden können, da diese nach Art. 25 Abs. 3 DSGVO einen Faktor beim Nachweis der Erfüllung der Anforderungen des Art. 25 Abs. 1 DSGVO darstellen.72 III. Umsetzung im Projekt 66 Bei der Umsetzung der datenschutzrechtlichen Anforderungen nach Art. 25 Abs. 1 DSGVO im Projekt ist danach zu differenzieren, ob das Projekt nach der klassischen Wasserfall-Methode, agil oder hybrid, d. h. bestehend aus Wasserfall-Modell- und agilen Anteilen durchgeführt wird, da bereits die Möglichkeiten der Spezifizierung konkreter Anforderungen je nach Projektmethode erheblich divergieren können und zu prüfen ist, ob und wenn an welcher Stelle des Projektes diese Anforderungen zu spezifizieren und zu implementieren sind, und ob der Verantwortliche seiner Nachweispflicht nachkommen kann. Im Einzelnen gilt Folgendes: 1. Wasserfall-Methode a) Definition 67 Die klassische Wasserfall-Methode zeichnet sich durch eine strukturierte Vorgehensweise aus, an deren Beginn das Lastenheft steht, das die Anforderungen des Auftraggebers spezifiziert und die Grundlage für das hieraus zu entwickelnde Pflichtenheft darstellt. Hierbei handelt es sich um ein Vorgehensmodell, im Rahmen dessen die Entwicklung der Lösung linear sequentiell, mit klar definierten Phasen erfolgt.73 Dabei gehen die Ergebnisse einer Phase stets als bindende Vorgabe in die nächsttiefere
70 71 72 73
82
Sydow/Mantz, Art. 25 DSGVO Rz. 21. Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 14. Sydow/Mantz, Art. 25 DSGVO Rz. 70. Schneider/v. Westphalen/Witzel, Kap. H Rz. 52.
DSGVO in IT-Projekten
Phase ein. Jede Phase hat vordefinierte Start- und Endpunkte mit definierten Ergebnissen.74 Der Name Wasserfall ergibt sich aus der häufig gewählten graphischen 68 Darstellung der fünf bis sechs als Kaskade angeordneten Phasen. Charakteristisch für das Wasserfallmodell ist, dass jede Aktivität in der richtigen Reihenfolge und in der vollen Breite vollständig durchzuführen ist. Der Entwicklungsablauf ist sequentiell, weil jede Aktivität beendet sein muss, bevor die nächste beginnt. Am Ende jeder Phase soll ein fertiggestelltes Dokument stehen75 und eine Qualitätssicherung als Eingangskriterium für die nächste Phase durchgeführt werden76. Lasten- und Pflichtenheft bzw. die Leistungsbeschreibung legen dabei die zu erbringenden Leistungen des Anbieters und die vom Anwender zu erbringenden Mitwirkungen und Beistellungen fest.77 Im Lastenheft werden nach juristischer Terminologie die fachlichen Vor- 69 gaben und Spezifikationen festgelegt, wobei dieses grundsätzlich vom Anwender zu erstellen ist. Das Lastenheft beinhaltet nach DIN 69901 die Gesamtheit der Anforderungen des Anwenders an die Lieferungen und Leistungen des Auftragnehmers.78 Das Pflichtenheft enthält hingegen die ausführliche Beschreibung der vom Anbieter zu erbringenden Leistungen, die erforderlich sind, um das Lastenheft im Projekt umzusetzen.79 Deshalb wird das Pflichtenheft oder die Leistungsbeschreibung im 70 V-Modell XT – eine ebenfalls wie das Wasserfall-Modell phasenbasierte Projektvorgehensmethode80 – als die zentrale Ausgangsdokumentation der Systemerstellung gesehen und als Gesamtspezifikation betrachtet.81 In der IT entspricht hingegen das Lastenheft dem, was in der juristischen Terminologie als Pflichtenheft bezeichnet wird.82 Dieses stellt die eigentliche Leistungsbeschreibung der Lösung dar. Im Folgenden wird die juristische Terminologie verwendet.
74 75 76 77 78 79 80 81 82
Schneider/v. Westphalen/Witzel, Kap. H Rz. 52. Schneider/v. Westphalen/Witzel, Kap. H Rz. 52. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 6. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 7. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 9. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 9. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 45 ff. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 9. Redeker, Rz. 302.
83
Christiane Bierekoven
b) Umsetzung in der Praxis 71 Bei der Durchführung eines auf der Wasserfall-Methode basierenden Projektes erfolgt zu Beginn die Anforderungsdefinition (Lastenheft), sodann der funktionale Systementwurf (Pflichtenheft), anschließend der technische Systementwurf, die Komponentenspezifikation und sodann die Implementierung der Lösung mit anschließender Einführung beim Anwender.83 Im Rahmen der Erstellung der Anforderungsdefinition des Lastenheftes erfolgt die Sammlung, Analyse und Definition der Anforderungen an die Lösung.84 72 Der System-Entwurf bildet sodann die Brücke zwischen Anforderungen und implementierter Lösung. In diesem werden Datenstrukturen, die Software-Architektur und die Schnittstellen der Software-Bausteine (Module) entworfen. Bei komplexeren Komponenten sind außerdem detaillierte Komponenten-Spezifikationen zu erstellen, bei größeren Systemen ist es sinnvoll, zwischen funktionalem und technischem System-Entwurf zu unterscheiden.85 Der System-Entwurf wird anschließend im Rahmen der Implementierung in eine ausführbare Form gebracht. Die Implementierung beinhaltet neben der Erstellung von Programmen verschiedene weitere Aktivitäten wie z. B. die Parametrisierung und Einbindung von Standard-Software-Komponenten, die Einrichtung von Schnittstellen und die Spezifikation von Datenbanken.86 Die Einführung der Lösung stellt den Übergang in die produktive Umgebung dar. Dazu gehört die Installation der Software-Lösung ebenso wie die Schulung der Benutzer.87 c) Umsetzung der Anforderungen des Art. 25 DSGVO 73 Wie ausgeführt, sind die Anforderungen des Art. 25 DSGVO bereits im Zeitpunkt der Konzeption und Entwicklung von datenverarbeitenden Produkten, Diensten und Anwendungen einzubeziehen, vor der eigentlichen Datenverarbeitung müssen diese Grundsätze implementiert sein. Dies bedeutet für die Einbeziehung und Implementierung der Anforderungen des Art. 25 DSGVO in die Software-Lösung bei einem Wasserfallprojekt Folgendes: 83 84 85 86 87
84
Auer-Reindorff/Conrad/Schmidt, § 1 Rz. 179. Auer-Reindorff/Conrad/Schmidt, § 1 Rz. 181. Auer-Reindorff/Conrad/Schmidt, § 1 Rz. 182. Auer-Reindorff/Conrad/Schmidt, § 1 Rz. 183. Auer-Reindorff/Conrad/Schmidt, § 1 Rz. 185.
DSGVO in IT-Projekten
Der Verantwortliche muss im Rahmen der Erstellung der Anforderungs- 74 definition bzw. des Lastenheftes die für ihn im konkreten Einzelfall für seine Lösung relevanten Anforderungen des Art. 25 Abs. 1 DSGVO spezifizieren. Die Umsetzung der Anforderungen und die hierfür erforderlichen technischen Maßnahmen hat der Anbieter/Hersteller im funktionalen Systementwurf oder Pflichtenheft zu spezifizieren. Bei komplexeren Lösungen kann diese technische Spezifikation zur Umsetzung der Anforderungen im technischen Systementwurf weiter spezifiziert werden. Verfügt er über ein Datenschutzkonzept, das die in der Lösung umzu- 75 setzenden Datenverarbeitungsprozesse spezifiziert, kann er dies als Grundlage nehmen, wobei dieses im Hinblick auf die Erstellung des Pflichtenheftes (durch Referenzierung) zum Bestandteil des Lastenheftes gemacht werden sollte. Die hieraus resultierenden Anforderungen zur technischen Implementierung der Datenschutz-Grundsätze sind in der Leistungsbeschreibung zu spezifizieren. Dabei muss der Verantwortliche sicherstellen, dass die in der Leistungs- 76 beschreibung spezifizierten technischen Maßnahmen dem Stand der Technik entsprechen, da ihn Art. 25 Abs. 1 DSGVO verpflichtet, laufend zu prüfen, dass diese Maßnahmen weiterhin dem Stand der Technik entsprechen88. Diese Festlegung kann er entweder in der Leistungsbeschreibung, dem technischen Systementwurf oder in einer gesonderten Komponentenspezifikation oder im Vertrag selbst treffen. Hierbei ist festzulegen, dass die technischen Maßnahmen im Zeitpunkt der Abnahme dem dann aktuellen Stand der Technik entsprechen müssen. Auf diese Weise kann der Verantwortliche die datenschutzrechtliche 77 Sollbeschaffenheit der Software-Lösung, einschließlich der für diese Sollbeschaffenheit zu implementierenden technischen Maßnahmen, festlegen, ohne deren Umsetzung in der Software-Lösung keine Abnahme erfolgen kann. Über die Spezifizierung in der Leistungsbeschreibung hat er im Rahmen der Abnahme die Möglichkeit, rechtlich sicherzustellen, dass die Software-Lösung im Zeitpunkt der Abnahme dem sodann aktuellen Stand der Technik entspricht. Andernfalls kann er die Abnahme nach § 640 Abs. 1 BGB verweigern, da die Nicht-Einhaltung des aktuellen Standes der Technik im Hinblick auf dessen Bedeutung für die Einhaltung der Anforderungen des Art. 25 Abs. 1 DSGVO einen wesentlichen Mangel darstellt.
88 Ehmann/Selmayr/Baumgartner, Art. 25 DSGVO Rz. 13 und oben Ziffer II 2, Rz. 42 ff.
85
Christiane Bierekoven
78 Die sich aus der Leistungsbeschreibung ergebende Sollbeschaffenheit ist weiter maßgeblich für Gewährleistungsansprüche. Sollte sich nach Abnahme herausstellen, dass die technischen Maßnahmen doch nicht dem Stand der Technik zum Zeitpunkt der Abnahme entsprochen haben, kann der Verantwortliche über die Projektdokumentation89 der Lösung den Nachweis führen, dass diese Dokumentation zur Einhaltung der Anforderungen nach Art. 25 Abs. 1 DSGVO den Soll-Zustand der Lösung (mit-)spezifizierte und auf dieser Grundlage Gewährleistungsansprüche geltend machen. 79 Weitergehende Ansprüche dahin, dass die technischen Maßnahmen über den Abnahmezeitpunkt hinaus dem jeweiligen aktuellen Stand der Technik entsprechen müssen, hat der Verantwortliche nach Werkvertragsrecht nicht. Entsprechendes gilt für die kaufrechtliche Überlassung. Nach dem Zeitpunkt des Gefahrenübergangs kann er diese Verpflichtung deshalb nur erfüllen, wenn er einen Wartungs-, Pflege- oder Supportvertrag mit dem Hersteller abschließt, in dem dieser sich verpflichtet, die technischen Maßnahmen auf dem aktuellen Stand der Technik zu halten (dazu unten Ziffer IV, Rz. 104 ff.). 2. Agile Methode 80 Im Rahmen des agilen Vorgehens sind die Spezifikation und Implementierung der datenschutzrechtlichen Anforderungen und der insoweit zu implementierenden technischen Maßnahmen schwieriger. Um identifizieren zu können, an welcher Stelle im Projekt die Spezifizierung und sodann die Identifizierung der erforderlichen technischen Maßnahmen erfolgt, ist zunächst zu verstehen, wie ein agiles Projekt durchgeführt wird. a) Definition 81 Agile Softwareentwicklung versucht im Gegensatz zur WasserfallMethode mit geringem bürokratischen Aufwand und wenigen Regeln auszukommen und Entwicklungsprozesse schlanker und flexibler zu gestalten. Deshalb werden bei agilen Projekten möglichst wenig Dokumente gefordert; im Extremfall ist der Sourcecode das Dokument.90
89 Dazu Auer-Reinsdorff/Conrad/Witzel/Conrad, § 18 Rz. 278. 90 Schneider/v. Westphalen/Witzel, Kap. H Rz. 61 ff.
86
DSGVO in IT-Projekten
b) Umsetzung in der Praxis Beim agilen Vorgehen wird iterativ entwickelt.91 Stabile Pläne sind Pläne 82 für kurze Zeiträume und werden jeweils für eine Iteration gemacht.92 Besonders bedeutsam in der Praxis ist neben anderen Methoden, wie 83 etwa Kanban, Crystal, Extreme Programming (XP) und Feature Driven Development (FDD)93, Scrum. Ziel des Vorgehens nach Scrum ist die kontinuierliche Erzeugung für sich selbstständig funktionierender Softwareteile in jedem Sprint, die am Ende die im Verlauf des Projekts sich konkretisierende, unter fortlaufender Berücksichtigung von Änderungen geschaffene finale Software mit den vom Anwender formulierten Funktionen und Spezifikationen ergeben.94 Auf die Erstellung von Lasten- und Pflichtenheft, also einer Leistungsbe- 84 schreibung, wird zugunsten eines Product Backlog verzichtet. Die Konkretisierung des Leistungsgegenstands erfolgt im Erstellungsprozess, in dem zugleich die Qualitätssicherung und Projektplanung angelehnt an einen Plan-Do-Check-Act Zyklus (PDCA) erfolgt.95 Das Product Backlog ist trotz seiner zentralen Rolle nicht mehr als eine vom Product Owner geführte, geordnete und priorisierte Liste aller anwenderorientierten Anforderungen an die zu erstellende Software in den User Stories und nie vollständig oder abschließend. Es stellt deshalb kein Lasten- oder Pflichtenheft im klassischen Verständnis dar. Zu Beginn enthält es möglicherweise als Vision von der zu erstellenden Software nur Epics als Beschreibung von Anforderungen auf einer hohen Abstraktionsebene, aus denen dann die User Stories zur Konkretisierung abgeleitet werden.96 Das Herz von Scrum ist der Sprint. Dies ist ein Zeitraum von maxi- 85 mal einem Monat, innerhalb dessen ein fertiges („Done“), nutzbares und potentiell lieferbares Produktinkrement hergestellt wird.97 Das für Scrum maßgebliche Product Backlog enthält eine geordnete Liste sämtlicher bekannten Anforderungen, die im Produkt enthalten sein sollen. Es ist die einzige Anforderungsquelle für alle Änderungen am Produkt.98 Während der ersten Entwicklungsschritte enthält es anfangs bekannte 91 92 93 94 95 96 97
Schneider/v. Westphalen/Witzel, Kap. H Rz. 61 ff. Schneider/v. Westphalen/Witzel, Kap. H Rz. 61 ff. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 69 m.w.N. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 70. Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 70 m.w.N. Zum Ganzen: Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 76 m.w.N. Der Scrum Guide, November 2017, Deutsche Fassung, S. 9, abrufbar unter https://www.scrumguides.org/docs/scrumguide/v1/Scrum-Guide-DE.pdf. 98 Der Scrum Guide, November 2017, Deutsche Fassung, S. 15, w.o.
87
Christiane Bierekoven
und klar/am besten verstandene Anforderungen und entwickelt sich mit dem Produkt und dessen Einsatz weiter.99 In ihm werden alle Features, Funktionalitäten, Verbesserungen, Fehlerbehebungen aufgelistet.100 86 Von diesen Anforderungen werden einige für die einzelnen Sprints ausgewählt und in einem Sprint-Backlog aufgeführt.101 Dieses Sprint Backlog enthält somit die Auswahl der Product-Backlog-Einträge, die im jeweiligen Sprint zu einem Produktinkrement entwickelt werden sollen sowie den jeweiligen Umsetzungsplan des Entwicklungsteams.102 Das Entwicklungsteam passt das Sprint-Backlog während des Sprints an, sodass sich das Sprint-Backlog während des Sprints entwickelt,103 und somit die Anforderungen an das zu erstellende Produkt. 87 Vor Beginn eines Sprints wird im Sprint-Planning das Ziel beschrieben, das mit dem Sprint erreicht werden soll.104 Dieses Sprint-Ziel ist ein übergeordneter Zweck für den Sprint, der durch die Backlog-Einträge erreicht werden kann.105 Es wird während des Sprint-Planning erarbeitet, wobei die ausgewählten Product-Backlog-Einträge eine zusammenhängende Funktionalität bilden.106 Im Ergebnis wird deshalb im Rahmen der einzelnen Sprints aus den Product-Backlog-Einträgen eine zusammenhängende Funktionalität der Lösung entwickelt, die ihrerseits wiederum Bestandteil der übergeordneten Lösung und somit des Product-Backlogs ist. 88 Dementsprechend ist einzig das Product-Backlog der die SoftwareLösung insgesamt spezifizierende Anforderungskatalog, der im Laufe des Projektes stetig weiterentwickelt und spezifiziert wird und auf diese Weise zugleich die Software-Lösung dokumentiert. Anders als bei der Wasserfall-Methode werden also in der Planungsphase die fachlichen und technischen Anforderungen gemeinsam von Anbieter und Anwender definiert, exakte Beschreibungen von Leistungsanforderungen oder gar ein Lasten- oder Pflichtenheft werden jedoch gerade nicht durch den Anbieter erstellt.107
99 100 101 102 103 104 105 106 107
88
Der Scrum Guide, November 2017, Deutsche Fassung, S. 15, w.o. Der Scrum Guide, November 2017, Deutsche Fassung, S. 15, w.o. Der Scrum Guide, November 2017, Deutsche Fassung, S. 16, w.o. Der Scrum Guide, November 2017, Deutsche Fassung, S. 11, w.o. Der Scrum Guide, November 2017, Deutsche Fassung, S. 16, w.o. Der Scrum Guide, November 2017, Deutsche Fassung, S. 10, w.o. Der Scrum Guide, November 2017, Deutsche Fassung, S. 11, w.o. Der Scrum Guide, November 2017, Deutsche Fassung, S. 11, w.o. Zum Ganzen: Intveen/Gennen/Karger/Jentzsch/Kremer, § 2 Rz. 80.
DSGVO in IT-Projekten
c) Umsetzung der Anforderungen des Art. 25 DSGVO Die Umsetzung der Anforderungen des Art. 25 DSGVO erscheint beim 89 agilen Vorgehen auf den ersten Blick schwieriger als bei der Wasserfall-Methode, da es weder ein Lasten- noch ein Pflichtenheft gibt, das die für die jeweilige Software-Lösung erforderlichen Datenschutzanforderungen und technischen Maßnahmen festlegen könnte. Vielmehr werden zu Beginn des Projektes nach der Beschreibung einer Produktvision im Product-Backlog die Anforderungen an die Software, die es zu entwickeln gilt, beschrieben und die Einzelanforderungen nach Wichtigkeit priorisiert.108 Dabei ist – anders als nach der WasserfallMethode – noch nicht klar, wie das Produkt am Ende nach Fertigstellung aussehen soll. Es entwickelt sich erst während der einzelnen Sprints, die ihrerseits über die Produktinkremente die Lösung entwickeln. Infolgedessen können zu Beginn des Projektes nur die bereits zu diesem Zeitpunkt bekannten und am besten für die künftige Lösung relevanten Datenschutzanforderungen und technischen Maßnahmen im Product-Backlog beschrieben werden. Erst im Laufe der Entwicklung der Lösung in den einzelnen Sprints können die Anforderungen an die Software-Lösung und damit die nach Art. 25 DSGVO zu implementierenden Datenschutzanforderungen spezifiziert und in den Sprint-Backlogs sowie anschließend im Product-Backlog festgeschrieben werden. Bei dieser Vorgehensweise werden die Datenschutzanforderungen also 90 zunächst nur Sprint-weise, nicht übergreifend, für die Lösung definiert. Es ist deshalb nicht ohne Weiteres klar, dass die Datenverarbeitungsprozesse, die komponenten-, funktions- und Modul-übergreifend implementiert werden müssen, ohne Weiteres auch Sprint-übergreifend die nach Art. 25 DSGVO erforderlichen Anforderungen berücksichtigen. Dies gilt insb., wenn die Datenverarbeitungsprozesse system-übergreifend in Primär-, Sekundär- und ggf. Randsystemen stattfinden und für diese Systeme die Datenschutzanforderungen bestimmt und implementiert werden müssen. Deshalb muss auch beim agilen Vorgehen bereits zu Beginn des Projektes 91 feststehen und festgelegt werden, dass Datenschutzanforderungen und damit einhergehend technische Maßnahmen im Produkt implementiert werden. Es ist auch hier erforderlich, dies zu Beginn des Projektes vorzugeben. Die Identifizierung der erforderlichen Datenschutzanforderungen und der zur Gewährleistung erforderlichen technischen Maßnahmen ist
108 Hoeren/Pinelli, MMR 2018, 199 (201).
89
Christiane Bierekoven
in der Beschreibung der „Produktvision“ im Product-Backlog festzuhalten. 92 Als weitere Aufgabe muss für die einzelnen Sprints feststehen, dass bei der Entwicklung der aus dem Product-Backlog ausgewählten Anforderungen jeweils die erforderlichen Datenschutzanforderungen mit zu berücksichtigen und zu implementieren sind. Dennoch werden auf diese Weise nur die für das jeweilige Produktinkrement des einzelnen Sprints erforderlichen Datenschutzanforderungen und technischen Maßnahmen identifiziert und mit dem Produktinkrement entwickelt. Dabei ist noch nicht sichergestellt, dass die Datenschutzanforderungen für über das einzelne Produktinkrement hinausgehende Datenverarbeitungsprozesse, insb. für solche in übergreifenden Primär- und Sekundärsystemen, identifiziert werden. 93 Es ist also unklar, wie sichergestellt werden kann, dass nicht nur die für ausgewählte Anforderungen des Produktes jeweils relevanten Datenschutzanforderungen in den Sprint Backlogs spezifiziert und in den Sprints umgesetzt werden, sondern Anforderungen für das (Sprint-) „übergreifende“ Endprodukt. Dieses steht im Gegensatz zur Wasserfall-Methode jedoch erst am Ende der Entwicklung fest. Eine zu Beginn erfolgende Identifizierung sämtlicher für die zu erstellende Lösung erforderlicher Prozesse und deren Datenschutzanforderungen und technische Maßnahmen in einer Leistungsbeschreibung erfolgt nicht. 94 Eine Lösung kann hier entweder nur der Product-Backlog sein, der zu Beginn als eine der zu entwickelnden Anforderungen die Implementierung der Datenschutzanforderungen und der hierfür erforderlichen technischen Maßnahmen enthält und im Laufe der Entwicklung mit dem Produkt weiterentwickelt und spezifiziert wird. Auf diese Weise kann der Product-Backlog, wenn er die Datenschutzanforderungen und technischen Maßnahmen hinreichend spezifiziert, zum einen die Leistungsbeschreibung und zum anderen zugleich die Dokumentation darstellen, die der Verantwortliche benötigt, um den Nachweis der Einhaltung der Anforderungen des Art. 25 DSGVO gemäß Art. 5 Abs. 2 DSGVO führen zu können. In diesem Fall benötigt er am Ende der Entwicklung des Product-Backlog diesen selbst oder jederzeitigen Zugriff darauf, um den Nachweis führen zu können. 95 Erfüllt der Product-Backlog diese Anforderung nicht und spezifiziert er die Datenschutzanforderungen sowie die zu ihrer Einhaltung zu implementierenden technischen Maßnahmen für das „Endprodukt“ nicht, bedarf es auch beim agilen Vorgehen bzw. Scrum einer klassischen Leistungsbeschreibung, die diese Anforderungen enthält und erfüllt. 90
DSGVO in IT-Projekten
3. Hybrides Projekt Im hybriden Projekt werden Elemente der Wasserfall-Methode mit sol- 96 chen des agilen Vorgehens verknüpft. Dabei besteht ein in der Praxis häufig anzutreffendes Vorgehen darin, das Projekt entsprechend der Wasserfall-Methode mit der Leistungsbeschreibung zu planen und die Anforderungen der Software-Lösung zu spezifizieren, die Umsetzung der Anforderungen aus der Leistungsbeschreibung jedoch agil vorzunehmen, indem auch hier einzelne Anforderungen in Sprints wie zuvor beschrieben entwickelt werden. Bei diesem Vorgehen gibt es eine Leistungsbeschreibung, die die Anfor- 97 derungen an die Software-Lösung und damit verbunden die Datenschutzanforderungen und technischen Maßnahmen auch Prozess-übergreifend spezifiziert. Hier ist im Hinblick auf den Nachweis der Anforderungen des Art. 25 DSGVO sicherzustellen, dass das Product-Backlog diese Anforderungen hinreichend genau präzisiert, sodass dieses als Nachweis tauglich ist, und es dem Verantwortlichen nach Abschluss des Projektes zu diesem Zweck zur Verfügung steht. 4. Detaillierungsgrad Art. 25 DSGVO trifft keine Aussage dazu, wie detailliert der Verantwort- 98 liche die erforderlichen Datenschutzanforderungen und technischen Maßnahmen spezifizieren muss bzw. wie detailliert sie in der Leistungsbeschreibung oder im Product-Backlog spezifiziert werden müssen. Ausgangspunkt für die dahingehende Bewertung ist die Nachweisver- 99 pflichtung des Verantwortlichen. Er kann diesen Nachweis einmal nach Art. 25 Abs. 3 DSGVO durch eine entsprechende Zertifizierung führen. Verfügt er über keine Zertifizierung, kommt es wiederum auf die tatsächliche Implementierung solcher Maßnahmen an. Um die Einhaltung der Anforderungen nachweisen zu können, soll der 100 Verantwortliche nach Erwägungsgrund 78 S. 2 zur DSGVO interne Strategien festlegen und Maßnahmen ergreifen, die insbesondere den Grundsätzen des Datenschutzes durch Technik (data protection by design) und durch datenschutzfreundliche Voreinstellungen (data protection by default) genügen. Sodann werden in S. 3 mögliche Maßnahmen genannt. Wie der Nachweis geführt werden kann, dass der Verantwortliche solche Maßnahmen implementiert hat, führt Erwägungsgrund 78 indessen nicht aus.
91
Christiane Bierekoven
101 Bei der Führung des Nachweises ist zu berücksichtigen, dass die Nachweispflicht nicht isoliert zu betrachten ist, sondern einen Teil der Prozessgestaltung bei der Einführung einer Verarbeitung darstellt, weshalb Dokumentation und Nachweise diesen gesamten Prozess erfassen sollten.109 Dieser Dokumentation sollte sich somit entnehmen lassen, wie der Verantwortliche die Datenschutzanforderungen sowohl bei der Festlegung der Mittel für die Verarbeitung als auch bei deren Durchführung erfüllt. Der Verweis in Erwägungsgrund 78 S. 2 auf „interne Strategien“ (Englisch: „internal policies“) ist kein feststehender Rechtsbegriff.110 Es geht um organisationsinterne Richtlinien für die Verarbeitung personenbezogener Daten, die sich nicht nur auf ein abstraktes Leitbild beschränken dürfen, sondern konkreter beschreiben müssen, wie den Anforderungen der DSGVO nachgekommen wird.111 102 Dementsprechend genügt es auch für die Dokumentation der implementierten Datenschutzgrundsätze und der insoweit ergriffenen technischen Maßnahmen nicht, wenn diese lediglich abstrakt beschrieben werden. Vielmehr ist zu dokumentieren, in welchen Prozessen, Komponenten, Modulen, Funktionalitäten die Datenschutzgrundsätze implementiert und welche technischen Maßnahmen für ihre Einhaltung umgesetzt wurden. 103 Dies bedeutet für die Leistungsbeschreibung, dass für die zu erstellende Lösung die Datenschutzgrundsätze und die für ihre Implementierung erforderlichen technischen Maßnahmen für die Prozesse, Komponenten, Module und Funktionalitäten zu spezifizieren sind. Entsprechendes gilt für das Product-Backlog. Kann dieses dies nicht leisten, kann der Verantwortliche den Nachweis nicht führen. In diesem Fall ist auch beim agilen Vorgehen eine gesonderte Leistungsbeschreibung erforderlich, die die genannten Anforderungen, ggf. system-übergreifend, enthält. Beim hybriden Projekt sind diese Spezifikationen wiederum Bestandteil der Leistungsbeschreibung wie beim klassischen Wasserfallprojekt und werden im Rahmen der Umsetzung in den einzelnen Sprints entwickelt und im Produkt implementiert.
109 Kühling/Buchner/Hartung, Art. 25 DSGVO Rz. 30. 110 Simitis/Hornung/Spiecker/Hansen, Art. 25 DSGVO Rz. 59 f. 111 Simitis/Hornung/Spiecker/Hansen, Art. 25 DSGVO Rz. 59 f.
92
DSGVO in IT-Projekten
IV. Support 1. Aktualisierung des Standes der Technik Wie bereits ausgeführt (dazu oben Ziffer II 3b) bb), Rz. 56 ff.), muss der 104 Anbieter nach hier vertretener Auffassung bei einer SaaS-Lösung aufgrund seiner Instandhaltungs- oder Erhaltungspflicht dafür Sorge tragen, während der Vertragslaufzeit die technischen Maßnahmen zur Sicherstellung der Datenschutzgrundsätze auf dem Stand der Technik zu halten. Dies gilt bei kauf- oder werkvertraglicher Überlassung so nicht, weshalb 105 es in diesen Fällen stets bereits eines gesonderten Supportvertrages bedarf, aufgrund dessen der Anbieter verpflichtet ist, die technischen Maßnahmen auf dem Stand der Technik zu halten. Dies ist so im Supportvertrag festzulegen, da die Rechtslage hierzu (s. dazu oben Ziffer II 3b) bb), Rz. 56 ff.) nicht eindeutig ist, denn Aktualisierungs- und/oder Modernisierungsmaßnahmen sind nicht zwingend Bestandteil der Erhaltungsmaßnahmen. 2. Änderungen der Datenverarbeitungsprozesse Neben einer Änderung des Standes der Technik können sich die Daten- 106 verarbeitungsprozesse während der Nutzung der Hard- und/oder Software-Lösung ändern, sodass Anpassungen in der Lösung und/oder den technischen Maßnahmen erforderlich werden können. Dies gilt insb. für jede Anpassung eines die Lösung betreffenden implementierten Datenschutzmanagementsystems (DSMS). Solche Anpassungen und/oder Änderungen sind auch bei Nutzung einer 107 SaaS-Lösung nicht Bestandteil der Erhaltungsverpflichtung des Anbieters. Sie beruhen auf außerhalb der Lösung liegenden Umständen, die der Anwender entweder selbst in Gang gebracht hat oder in dessen Verantwortungsbereich diese Umstände aufgetreten sind. Demgemäß bedarf es auch im Rahmen einer SaaS-Lösung eines Supportvertrages, aufgrund dessen der Anbieter verpflichtet ist, solche Anpassungen oder Änderungen in der Lösung zu implementieren. Entsprechendes gilt bei werk- und/oder kaufrechtlicher Überlassung der Software-Lösung. 3. Zwischenergebnis Da der Verantwortliche während des gesamten Nutzungszeitraums der 108 Software-Lösung verpflichtet ist, die technischen Maßnahmen zur Ein93
Christiane Bierekoven
haltung der Datenschutzgrundsätze auf dem Stand der Technik zu halten, muss er auch nach erstmaliger Implementierung der Software-Lösung sicherstellen, dass die technischen Maßnahmen dem Stand der Technik entsprechen. Weiter muss der Verantwortliche bei Bedarf die Datenverarbeitungsprozesse der Lösung anpassen und/oder ändern. 109 Im ersten Fall muss der Verantwortliche mit dem Anbieter einen Supportvertrag abschließen, wonach dieser sich verpflichtet, die technischen Maßnahmen auf dem Stand der Technik zu halten, wenn er die Software-Lösung auf der Grundlage eines Werk- oder Kaufvertrages erworben hat. Bei Erwerb als SaaS-Lösung gehört dies nach hier vertretener Auffassung zur Instandhaltungs- oder Erhaltungspflicht im Rahmen der mietvertraglichen Überlassung. 110 Im zweiten Fall muss der Verantwortliche in allen Ausprägungen der Überlassung jedenfalls dann in einem Supportvertrag sicherstellen, dass Anpassungen und/oder Änderungen der Datenverarbeitungsprozesse und damit einhergehend der technischen Maßnahmen vom Anbieter umgesetzt werden, wenn und soweit er diese nicht selbst installieren und/oder implementieren kann. V. Fazit 1. Adressat 111 Die Anforderungen aus Art. 25 DSGVO – Privacy by Design und Privacy by Default – verpflichten direkt nur den Verantwortlichen, Auftragsverarbeiter werden nur mittelbar über die Auswahlentscheidung des Verantwortlichen verpflichtet. Entsprechendes gilt für die Hersteller von Produkten, Diensten und Anwendungen, die nach Art. 25 DSGVO „über’s Eck“ über die Auswahlentscheidung des Verantwortlichen mittelbar verpflichtet werden, solche Produkte, Dienste und Anwendungen anzubieten, die die Anforderungen des Art. 25 DSGVO erfüllen, da der Anbieter die Umsetzung der Anforderungen des Art. 25 DSGVO in seine Auswahlentscheidung einzubeziehen hat. 2. Technische und organisatorische Maßnahmen 112 Die technischen und organisatorischen Maßnahmen sind bei Konzeption und Verarbeitung vom Verantwortlichen zu erfüllen, wobei der jeweilige Stand der Technik zu implementieren ist. Welche technischen Maßnahmen der Verantwortliche zu implementieren hat, sagt Art. 25 DSGVO nicht. Die Auswahl hängt vom Kontext und vom Risiko der Datenverarbeitung für personenbezogene Daten sowie den Implementierungskosten 94
DSGVO in IT-Projekten
ab. Dem Verantwortlichen steht hierbei ein großer Ermessensspielraum zu. Bei diesem hat er den Kontext und das Risiko der Datenverarbeitung für personenbezogene Daten ebenso zu berücksichtigen wie seine Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO, aufgrund derer er die technischen Maßnahmen und seine Auswahlentscheidung dokumentieren und die Erfüllung der Anforderungen des Art. 25 DSGVO nachweisen muss. 3. Bedeutung von Pflichtenheft/Leistungsbeschreibung Hierbei kommt der Leistungsbeschreibung im Wasserfall-Projekt eine 113 wesentliche Bedeutung zu, da der Verantwortliche in dieser die Anforderungen nach Art. 25 DSGVO ebenso wie die technischen Maßnahmen zur deren Erfüllung spezifizieren muss. Hiermit sowie mit der Projektdokumentation kann er zugleich den Nachweis nach Art. 5 Abs. 2 DSGVO führen. Beim agilen Vorgehen nimmt diesen Platz das Product-Backlog ein, wenn und soweit in diesem die entsprechenden Spezifizierungen und Dokumentationen vorgenommen werden und der Verantwortliche sicherstellt, dass er über diesen Product-Backlog während der Nutzungszeit der Lösung verfügt. Erfüllt der Product-Backlog diese Anforderungen im Einzelfall nicht, bedarf es andernfalls auch beim agilen Vorgehen einer Leistungsbeschreibung. 4. Bedeutung der Leistungsbeschreibung für die Gewährleistung Die Leistungsbeschreibung definiert so zugleich die Gewährleistungs- 114 verpflichtung des Herstellers bei Fehlen der DSGVO-Anforderungen und die Anforderungen an ein abnahmefähiges Produkt. 5. Notwendigkeit einer Leistungsbeschreibung im agilen Projekt Deshalb sollte die Leistungsbeschreibung grundsätzlich auch im Rahmen 115 eines agilen Projektes erstellt werden, um für das Projekt insgesamt die zu erfüllenden Datenschutzanforderungen zu spezifizieren, die sodann in den einzelnen Sprints umgesetzt werden. Zwar kann die Dokumentation der Anforderungen und Spezifikationen im Sprint-Backlog sowie im Product-Backlog erfolgen, die mit zunehmendem Projektfortschritt weiter detailliert werden, jedoch bedarf es wegen der typischerweise prozessorientiert durchgeführten Datenverarbeitung einer übergreifenden Beschreibung der Datenschutzanforderungen, mit der sichergestellt 95
Christiane Bierekoven
wird, dass diese Prozess-übergreifend implementiert werden. Dies ist bei einem rein Sprint-orientierten Vorgehen, in dem im jeweiligen Sprint die Anforderungen spezifiziert und im Product-Backlog fortgeschrieben werden, nicht so ohne Weiteres sichergestellt. Leistet das Product-Backlog dies, bedarf es jedoch keiner zusätzlichen Leistungsbeschreibung. Insoweit bleibt die weitere Entwicklung agiler Vorgehensweisen, insb. von Scrum, abzuwarten. 6. Detaillierungsgrad der Leistungsbeschreibung 116 Der Detaillierungsgrad der Leistungsbeschreibung hängt vom Kontext der Datenverarbeitungsvorgänge, ihrer Komplexität und dem Risiko für die zu verarbeitenden personenbezogenen Daten ab. Wenn und soweit zur Spezifizierung der Datenschutzanforderungen auf ein separates, bereits beim Verantwortlichen vorhandenes Datenschutzkonzept, das die Datenverarbeitungs-Prozesse sowie die prozess-orientierten Anforderungen bereits spezifiziert, zurückgegriffen wird, ist dieses (durch Referenzierung) zum Bestandteil der Leistungsbeschreibung oder des Vertrages bzw. Vertragswerkes zu machen.
96
Digitaler Nachlass und privates Datenmanagement in der anwaltlichen Beratung Matthias Pruns* I. Einleitung 1. Problemstellung 2. Ein typisierter Sachverhalt II. Die Rechtsnachfolge in das digitale Vermögen 1. Die Differenzierung zwischen Dateien und gespeicherten Inhalten a) Akzessorietät zwischen Speichermedium und Daten? b) Daten als Verkörperungen von Inhalten c) Zeichen- und Bedeutungsebene d) Rechte am Speichermedium und Rechte Dritter am Inhalt e) Zwischenfazit: Trennung zwischen Datenträgern und den dort gespeicherten Daten 2. Die grundsätzliche Zuordnung von Daten nach dem Erbfall a) Rechte der Angehörigen an Daten ohne „Vermögensbezug“? b) BGH: Keine Unterscheidung nach vermögensrechtlichem Bezug c) Verfassungsrechtliche Wertung d) Schlussfolgerungen für den Sachverhalt 3. Rechte Dritter an Inhalten, insbesondere in Auftrags- und Dienstverhältnissen
*
a) BGH v. 27.9.1990 – I ZR 244/88 – „Grabungsmaterialien“ b) Übertragung auf den digitalen Nachlass 4. Rechte und Zustimmung Dritter a) Immaterialgüterrechte Dritter b) Andere Rechte Dritter, insbesondere Persönlichkeitsrechte aa) Die Wertung der § 2047 Abs. 2, § 2373 S. 2 BGB bb) Die Auslegung der Einwilligung bei Bildaufnahmen cc) Ausnahme: Kernbereich der privaten Lebensgestaltung c) Ergebnis III. Elektronische Korrespondenz und soziale Netzwerke 1) Der Übergang des Nutzungsvertrags auf den Erben a) Ausschluss durch AGB? aa) Wirksame Einbeziehung? bb) Reine Leistungsbestimmungen? cc) Inhaltskontrolle dd) Exkurs: Neue Gedenkzustandsregelung b) Ausschluss der Vererbbarkeit aufgrund des Wesens des Vertragsverhältnisses? c) Differenzierung nach Inhalten?
Rechtsanwalt Matthias Pruns, Partner bei SP§P Schiffer & Partner, Bonn (www.schiffer.de); dieses Manuskript basiert auf einer von mir verfassten zweiteiligen Aufsatzreihe, die in ErbR 2018, 550 ff. und 614 ff. veröffentlicht wurde. Diese beruht wiederum auf dem Manuskript meines am 31.5.2017 im Rahmen des 12. Deutschen Erbrechtstags in Berlin gehaltenen Vortrags.
97
Matthias Pruns 2. Ausschluss der Vererbbarkeit aufgrund von Rechten des Erblassers? 3. Ausschluss der Vererbbarkeit aufgrund von Rechten der Kommunikationspartner? a) Ausschluss aufgrund des Fernmeldegeheimnisses (§ 88 Abs. 3 TKG)? b) Zustimmung: Übertragung der Verfügungsbefugnis c) Argumentation des BGH aa) Die Erwartungshaltung des verständigen durchschnittlichen Nutzers bb) Erben als Teilnehmer des Kommunikationsvorgangs cc) Interessenabwägung im Rahmen der DSGVO d) Der Kernbereich der privaten Lebensgestaltung 4. Lösung zu Frage 5 IV. Die gerichtliche Durchsetzung von Ansprüchen durch die Erben 1. Internationale Zuständigkeit nach europäischem IZPR
a) Zuständigkeit bei Verbrauchersachen (Art. 17 ff. EuGVVO) b) Zuständigkeit in anderen Fällen c) Gemischte Nutzung 2. Anwendbares Recht und Rechtswahlklauseln nach europäischem IPR a) Handeln als Verbraucher b) Anwendbares Recht in anderen Fällen c) Gemischte Nutzung 3. Lösung für den Sachverhalt V. Vorsorge zu Lebzeiten 1. Vorausplanende „Strukturierung“ des digitalen Nachlasses: „Notfallakte“ etc. a) Ordnung des digitalen Nachlasses b) Insbesondere E-Mail c) Der Umgang mit Zugangsdaten, insbesondere Passwörtern d) Zwei-Faktoren-Authentifizierung und Mobiltelefon 2. Rechtliche Vorsorgemaßnahmen VI. Fazit
Literaturübersicht: Alexander, Digitaler Nachlass als Rechtsproblem? – Überlegungen aus persönlichkeitsrechtlicher, datenschutzrechtlicher und vertragsrechtlicher Sicht, K&R 2016, 301; Arbeitsgruppe „Digitaler Neustart“, Bericht v. 15.5.2017; Scherer (Hrsg.), Münchener Anwaltshandbuch Erbrecht, 4. Auflage 2014; Biermann, Der digitale Nachlass im Spannungsfeld zwischen Erbrecht und Datenschutz, ZErb 2017, 210; Bock, Juristische Implikationen des digitalen Nachlasses AcP 217 (2017), 370; Brinkert/Stolze/Heidrich, Der Tod und das soziale Netzwerk – Digitaler Nachlass in Theorie und Praxis, ZD 2013, 153; Budzikiewicz, Digitaler Nachlass, AcP 218, 558; Dauner-Lieb u. a. (Hrsg.), Nomos Kommentar BGB, 4. Auflage 2014; Deusch, Digitales Sterben: Das Erbe im Web 2.0, ZEV 2014, 2; Deutscher Anwaltverein (DAV), Stellungnahme zum Digitalen Nachlass, 34/2013; Dopatka, Digitaler Nachlass – Der Umgang mit elektronischen Daten nach dem Tod, NJW aktuell, Heft 49/2010, S. 14; Dreier/Schulze (Hrsg.),
98
Digitaler Nachlass und privates Datenmanagement Kommentar zum UrhG, 6. Auflage 2018; Gsell u. a. (Hrsg.), beck-online.Grosskommentar Zivilrecht, Stand 1. Juni 2018; Gomille, Information als Nachlassgegenstand, ZUM 2018, 660; Gloser, Digitale Erblasser und digitale Vorsorgefälle – Herausforderungen der Online-Welt in der notariellen Praxis Teil I, MittBayNot 2016, 12; Gloser, Digitale Erblasser und digitale Vorsorgefälle – Herausforderungen der Online-Welt in der notariellen Praxis Teil II, MittBayNot 2016, 101; Gloser, Digitale Vorsorge in der notariellen Praxis, DNotZ 2015, 4; Groll, Praxishandbuch Erbrechtsberatung, 4. Aufl. 2015; Herzog/Pruns, Der digitale Nachlass in der Vorsorge- und Erbrechtspraxis, 2018; Herzog, Der digitale Nachlass und das Erbrecht, AnwBl Online 2018, 472; Herzog, Der digitale Nachlass – Zweite Runde!, ZErb 2017, 205; Herzog, Der digitale Nachlass ist in der Rechtswirklichkeit angekommen, ErbR 2016, 173; Herzog, Der digitale Nachlass – ein bisher kaum gesehenes und häufig missverstandenes Problem, NJW 2013, 3745; Hill/Martini/Wagner, Facebook, Google und Co. – Gefahren und Chancen, 2013; Hoeren/Sieber/Holznagel, Handbuch Multimedia-Recht, Stand Februar 2018; Hoeren, Der Tod und das Internet – Rechtliche Fragen zur Verwendung von E-Mail- und www-Acounts nach dem Tode des Inhabers, NJW 2005, 2113; Karczewski, Die Totenfürsorge: ein unbekanntes Rechtsinstitut?, ZEV 2017, 129; Kroiß/Horn/Solomon (Hrsg.), Nachfolgerecht, 2015; Kutscher, Der digitale Nachlass, 2015, 87; Lange/Holtwiesche, Digitaler Nachlass – eine Herausforderung für die Wissenschaft und Praxis, ZErb 2016, 125; Mankowski, Internationale Zuständigkeit nach europäischem IZPR bei ererbten Forderungen, Schulden und Vertragspositionen, ErbR 2016, 550; Martini, Der digitale Nachlass und die Herausforderungen postmortalen Persönlichkeitsschutzes im Internet, JZ 2012, 1145; Mayen, Das Fernmeldegeheimnis und der digitale Nachlass, AnwBl Online 2018, 466; Mugdan, Die gesammten Materialien zum BGB, Band V, 371; Palandt (Begr.), Kommentar zum BGB, 77. Auflage 2018; Pruns, Der digitale Nachlass in der Beratungspraxis nach dem Facebook-Urteil des BGH – Teil 2: Soziale Netzwerke – Rechtliche Durchsetzung – Vorsorge, ErbR 2018, 614; Pruns, Der digitale Nachlass in der Beratungspraxis nach dem Facebook-Urteil des BGH – Teil 1: Grundlagen der Rechtsnachfolge in das digitale Vermögen, ErbR 2018, 550; Pruns, Das richtige Urteil: Der BGH zum digitalen Nachlass – Vertrag über ein Benutzerkonto bei einem sozialen Netzwerk ist vererbbar, NWB-EV 2018, 261; Pruns, Digitaler Nachlass – Irrungen und Wirrungen um § 88 Abs. 3 TKG, ZErb 2017, 217; Pruns, Der aktuelle Stand im Streit um den digitalen Nachlass nach dem Facebook-Urteil des LG Berlin (Teil 4), AnwZert ErbR 16/2016 Anm. 2; Pruns, Der aktuelle Stand im Streit um den digitalen Nachlass nach dem Facebook-Urteil des LG Berlin (Teil 3), AnwZert ErbR 13/2016 Anm. 1; Pruns, Der aktuelle Stand im Streit um den digitalen Nachlass nach dem Facebook-Urteil des LG Berlin (Teil 2), AnwZert ErbR 04/2016 Anm. 1; Pruns, Der aktuelle Stand im Streit um den digitalen Nachlass nach dem Facebook-Urteil des LG Berlin (Teil 1), AnwZert ErbR 02/2016 Anm. 1; Pruns, Keine Angst vor dem digitalen Nachlass! – Erbrecht vs. Fernmeldegeheimnis?, NWB 2014, 2175; Pruns, Keine Angst vor dem digitalen Nachlass – Erbrechtliche Grundlagen – Alte Probleme in einem neuen Gewand, NWB 2013, 3161; Raude, Der digitale Nachlass in der notariellen Praxis, RNotZ 2017, 17; Säcker u. a. (Hrsg.), Münchener Kommentar zum-BGB, 7. Auflage 2017; Seidler, Digitaler Nachlass, 2016; Staudinger (Begr.), Kommentar zum BGB (§ 1922), 2017; Steiner/Holzer, Praktische Empfehlungen zum digitalen Nachlass, ZEV 2015, 262; Willems, Erben 2.0 – zur Beschränkbar-
99
Matthias Pruns keit der Rechtsnachfolge in das „digitale Vermögen“, ZfPW 2016, 494; Zech, „Industrie 4.0“ – Rechtsrahmen für eine Datenwirtschaft im digitalen Binnenmarkt, GRUR 2015, 1151.
I. Einleitung 1 Der digitale Nachlass ist seit geraumer Zeit Gegenstand der Fachdiskussion.1 Spätestens durch die Urteile des LG Berlin2, des KG3 und schließlich des BGH4 zur Rechtsnachfolge in ein Benutzerkonto bei Facebook ist das Thema aber auch in der Rechtswirklichkeit angekommen und damit nicht mehr nur Teil der Kür, sondern fester Bestandteil des Pflichtprogramms der erbrechtlichen Beratung.5 1. Problemstellung 2 Lange Zeit stellte sich allerdings die Frage, wie dieses Pflichtprogramm in der Praxis aussehen soll, wenn „allerorten Rechtsunsicherheit“6 vorherrscht. Der BGH hat nun durch seine Entscheidung das Urteil des KG aufgehoben und das Urteil des LG Berlin wiederhergestellt, das der Klage der Erbin gegen Facebook auf Zugangsverschaffung zu dem Benutzerkonto ihrer verstorbenen Tochter stattgab. Der BGH hat damit erfreulicherweise nicht nur zu einem die erbrechtliche Sicht stärkenden Ergebnis gefunden, sondern gleichzeitig in seiner Urteilsbegründung auch viele bisher noch umstrittene rechtliche Punkte geklärt.7
1
2 3
4 5 6 7
Im juristischen Kontext erstmalig diskutiert wird das Thema bei Hoeren, NJW 2005, 2113; der Begriff selbst erscheint im juristischen Kontext wohl erstmalig bei Dopatka, NJW aktuell, Heft 49/2010, S. 14. Nachweise zu früheren Verwendungen des Begriffs bei Budzikiewicz, AcP 218, 558, 560, dort Fn. 8. Ausführlich zum Thema Herzog/Pruns, Der digitale Nachlass in der Vorsorgeund Erbrechtspraxis, 2018. LG Berlin v. 17.12.2015 – 20 O 172/ 15, ErbR 2016, 223 m. Anm. Wüsthof. KG Berlin v. 31.5.2017 – 21 U 9 /16; ErbR 2017, 496 m. Anm. Wüsthof = ZErb 2017, 225 m. Anm. Herzog, ZErb 2017, 205; Bierman, ZErb 2017, 210; Pruns, ZErb 2017, 217. BGH v. 12.7.2018 – III ZR 183/17, ZErb 2018, 269 m. Anm. Pruns = ErbR 2018, 566 m. Anm. Biermann und Wüsthof. Vgl. dazu die Überschrift und das Fazit des Editorials von Herzog, ErbR 2016, 173. So Lange/Holtwiesche, ZErb 2016, 157, 162. Zu einer ersten Einschätzung des Urteils s. etwa Pruns, NWB-EV 2018, 261; Biermann, „Facebook-Chats sind auch nur Briefe“ (https://www.lto.de/recht/ hintergruende/h/bgh-iiizr18317-vererbbarkeit-facebook-konto-digitaler-nachlass-gesamtrechtsnachfolge-fernmeldegeheimnis/); Interview mit Herzog durch den Sender Phoenix (https://www.youtube.com/watch?v=enFDhb7IB8U).
100
Digitaler Nachlass und privates Datenmanagement
Trotzdem tut Orientierung weiterhin Not, denn wir stehen erst am An- 3 fang einer Entwicklung, durch die aufgrund der fortschreitenden Digitalisierung auch im Erbrecht immer wieder neue Fragen auf uns zukommen werden.8 Ob aber gleich der Gesetzgeber tätig werden muss, so wie es die große Koalition aus Unionsparteien und SPD in ihrem Koalitionsvertrag und nach dem Urteil des BGH auch noch einmal Verbraucherminister Hauk angekündigt haben,9 ist indes zweifelhaft.10 Auf der Basis einer genauen rechtlichen Analyse des Themas können wir bereits jetzt sachgerechte und praxistaugliche Lösungen finden.11 2. Ein typisierter Sachverhalt Um uns den vielen rechtlichen Facetten des Themas anzunähern, soll 4 uns der folgende typisierte Sachverhalt als Ausgangspunkt dienen: Sachverhalt: A war sehr erfolgreich als Architekt tätig. Sein in der Rechtsform einer GmbH geführtes Architekturbüro hat er altersbedingt inzwischen abgegeben. Allerdings betreut er weiterhin als freier Mitarbeiter einige Projekte für das Architekturbüro. Er arbeitet von zu Hause aus und besitzt die üblichen Geräte, also insbesondere einen Desktop-PC, einen Laptop, ein Tablet und ein Smartphone. 8 S. Pruns, ZErb 8/2018, S. I. Vgl. ferner die Einschätzung von Hipp, „Der nächste Rechtsstreit kommt bestimmt“ (http://www.spiegel.de/netzwelt/ web/facebook-und-das-digitale-erbe-der-naechste-rechtsstreit-folgt-bestimmta-1218308.html). 9 Koalitionsvertrag zwischen CDU, CSU und SPD vom 7.2.2018, dort Zeile 6199 f.; Stuttgarter Zeitung vom 12.7.2018: „Peter Hauk will digitalen Nachlass klarer regeln lassen“ (https://www.stuttgarter-zeitung.de/inhalt. urteil-zum-zugang-zu-facebook-konten-peter-hauk-will-digitalen-nachlassklarer-regeln-lassen.f3a4bac2-a9a3-4800-a54d-50776b9af97d.html). 10 Aktuell sieht die Bundesregierung wohl keinen Handlungsbedarf mehr, vgl. BT-Drs. 19/4207 (Anfrage der FDP-Fraktion und Antwort der Bundesregierung). 11 Vgl. insbesondere auch schon Herzog in: DAV-„Stellungnahme zum Digitalen Nachlass“, 2013, S. 30 ff. dies., NJW 2013, 3745; dies., in: Kroiß/Horn/ Solomon, Nachfolgerecht, 2015, Kap. 9; Pruns, NWB 2013, 3161; ders., NWB 2014, 2175; ders., AnwZert ErbR 02, 04, 13 und 16/2016; Gloser, DNotZ 2015, 4; ders., MittBayNotZ 2016, 12 und 101; Holzer in Groll, Praxishandbuch Erbrechtsberatung, 4. Aufl. 2015, Abschnitt B Kap XVII; Raude, RNotZ 2017, 17; Herzog/Pruns, Der digitale Nachlass in der Vorsorge- und Erbrechtspraxis, 2018.
101
Matthias Pruns
Bei dem kostenlosen E-Mail-Dienst eines US-amerikanischen Anbieters unterhält er ein Benutzerkonto. Seine dortige E-Mail-Adresse nutzt er sowohl für seine privaten als auch für seine beruflichen E-Mails. A ist außerdem ein aktiver Nutzer verschiedener sozialer Netzwerke. Für seine gestalterische Arbeit nutzt A größtenteils seinen Desktop-PC. Viele seiner Zeichnungen, Entwürfe, etc., die er im Auftrag des Architekturbüros anfertigt, sind aber auch auf den anderen Geräten gespeichert, z. B. als Anhänge von E-Mails. Sowohl für seine E-Mails als auch für seine sonstigen Internetaktivitäten nutzt A alle seine elektronischen Geräte. Für seine Zeichnungen nutzt A ein lizenzpflichtiges, speziell für Architekten entwickeltes, professionelles Zeichenprogramm. Allerdings hat der sparsame A die von ihm zu Hause genutzte aktuelle Version des Programms zusammen mit einem Lizenzschlüssel im Internet „gefunden“. Er hat dazu auch vor zwei Tagen eine Abmahnung des Softwareentwicklers erhalten. Auf seinen diversen Geräten hat A auch zahlreiche private Daten gespeichert, insbesondere diverse Briefe, Notizen und Fotos. A hat zwei Kinder, mit denen er allerdings nicht auf gutem Fuße steht. Sie werfen ihm vor, er habe immer zu viel gearbeitet und sowohl sie als auch ihre Mutter, As verstorbene Ehefrau, vernachlässigt. A hat mit beiden Kindern bereits vor geraumer Zeit Erb- und Pflichtteilsverzichtsverträge gegen Abfindung geschlossen. Sie sollen mit dem Nachlass möglichst nichts zu tun haben. Seine Alleinerbin soll seine Lebensgefährtin L werden. Er hat ein entsprechendes Testament verfasst, in dem sonst nichts Weiteres geregelt ist. Ausgehend von diesem Sachverhalt werden wir im Folgenden zunächst untersuchen, wie sich die Rechtslage für L als Erbin des A darstellt, wenn A verstirbt. Aus den so gewonnenen Erkenntnissen können wir dann ableiten, worauf A zu Lebzeiten zu achten hat, um Vorsorge für seinen digitalen Nachlass zu treffen. II. Die Rechtsnachfolge in das digitale Vermögen 5 Gehen wir also davon aus, dass A verstirbt, ohne weitere Regelungen getroffen zu haben. Seine zur Erbin eingesetzte Lebensgefährtin L fragt nun um Rat. Insbesondere beschäftigen sie die folgenden Fragen:
102
Digitaler Nachlass und privates Datenmanagement
1. Die Differenzierung zwischen Dateien und gespeicherten Inhalten Frage 1: Wie geht L mit der Abmahnung des Softwareentwicklers um? Die Lösung scheint hier auf den ersten Blick zunächst sehr einfach: Die 6 von A ohne Nutzungsrecht (vgl. § 31 UrhG) genutzte Zeichensoftware ist auf der Festplatte des Desktop-PCs des A und damit auf einem der Datenträger des A gespeichert. Das Eigentum des A an seinen Datenträgern ist nach § 1922 Abs. 1 BGB auf seine Erbin L übergegangen.12 Der Übergang des Eigentums am Speichermedium kann aber offensichtlich keine Auswirkungen auf die Rechte an der dort gespeicherten Zeichensoftware haben. L erlangt allein dadurch, dass sie Eigentümerin der Speichermedien geworden ist, kein Nutzungsrecht oder sonstige Rechte an der Zeichensoftware. Die Schutzrechte des Entwicklers werden durch den Erbgang ebenfalls nicht eingeschränkt. a) Akzessorietät zwischen Speichermedium und Daten? Wenn man aber bspw. die folgende Äußerung aus dem Schrifttum liest, 7 so ist das oben gefundene Ergebnis auf einmal keineswegs mehr selbstverständlich: „Vererbt werden mit dem Eigentum an den elektronischen Geräten (…) oder den Speichermedien (…) des Erblassers automatisch die darauf gespeicherten Daten – unabhängig vom Charakter ihres Inhalts.“13 Bei unbefangener Lektüre könnte man diese Ausführungen so verste- 8 hen, dass die Rechte an den Daten akzessorisch mit dem Eigentum an dem jeweiligen Speichermedium auf die Erben übergehen sollen.14 Das kann indes nicht stimmen, wie uns das Beispiel der urheberrechtlich geschützten Zeichensoftware gezeigt hat. Gemeint sind die zitierten Ausführungen deshalb wohl auch eher in dem Sinne, dass mit dem Eigentum an den vom Erblasser genutzten Speichermedien jedenfalls die faktische Möglichkeit zum Zugriff auf die dort gespeicherten Daten auf die Erben übergehen soll.
12 Zum Übergang des Sacheigentums nach § 1922 Abs. 1 BGB auf die Erben vgl. nur Palandt/Weidlich, § 1922 BGB Rz. 8. 13 Lange/Holtwiesche, ZErb 2016, 125, 126, linke Spalte, mwN.; ähnlich Martini in: Hill/Martini/Wagner, Facebook, Google und Co. – Gefahren und Chancen, 2013, S. 77, 85; kritisch bereits Seidler, Digitaler Nachlass 2016, S. 76 ff., S. 80 f. 14 Vgl. Jüngst auch Gomille, ZUM 2018, 660, 661.
103
Matthias Pruns
9 Tatsächlich wird aber auch ausdrücklich die Ansicht vertreten, dass sich durch die „analoge Anwendung des § 946 oder des § 947 Abs 2 [BGB] … das Eigentum am Datenträger auch auf den gespeicherten Inhalt erstreckt“.15 Das soll aber ausdrücklich nur für solche „Geisteserzeugnisse“ gelten, die keinen Immaterialgüterschutz genießen.16 10 Weiter kompliziert sich das Ganze, wenn man sich vor Augen führt, dass zwar Einigkeit darüber besteht, dass Daten keine Sachen sind,17 der BGH aber bspw. auch geurteilt hat, dass „auf einem Datenträger verkörperte Standardsoftware als bewegliche Sache anzusehen ist, auf die je nach der vereinbarten Überlassung Miet- oder Kaufrecht anwendbar ist.“18 Wie gehen wir mit dieser zunächst doch sehr unklar wirkenden Gemengelage um? b) Daten als Verkörperungen von Inhalten 11 Die Dinge werden klarer, wenn wir näher betrachten, was mit dem Begriff „Daten“ gemeint ist. Es bedarf hier der Differenzierung.19 So hat bspw. der BGH bereits in seiner soeben zitierten Entscheidung zur möglichen Sacheigenschaft von auf einem Datenträger verkörperter Standardsoftware betont, dass zwischen der Werkverkörperung und dem urheberrechtlich geschützten Werk selbst zu unterscheiden ist.20 12 Noch deutlicher wird der BGH in seiner Entscheidung über den Anspruch des Altkanzlers Helmut Kohl auf Herausgabe der Tonbänder, auf denen der von ihm beauftragte Ghostwriter die mit ihm geführten Gespräche aufgezeichnet hatte.21 Ob diese Gespräche urheberrechtlichen Schutz genießen, wurde von den mit dem Sachverhalt befassten Gerichten jeweils offen gelassen.22 Sie befassten sich aber mit der Frage, ob die Speicherung der Gespräche auf den Tonbändern eine Änderung der Eigentumslage zur Folge hatte. Während das OLG Köln als Berufungsinstanz noch einen Herausgabeanspruch aus § 950 BGB bejaht hatte, weil Helmut Kohl durch 15 Staudinger/Kunz (2017), § 1922 BGB Rz. 607 ff., Zitat aus Rz. 612. 16 Staudinger/Kunz (2017), § 1922 BGB Rz. 607, 611 f. 17 Ausf. Bericht der Arbeitsgruppe „Digitaler Neustart“ v. 15.5.2017, S. 32 f. Vgl. auch Palandt/Ellenberger, § 90 BGB Rz. 2; MüKo-BGB/Stresemann, § 90 BGB Rz. 25 jew. mwN. 18 BGH v. 15.11.2006 – XII ZR 120/04, NJW 2007, 2394. 19 Vgl. Herzog/Pruns, Der digitale Nachlass, 2018, § 1 Rz. 21 ff.; 27. 20 BGH v. 15.11.2006 – XII ZR 120/04, NJW 2007, 2394. 21 BGH v. 10.7.2015 – V ZR 206/14, NJW 2016, 317. 22 Vgl. LG Köln v. 12.12.2013 – 14 O 612/12; OLG Köln v. 1.8.2014 – 6 U 20/14, GRUR 2014, 1022; BGH v. 10.7.2015 – V ZR 206/14, NJW 2016, 317.
104
Digitaler Nachlass und privates Datenmanagement
das Besprechen der Tonbänder Eigentum an diesen erworben habe, verneinte der BGH den Herausgabeanspruch aus diesem Rechtsgrund (bejaht wurde vom BGH dagegen ein Anspruch aus § 667 BGB) und kam insbesondere zu folgendem Ergebnis: „Die Berechtigung an den Inhalten folgt anderen Regeln als das Eigentum an den Speichermedien. […] Der an den Inhalten Berechtigte kann zwar auch Eigentümer des Tonbands sein, auf dem sie gespeichert sind, etwa wenn er es käuflich erworben hat. Notwendig ist das aber nicht. Entschließt er sich etwa dazu, dieselben Inhalte nicht auf einem eigenen Tonband zu speichern, sondern beispielsweise auf einem über das Internet zugänglichen Speicherplatz in einem entfernten Rechenzentrum (sog. Cloud), bleibt er weiterhin alleiniger Berechtigter der gespeicherten Inhalte. Er wird dadurch indessen weder rechtsgeschäftlich noch kraft Gesetzes Miteigentümer der Speichermedien in der Computeranlage des Dienstleisters, der ihm darauf den Speicherplatz eingeräumt hat. Diese Anlage verändert durch die bestimmungsgemäße Benutzung als virtueller Speicher weder ihre Substanz noch ihre Funktion. Ebenso läge es, wenn der Beklagte die Gespräche mit dem Kläger statt in analoger Form auf einem Tonband in digitaler Form auf seinem Notebook oder Smartphone gespeichert hätte. Auch dann stünden dem Kläger zwar die Rechte an den Inhalten, aber nicht das Eigentum an dem Notebook oder Smartphone des Beklagten zu.“23 Mithin hat das Eigentum an dem jeweiligen Speichermedium keinen 13 Einfluss auf die Berechtigung an den dort gespeicherten Inhalten. Das gilt unabhängig davon, ob die Inhalte durch Immaterialgüterrechte geschützt sind oder nicht.24 c) Zeichen- und Bedeutungsebene Die notwendige Differenzierung geht aber noch weiter, denn Eigentum 14 und Besitz an einem Speichermedium sind trotz allem nicht völlig ohne Einfluss auf die auf dem Speichermedium gespeicherten Daten. So steht das Recht, darüber zu bestimmen, ob und welche Daten auf einem Datenträger gespeichert, gelöscht oder verändert werden, allein dem Eigentümer oder (rechtmäßigen) Besitzer des Speichermediums zu (vgl. insbesondere §§ 903, 1004 BGB und §§ 858, 862 BGB). Der Eigen-
23 BGH v. 10.7.2015 – V ZR 206/14, NJW 2016, 317. 24 BGH v. 10.7.2015 – V ZR 206/14, NJW 2016, 317; Herzog/Pruns, Der digitale Nachlass, 2018, § 1 Rz. 21 ff., 30 ff. A.A. Staudinger/Kunz (2017), § 1922 BGB Rz. 607 ff.
105
Matthias Pruns
tümer eines Speichermediums kann aus diesem Grund Schadensersatz aus § 823 Abs. 1 BGB wegen Verletzung des Eigentumsrechts von demjenigen verlangen, der unbefugt Daten auf dem Datenträger löscht oder Datenverlust verursacht.25 15 Anknüpfend an ein von Zech eingeführtes Begriffspaar kann man deshalb bei auf Speichermedien gespeicherten Daten zwischen der „Bedeutungsebene“ und der „Zeichenebene“ unterscheiden.26 Die Bedeutungsebene betrifft die durch die Daten verkörperten Inhalte. Diese können bspw. durch das allgemeine Persönlichkeitsrecht der betroffenen Personen oder auch durch Immaterialgüterrechte geschützt sein.27 Hierauf hat das Eigentum am Speichermedium grundsätzlich keinen Einfluss. Die Zeichenebene betrifft dagegen die auf dem Speichermedium gespeicherten Daten als solche, also als „maschinenlesbar codierte Informationen“.28 d) Rechte am Speichermedium und Rechte Dritter am Inhalt 16 Wenn wir die bis hierhin gewonnenen Erkenntnisse auf unseren Beispielsfall übertragen, so können wir die eingangs bereits angedeutete Lösung besser einordnen: A hatte als Eigentümer der Festplatte seines Desktop-PCs grundsätzlich das Recht, darüber zu bestimmen, ob und welche Dateien auf dieser gespeichert werden (Zeichenebene). Er hatte zudem das Recht auf Zugriff auf die dort gespeicherten Daten. Dabei darf er aber nicht die Rechte Dritter an den dort gespeicherten Inhalten verletzen (Bedeutungsebene). Das tut er aber durch die unbefugte Speicherung (und Nutzung) der Zeichensoftware. Der Softwareentwickler hatte deshalb aufgrund seines Immaterialgüterrechts zu Lebzeiten des A Ansprüche gegen ihn auf Löschung des Zeichenprogramms (§ 69f UrhG), auf Zahlung von Schadensersatz (§ 97 Abs. 2 S. 1 UrhG) und auf Abgabe einer strafbewehrten Unterlassungserklärung (§ 97 Abs. 1 UrhG).
25 OLG Karlsruhe v. 7.11.1995 – 3 U 15/95, NJW 1996, 200; OLG Oldenburg, Beschl. v. 24.11.2011 – 2 U 98/11, MDR 2012, 403; MüKo-BGB/Wagner, § 823 BGB Rz. 220 mwN.; zur Schadensberechnung bei Datenverlusten vgl. BGH v. 9.12.2008 – VI ZR 173/07, NJW 2009, 1066. 26 Zech, GRUR 2015, 1151, 1153. Zum digitalen Nachlass Alexander, K&R 2016, 301, 302; vgl. ferner Biermann in: Scherer, Münchener Anwaltshandbuch Erbrecht, § 50 Rz. 8; Herzog/Pruns, Der digitale Nachlass, § 1 Rz. 27. 27 Herzog/Pruns, Der digitale Nachlass, § 1 Rz. 31 f. mwN. 28 Zech, GRUR 2015, 1151, 1153 mwN.
106
Digitaler Nachlass und privates Datenmanagement
Das Eigentum an der Festplatte und die aus dem Eigentum folgenden Rechte an den Daten auf der Zeichenebene sind mit dem Erbgang auf L übergegangen. Das hat aber keinen Einfluss auf die Berechtigung auf der Bedeutungsebene. Die Ansprüche auf Löschung und auf Zahlung von Schadensersatz sind Teil der Nachlassverbindlichkeiten und gehen nach den §§ 1922 Abs. 1, 1967 BGB auf L über. L hat sie zu erfüllen. L ist allerdings nicht Schuldnerin des Unterlassungsanspruchs nach § 97 Abs. 1 UrhG, denn dieser setzt eine Wiederholungsgefahr voraus, was wiederum an das Verhalten und damit unmittelbar an die Person des A anknüpft.29 e) Zwischenfazit: Trennung zwischen Datenträgern und den dort gespeicherten Daten Als ersten Ankerpunkt für unsere weiteren rechtlichen Überlegungen 17 können wir festhalten, dass Eigentum und Besitz an einzelnen Geräten und Speichermedien im normalen Erbgang auf die Erben übergehen und damit auch das Recht zum Zugriff auf das Speichermedium und die dort gespeicherten Daten sowie die Abwehrrechte gegen Eingriffe Dritter. Damit ist aber noch keine Aussage über die Rechte an den durch die gespeicherten Daten verkörperten Inhalten verbunden. Vielmehr muss für Daten jeweils einzeln geprüft werden, wer ggf. Rechte an den Inhalten hat. 2. Die grundsätzliche Zuordnung von Daten nach dem Erbfall Frage 2: Die Kinder des A haben sich bei L gemeldet. Sie haben vom Tod des A erfahren und in der Tagespresse gelesen, dass ihnen als Angehörigen zumindest die privaten digitalen Hinterlassenschaften des A zustehen sollen. Sie fordern L deshalb auf, Ihnen Zugang zu allen Geräten und Speichermedien des A zu gewähren und, soweit L bekannt, ihnen auch die Zugangsdaten zu dem E-Mail-Konto und den Benutzerkonten des A bei sozialen Netzwerken zu nennen. Zu Recht? Da A seine Lebensgefährtin L als Erbin eingesetzt hat und nicht seine 18 Kinder, haben diese jedenfalls kein Eigentum an den Geräten oder Speichermedien des A erlangt. In Betracht kommt nach dem oben Gesagten deshalb nur ein Anspruch der Kinder im Hinblick auf die durch die Daten 29 Vgl. zum Wegfall der durch ein Verhalten des Erblassers begründeten Wiederholungsgefahr nach dessen Tod BVerfG, Beschl. v. 5.3.1992 – 1 BvR 1291/87. S. auch BGH v. 16.3.2006 – I ZR 93/03, ZErb 2006, 306; MüKo-BGB/Küpper, § 1967 BGB Rz. 27.
107
Matthias Pruns
verkörperten Inhalte (Bedeutungsebene). Wenn die Kinder des A tatsächlich einen solchen Anspruch haben sollten, könnte daraus ggf. auch ein Anspruch auf Zugang zu den betreffenden Geräten und Speichermedien sowie den Benutzerkonten des A folgen. Allerdings ist fraglich, woraus ein solcher Anspruch überhaupt folgen sollte. a) Rechte der Angehörigen an Daten ohne „Vermögensbezug“? 19 Von einigen Teilnehmern der frühen Fachdiskussion um den digitalen Nachlass wurde argumentiert, dass den Angehörigen des Erblassers, da ihnen bspw. das Recht der Totenfürsorge30 zustehe, auch ein Recht auf Zugang zumindest zu den privaten Daten des Erblassers zustehe. Am nachdrücklichsten vertreten wurde diese Meinung von Martini.31 Aber auch schon Hoeren unterschied bspw. zwischen solchen E-Mails mit einem besonderen Personenbezug und solchen mit einem besonderen Vermögensbezug.32 20 Dahinter steht der Gedanke vom Vermögen (= Erbschaft nach § 1922 BGB) als Inbegriff aller geldwerten Rechtsbeziehungen. Daten mit rein privaten Inhalten, so der Gedanke weiter, haben keinen Geldwert und gehören schon aus diesem Grund nicht zum vererbbaren Vermögen. Dazu heißt es bei Hoeren speziell für die Zuordnung von E-Mails:33 „Betreffen die E-Mails […] nur nichtvermögensrechtliche Positionen des allgemeinen Persönlichkeitsrechts (was z. B. in der Regel bei Liebesoder einfachen Gruß-E-Mails anzunehmen ist), so sind solche elektronischen Nachrichten nicht vererbbar. Die Informationen in den E-Mails können jedoch erheblich sein für das Andenken an den Verstorbenen und so auch nach seinem Tod sein Persönlichkeitsrecht beeinträchtigen. Erkennt man insoweit einen postmortalen Persönlichkeitsschutz an, so wird man davon ausgehen müssen, dass diese privaten E-Mails nicht im normalen Erbgang dem Erben, sondern den nächsten Angehörigen des Erblassers zuzuleiten sind.“ 21 Vertreten wurde diese Zuordnung nach Inhalten allerdings nur für online und nicht auch für auf lokalen Datenträgern des Erblassers gespeicherte Daten. So sollten bspw. rein private E-Mails, die lediglich auf den Servern des Mailanbieters gespeichert waren, den Angehörigen des Erblassers zu-
30 31 32 33
Zur Totenfürsorge Karczewski, ZEV 2017, 129. Martini, JZ 2012, 1145. Hoeren, NJW 2005, 2113. Hoeren, NJW 2005, 2113, 2114.
108
Digitaler Nachlass und privates Datenmanagement
geordnet werden, vom Erblasser auf seinen Speichermedien abgespeicherte E-Mails dagegen unabhängig von ihrem Inhalt den Erben.34 Das KG hat den Gedanken der Unterscheidung nach vermögensrelevan- 22 ten und privaten Inhalten in seinem Urteil zur Rechtsnachfolge in ein Benutzerkonto bei Facebook darüber hinaus zumindest andeutungsweise sogar auf alle vom Erblasser hinterlassene Daten ausgeweitet, unabhängig vom Ort ihrer Speicherung.35 b) BGH: Keine Unterscheidung nach vermögensrechtlichem Bezug Eine solche Trennung von privatem und geschäftlichem Vermögen ist 23 dem BGB indes fremd, weshalb die inzwischen ganz herrschende Meinung im Schrifttum eine solche Differenzierung auch ablehnt.36 Dem hat sich auch der BGH angeschlossen.37 Der BGH weist zu Recht auf die gesetzliche Wertung der § 2047 Abs. 2, 24 § 2373 S. 2 BGB hin. Der Erbe ist nicht ohne Grund Rechtsnachfolger des Erblassers im Wege der Gesamtrechtsnachfolge.38 Diese umfasst selbst Aufzeichnungen des Erblassers privatester Natur. –
Nach § 2047 Abs. 2 BGB bleiben im Falle einer Erbengemeinschaft auch nach Verteilung des Überschusses „Schriftstücke, die sich auf die persönlichen Verhältnisse des Erblassers, auf dessen Familie oder auf den ganzen Nachlass beziehen, […] gemeinschaftlich.“ Das heißt, solche Schriftstücke sind Teil des Nachlasses geworden und stehen somit den Erben zu und nicht seinen Angehörigen.
–
In § 2373 S. 2 BGB ist für den Fall des Verkaufs eines Erbteils geregelt, dass Familienpapiere und Familienbilder im Zweifel nicht als mitverkauft gelten. Auch daraus lässt sich schließen, dass, soweit der Erblasser keine abweichende Regelung trifft, Familienpapiere und Familienbilder Teil der Erbschaft und damit des Vermögens im Sinne des § 1922 BGB sind. Andernfalls würde sich gar nicht erst die Frage
34 Hoeren, NJW 2005, 2113; Martini, JZ 2012, 1145. 35 KG v. 31.5.2017 – 21 U 9/16, dort II. B. 2. c) ee), einschränkend dagegen II. B. 2. c) aa). 36 Grundlegend Herzog in DAV-„Stellungnahme zum Digitalen Nachlass“, 2013, S. 30 ff. Vgl. ferner dies., NJW 2013, 3745; Pruns, NWB 2013, 3161. Zustimmend etwa Steiner/Holzer, ZEV 2015, 262, 263; Palandt/Weidlich, § 1922 BGB Rz. 34; MüKo-BGB/Leipold, § 1922 BGB Rz. 26 mwN.; LG Berlin v. 17.12.2015 – 20 O 172/15, dort B. II. 1. der Urteilsgründe. 37 BGH v. 12.7.2018 – III ZR 183/17, Rz. 48 ff. mwN. zum Schrifttum. 38 Ausf. noch einmal Herzog/Pruns, Der digitale Nachlass, § 2 Rz. 25 ff.; Herzog, AnwBl Online 2018, 472, 473 ff.
109
Matthias Pruns
stellen, ob Familienpapiere und Familienbilder im Falle des Verkaufs eines Erbteils mitverkauft sind oder nicht. Zu den Familienpapieren, die Teil des Nachlasses sind, gehören dabei ausweislich der Gesetzgebungsmaterialien neben „Urkunden rechtlicher Art“ auch „Korrespondenzen, Briefschaften, Tagebücher, Familiennotizen usw.“39 Die historische Auslegung der beiden Vorschriften40 zeigt zudem, dass diese Regelungen nicht trotz, sondern gerade wegen des persönlichen Charakters der betroffenen Schriftstücke getroffen wurden, an denen die Erben ein eigenes Interesse haben, das ausdrücklich „idealer Natur“ ist.41 c) Verfassungsrechtliche Wertung 25 Diese Wertung des BGB wird auch nicht von entgegenstehenden verfassungsrechtlichen Wertungen, insbesondere nicht vom postmortalen Persönlichkeitsrecht des Erblassers, überlagert,42 wie der BGH ebenfalls mit der h. M. im Schrifttum entschieden hat.43 Das allgemeine Persönlichkeitsrecht des Erblassers erlischt mit dessen Tod insoweit, als es auf Art. 2 Abs. 1 GG beruht, da das Recht zur freien Entfaltung der Persönlichkeit eben die Existenz einer Persönlichkeit voraussetzt, die sich frei entfalten kann.44 Nach dem Tod verbleibt aber das postmortale Persönlichkeitsrecht, das sich in einen vermögensrechtlichen Teil, der Teil der Erbschaft ist, und einen ideellen Teil aufspaltet. Dieser ideelle Teil ist ein Abwehranspruch gegen postmortale Verletzungen des Menschenwürdeanspruchs des Verstorbenen, der von den Angehörigen geltend gemacht werden kann. Dieser Achtungsanspruch wird aber nicht bereits durch die bloße Kenntnisnahme von privaten Schriftstücken des Erblassers verletzt.45
39 Prot. II 114. 40 Zu dieser s. insbesondere Herzog, ZErb 2017, 205; Herzog/Pruns, Der digitale Nachlass, § 2 Rz. 43 ff. 41 Vgl. etwa Mugdan, V, S. 371; Herzog, ZErb 2017, 205. 42 So aber MüKoBGB/Rixecker, 7. Aufl., § 12 Anh. Rz. 160; Martini, JZ 2012, 1145, 1150 ff; Hoeren, NJW 2005, 2113, 2114; Brinkert/Stolze/Heidrich, ZD 2013, 153, 155. 43 BGH v. 12.7.2018 – III ZR 183/17, Rz. 52 ff. mwN. zum Schrifttum. 44 BVerfGE 30, 173 (194) = NJW 1971, 1645; BVerfGE 104, 42 = NJW 2001, 2957 (2959); BVerfG, NJW 2006, 3409; NJW 2008, 1657. 45 Herzog in: DAV-„Stellungnahme zum Digitalen Nachlass“, 2013, S. 40 ff.
110
Digitaler Nachlass und privates Datenmanagement
d) Schlussfolgerungen für den Sachverhalt Für die oben aufgeworfene Frage 2 lässt sich damit festhalten, dass die 26 Kinder des A gegen die L keinen Anspruch auf Herausgabe der Geräte, Datenträger oder Daten haben. Auch auf Zugang zu dem E-Mail-Konto des Erblassers oder zu seinen Benutzerkonten bei sozialen Netzwerken haben sie keinen Anspruch. Daraus folgt für die Beratung: Es gibt keine allgemeine Zuordnung von 27 Daten des Erblassers zu dessen Angehörigen. Das gilt auch für Daten mit privaten Inhalten. Vielmehr geht die Berechtigung des Erblassers an ihn betreffenden Inhalten auf seine Erben über, wie uns die in den Regelungen des BGB zu privaten Aufzeichnungen des Erblassers enthaltenen Wertungen zeigen. Dem Zugriff durch die Erben stehen weder das allgemeine Persönlich- 28 keitsrecht des Erblassers noch sein postmortales Persönlichkeitsrecht entgegen. Auch höchstpersönliche Aufzeichnungen des Erblassers sind Teil der Erbschaft. Will der Erblasser verhindern, dass seine Erben Kenntnis von seinen 29 höchstpersönlichen Aufzeichnungen/Daten nehmen, so muss er sie entweder zu Lebzeiten vernichten oder dafür Sorge tragen, dass sich nach seinem Tod eine Person seines Vertrauens in seinem Sinne um diese Aufzeichnungen kümmert (bspw. ein Testamentsvollstrecker). Will der Erblasser erreichen, dass bestimmte Aufzeichnungen/Daten nicht mit dem Nachlass auf seine Erben übergehen, sondern auf eine oder mehrere bestimmte Personen, so muss er das ausdrücklich verfügen. 3. Rechte Dritter an Inhalten, insbesondere in Auftrags- und Dienstverhältnissen Frage 3: Das Architekturbüro fragt bei L nach den Zeichnungen des A für die laufenden Projekte. Muss sie diese herausgeben? Wie wir bereits bei Frage 1 gesehen haben, ist trotz der grundsätzlichen 30 Zuordnung von Daten noch keine abschließende Aussage über deren weiteres Schicksal getroffen. Neben einem Anspruch Dritter auf Löschung von Daten (vgl. Frage 1) kommt auch ein Anspruch Dritter auf die Zugänglichmachung von Daten und Aufzeichnungen des Erblassers in Betracht. Das zeigt sich in unserem Sachverhalt an dem Verlangen des Architekturbüros, das nach den in digitaler Form festgehaltenen Zeichnungen des A für die laufenden Projekte fragt. A hat diese Zeichnungen als freier 111
Matthias Pruns
Mitarbeiter im Auftrag des Architekturbüros angefertigt. Auch wenn es sich bspw. bei den Zeichnungen um urheberrechtlich geschützte Werke des A handelt und L Erbin dieses Urheberrechts des A geworden ist, so wird A im Normalfall dem Architekturbüro jedenfalls ein Nutzungsrecht an diesen Zeichnungen eingeräumt haben. Dazu wird es entweder eine ausdrückliche vertragliche Regelung geben oder zumindest eine entsprechende konkludente Vereinbarung.46 a) BGH v. 27.9.1990 – I ZR 244/88 – „Grabungsmaterialien“ 31 Das ist eine bereits aus der analogen Welt bekannte Problematik. Das verdeutlicht ein in der Sache nicht unähnlich gelagerter Fall des BGH aus dem Jahr 1990:47 Der Erblasser „war seit 1958 Ordinarius für Vor- und Frühgeschichte an der philosophischen Fakultät der beklagten Universität; dort leitete er als Direktor das Institut für Ur- und Frühgeschichte.“ Seine Erben und die Universität stritten „um die Rechte am umfangreichen wissenschaftlichen Nachlaß des Verstorbenen.“ „[E]in erheblicher Teil der mit den […] archäologischen Projekten zusammenhängenden Arbeitsmaterialien und Unterlagen [befanden sich] im Institut für Ur- und Frühgeschichte der Beklagten. Dazu gehören u. a. Beschreibungen von Ausgrabungen, Aufstellungen, Manuskripte verschiedener Art, Briefwechsel, Tagebücher, Zeichnungen, Grabungspläne, Dias und Fotos.“ Fasst man die wesentlichen Ergebnisse des Urteils zusammen, so kam der BGH zu dem Schluss, dass der Erblasser zwar Eigentümer der genannten Materialien geworden sei und somit auch die Erben Eigentum an den Materialien erworben hätten, allerdings habe die Universität ein Recht zum Besitz gegenüber dem Erblasser und dieses bestehe auch gegenüber den Erben fort. Der Erblasser und auch die Erben seien aufgrund einer aus dem Dienstverhältnis folgenden Treuepflicht des Erblassers gegenüber der Universität zur Andienung der Materialien verpflichtet. Diese Andienungspflicht habe sich, da sich die Universität im Besitz der Materialien befand, zu einem Recht auf Besitz gem. § 986 Abs. 1 BGB gewandelt. b) Übertragung auf den digitalen Nachlass 32 Wenn wir diese Gedanken auf den digitalen Nachlass übertragen, hat das für unseren Sachverhalt die folgenden Konsequenzen: 46 Vgl. etwa für den Fall eines als freier Mitarbeiter tätigen Programmierers BGH v. 3.3.2005 – I ZR 111/02. 47 BGH v. 27.9.1990 – I ZR 244/88 – „Grabungsmaterialien“.
112
Digitaler Nachlass und privates Datenmanagement
Eine entsprechende ausdrückliche oder konkludente Vereinbarung unterstellt, war A aufgrund des Auftragsverhältnisses dazu verpflichtet, die Zeichnungen dem Architekturbüro anzudienen. Diese Pflicht zur Andienung besteht auch für L fort, und zwar obgleich der Auftrag mit dem Tod des A gem. § 675 Abs. 1 i. V. m. § 673 BGB erloschen ist.48 Auch Arbeitnehmer unterliegen Herausgabepflichten, die entweder im Arbeitsvertrag selbst ausdrücklich geregelt sind oder aus einer entsprechenden Anwendung des § 667 BGB folgen, die bei Arbeitsverträgen regelmäßig stattfindet.49 Diese Herausgabepflicht umfasst alle Arten von Aufzeichnungen. Dritte können mithin ein Recht auf Herausgabe oder Zugänglichma- 33 chung von Daten haben. Dieses Recht kann sich aus einem Vertrag oder auch aus neben- und nachvertraglichen Pflichten ergeben. Das kann insbesondere im Falle von Arbeitsverhältnissen, Dienstverträgen oder Auftragsverhältnissen relevant werden. Zu denken ist bspw. auch an den Fall, dass der Geschäftsführer oder Gesellschafter einer GmbH betriebliche Unterlagen und Daten auf seinen Geräten gespeichert hat. Hier hat die GmbH ggf. einen Anspruch gegen die Erben auf die Herausgabe solcher Unterlagen und Daten.50 4. Rechte und Zustimmung Dritter Frage 4: Wie L feststellen muss, befinden sich in der Fotosammlung des A auch Bilder aus einer Liebesbeziehung des A, die er mit der S geführt hat. S hat sich auch prompt bei L gemeldet, als sie vom Tod des A erfahren hat und fordert L auf, diese Bilder zu löschen. Unter den Bildern sind neben Aufnahmen der S in alltäglichen Situationen auch sehr intime Aufnahmen, die S, teilweise oder ganz entkleidet, vor während und nach dem Geschlechtsakt zeigen. Jedenfalls diese Bilder, so verlangt es S, müsse L löschen. Außerdem müsse A, so meint S, auch noch Briefe von ihr haben. Diese Briefe verlangt S von L heraus. Hat S die geltend gemachten Ansprüche?
48 Vgl. zu Herausgabepflichten des Erben bspw. NK-BGB/Schwab, § 673 BGB Rz. 5. 49 Vgl. BAG v. 14.12.2011 – 10 AZR 283/10, dort. Rz. 19 f., NZA 2012, 501. S. dort auch ausdrücklich zur Herausgabe von Daten. 50 Die Herausgabepflicht folgt für Organmitglieder juristischer Personen bspw. bereits aus dem Grundgedanken der §§ 666 f. BGB, vgl. dazu BGH, Beschl. v. 7.7.2008 – II ZR 71/07. Auch diese Pflicht geht auf die Erben über.
113
Matthias Pruns
34 Bisher haben wir Konstellationen betrachtet, in denen Dritte einen Löschungsanspruch gegen die Erben haben oder einen Anspruch auf die Zugänglichmachung von Dateien, weil sie Rechte an den darin verkörperten Inhalten gelten machen können. In welchen Fällen aber haben die Erben ein „Recht zum Besitz“? Und wo liegen dessen Grenzen? a) Immaterialgüterrechte Dritter 35 Hat der Erblasser (anders als oben bei Frage 1) ein Immaterialgüterrecht mit Zustimmung51 des Berechtigten genutzt, so kann die aus der Zustimmung folgende Berechtigung entweder als Teil des Nachlasses auf die Erben übergehen oder mit dem Tod des Erblassers erlöschen.52 Das hängt im Einzelnen von Art, Inhalt und Umfang der Zustimmung ab. In Zweifelsfällen muss die erteilte Zustimmung ausgelegt werden, um ermitteln zu können, ob sie auch nach dem Tod des Erblassers fortgelten und vererbt werden kann.53 So kann ein erteiltes Nutzungsrecht grds. nicht ohne Zustimmung des Urhebers übertragen werden (§ 34 UrhG). Allerdings gilt die in § 34 UrhG geregelte Einschränkung nur für lebzeitige Übertragungen und nicht für die Vererbung des Nutzungsrechts. Der Inhaber des Nutzungsrechts ist insoweit frei und bedarf für die Vererbung nicht der Zustimmung des Urhebers.54 Das hat erhebliche Bedeutung für den Kauf von Musik und Büchern in elektronischer Form, wobei aber auch geprüft werden muss, ob das dem Erblasser eingeräumte Nutzungsrecht zeitlich auf die Nutzung durch den Erblasser zu seinen Lebzeiten beschränkt wurde. So ist es in den AGB vieler Onlineanbieter vorgesehen, was wiederum in vielen Fällen als überraschende Klausel zu werten sein dürfte.55 b) Andere Rechte Dritter, insbesondere Persönlichkeitsrechte 36 In unserem Beispielsfall macht die Geliebte S nicht Immaterialgüterrechte geltend, sondern ihr allgemeines Persönlichkeitsrecht. Dieses ist im Fall der intimen Fotos (Recht am eigenen Bild) sogar in seinem nach Art. 1 Abs. 1 GG absolut geschützten Kernbereich privater Lebens-
51 Der Begriff „Zustimmung“ wird hier untechnisch verwendet als Oberbegriff für die verschiedenen Arten der Einräumung von Rechten durch den Berechtigten im Bereich des Immaterialgüterrechts. 52 Zu Fällen des Eingreifens des Erschöpfungsgrundsatzes Herzog/Pruns, Der digitale Nachlass, § 3 Rz. 12 f., § 5 Rz. 26 f. 53 Herzog/Pruns, Der digitale Nachlass, § 3 Rz. 10f. 54 Vgl. Dreier/Schulze, UrhG, § 34 UrhG Rz. 8 mwN. 55 Näher dazu Herzog/Pruns, Der digitale Nachlass, § 5 Rz. 21 ff.
114
Digitaler Nachlass und privates Datenmanagement
gestaltung betroffen.56 Nicht anders ist es mit den Briefen der S. Das Briefgeheimnis des Art. 10 Abs. 1 GG strahlt über das allgemeine Persönlichkeitsrecht auch auf das Privatrecht aus.57 Allerdings hat A zu seinen Lebzeiten die Fotos mit Zustimmung der S 37 angefertigt und in seinem Besitz gehabt. Auch die Briefe hat S dem A freiwillig geschickt. Sie hat ihm also ihre Privatsphäre freiwillig geöffnet und sogar bis in den Kernbereich der privaten Lebensführung hinein. Rechtlich handelt es sich hierbei um eine Zustimmung der S, genau genommen um ihre Einwilligung.58 Nicht anders als im Falle des Schutzes von Immaterialgüterrechten ist 38 nach dem Tod des A nun durch Auslegung zu prüfen, ob diese Einwilligung auch über den Tod des A hinaus Bestand hat. aa) Die Wertung der § 2047 Abs. 2, § 2373 S. 2 BGB Bereits oben hatten wir gesehen, dass nach der Regelung des § 2373 S. 2 39 BGB zum Nachlass des Erblassers auch seine „Familienpapiere“, also u. a. auch seine Briefschaften59 gehören. In diesen Briefen an den Erblasser haben Dritte sie selbst betreffende und ggf. sogar sehr persönliche „Daten“ niedergeschrieben und dem Erblasser zugesandt. Gerade deshalb verlangt in unserem Sachverhalt auch S von L nun die Herausgabe ihrer Briefe an A. Der Umstand, dass solche Briefe nach der gesetzlichen Wertung zum Nachlass gehören, zeigt auf, dass die mit der Absendung an den Erblasser erteilte Einwilligung nach der Wertung des Gesetzgebers in aller Regel über den Tod des Erblassers hinaus fortwirkt und auch für seine Erben gilt. bb) Die Auslegung der Einwilligung bei Bildaufnahmen Nicht anders ist es bspw. bei Bildaufnahmen. Auch hier erteilen die ab- 40 gebildeten Personen ihre Einwilligung in die Aufnahme und diese ist in aller Regel gerade nicht zeitlich begrenzt. So entspricht es nach der Rechtsprechung bspw. der „Üblichkeit“, dass
56 Vgl. dazu BGH v. 13.10.2015 – VI ZR 271/14, NJW 2016, 1094. 57 BGH v. 20.2.1990 – VI ZR 241/89, GRUR 1990, 479. 58 Vgl. zur Einwilligung bei Berührung des Kernbereichs der privaten Lebensführung BGH v. 13.10.2015 – VI ZR 271/14, NJW 2016, 1094. 59 Prot. II, S. 114.
115
Matthias Pruns
„etwa bei Feiern, Festen und in Urlauben Fotos von Personen in deren Einverständnis gemacht werden und mit diesem Einverständnis zugleich das Recht eingeräumt wird, diese Fotos auf Dauer besitzen und nutzen zu dürfen.“60 41 Der BGH hat die insoweit geltenden Grundsätze wie folgt zusammengefasst: „Maßstab für die Frage nach der Wirksamkeit und dem Umfang einer solchen Einwilligung können die für die Einwilligung nach § 22 KunstUrhG entwickelten Grundsätze sein. Die Einwilligung kann danach grundsätzlich im privaten Bereich konkludent und auch formlos (vgl. zur Abgrenzung BAG, BB 2015, 1276, 1277 [BAG 11.12.2014 – 8 AZR 1010/13]), beschränkt oder unbeschränkt erteilt werden, die Beschränkung kann etwa in räumlicher oder zeitlicher Hinsicht oder im Hinblick auf einen bestimmten Zweck oder für bestimmte Medien erfolgen […]. Nach der Rechtsprechung des Senats ist die Reichweite der Einwilligung durch Auslegung nach den Umständen des Einzelfalls zu ermitteln (vgl. zu § 22 Satz 1 KunstUrhG Senatsurteile vom 28.9.2004 – VI ZR 305/03, VersR 2005, 83; vom 14.11.1995 – VI ZR 410/94, VersR 1996, 204, 205; vom 14.10.1986 – VI ZR 10/86, NJW-RR 1987, 231; vom 6.2.1979 – VI ZR 46/77, NJW 1979, 2203).“ cc) Ausnahme: Kernbereich der privaten Lebensgestaltung 42 Grundsätzlich sind also bspw. bei privaten Briefen und auch bei Bildaufnahmen die jeweiligen Einwilligungen auf unbegrenzte Dauer erteilt worden und das Recht zum Besitz geht auch auf die Erben über, wie die Regelungen der § 2047 Abs. 2, § 2373 S. 2 BGB zeigen. 43 Anders kann das Ergebnis der Auslegung aber ausfallen, wenn der Kernbereich der privaten Lebensgestaltung betroffen ist. So hat etwa der BGH die Auslegung einer Einwilligung durch das OLG Koblenz bestätigt, wonach bei intimen, während des Bestehens einer Beziehung angefertigten Fotos die Einwilligung nur für die Dauer der Beziehung erteilt ist. Insbesondere weil eine solche nicht auf der Basis eines Vertrages und nicht gegen Geld, wie etwa bei einem professionellen Modell, sondern allein zu privaten Zwecken und aufgrund der bestehenden Beziehung erteilt wurde, muss sie als befristet erteilt angesehen werden.61
60 OLG Koblenz v. 20.5.2014 – 3 U 1288/13, Rz. 64. 61 BGH v. 13.10.2015 – VI ZR 271/14, dort Rz. 39, NJW 2016, 1094; OLG Koblenz v. 20.5.2014 – 3 U 1288/13, dort unter II. 1. d), BeckRS 2014, 10308.
116
Digitaler Nachlass und privates Datenmanagement
c) Ergebnis Als Ergebnis lässt sich somit festhalten, dass, soweit Rechte Dritter an 44 den durch Daten verkörperten Inhalten betroffen sind, die vom jeweiligen Dritten erteilte Zustimmung (z. B. urheberrechtliches Nutzungsrecht oder privat-rechtliche Einwilligung) auch für die Erben fortgelten kann. Ob das im Einzelfall so ist, ist durch Auslegung der Zustimmung zu ermitteln. Im privaten Bereich, etwa wenn schriftliche Äußerungen oder auch Bildaufnahmen betroffen sind, gilt, wie insbesondere die Wertung der § 2047 Abs. 2, § 2373 S. 2 BGB zeigt, dass eine erteilte Einwilligung grundsätzlich auf Dauer und über den Tod des Empfängers hinaus auch für dessen Erben gilt. Nur in Ausnahmefällen kommt die Auslegung zu einem anderen Ergeb- 45 nis, insbesondere dann, wenn die jeweiligen Inhalte, also bspw. das Motiv einer Bildaufnahme oder der Inhalt eines Briefs oder einer Nachricht, den Kernbereich der privaten Lebensgestaltung des Dritten betreffen.62 Das ist in Frage 4 der Fall, soweit es um die intimen Aufnahmen der S geht. Diese muss L löschen, die anderen nicht. Dieselben Prinzipien gelten für die ausgetauschten Briefe. III. Elektronische Korrespondenz und soziale Netzwerke Frage 5: L möchte auf die E-Mails des A sowie auf seine Benutzerkonten bei sozialen Netzwerken zugreifen. L will die beruflichen und privaten Angelegenheiten des A regeln und zudem feststellen, ob noch offene Forderungen bestehen, etwa aufgrund noch offener Bestellungen bei Internetversandhäusern. Insbesondere möchte L die Freunde und Bekannten des A über dessen Ableben informieren und danach seine Konten bei sozialen Netzwerken löschen. Darf L überhaupt auf das E-Mail-Konto des A und auf seine Benutzerkonten bei sozialen Netzwerken zugreifen? Hat L, soweit ihr die Zugangsdaten nicht bekannt sind, einen Anspruch gegen die jeweiligen Dienstanbieter auf Zugangsverschaffung? Können die Dienstanbieter den Zugriff von Erben durch AGB einschränken oder ganz ausschließen? In dem Leitsatz seiner Entscheidung vom 12.7.2018 hat der BGH das Er- 46 gebnis seiner rechtlichen Bewertung der Frage nach der Rechtsnachfolge in ein Benutzerkonto bei Facebook wie folgt prägnant zusammengefasst:
62 Ausf. Herzog/Pruns, Der digitale Nachlass, § 3 Rz. 34 ff.
117
Matthias Pruns
„Beim Tod des Kontoinhabers eines sozialen Netzwerks geht der Nutzungsvertrag grundsätzlich nach § 1922 BGB auf dessen Erben über. Dem Zugang zu dem Benutzerkonto und den darin vorgehaltenen Kommunikationsinhalten stehen weder das postmortale Persönlichkeitsrecht des Erblassers noch das Fernmeldegeheimnis oder das Datenschutzrecht entgegen.“ 47 Der BGH spricht hier die drei wesentlichen Aspekte der Rechtsnachfolge für alle Formen elektronischer Kommunikation an: den Nutzungsvertrag mit dem jeweiligen Dienstanbieter, die Rechte des Erblassers und die Rechte der Kommunikationspartner des Erblassers. 1. Der Übergang des Nutzungsvertrags auf den Erben 48 Unabhängig von der Rechtsnatur des Nutzungsvertrages63, den die Nutzer mit den Anbietern digitaler Kommunikationsdienste abschließen, ist mit Blick auf die Rechtsnachfolge § 1922 Abs. 1 BGB und damit der erbrechtliche Grundsatz der Gesamtrechtsnachfolge64 Ausgangspunkt aller rechtlichen Betrachtungen. Speziell für schuldrechtliche Vereinbarungen besagt der Grundsatz der Gesamtrechtsnachfolge, dass der Erbe „in die vertragliche Rechtsstellung mit sämtlichen Rechten und Pflichten eintritt“, wie es der BGH noch einmal zusammenfasst.65 49 Im Einzelfall kann diese umfassende Rechtsnachfolge aber ausnahmsweise durch vertragliche Regelungen oder aufgrund des Wesens des Vertrages ausgeschlossen sein. Theoretisch ist auch ein teilweiser Ausschluss der Vererbbarkeit denkbar. a) Ausschluss durch AGB? 50 Regelmäßig finden sich in den Nutzungsbedingungen von Dienstanbietern Regelungen, die es Nutzern verbieten, ihre Zugangsdaten an Dritte weiterzugeben. Solche Regelungen beziehen sich aber, wie der BGH zutreffend ausführt, „lediglich auf das Verhalten des Nutzers zu Lebzeiten“ und treffen „keine Aussage für den Todesfall“.66 63 Dazu bspw. Redeker in Hoeren/Sieber/Holznagel, Handbuch MultimediaRecht, Stand Februar 2018, Teil 12 Rz. 424; Kutscher, Der digitale Nachlass, S. 45 f. 64 Herzog/Pruns, Der digitale Nachlass, § 4 Rz. 3 ff. mwN. 65 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 22 unter Verweis auf MüKoBGB/ Leipold, 7. Aufl., § 1922 BGB Rz. 20 und 25; BeckOGK BGB/Preuß, Stand 1.6.2018, § 1922 BGB Rz. 173 ff. 66 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 25. So auch schon KG v. 31.5.2017 – 21 U 9/16.
118
Digitaler Nachlass und privates Datenmanagement
Daneben finden sich aber auch Bestimmungen und Praktiken, die aus- 51 drücklich oder zumindest im Ergebnis eine Vererbbarkeit ausschließen.67 Im Falle von Facebook gilt das für die sog. „Gedenkzustands-Richtlinie“. In ein in den Gedenkzustand versetztes Benutzerkonto bei Facebook kann man sich auch mit den richtigen Zugangsdaten nicht mehr einloggen. Das Konto mit allen von Facebook gespeicherten Inhalten bleibt bestehen. Das hat de facto einen Ausschluss der Vererbbarkeit zur Folge. aa) Wirksame Einbeziehung? Solche Regelungen stellen AGB dar und müssen deshalb nach Maßgabe 52 des § 305 Abs. 2 BGB wirksam in den abgeschlossenen Nutzungsvertrag einbezogen worden sein. Das war bei den Regelungen von Facebook zum Gedenkzustand früher nicht der Fall.68 Sie fanden sich lediglich im „Hilfebereich“ und nicht bei den Nutzungsbedingungen. Bei den Nutzungsbedingungen fand sich zudem auch kein Verweis auf diese Regelungen. Das hat auch der BGH zutreffend festgestellt und die wirksame Einbeziehung der Regelung in dem von ihm entschiedenen Fall verneint.69 bb) Reine Leistungsbestimmungen? Inzwischen hat Facebook die Gedenkzustandsrichtlinie allerdings in sei- 53 ne Nutzungsbedingungen aufgenommen und auch andere Anbieter wollen im Rahmen von AGB die Vererbbarkeit ausschließen oder wesentlich einschränken.70 Solche Regelungen stellen, anders als es noch das KG angenommen hat, 54 keine Leistungsbestimmungen dar. Die vertraglich geschuldete Leistung ist auch ohne solche Regelungen klar bestimmt, wie der BGH deutlich gemacht hat. Tatsächlich handelt es sich um Regelungen, „die die Leis67 So bspw. bei Oath (Yahoo, AOL) in Ziffer 3.a. der Nutzungsbedingungen, wonach „für sämtliche Oath-Accounts [gilt], dass sie nicht übertragbar sind und alle Rechte daran mit dem Tod des Accountinhabers enden“, vgl. https:// policies.oath.com/ie/de/oath/terms/otos/index.html (abgerufen am 27.9.2018); vgl. ferner die Nutzungsbedingungen von iCloud von Apple, dort Abschnitt IV.D.: „Sofern gesetzlich nichts anderes vorgeschrieben ist, stimmst du zu, dass dein Account nicht übertragbar ist und dass alle Rechte an deiner AppleID oder deinen Inhalten innerhalb deines Accounts im Falle deines Todes enden. Bei Erhalt einer Kopie deiner Sterbeurkunde können dein Account aufgelöst und sämtliche Inhalte innerhalb deines Accounts gelöscht werden.“ 68 Vgl. schon Herzog/Pruns, Der digitale Nachlass, 2018, § 5 Rz. 18 ff.; Pruns, AnwZert ErbR 16/2016 Anm. 2; Willems, ZfPW 2016, 494, 509. 69 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 27. 70 Vgl. etwa oben die Nachweise bei Fn. 7.
119
Matthias Pruns
tungspflicht des Verwenders einschränken, verändern, ausgestalten oder modifizieren“ und damit der Inhaltskontrolle unterliegen.71 cc) Inhaltskontrolle 55 Dass solche Regelungen wie die Gedenkzustandsrichtlinie von Facebook auch im Falle einer wirksamen Einbeziehung einer solchen Inhaltskontrolle nicht standhalten würden, war in der Fachliteratur die zwar überwiegende, aber auch nicht ganz unumstrittene Meinung.72 56 Der BGH hat sich in seiner Entscheidung auch mit dem Inhalt der Gedenkzustands-Richtlinie beschäftigt, obwohl diese nicht wirksam in den Nutzungsvertrag einbezogen wurde. Er hat die herrschende Meinung im Schrifttum bestätigt und bejaht eine unangemessene Benachteiligung im Sinne von § 307 Abs. 1, Abs. 2 BGB. Zum einen sind die Gedenkzustandsrichtlinie und vergleichbare Regelungen Abweichungen von § 1922 Abs. 1 BGB, die mit den wesentlichen Grundgedanken der gesetzlichen Regelung nicht mehr vereinbar sind (vgl. § 307 Abs. 2 Nr. 1 BGB). Sie widersprechen dem Gedanken der Universalsukzession und laufen der Funktion des § 1922 Abs. 1 BGB zuwider, Rechtssicherheit für alle Beteiligten durch eine klare Zuordnung des vererbten Vermögens zu schaffen.73 Zum anderen wird durch sie die Erreichung des Vertragszwecks unmöglich (vgl. § 307 Abs. 2 Nr. 2 BGB), denn „die wesentlichen Rechte aus dem Vertragsverhältnis, nämlich der Zugang zu dem Benutzerkonto, der Zugriff auf die dort gespeicherten Inhalte und die Verfügungsbefugnis hierüber, entfallen“.74
71 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 29 unter Verweis auf BGH v. 5.10.2017 – III ZR 56/17, NJW 2018, 534, dort Rz. 15 f. 72 Für eine Unwirksamkeit mit zum Teil unterschiedlicher Begründung etwa Herzog, NJW 2013, 3745, 3751; Pruns, AnwZert ErbR 16/2016 Anm. 2; Willems, ZfPW 2016, 494, 509; Gloser, DNotZ 2016, 537, 548 f; Kutscher, Der digitale Nachlass, S. 126 ff.; Raude, RNotZ 2017, 17, 23. Kritisch auch schon Redeker in: DAV-Stellungnahme 34/2013, S 59-65. Eine Wirksamkeit dagegen wohl eher bejahend Lange/Holtwiesche, ZErb 2016, 125, 130; s. ferner Staudinger/Kunz (2017), § 1922 BGB Rz. 638. 73 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 30; Pruns, AnwZert ErbR 16/2016 Anm. 2. 74 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 31. Vgl. ferner vgl. Gloser, DNotZ 2016, 537, 548 f; Kutscher, Der digitale Nachlass, S. 126 ff.; Raude, RNotZ 2017, 17, 23.
120
Digitaler Nachlass und privates Datenmanagement
dd) Exkurs: Neue Gedenkzustandsregelung Inzwischen hat Facebook seine Regelung zum Gedenkzustand nicht nur 57 in die Nutzungsbedingungen einbezogen, sondern auch inhaltlich geändert. Inzwischen heißt es: „Du kannst eine Person benennen (der so genannte Nachlasskontakt), die dein Konto verwaltet, wenn es in den Gedenkzustand versetzt wird. Nur dein Nachlasskontakt oder eine Person, die du in einem gültigen Testament oder ähnlichen Dokument, das deine eindeutige Zustimmung zur Offenlegung deiner Inhalte im Todesfall oder bei Unfähigkeit ausdrückt, genannt hast, kann die Offenlegung deines Kontos beantragen, nachdem es in den Gedenkzustand versetzt worden ist.“ Ob diese Regelung einer inhaltlichen Prüfung standhalten wird, ist noch zu klären. Insbesondere die Bestimmung, dass die „eindeutige Zustimmung zur Offenlegung deiner Inhalte im Todesfall“ im Testament enthalten sein muss, damit der Erbe oder eine andere im Testament genannte Person die Offenlegung verlangen kann, ist bedenklich. Sie führt beim Wort genommen zu einer Art Beweislastumkehr, denn der Erbe muss nicht nur seine Erbenstellung nachweisen, sondern auch, dass der Erblasser eine „eindeutige Zustimmung“ zur Offenlegung erteilt hat. Diese „Zustimmung“ folgt aber bereits aus der Erbenstellung als solcher, denn sie führt zur Nachfolge „in die vertragliche Rechtsstellung mit sämtlichen Rechten und Pflichten“. b) Ausschluss der Vererbbarkeit aufgrund des Wesens des Vertragsverhältnisses? In den §§ 38 und 399 BGB kommt der Rechtsgedanke zum Ausdruck, 58 dass ein Recht oder eine Forderung dann nicht auf eine andere Person übergehen soll, wenn sich durch den Wechsel des Subjekts die Leistung in ihrem Wesen verändern würde. Das gilt auch für den Übergang aufgrund eines Erbfalls.75 Dass eine solche Wesensveränderung durch eine Rechtsnachfolge der 59 Erben auch bei internetbasierter Kommunikation allgemein oder zumindest speziell bei sozialen Netzwerken eintreten könnte, lässt sich zumindest in Betracht ziehen. Zu bedenken ist etwa, dass Gegenstände der Kommunikation sehr intime Sachverhalte sein können. Profile in sozialen Netzwerken dienen zudem häufig entweder der besonders
75 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 34; MüKoBGB/Leipold, 7. Aufl., § 1922 BGB Rz. 21; Staudinger/Kunz (2017), § 1922 BGB Rz. 596.10 f.
121
Matthias Pruns
„pointierten“ Darstellung der eigenen Person oder sollen, so das andere Extrem, Anonymität garantieren. 60 Gleichwohl ist die von den Dienstanbietern angebotene Leistung nicht im Sinne der §§ 38, 399 BGB höchstpersönlich. Anders als etwa bei dem Behandlungsvertrag eines Arztes mit einem Patienten sind die Leistungen der Anbieter elektronischer Kommunikation unabhängig von der Identität des Kunden gleich geartet. Sie sind verpflichtet, wie es der BGH beschreibt, die „Kommunikationsplattform zur Verfügung zu stellen und entsprechend dem Auftrag des Nutzers Inhalte zu veröffentlichen oder Nachrichten an ein anderes Benutzerkonto zu übermitteln sowie die übermittelten Nachrichten beziehungsweise die mit diesem Konto geteilten Inhalte zugänglich zu machen.“76 Eben diese Leistungen könnten ohne inhaltliche Veränderung auch gegenüber den Erben des Nutzers erbracht werden. 61 Eine besondere Personenbezogenheit lässt sich allenfalls in dem Sinne begründen, so der BGH einen in der Fachliteratur entwickelten Gedanken aufgreifend, dass, ähnlich wie bspw. beim Girovertrag, die „aktive Weiternutzung des Kontos des Erblassers durch den Erben, die in der Praxis ohnehin regelmäßig nicht beabsichtigt sein wird, nicht von seinem Erbrecht umfasst ist“.77 Die Anbieter elektronischer Kommunikation haben hier ggf. ein berechtigtes Interesse daran, dass ein Nutzerkonto nicht von den Erben unter dem Namen des Erblassers weitergeführt wird. Das ändert allerdings nichts am Übergang des Nutzerkontos auf die Erben. Dieser Übergang umfasst bspw. auch das Recht zur Kündigung. Bei Ausübung dieses Rechts entsteht ein Rückgewährschuldverhältnis, so dass die Erben insbesondere die Herausgabe der gespeicherten Inhalte und deren anschließende Löschung von den Servern des Anbieters verlangen können.78 c) Differenzierung nach Inhalten? 62 An einen zumindest teilweisen Ausschluss der Gesamtrechtsnachfolge könnte man dann denken, wenn man nach der Art der in E-Mail- und Benutzerkonten gespeicherten Inhalte differenziert. Eine Differenzie76 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 35. S. auch Herzog/Pruns, Der digitale Nachlass, 2018, § 4 Rz. 42 mwN. 77 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 36. Vgl. auch schon Herzog in: DAV, Stellungnahme Nr. 34/2013, S. 51. 78 Herzog/Pruns, Der digitale Nachlass, 2018, § 4 Rz. 35 f. mwN.
122
Digitaler Nachlass und privates Datenmanagement
rung zwischen höchstpersönlichen und sonstigen (vermögensbezogenen) Inhalten wurde am Anfang der Diskussion um den digitalen Nachlass noch befürwortet.79 Insbesondere die § 2047 Abs. 2, § 2373 S. 2 BGB zeugen allerdings davon, dass auch höchstpersönliche Aufzeichnungen des Erblassers zum Nachlass gehören, wie wir bei Frage 2 gesehen haben.80 Nicht anders hat es auch der BGH gesehen.81 2. Ausschluss der Vererbbarkeit aufgrund von Rechten des Erblassers? Neben einem vertraglichen Ausschluss der Vererbbarkeit kann man auch 63 an einen Ausschluss aufgrund des postmortalen Persönlichkeitsrechts des Erblassers denken. Auch das wurde von Teilen der Fachdiskussion zwar befürwortet,82 von der herrschenden Meinung aber zu Recht abgelehnt.83 Ihr hat sich der BGH angeschlossen, denn das aus Art. 1 Abs. 1 GG folgende postmortale Persönlichkeitsrecht begründet kein „dem Erbrecht vorgehendes Recht der nächsten Angehörigen an den höchstpersönlichen digitalen Inhalten“, wie der BGH zutreffend ausführt. Allenfalls bei einem Eingriff in den durch die Menschenwürdegarantie des GG geschützten Achtungsanspruch des Erblassers können die nächsten Angehörigen des Erblassers Unterlassungs- und Widerrufsansprüche geltend machen.84 3. Ausschluss der Vererbbarkeit aufgrund von Rechten der Kommunikationspartner? Weitaus kontroverser als ein Ausschluss der Vererbbarkeit aufgrund von 64 Rechten des Erblassers wurde diskutiert, ob die Rechte der Kommunikationspartner des Erblassers einer Zugangsgewährung zugunsten der Erben entgegenstehen. a) Ausschluss aufgrund des Fernmeldegeheimnisses (§ 88 Abs. 3 TKG)? Der Fokus der Diskussion lag dabei auf dem Fernmeldegeheimnis und 65 der Regelung des § 88 Abs. 3 TKG.
79 Hoeren, NJW 2005, 2113, 2114; Martini, JZ 2012, 1145, 1152; Brinkert/Stolze/ Heidrich, ZD 2013, 153, 155. 80 Vgl. Herzog/Pruns, Der digitale Nachlass, 2018, § 2 Rz. 43 ff. mwN. 81 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 48 ff. 82 MüKo-BGB/Rixecker, § 12 Anh. Rz. 160; Martini, JZ 2012, 1145, 1150 ff; Hoeren, NJW 2005, 2113, 2114; Brinkert/Stolze/Heidrich, ZD 2013, 153, 155. 83 Vgl. etwa MK-BGB/Leipold, 7. Aufl., § 1922 BGB Rz. 26; Herzog/Pruns, Der digitale Nachlass, § 2 Rz. 56 ff., § 4 Rz. 43 mwN. 84 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 53 mwN.
123
Matthias Pruns
Nach § 88 Abs. 3 Satz 1 TKG ist es Dienstanbietern „untersagt, sich oder anderen über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste […] erforderliche Maß hinaus Kenntnis vom Inhalt oder den näheren Umständen der Telekommunikation zu verschaffen.“ So war insbesondere der DAV in seiner Stellungnahme zum digitalen Nachlass zu dem Ergebnis gekommen, dass § 88 Abs. 3 TKG mangels einer ausdrücklichen Erlaubnis den Erbgang verhindere. Der Gesetzgeber, so der DAV, müsse deshalb eine „der seit langem bewährten Regelung im Bereich des Briefgeheimnisses“ entsprechende Lösung für das Fernmeldegeheimnis finden, und zwar in Form einer ausdrücklichen Erlaubnis in einem neu zu schaffenden § 88 Abs. 5 TKG.85 Auch das KG war der Ansicht, dass § 88 Abs. 3 TKG der Erfüllung eines etwaigen Zugangsanspruchs der Erben entgegensteht.86 Zuletzt hat etwa Mayen diese Ansicht noch einmal nachdrücklich vertreten.87 b) Zustimmung: Übertragung der Verfügungsbefugnis 66 Dem wurde bereits früh entgegengehalten, dass eine „bewährte Regelung im Bereich des Briefgeheimnisses“ gar nicht existiert und der Erbgang auch im PostG nicht geregelt ist.88 Vielmehr greifen im Erbfall sowohl beim Brief- als auch beim Fernmeldegeheimnis allgemeine Prinzipien ein. Aufgrund der Rechtsnachfolge der Erben in den Nutzungsvertrag erfolgt eine Kenntnisverschaffung zugunsten der Erben nicht „über das für die geschäftsmäßige Erbringung der Telekommunikationsdienste […] erforderliche Maß“ hinaus.89 Zudem kann man auch argumentieren, dass die Erben aufgrund der Rechtsnachfolge nicht „andere“ im Sinne des § 88 Abs. 3 Satz 1 TKG sind.90 85 DAV Stellungnahme 34/2013, dort insbes. S. 8. 86 KG v. 31.5.2017 – 21 U 9/16, insbesondere im Anschluss an Staudinger/Kunz (2017), § 1922 BGB Rz. 627: Fall der rechtlichen Unmöglichkeit nach § 275 BGB. 87 Mayen, AnwBl Online 2018, 466 ff. Anders aber z.B. Herzog, AnwBl Online 2018, 472, 481. 88 Pruns, NWB 2014, 2175, 2180 f., dort insb. auch zu Deusch, ZEV 2014, 2, 5 f. 89 Pruns, NWB 2014, 2175, 2178 f. Zustimmend LG Berlin v. 17.12.2015 – 20 O 172/15, dort Rz. 34 (Rn. zitiert nach der Urteilswiedergabe unter: http://www. gerichtsentscheidungen.berlin-brandenburg.de). 90 Pruns, NWB 2014, 2175, 2177 f.; ZEV 2015, 262, 264; Herzog/Pruns, Der digitale Nachlass, § 4 Rz. 57 ff. mwN.; BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 56 ff.
124
Digitaler Nachlass und privates Datenmanagement
Letztlich ausschlaggebend ist aber, dass die Kommunikationspartner des 67 Erblassers spätestens mit Zugang ihrer Nachrichten beim Erblasser sich der Verfügungsbefugnis über die Nachrichten begeben haben.91 Es greifen hier die bei Frage 4 angestellten Überlegungen zur Zustimmung der Kommunikationspartner und der Auslegung dieser Zustimmung für den Fall des Todes des Empfängers ein. c) Argumentation des BGH Der BGH widmet sich in seiner Urteilsbegründung den Rechten Dritter 68 an insgesamt drei Stellen, wobei die wesentlichen Argumente sich ähneln oder sogar inhaltlich überschneiden: –
Bei der Untersuchung des „Wesens“ des Vertrages erörtert das Gericht die Frage, ob ein Ausschluss der Vererbbarkeit aus von „im Nutzungsvertrag stillschweigend vorausgesetzten und damit immanenten Gründen des Schutzes der Persönlichkeitsrechte der Kommunikationspartner der Erblasserin“ folgt.92
–
Später beschäftigt sich der BGH dann mit dem Fernmeldegeheimnis und mit der Frage, ob die Erben „andere“ im Sinne des § 88 Abs. 3 Satz 1 TKG sind.93
–
Schließlich widmet sich der BGH den Rechten Dritter im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 Buchst. f DS-GVO.94
Die Argumente des BGH sind im Wesentlichen die Folgenden: aa) Die Erwartungshaltung des verständigen durchschnittlichen Nutzers Aufgrund der konkreten Umstände der Kommunikation, so der BGH, 69 können die Kommunikationspartner nicht mit Sicherheit davon ausgehen, dass nur die von ihnen adressierte Person von der Nachricht Kenntnis nimmt. Sie können auch nicht davon ausgehen, dass die adressierte Person über den Inhalt der Kommunikation Stillschweigen bewahren wird. Geschuldet ist, wie bei der analogen Kommunikation per Brief
91 Pruns, NWB 2014, 2175, 2182 ff. Vgl. ferner NK-NachfolgeR/Herzog, Kap. 9 Rz. 68; Bock, AcP 217, 370, 408; Herzog/Pruns, Der digitale Nachlass, § 4 Rz. 84; Kutscher, Der digitale Nachlass, S. 145. So auch BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 41, 90. 92 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 39 ff. 93 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 56 ff. 94 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 88 ff.
125
Matthias Pruns
auch, nur eine „Zustellung“ an das richtige Benutzerkonto. Diesen Gedankengang fasst der BGH wie folgt zusammen: „Dem verständigen und durchschnittlichen Nutzer eines sozialen Netzwerks ist ebenso wie dem Absender eines Briefs bewusst, dass er nach dem Versenden einer Nachricht nicht mehr kontrollieren kann, wer letztlich von deren Inhalt Kenntnis nimmt, und dass er grundsätzlich keine Möglichkeit hat, die übermittelte Nachricht beziehungsweise den Inhalt zurückzufordern. Er begibt sich insoweit der Verfügungsbefugnis über die Nachrichten“.95 70 Indem der BGH auf den „verständigen und durchschnittlichen Nutzer“ abstellt, verweist er auf die Auslegung der vom Absender durch das Absenden erteilten Zustimmung. Die Auslegung richtet sich nämlich nach den konkreten Umständen des Einzelfalls und insbesondere nach den (technischen) Umständen der vom Absender gewählten Kommunikation.96 Insoweit gilt die erteilte Zustimmung auch über den Tod des adressierten Kommunikationspartners hinaus, denn der „Absender einer Nachricht kann mithin zwar darauf vertrauen, dass seine Nachricht [..] nur für das von ihm ausgewählte Empfängerkonto bereitgestellt wird. Er muss aber damit rechnen, dass Dritte dennoch Kenntnis vom Inhalt seiner Nachricht erhalten können. Dies gilt sowohl zu Lebzeiten des Kontoberechtigten im Hinblick auf die von diesem jederzeit veranlassbare Zugangsgewährung an Dritte als auch im Todesfall im Hinblick auf die Vererbung des Vertragsverhältnisses. Denn er muss damit rechnen, dass sein Kommunikationspartner versterben könnte und Dritte das Benutzerkonto erben, in das Vertragsverhältnis eintreten und damit als neue Kontoberechtigte Zugang auf die Kontoinhalte haben.“ bb) Erben als Teilnehmer des Kommunikationsvorgangs 71 Mit Blick auf § 88 Abs. 3 Satz 1 TKG verweist der BGH auf diese Ausführungen zur Vererbbarkeit des vertraglichen Zugangsrechts der Verstorbenen97 und ergänzt wie folgt: „[Der] Erbe wird mit dem Tod des ursprünglichen Kontoberechtigten als neuer Vertragspartner und Kontoberechtigter zum Teilnehmer der auf Grund der Speicherung und Bereitstellung der Inhalte für das Benutzerkonto fortlaufenden Kommunikationsvorgänge. Der Erblasser da95 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 41 am Ende. 96 Dazu Pruns, ZErb 2017, 217 ff. 97 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 61.
126
Digitaler Nachlass und privates Datenmanagement
gegen scheidet mit seinem Tod als geschützter Kommunikationspartner aus.“98 Der Erbe soll also mit dem Erbgang nicht mehr „anderer“ im Sinne des § 88 Abs. 3 Satz 1 TKG sein. cc) Interessenabwägung im Rahmen der DS-GVO Schließlich untersucht der BGH auch die Rechte der Kommunikations- 72 partner nach der DS-GVO. Auch sie stehen der Verwirklichung der Rechte der Erben nicht entgegen. Das folgt bereits aus Art. 6 Abs. 1 Buchst. b Var. 1 DS-GVO, wonach eine Verarbeitung dann rechtmäßig ist, wenn sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Partei ist, erforderlich ist. Durch den Erbgang sind die Erben Partei des Nutzungsvertrags geworden. Auch insoweit greift der BGH auf seine bereits oben wiedergegebenen Überlegungen zurück.99 Ferner wäre eine Datenverarbeitung, so der BGH weiter, nach Art. 6 73 Abs. 1 Buchst. f zulässig. Nach Art. 6 Abs. 1 Buchst. f DS-GVO ist eine Datenverarbeitung zulässig, wenn sie „zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, […].“ Für diese Interessenabwägung100 greift der BGH wieder auf die bereits oben dargestellten Überlegungen zur Übertragung der Verfügungsbefugnis auf den Empfänger zurück.101 Auch der Hinweis darauf, dass die Kommunikationspartner mit dem Versterben des Erblassers und dem Einritt der Erben in den Nutzungsvertrag rechnen müssen, erscheint hier erneut.102 Ergänzt wird diese Argumentation durch den Hinweis auf die Freiwilligkeit und Selbstbestimmtheit der Kommunikationspartner. Sie haben die sie betreffenden Daten auf eigenen Wunsch im Rahmen des Kommunikationsvorgangs preisgeben:
98 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 60. 99 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 71 ff. 100 Zur Interessenabwägung nach dem Prinzip des überwiegenden Interesses vgl. schon Pruns, NWB 2014, 2175, 2184 f.; ders., ZErb 2017, 217 ff.; Herzog/ Pruns, Der digitale Nachlass, § 4 Rz. 69 ff. 101 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 90. 102 BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 91.
127
Matthias Pruns
„Der Nutzer forciert bei der Kontaktaufnahme durch persönliche Nachrichten oder das Teilen von Inhalten den Außenkontakt und lehnt ihn nicht grundsätzlich zur Wahrung der Vertraulichkeit ab“.103 Im Rahmen der Interessenabwägung müssen die Interessen der Kommunikationspartner deshalb hinter den Interessen der Erben zurückstehen, wie der BGH richtig feststellt.104 d) Der Kernbereich der privaten Lebensgestaltung 74 Das Ergebnis und die Begründung des BGH sind zu begrüßen. Allerdings geht das Gericht leider nicht auf solche Fallkonstellationen ein, in denen die Kommunikationspartner besonders intime Inhalte mit dem Erblasser geteilt haben, so dass der Kernbereich der privaten Lebensgestaltung (Art. 1 Abs. 1 GG) berührt ist. Wie wir bei Frage 4 gesehen hatten, ist hier insoweit eine Ausnahme zu machen, als dass die Betroffenen Ansprüche gegen die Erben auf Herausgabe oder Löschung solcher Inhalte haben. Insoweit kann auf die Rspr. des BGH zum Löschen intimer Fotos nach dem Ende einer Beziehung verwiesen werden.105 Ferner sind auch solche Konstellationen zu berücksichtigen, in denen aus anderen Gründen ein besonderes Vertrauen beansprucht wird, etwa aufgrund einer entsprechenden vertraglichen Vereinbarung zwischen dem Erblasser und dem Kommunikationspartner, nach der sie über den Inhalt der Kommunikation Stillschweigen bewahren wollen, oder aufgrund des Bestehens eines besonderen Vertrauensverhältnisses. Auch diese Umstände hindern nicht den Rechtsübergang auf die Erben, sie können aber ebenfalls zu Herausgabe- und Löschungsansprüchen führen. 4. Lösung zu Frage 5 75 L ist als Erbin und damit Rechtsnachfolgerin des A auch in die zwischen ihm und die jeweiligen Dienstanbieter geschlossenen Nutzungsverträge eingetreten. Abweichende AGB der Dienstanbieter sind nicht wirksam.106 Weder das Wesen des Nutzungsvertrags noch die Rechte des A oder die Rechte seiner Kommunikationspartner stehen dem Rechtsübergang auf L entgegen. Insbesondere haben sich die Kommunikationspartner der Verfügungsbefugnis über die ausgetauschten Kommunikationen begeben. Ihre Interessen an der Geheimhaltung der Inhalte der 103 104 105 106
128
BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 89. BGH v. 12.7.2018 – III ZR 183/17, dort Rz. 93. BGH v. 13.10.2015 – VI ZR 271/14, NJW 2016, 1094. Näher zu verschiedenen AGB-Klauseln Herzog/Pruns, Der digitale Nachlass, § 5.
Digitaler Nachlass und privates Datenmanagement
Kommunikation überwiegen nicht die Interessen der Erben. Allenfalls in bestimmten Ausnahmefällen, etwa wenn der Kernbereich der privaten Lebensgestaltung (Art. 1 Abs. 1 GG) betroffen ist, können Kommunikationspartner Herausgabe- oder Löschungsansprüche gegen die Erben haben. Dem Eintritt der Erben in den Nutzungsvertrag mit dem jeweiligen Dienstanbieter stehen die Rechte Dritter aber auch in solchen Konstellationen nicht entgegen. Mit dem Eintritt in den Nutzungsvertrag gehen auch alle Nebenrechte auf die Erben über. L kann deshalb, wenn ihr die Zugangsdaten zu den einzelnen Benutzerkonten nicht zur Verfügung stehen, bspw. verlangen, dass ihr neue Zugangsdaten zur Verfügung gestellt werden. Für den Nachweis der Erbenstellung gegenüber den Dienstanbietern kann man auf die bekannten Grundsätze, etwa die für den Rechtverkehr mit Banken, zurückgreifen.107 IV. Die gerichtliche Durchsetzung von Ansprüchen durch die Erben Wenn die Erben mithin in den Nutzungsvertrag mit den Anbietern digi- 76 taler Kommunikation eintreten, stellt sich die Frage, wie sie ihre Rechte in der Praxis gerichtlich durchsetzen.108 1. Internationale Zuständigkeit nach europäischem IZPR Für Personen mit Wohnsitz in Deutschland oder einem anderen Mit- 77 gliedsstaat der EU richtet sich die internationale Zuständigkeit grundsätzlich nach den Regeln der EuGVVO. Das gilt auch für Klagen der Erben aus vom Erblasser auf sie übergegangenen Forderungen, wenn der Erblasser seinen Wohnsitz in einem EU-Mitgliedsstaat hatte. Der Anwendungsbereich der Eu-ErbVO ist nicht eröffnet, da es sich nicht um originär erbrechtliche Ansprüche handelt.109 a) Zuständigkeit bei Verbrauchersachen (Art. 17 ff. EuGVVO) Soweit der Erblasser als Verbraucher gehandelt hat, ergibt sich die Zu- 78 ständigkeit aus den Art. 17 ff. EuGVVO. Die Dienstanbieter haben entweder ihre Tätigkeit auf das Gebiet eines EU-Mitgliedsstaates aus-
107 Dazu und auch zu den entsprechenden AGB der Dienstanbieter Herzog/ Pruns, Der digitale Nachlass, § 6. 108 Vgl. zum folgenden Text Herzog/Pruns, Der digitale Nachlass, § 7 mwN. S. dort auch zur Formulierung des Klageantrags. 109 Vgl. Mankowski, ErbR 2016, 550 ff.
129
Matthias Pruns
gerichtet (Art. 17 Abs. 1 Buchst. c) EuGVVO) oder sie betreiben eine Niederlassung in einem EU-Mitgliedsstaat (Art. 17 Abs. 2 EuGVVO). Maßgeblich für die gerichtliche Zuständigkeit ist deshalb Art. 18 Abs. 1 EuGVVO, wonach der Verbraucher den Vertragspartner an dessen Sitz oder an seinem eigenen Wohnort verklagen kann. Maßgeblich ist in unseren Fällen der Wohnort des Erblassers.110 Hiervon kann nur in den sehr engen Grenzen des Art. 19 EuGVVO abgewichen werden. Abweichende Klauseln in AGB sind unwirksam.111 b) Zuständigkeit in anderen Fällen 79 Schwieriger wird die Rechtsdurchsetzung, wenn der Erblasser nicht als Verbraucher gehandelt hat. Sonderzuständigkeiten können sich in solchen Fällen nach den Abschnitte 2 bis 7 der EuGVVO ergeben. Vorbehaltlich dessen muss Klage bei dem sich aus Art. 4 i. V. m. Art. 63 EuGVVO ergebenden Gerichtsstand des Dienstanbieters erhoben werden. Hat ein Dienstanbieter allerdings keinen Gerichtsstand nach Art. 63 EuGVVO in einem Mitgliedsstaat der EU, so richtet sich die gerichtliche Zuständigkeit nach den allgemeinen Regeln und eine Zuständigkeit deutscher Gerichte wird sich regelmäßig nicht begründen lassen. c) Gemischte Nutzung 80 In unserem Beispielsfall hat A sein E-Mail-Konto nicht allein privat und auch nicht allein für berufliche Belange genutzt. In solchen Fällen richtet sich die Zuständigkeit nicht danach, welche Nutzung überwiegt. Die Situation ist also eine andere als etwa bei § 13 BGB. Vielmehr schließt eine auch nur teilweise unternehmerische Nutzung die Verbrauchereigenschaft im Sinne des Art. 17 EuGVVO aus. Allein eine völlig untergeordnete unternehmerische Nutzung ist unschädlich.112 Für die Praxis und die vorsorgende Gestaltung ist daraus die Schlussfolgerung zu ziehen, dass private und berufliche Onlineaktivitäten durch die Wahl separater Nutzerkonten möglichst getrennt gehalten werden sollten. Für berufliche Aktivitäten sollten möglichst Anbieter mit Sitz in Deutschland oder zumindest in einem EU-Mitgliedsstaat gewählt werden.
110 Vgl. Mankowski, ErbR 2016, 550, 553. 111 Herzog/Pruns, Der digitale Nachlass, § 7 Rz. 4 am Ende. 112 BGH, Beschl. v. 13.10.2016 – IX ZB 9/16.
130
Digitaler Nachlass und privates Datenmanagement
2. Anwendbares Recht und Rechtswahlklauseln nach europäischem IPR Auch für die Frage nach dem anwendbaren Recht ist entscheidend, ob der 81 Nutzer als Verbraucher oder Unternehmer gehandelt hat. a) Handeln als Verbraucher Hat ein deutscher Verbraucher mit einem im Ausland sitzenden Anbie- 82 ter einen Nutzungsvertrag geschlossen, so ist grundsätzlich nach Art. 6 Abs. 1 Rom-I-VO deutsches Recht anwendbar. Nach Art. 6 Abs. 2 i. V. m. Art. 3 Rom-I-VO ist allerdings eine Rechts- 83 wahl zulässig. Diese darf aber nicht dazu führen, dass dem Verbraucher der Schutz entzogen wird, der ihm durch diejenigen zwingenden Bestimmungen gewährt wird, die für ihn ohne Rechtswahl gegolten hätten. Das betrifft insbesondere den Schutz durch die AGB-Regelungen der §§ 305 ff. BGB, und diese gelten auch für die Rechtswahlklausel selbst.113 Fehlt bspw. in einer Rechtswahlklausel die Information über den Schutz durch die zwingenden Vorschriften desjenigen Rechts, das ohne Rechtswahl anwendbar wäre, so ist die Rechtswahlklausel unwirksam.114 b) Anwendbares Recht in anderen Fällen Handelt der Nutzer nicht als Verbraucher, so bestimmt sich das anzu- 84 wendende Recht entweder nach der getroffenen Rechtswahl, wie sich aus Art. 3 Abs. 1 Rom-I-VO ergibt, oder subsidiär regelmäßig115 nach Art. 4 Abs. 1 Buchst. b) Rom-I-VO. Maßgeblich ist damit das „Recht des Staates, in dem der Dienstleister seinen gewöhnlichen Aufenthalt hat“. Das ist der Sitz des Dienstleisters und nicht etwa der Standort der von ihm genutzten Server.116 c) Gemischte Nutzung Auch bei der Bestimmung des anwendbaren Rechts stellt sich das Pro- 85 blem der gemischten Nutzung, also der Nutzung sowohl für private als auch berufliche Zwecke. Während früher für die Bestimmung der Verbrauchereigenschaft nach der Rom-I-VO auf den Schwerpunkt der Nutzung abgestellt wurde, wird inzwischen verstärkt auf die Auslegung des
113 114 115 116
BGH v. 19.7.2012 – I ZR 40/11, GRUR 2013, 421. EuGH v. 28.7.2016 – C-191/15. Zu Ausnahmen Kutscher, Der digitale Nachlass, 2015, S. 87 f. Kutscher, Der digitale Nachlass, 2015, S. 85 ff.
131
Matthias Pruns
Verbraucherbegriffs nach der EuGVVO abgestellt, wonach eine auch nur teilweise berufliche Nutzung bereits schädlich ist.117 3. Lösung für den Sachverhalt 86 Geklärt werden muss in unserem Sachverhalt jeweils im Einzelfall, ob A als Verbraucher gehandelt hat, was mit Blick auf die Regelungen der EuGVVO und der Rom-I-VO bereits dann nicht mehr der Fall ist, wenn eine zumindest teilweise unternehmerische Nutzung stattgefunden hat. Im Falle der gerichtlichen Durchsetzung richtet sich die Zuständigkeit bei Verbraucherverträgen nach Art. 18 EuGVVO. Eine Rechtswahlklausel in den Nutzungsbedingungen der Dienstanbieter ist nach Art. 6 Abs. 2 i. V. m. Art. 3 Rom-I-VO zulässig. Allerdings ist im Einzelfall genau zu prüfen, ob die Rechtswahlklausel auch tatsächlich wirksam vereinbart wurde. Bei Verbraucherverträgen finden auch im Falle einer Rechtswahl die zwingenden Verbraucherschutzvorschriften Anwendung, so dass insbesondere die §§ 305 ff. BGB als Prüfungsmaßstab herangezogen werden können. Im Übrigen greifen, wenn A nicht als Verbraucher gehandelt hat, regelmäßig die nachteiligen Regelungen für Unternehmer. V. Vorsorge zu Lebzeiten 87 Auf der Basis der bis hierhin gewonnenen Erkenntnisse können wir uns nun der Frage zuwenden, wie A zu Lebzeiten Vorsorge für seine digitalen Hinterlassenschaften treffen kann, und zwar zum einen in praktischer Hinsicht und zum anderen in rechtlicher Hinsicht.118 1. Vorausplanende „Strukturierung“ des digitalen Nachlasses: „Notfallakte“ etc. 88 Zu empfehlen sind A zunächst einige ganz praktische Maßnahmen, und zwar nicht nur für den Erbfall, sondern auch für den Fall der Geschäftsunfähigkeit119 oder schwerer Krankheit. Gemeint sind damit Maßnahmen, die wir bereits aus der klassischen Nachlassplanung kennen und
117 Vgl. die Nachweise bei Herzog/Pruns, Der digitale Nachlass, § 7 Rz. 16. 118 Vgl. zum folgenden Text Herzog/Pruns, Der digitale Nachlass, §§ 9, 10. 119 Hierauf weist Gloser, MittBayNot 2016, 12 zutreffend hin. Er verweist insoweit auch auf Rott/Rott, NWB-EV, 2013, 160, 167 und Steiner/Holzer, ZEV 2015, 262, 265.
132
Digitaler Nachlass und privates Datenmanagement
die für gewöhnlich bspw. unter dem Stichwort „Notfallakte“ zusammengefasst werden.120 a) Ordnung des digitalen Nachlasses Konkret sollte A zunächst die auf seinen Geräten und Speichermedien 89 gespeicherten Daten durchgehen und kategorisieren. Hilfreich können dabei bspw. die folgenden Fragen und Überlegungen sein: –
Welche Daten benötigt L im Notfall möglichst sofort? Wie kann A insbesondere sicherstellen, dass L für die Abwicklung der laufenden Projekte des A sorgen kann?
–
Es bietet sich dafür an, dass A einen oder mehrere Ordner auf seinem Desktop-PC anlegt, diesen regelmäßig aktualisiert, L darüber informiert und zudem sicherstellt, dass L auf das Gerät und den Ordner Zugriff hat (Passwörter!).
–
L muss auch wissen, an wen sie sich in welchen Angelegenheiten wenden kann und soll.
–
Welche Daten und Dateien sollte L nicht einsehen? Das dürften insbesondere die Fotos der S sein. Wenn A diese (noch) nicht löschen will, sollte er zumindest einen passwortgeschützten Ordner anlegen.
Die Liste lässt sich je nach Fall noch ausweiten. Zu denken ist auch 90 daran, dass ggf. statt der Erben ein Testamentsvollstrecker tätig werden soll. Das ändert aber zumindest auf dieser praktischen Ebene der Nachlassplanung nichts an den grundlegenden Überlegungen. Inhaltlich handelt es sich ersichtlich um uns bereits aus der analogen 91 Nachlassplanung bekannte Maßnahmen. Es dürfte in der Praxis bereits viel erreicht sein, wenn die Mandantschaft im Beratungsgespräch im Zusammenhang mit dem Thema „Notfallakte“ auch auf die digitalen Aspekte des Themas hingewiesen wird. b) Insbesondere E-Mail Wie wir bereits oben bei der Frage der Rechtsdurchsetzung gesehen ha- 92 ben, kann die berufliche Nutzung eines Dienstes dazu führen, dass die Erben ihre Rechte im Ausland durchsetzen müssen und auch deutsches Recht keine Anwendung findet. Der Erblasser sollte deshalb insbesondere dann, wenn er als Unternehmer oder Freiberufler tätig ist, darüber
120 Vgl. auch schon Steiner/Holzer, ZEV 2015, 262, 265: „Digitale Vorsorgemappe“.
133
Matthias Pruns
nachdenken, für berufliche Belange ausschließlich deutsche Dienstleister in Anspruch zu nehmen. 93 E-Mail-Konten sind zudem deshalb von zentraler Bedeutung für den digitalen Nachlass, weil für die Anmeldung bei anderen Dienstanbietern und die Nutzung anderer Dienste regelmäßig die Angabe einer E-Mail-Adresse notwendig ist. Das E-Mail-Konto ist deshalb häufig Dreh- und Angelpunkt der Internetaktivitäten. Insbesondere können andere Dienste regelmäßig über das angegebene E-Mail-Konto gesteuert und dort verwendete Passwörter zurückgesetzt werden. c) Der Umgang mit Zugangsdaten, insbesondere Passwörtern 94 Um seinen Erben oder auch dem von ihm bestimmten Testamentsvollstrecker außergerichtliche und gerichtliche Auseinandersetzungen mit den Dienstanbietern über die Zugangsgewährung zu ersparen, sollte der Erblasser festhalten, welche Dienste er (wofür) genutzt hat und wie die Zugangsdaten zu diesen Diensten lauten. Insbesondere die Passwörter muss der Erblasser hinterlassen. Das läuft zwar dem grundsätzlichen Gebot der Geheimhaltung und der ständigen Aktualisierung zuwider, ist aber im Interesse der vorausschauenden Nachlassplanung unerlässlich. 95 Welche Maßnahmen hier im Einzelnen ergriffen werden müssen, hängt ganz entscheidend auch vom Umfang der Onlineaktivitäten des Erblassers ab. Unerlässlich ist jedenfalls die Aufstellung einer Liste der Konten und Zugangsdaten, die ständig aktualisiert werden muss. Das kann analog oder auch digital erfolgen. Die Auflistung muss gesichert werden. Bei einer elektronischen Sicherung auf einem lokalen Datenträger sollte die entsprechende Datei verschlüsselt und mit einem Masterpasswort geschützt werden. Ferner ist die Nutzung eines Passwortmanagers in Betracht zu ziehen, wofür dann ebenfalls ein Masterpasswort erforderlich ist. Dieses Masterpasswort muss dem Erben zugänglich gemacht werden. Hierzu kann auch die Hinterlegung beim Notar genutzt werden.121 Die Aufnahme der Zugangsdaten in eine letztwillige Verfügung oder eine Vorsorgevollmacht scheidet aus, da so Dritte von den Zugangsdaten Kenntnis nehmen können.122
121 Dazu etwa Gloser, DNotZ 2015, 4, 11 ff. 122 Gloser, DNotZ 2015, 4, 9.
134
Digitaler Nachlass und privates Datenmanagement
d) Zwei-Faktoren-Authentifizierung und Mobiltelefon Bei der Ordnung der Dienste und Zugangsdaten nicht vergessen werden 96 dürfen solche Dienste, bei denen neben Eingabe der Zugangsdaten auch noch die Eingabe eines weiteren Codes gefordert wird. Solche Verfahren kennt man insbesondere vom Onlinebanking oder von elektronischen Zahlungsdiensten wie PayPal. Nicht selten wird für die Zusendung des weiteren Codes das Mobiltelefon verwendet. Der Erblasser muss deshalb auch sicherstellen, dass seine Erben auf sein Mobiltelefon zugreifen können, also insbesondere die entsprechende PIN hinterlegen. Der Zugang zum Mobiltelefon ist darüber hinaus auch deshalb für die Erben von zentraler Bedeutung, weil sie dort bspw. die Kontaktdaten wichtiger Kontaktpersonen des Erblassers finden. 2. Rechtliche Vorsorgemaßnahmen Die angestellten grundlegenden rechtlichen Überlegungen haben uns 97 verdeutlicht, dass der digitale Nachlass kein Sondervermögen oder eine ähnliche Besonderheit darstellt. Einer ausdrücklichen Ermächtigung der Erben oder eines Testamentsvollstreckers zur Regelung auch des digitalen Nachlasses bedarf es demnach eigentlich (s. aber sogleich im Text) nicht. Besonderer Erwähnung bedürfen nur Sonderfälle, etwa dann wenn zwei 98 Testamentsvollstrecker eingesetzt werden, von denen sich einer, etwa aufgrund besonderer Fachkenntnis, speziell um das digitale Vermögen kümmern soll. Für Vorsorgevollmachten kann jedenfalls dann nichts anderes gelten, wenn der Bevollmächtigte sich sowohl um die persönlichen als auch um die vermögensrechtlichen Angelegenheiten zu kümmern hat. Trotzdem wird man angesichts der bisher noch sehr „dünnen“ Recht- 99 sprechung, angesichts einiger in der Fachliteratur noch immer umstrittener Fragen und aufgrund der noch immer sehr unterschiedlichen Nutzungsbedingungen der Dienstanbieter empfehlen müssen, ausdrückliche Regelungen in letztwillige Verfügungen und Vorsorgevollmachten aufzunehmen.123 In Spezial-, General- oder Vorsorgevollmachten sollte etwa darauf hingewiesen werden, dass die Vollmacht insbesondere auch zur Regelung, 123 Ausführlich und mit Formulierungsbeispielen Herzog/Pruns, Der digitale Nachlass, § 10.
135
Matthias Pruns
Abwicklung und Nutzung des digitalen Vermögens und Lebensbereichs ermächtigt. Einzelne, ggf. besonders relevante Dienste sollten ausdrücklich benannt werden und auch die Erlaubnis zur Nutzung von Passwörtern sowie zur Geltendmachung der aus dem jeweiligen Nutzungsvertrag folgenden Rechte sollte ausdrücklich erteilt werden. Ferner sollte die Befreiung der Dienstanbieter von gegenüber dem Vollmachtgeber etwaig bestehenden Geheimhaltungspflichten, insbesondere nach dem TKG, ausdrücklich erklärt werden. Nicht anders sollte es bei der Anordnung der Testamentsvollstreckung gehandhabt werden, wobei ggf. auch klarzustellen ist, ob die Erben ebenfalls neben dem Testamentsvollstrecker Zugriff erhalten sollen oder gerade nicht. In letztwilligen Verfügungen sind Klarstellungen zu empfehlen, in denen der Erblasser deutlich macht, dass die Nachfolge seiner Erben auch in seine digitalen Hinterlassenschaften seinem ausdrücklichen Willen entspricht und sie zur Regelung aller entsprechenden Fragen befugt sind, bspw. zur Einsichtnahme in und Löschung von Benutzerkonten. Auch hier sollte er vorsichtshalber noch einmal erklären, dass die Dienstanbieter gegenüber seinen Erben an seine Daten und Geheimnisse schützende Bestimmungen nicht gebunden sind. Wenn man sich für die Aufnahme ausdrücklicher Regelungen entscheidet, so muss deutlich werden, dass es sich jeweils nur um Klarstellungen der rechtlichen Gegebenheiten handelt. Es bietet sich deshalb an, mit „insbesondere“-Formulierungen zu arbeiten. VI. Fazit 100 Der digitale Nachlass hat eine erhebliche praktische Bedeutung, die in Zukunft nur größer werden wird. Es handelt sich im rechtlichen Kern aber keineswegs um ein völlig neues Thema. Der digitale Nachlass zwingt uns aber dazu, viele bisher eher instinktiv getroffene Wertungen neu nachzuvollziehen. Geholfen hat uns dabei der Blick über den erbrechtlichen „Tellerrand“. Wir haben so zu praxistauglichen Antworten für die Frage nach der Beratung zum digitalen Nachlass gefunden. Der BGH hat mit seiner Facebook-Entscheidung diese Ansätze gestärkt und dogmatischen Irrwegen eine erfreulich deutliche Absage erteilt. Auch dem immer wieder laut gewordenen Ruf nach dem Gesetzgeber ist er zu Recht nicht gefolgt. Es ist nun Aufgabe der Berater, die Mandanten für die Fragen des digitalen Nachlasses zu sensibilisieren und sich in Fragen der praktischen Gestaltung für die in der Zukunft anstehenden Herausforderungen zu rüsten.
136
Verfassungsrecht und Digitalisierung Hans-Jürgen Papier* 1. Bedeutung der Grundrechte im Rechtsstaat 2. Herausforderungen des Rechtsstaats
4. Freiheit und Sicherheit 5. Verletzung von Schutzpflichten 6. Schlussbemerkung
3. Grundrechtliche Schutzpflichten
In den Mittelpunkt meiner heutigen Ausführungen möchte ich die Frage 1 stellen, welche Bedeutung und welche Durchsetzungskraft die Grundrechte in Deutschland und in der Europäischen Union in einer digitalen und globalisierten Gesellschaft überhaupt noch haben und künftig noch haben können.1 1. Bedeutung der Grundrechte im Rechtsstaat a) Der Rechtsstaat hat eine Doppelfunktion als Garant von Freiheit ei- 2 nerseits und von Sicherheit im engeren und elementarsten Sinn andererseits. Die Grundrechte unserer Verfassung weisen daher auch eine zweifache Schutzfunktion oder Schutzdimension auf. Sie sind traditionell und gemäß ihrer historischen Herkunft in erster Linie dazu bestimmt, die Freiheitssphäre des Einzelnen vor Eingriffen der öffentlichen Gewalt zu sichern. Die zweite Funktion der Grundrechte besteht darin, dass sie als objektive Prinzipien und Wertentscheidungen staatliche Schutzpflichten begründen und dadurch ihre prinzipielle Geltungskraft für Staat und Gesellschaft verstärken. Wir stehen heute vor der Erkenntnis, dass in der digitalen, globalisier- 3 ten Gesellschaft den grundrechtlich verbürgten Freiheiten des Einzelnen nicht allein und teilweise sogar nicht einmal in erster Linie Beeinträchtigungen von Seiten der „eigenen“ staatlichen Gewalt, sondern einerseits von Organen und Einrichtungen fremder Staaten, andererseits aber vor allem durch private, nicht selten aus dem Ausland und global operieren* 1
Prof. Dr. Dres. h.c. Hans-Jürgen Papier. Die Vortragsform ist beibehalten worden, so dass von einem Anmerkungsapparat abgesehen worden ist. Siehe im Übrigen Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, 3025 ff.
137
Hans-Jürgen Papier
de Unternehmen, etwa als Anbieter digitaler Dienste, drohen. Sie sind es vor allem, die von ihren Nutzern private Daten in bisher ungeahnter Größenordnung erheben, speichern, auswerten und in einer für den Einzelnen kaum noch erkennbaren Weise verwenden und vermarkten. 4 b) Anders als frühere deutsche Verfassungen stellt das Grundgesetz die Grundrechte als einklagbare Freiheits- und Abwehrrechte des Einzelnen gegen den Staat in den Mittelpunkt der rechtsstaatlichen Ordnung. Nach Art. 1 Abs. 3 GG gelten die Grundrechte als unmittelbar geltendes Recht für alle staatlichen Gewalten, einschließlich der gesetzgebenden Gewalt. Die Grundrechte sind mithin einklagbare subjektive Individualrechte, keine bloßen Programmsätze, keine staatlichen Verheißungen oder Staatszielbestimmungen, die nur kraft einfachgesetzlicher Ausgestaltung normative Wirkung entfalten könnten. Auch auf der Ebene der Union existiert inzwischen ein Katalog verbindlicher Grundrechte in Gestalt der „Charta der Grundrechte der Europäischen Union“ (Art. 6 Abs. 1 EUV). Die Grundrechte des Grundgesetzes binden unmittelbar die deutsche öffentliche Gewalt; die EU-Grundrechte nach Art. 51 Abs. 1 der EU-Grundrechtecharta die Organe der Union, aber auch die Mitgliedstaaten bei der Durchführung des Unionsrechts. 5 c) Der moderne Verfassungsstaat ist aus einem nicht reibungslos verlaufenden Wandel des absolutistischen Staates zum Rechtsstaat hervorgegangen. Sicherheit als Legitimationsprinzip des Staates hatte einst Thomas Hobbes für den absoluten Staat des 17. Jahrhunderts entworfen. So hatte sich der Staat der Neuzeit ursprünglich als Macht- und Friedenseinheit entwickelt, mit einem strikten Gewaltmonopol des Staates und mit der absoluten Friedenspflicht seiner Bürger. Der Staat begegnete auf diese Weise der Furcht vor wechselseitiger Gewalttätigkeit, vor Bürgerkrieg oder vor äußeren Angriffen, er befriedete das elementare Sicherheitsbedürfnis der Menschen gegenüber der Gewalt der Mitmenschen und gegenüber äußeren Einwirkungen. 6 Der moderne Verfassungsstaat gründet auf einer eindrucksvollen Fortentwicklung dieser Sicherungszwecke des Staates. Es geht nunmehr auch um das Bedürfnis des Einzelnen nach Sicherheit gegenüber staatlichen Eingriffen, also um die Gewährleistung der Menschen- und Bürgerrechte als Freiheitsrechte gegen den Staat. Denn dieser war von der staatlichen Schutzmacht zur Unterdrückungsmacht geworden. Nicht der absolute Staat, der „Leviathan“, vielmehr der rechtsgebundene und machtbegrenzte Staat sichert den inneren und äußeren Frieden und damit die Sicherheit der Bürger. Der effektive Schutz der Grundrechte gehört zum Wesenskern oder Identitätsmerkmal der Rechtsstaatlichkeit des Grundgesetzes und des Primärrechts der Europäischen Union. Drohen insoweit 138
Verfassungsrecht und Digitalisierung
Erosionserscheinungen im Hinblick auf die Rechtsstaatlichkeit und die Grundrechtsgewährleistungen? 2. Herausforderungen des Rechtsstaats a) Nach den furchtbaren terroristischen Anschlägen und den darauf re- 7 agierenden gesetzgeberischen und administrativen Aktivitäten wird immer häufiger die Frage gestellt, ob der „Leviathan“ eines Tages zurückkehren wird, ob also die bürgerlichen Freiheiten vor dem Staat selbst ins Hintertreffen zu geraten drohen. Die Geschichte zeigt, dass gewonnene Standards jederzeit wieder verloren gehen können und dass gerade die Sicherung des Überlebens und die Möglichkeit einer selbstbestimmten Lebensführung ebenso wenig selbstverständlich sind wie die Erhaltung grundrechtlicher Standards der Menschen gegenüber dem Staat. b) Aber den grundrechtlich verbürgten Freiheiten des Einzelnen drohen 8 – wie schon eingangs gesagt – in der digitalen und globalisierten Welt Beeinträchtigungen nicht allein von Seiten der Träger der eigenen staatlichen Gewalten, sondern von Organen und Einrichtungen fremder Staaten, ich denke hier vor allem an die NSA-Vorkommnisse, aber vor allem auch durch private, nicht selten im Ausland ansässige, global operierende Unternehmen, etwa als Anbieter digitaler Dienste. Wie sieht es angesichts dieser Entwicklung der digitalen Gesellschaft aus um die Geltungskraft vor allem des Grundrechts auf Schutz der Persönlichkeit (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG), insbesondere in seiner speziellen Ausprägung des Schutzes der informationellen Selbstbestimmung und der Vertraulichkeit und Integrität informationstechnischer Systeme, aber auch des Grundrechts auf Schutz des Telekommunikationsgeheimnisses nach Art. 10 GG sowie des Grundrechts der Meinungsfreiheit gemäß Art. 5 Abs. 1 GG? Schon in diesem Zusammenhang möchte ich an die im Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 formulierten Worte erinnern: „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffenden Informationen in bestimmten Bereichen seiner Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen und zu entscheiden“. Das Bundesverfassungsgericht hatte schon damals eine unbedingt abzuwendende Gefahr für eine freiheitliche Verfassungs- und Gesellschaftsordnung gesehen, wenn unverhältnismäßige Eingriffe in das Grundrecht auf Schutz der Persönlichkeit drohen. Aber auch spätere Entscheidungen zum Schutz der individuellen Persönlichkeit und zum Schutz des Telekommunikationsgeheimnisses liegen auf dieser Linie. 139
Hans-Jürgen Papier
9 Immer mehr drängt sich heute die Frage auf, ob wir unabwendbar und unausweichlich in einen solchen freiheitsbedrohenden Zustand geraten oder ob es auch für eine digitale und globalisierte Gesellschaft rechtliche und reale Möglichkeiten gibt, diese fatale Entwicklung zu stoppen – eine Entwicklung, die durch den internationalen Terrorismus und die unbestreitbare Notwendigkeit seiner Bekämpfung noch beschleunigt wird. 3. Grundrechtliche Schutzpflichten 10 a) Anders als die Grundrechte in ihrer Funktion als subjektive Abwehrrechte sind die sich aus dem objektiven Gehalt der Grundrechte ergebenden staatlichen Schutzpflichten relativ unbestimmt. Wie die staatlichen Organe solchen Schutzpflichten nachkommen, ist von ihnen prinzipiell in eigener Verantwortung zu entscheiden. Die Wahl kann aber immer nur auf solche Mittel fallen, deren Einsatz im Einklang mit der Verfassung steht. 11 Aus den Grundrechten folgende Schutzpflichten begründen keine unmittelbaren Handlungsansprüche der durch Dritte beeinträchtigten Personen. Während die grundrechtlichen Abwehrrechte gegen den Staat unmittelbar aufgrund Verfassungsrechts bestehen (Art. 1 Abs. 3 GG), sind grundrechtliche Schutzpflichten in erster Linie ein zielorientiertes Handlungsprogramm für den Gesetzgeber. Schon wegen des rechtsstaatlichen Vorbehalts des Gesetzes dürfen Verwaltung und Rechtsprechung nur aufgrund gesetzlicher Ermächtigungen in Grundrechte eingreifen, auch wenn diese Eingriffe dem Schutz von Grundrechten Anderer dienen. 12 b) Bei der Wahl der Mittel zur Erfüllung seiner Schutzpflichten ist der Staat auf diejenigen Mittel beschränkt, deren Einsatz mit der Verfassung in Einklang stehen. Der staatliche Eingriff in den absolut geschützten Achtungsanspruch des Einzelnen auf Wahrung seiner Würde ist ungeachtet des Gewichts der betroffenen Verfassungsgüter, um deren Schutz es geht, stets verboten. Aber auch im Rahmen der Abwägung nach Maßgabe des Grundsatzes der Verhältnismäßigkeit dürfen staatliche Schutzpflichten nicht dazu führen, dass das Verbot unangemessener Grundrechtseingriffe unter Berufung auf grundrechtliche Schutzpflichten und deren Erfüllung leerläuft. 13 Es gibt also für den grundrechtsbeschränkenden Staat – auch soweit er Schutzpflichten erfüllen will – im Wesentlichen zwei verfassungsrechtliche Schranken: Die eine – engere – folgt aus der Menschenwürdegarantie, sie gilt absolut und ist abwägungsfest; die andere – weitere – folgt
140
Verfassungsrecht und Digitalisierung
aus dem Verhältnismäßigkeitsgrundsatz, sie unterliegt einer Abwägung und wirkt daher relativ. Es gibt mithin unter dem Grundgesetz einen Kernbestand unveräußerlicher Rechte, der absoluten Schutz genießt und auch für den verfassungsändernden Gesetzgeber nicht zur – abwägenden – Disposition steht. Von zentraler Bedeutung ist hier insbesondere die Achtung der Menschenwürde, die sich als unverbrüchlicher Kernbestand privater Lebensgestaltung auch in den meisten Einzelgrundrechten wiederfindet und von der Rechtsprechung des Bundesverfassungsgerichts in Fallgruppen konkretisiert worden ist. So führt etwa der Menschenwürdegehalt der Grundrechte, die das Recht auf Privatheit und freie Entfaltung der Persönlichkeit, das Telekommunikationsgeheimnis oder die Unverletzlichkeit der Wohnung schützen, zu einem absoluten, also auch nicht mit hochrangigen Ermittlungsinteressen abwägbaren Überwachungs- und Erhebungsverbot im sogenannten Kernbereich privater Lebensgestaltung. 4. Freiheit und Sicherheit a) „In dem Spannungsverhältnis zwischen der Pflicht des Staates“ zum 14 Schutz grundrechtlich gewährleisteter Rechtsgüter und dem „Interesse des Einzelnen an der Wahrung seiner von der Verfassung verbürgten Freiheitsrechte gehört es zur Aufgabe des Gesetzgebers, in abstrakter Weise einen Ausgleich der widerstreitenden Interessen zu erreichen“. Das kann dazu führen, dass bestimmte intensive Grundrechtseingriffe nur zum Schutz bestimmter hochrangiger Rechtsgüter und erst von bestimmten Verdachts- oder Gefahrenstufen an vorgesehen werden dürfen. In dem Verbot unangemessener Grundrechtseingriffe finden auch die Pflichten des Staates zum Schutz der Grundrechte Anderer und ihrer Rechtsgüter ihre Grenzen. Entsprechende Eingriffsschwellen sind durch die gesetzlichen Regelungen zu normieren. b) Der Ausgleich zwischen Sicherheit und Freiheit ist von der Verfassung 15 nicht im Detail vorgegeben, sondern in der parlamentarischen Demokratie vor allem Aufgabe des Gesetzgebers. Dabei hat der Gesetzgeber zwei Grenzen zu beachten: Einerseits ist er verpflichtet, ein hinreichendes Maß an Schutz für die Grundrechte gegen nicht-staatliche Beeinträchtigungen zu gewährleisten. Die Schutzpflicht führt also zu einem sogenannten Untermaßverbot. Andererseits findet die Pflicht des Staates zum Schutz von Grundrechten der Einen ihre Grenzen in dem Verbot unangemessener Grundrechtseingriffe gegenüber Anderen. Den Freiheitsrechten als Abwehrrechte ist also ein Übermaßverbot immanent. Der Abwägungsspielraum des Staates findet seine Grenzen einerseits im
141
Hans-Jürgen Papier
Übermaßverbot, das den Freiheitsrechten zugute kommt und andererseits im Untermaßverbot, das der Wahrung der Schutzpflichten dient. 16 c) Die Wahrnehmung der Freiheitsrechte der Bürger darf nicht total erfasst und registriert werden. Dieses Verbot gehört zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland, das die staatlichen Organe nicht nur unmittelbar bindet, sondern auf deren Wahrung sich Deutschland auch in europäischen und internationalen Zusammenhängen einsetzen muss. Eine vom Staat vorgenommene oder durch staatliche Gesetzgebung veranlasste Sammlung von personenbezogenen Daten auf Vorrat zu unbestimmten oder (noch) nicht hinreichend bestimmten Zwecken ist verfassungsrechtlich strikt verboten. Daher verstößt eine flächendeckende, weitgehend voraussetzungslose, vorsorglich anlasslose Speicherung aller Telekommunikationsverkehrsdaten, die für die Strafverfolgung oder die Gefahrenprävention nützlich sein könnten, gegen Verfassungsrecht. 17 Allerdings hatte das Bundesverfassungsgericht es für verfassungsrechtlich möglich erachtet, dass eine zeitlich eng befristete anlasslose Speicherung der Telekommunikationsverkehrsdaten für besonders qualifizierte Verwendungen im Rahmen der Strafverfolgung und der Gefahrenabwehr in einer den verfassungsrechtlichen Verhältnismäßigkeitsanforderungen genügenden Weise gesetzlich ausgestaltet werden kann. Eine solche Speicherung der Telekommunikationsverkehrsdaten kann nämlich dann noch als verhältnismäßig angesehen werden, wenn der Gesetzgeber einen besonders hohen Standard der Datensicherheit gewährleistet. Außerdem darf die Verwendung der Daten ausschließlich für überragend wichtige Aufgaben des Rechtsgüterschutzes erfolgen. Es darf insoweit allein um die Ahndung von Straftaten gehen, die überragend wichtige Rechtsgüter bedrohen und um die Abwehr von Gefahren für solche Rechtsgüter. Eine vorsorglich anlasslose Speicherung von Telekommunikationsverkehrsdaten und deren Verwendung ist überdies nur dann mit dem Grundsatz der Verhältnismäßigkeit vereinbar, wenn der Gesetzgeber hinreichende Vorkehrungen zur Datensicherheit, der Datenverwendung, der Transparenz und zur Gewährleistung eines effektiven Rechtsschutzes sowie wirksame Sanktionen bei Verletzungshandlungen vorsieht. 18 Auch der Europäische Gerichtshof hat in zwei Entscheidungen vom 8. April 2014 und vom 21. Dezember 2016 die anlasslose, unbeschränkte und undifferenzierte Speicherung von Verkehrs- und Standortdaten für unionsrechtswidrig erklärt. Diese stellte einen Eingriff in das Recht auf Achtung des Privatlebens (Art. 7 EU-Grundrechtecharta) und des Rechts auf Schutz personenbezogener Daten (Art. 8 EU-Grundrechte142
Verfassungsrecht und Digitalisierung
charta) dar. An die Verhältnismäßigkeit stellt der EuGH strenge Anforderungen, die teilweise über die des Bundesverfassungsgerichts noch hinausgehen: Eine pauschale Speicherung von Daten sämtlicher Nutzer sei unzulässig, es müsse ein nach objektiven Anhaltspunkten zu bestimmender Zusammenhang zwischen den zu speichernden Daten und einer Bedrohung der öffentlichen Sicherheit vorliegen. Die Speicherung von Daten müsse überdies geografisch begrenzt und hinsichtlich der Kategorien der zu speichernden Daten, der erfassten elektronischen Telekommunikationsmittel, der betroffenen Personen und der vorgesehenen Dauer der Vorratsdatenspeicherung auf das absolut notwendige beschränkt sein. d) In seinem Urteil vom 27. Februar 2008 hatte das Bundesverfassungs- 19 gericht aus dem allgemeinen Persönlichkeitsrecht das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme abgeleitet. Auch Eingriffe in dieses Grundrecht, etwa durch heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems überwacht und seine Speichermedien ausgelesen werden können, haben einen unantastbaren Kernbereich privater Lebensgestaltung zu achten, was aus der absoluten Schutzpflicht des Art. 1 Abs. 1 GG folgt. Selbst überragende Interessen der Allgemeinheit können einen Eingriff in diesen Menschenwürdekern nicht rechtfertigen. Aber auch außerhalb eines – engen – Schutzes der Menschwürde und des Menschenwürdekerns stehen die Freiheitsrechte nicht zur unbeschränkten staatlichen Disposition. So kann der schwerwiegende Eingriff in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme durch die heimliche Infiltration nur gerechtfertigt sein, wenn „tatsächliche Anhaltspunkte einer konkreten Gefahr für ein überragend wichtiges Rechtsgut“ vorliegen, auch wenn sich nicht mit hinreichender Wahrscheinlichkeit feststellen lässt, dass die Gefahr in naher Zukunft eintritt. Überragend wichtig sind Leib, Leben und Freiheit der Person. Ferner sind überragend wichtig solche Rechtsgüter der Allgemeinheit, deren Bedrohung die Grundlage und den Bestand des Staates oder die Grundlagen der Existenz der Menschen berührt. Zum Schutz sonstiger Rechtsgüter Einzelner oder der Allgemeinheit in Situationen, in denen eine existentielle Bedrohungslage nicht besteht, ist eine staatliche Maßnahme grundsätzlich nicht angemessen, durch die die Persönlichkeit des Betroffenen einer weitgehenden Ausspähung durch die Ermittlungsbehörde preisgegeben wird. Zum Schutz derartiger Rechtsgüter hat sich der Staat auf andere Ermittlungsbefugnisse zu beschränken, die ihm die jeweiligen Fachgesetze einräumen.
143
Hans-Jürgen Papier
5. Verletzung von Schutzpflichten 20 a) Die Grundrechte des Grundgesetzes verpflichten den Staat – wie gesagt – nicht nur dazu, sich selbst grundrechtsverletzender Eingriffe zu enthalten, sondern auch einen angemessenen Schutz vor Beeinträchtigungen durch Dritte, seien es dritte Staaten, seien es private Unternehmen, zu begründen und durchzusetzen sowie sich auf internationaler und unionsrechtlicher Ebene für ein solches effizientes Schutzregime einzusetzen. Aus den Grundrechten folgt mithin eine Schutzpflicht des Staates für das jeweils grundrechtlich geschützte Rechtsgut, deren Nichterfüllung oder erhebliche Vernachlässigung von den Betroffenen unter bestimmten Voraussetzungen mit der Verfassungsbeschwerde geltend gemacht werden kann. Das Bundesverfassungsgericht wird allerdings eine Verletzung von grundrechtlichen Schutzpflichten aufgrund einer Verfassungsbeschwerde Betroffener erst dann feststellen und sanktionieren können, „wenn Schutzvorkehrungen entweder überhaupt nicht getroffen sind, wenn die getroffenen Regelungen und Maßnahmen offensichtlich ungeeignet oder völlig unzulänglich sind, das gebotene Schutzziel zu erreichen, oder wenn sie erheblich hinter dem Schutzziel zurückbleiben“. Bei Grundrechtsbeeinträchtigungen und Grundrechtsgefährdungen durch Tätigkeiten dritter Staaten sowie global operierender und digitale Dienste anbietender privater Unternehmen können die Grundrechte als justiziable und unmittelbar geltende Abwehrrechte des Einzelnen offensichtlich nicht zur Anwendung gelangen. Hier gewinnt aber die objektiv-rechtliche Funktion der Grundrechte als verfassungsrechtliche Wertentscheidung und damit als Grundlage staatlicher Schutzpflichten eine zunehmende Bedeutung. 21 b) Gefordert ist aber in erster Linie der staatliche Gesetzgeber. Er kann sich in Ansehung der Schutzpflichterfüllung zurücknehmen, wenn und soweit die unionsrechtliche Gesetzgebung, wie etwa im Datenschutz durch die Datenschutz-Grundverordnung, sich dieser Aufgabe in hinreichendem Maße annimmt. Man wird davon auszugehen haben, dass auch dem Unionsgesetzgeber dem nationalen Verfassungsrecht vergleichbare Schutzpflichten obliegen, die im vorliegenden Zusammenhang aus Art. 7 der Grundrechtecharta (Achtung des Privatlebens, der Wohnung und der Kommunikation) und aus Art. 8 der Grundrechtecharta (Schutz personenbezogener Daten) folgen. Vor dem Hintergrund der Digitalisierung und Globalisierung ist es besonders wichtig, dass die Datenschutz-Grundverordnung der EU ihre normativen Anforderungen an die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten auch auf alle Unternehmen erstreckt, die zwar ihren Sitz oder ihre Nieder-
144
Verfassungsrecht und Digitalisierung
lassung außerhalb der Europäischen Union haben, die aber in der Union Waren oder Dienstleistungen anbieten (Art. 3 DSGVO). Fraglich bleibt indes, ob der EU-Gesetzgeber in der Sache für einen hin- 22 reichenden Grundrechtsschutz der Nutzer Sorge getragen hat, insbesondere ob das vorgesehene Einwilligungserfordernis (Art. 6 Abs. 1 lit. a) DSGVO) im Hinblick auf die schwerwiegenden Durchbrechungen der Vertragsparitäten im Verhältnis von Nutzern und Anbietern und das Ausmaß denkbarer Datenverarbeitungen und Datennutzungen beim Anbieter einem grundrechtlichen Untermaßverbot noch entspricht. Ich habe große Zweifel, ob dies ein effektives Schutzkonzept des Gesetzgebers darstellt. In meinen Augen stellt sich die viel grundsätzlichere Frage, ob das gesamte Geschäftsmodell der modernen Digitalkonzerne bei Beachtung der grundrechtlichen Schutzpflichten überhaupt noch hingenommen werden kann. Zweifelhaft ist ferner, ob hinreichend anspruchsvolle und normenklare Regelungen hinsichtlich der Datensicherheit getroffen worden sind. Dies ist jedenfalls nach der Rechtsprechung des Bundesverfassungsgerichts ein zentrales, aus dem Verhältnismäßigkeitsgrundsatz abgeleitetes Erfordernis einer umfassenden Datenspeicherung privater Unternehmen. Während das Bundesverfassungsgericht in diesen Fällen ein „besonders hohes Maß an Sicherheit“ verlangt, ist nach Art. 32 Abs. 1 DSGVO nur ein „dem Risiko angemessenes Schutzniveau“ zu gewährleisten. c) Die Schutzpflichten aus den hier einschlägigen Grundrechten, also 23 den Grundrechten aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG sowie aus Art. 10 GG, begründen eine daseinsvorsorgende Staatsaufgabe und sollten eine staatliche Verpflichtung zur Gewährleistung von nicht nur technisch funktionsfähigen, sondern auch grundrechtsschützenden, grundrechtswahrenden und grundrechtssichernden informationstechnischen Infrastrukturen zur Folge haben, vergleichbar der Gewährleistungsverantwortung für eine flächendeckende, angemessene und ausreichende Telekommunikation nach Art. 87f Abs. 1 GG. Eine ausdrückliche Verankerung einer solchen Gewährleistungsverantwortung des Staates im Grundgesetz wäre meines Erachtens zu empfehlen. d) Lassen Sie mich zum Abschluss meiner Ausführungen noch auf das 24 Netzwerkdurchsetzungsgesetz zu sprechen kommen. Nach diesem Gesetz sind Anbieter sozialer Netzwerke verpflichtet, ein wirksames und transparentes Verfahren bei Beschwerden gegen rechtswidrige Inhalte vorzuhalten. Bei offensichtlich rechtswidrigen Inhalten muss der Anbieter für eine Entfernung innerhalb von 24 Stunden, bei allen übrigen rechtswidrigen Inhalten innerhalb von 7 Tagen Sorge tragen. Bei Verletzung dieser Pflicht drohen hohe Geldbußen. Daher ist die Befürch145
Hans-Jürgen Papier
tung nicht von der Hand zu weisen, dass Anbieter – auch unter Berücksichtigung der Kürze der Zeit – geneigt sein werden, bei Beschwerden vorsichtshalber die Entfernung vorzunehmen, selbst wenn objektiv die Annahme der Rechtswidrigkeit zweifelhaft ist, die Meinungsfreiheit also auch dann zurücktreten lassen, wenn objektiv die Grenzen dieses Grundrechts (Art. 5 Abs. 2 GG) gar nicht überschritten sind. 25 In diesem Zusammenhang ist zu berücksichtigen, dass bei der Ermittlung der Schranken der Meinungsfreiheit nach der Rechtsprechung des Bundesverfassungsgerichts und seiner sogenannten Wechselwirkungslehre äußerst strenge Maßstäbe gelten. Sie können im Allgemeinen nur aufgrund einer auf den jeweiligen Einzelfall bezogenen und der grundlegenden wertsetzenden Bedeutung des Art. 5 Abs. 1 GG Rechnung tragenden Interessenabwägung bestimmt werden. Es wäre – wie gesagt – nicht verwunderlich, wenn sich die privaten Anbieter vorsorglich und im Zweifel für eine Löschung entscheiden. Damit stellt sich schon die Frage, ob der Gesetzgeber des Netzwerkdurchsetzungsgesetzes die objektive verfassungsrechtliche Wertentscheidung zugunsten der Meinungsfreiheit im Art. 5 Abs. 1 GG hinreichend berücksichtigt hat. Ich darf in diesem Zusammenhang aus einem Kommentar von Georg Mascolo in der Süddeutschen Zeitung zitieren: „Die privaten Kontrolleure der digitalen Weltforen agieren nicht nach staatlichem Recht, sondern nach eigenen Standards, eine „Privatpolizei“ wacht nun ausgerechnet auch über eines der kostbarsten Güter der Menschheit, die Rede- und Meinungsfreiheit“. Es stellt sich im Übrigen auch die Frage, ob hier das Rechtsprechungsmonopol des Staates nicht tangiert ist, wenn private Unternehmen mit einer quasi-monopolartigen Stellung und deren Beauftragte vielfach jedenfalls faktisch endgültig über die Rechtmäßigkeit von Meinungsäußerungen entscheiden. Dies geschieht auf der Grundlage sogenannter Community Standards durch oftmals schlecht bezahlte Mitarbeiter externer Dienstleister. 26 In jedem Fall ist eine gesetzliche Verbesserung des Persönlichkeitsrechtsschutzes im Internet nicht nur zu empfehlen, sie ist vielmehr auch eine verfassungsrechtliche Verpflichtung aufgrund der oben dargestellten Schutzpflichtdimension des in Rede stehenden Grundrechts. Aber auch das hohe verfassungsrechtliche Schutzgut der Meinungsfreiheit muss dabei eine hinreichende Beachtung und Durchsetzbarkeit erfahren. Das setzt in meinen Augen entweder voraus, dass das staatliche Recht die Grenzen von Meinungsfreiheit einerseits und Persönlichkeitsrechtsschutz andererseits speziell für den Bereich des Internets in abstrakter Weise selbst vornimmt und stärker präzisiert. Als Alternative bietet sich ein Verfahren analog zur Regelung des Art. 40 DSGVO an. Die Mitglied-
146
Verfassungsrecht und Digitalisierung
staaten fördern die Ausarbeitung von Verhaltensregeln der Unternehmen oder ihrer Verbände. Die Verhaltensregeln bedürfen der staatlichen Genehmigung und der staatlich bewirkten Veröffentlichung. Auch die Möglichkeiten und Zugänglichkeiten zu staatlichem Rechtsschutz müssten bereichsspezifisch gesetzlich geregelt und verbessert werden. 6. Schlussbemerkung „Demokratie ist gewiss ein preisenswertes Gut, Rechtsstaat aber ist wie 27 das tägliche Brot, wie Wasser zum Trinken und wie Luft zum Atmen, und das Beste an der Demokratie gerade dieses, dass nur sie geeignet ist, den Rechtsstaat zu sichern“. Diese etwas pathetisch klingenden Worte stammen aus dem Jahre 1946. Niedergeschrieben wurden sie von dem bekannten Rechtsphilosophen Gustav Radbruch am Schluss seines berühmten Aufsatzes „Gesetzliches Unrecht und übergesetzliches Recht“. Und zwar – um hier die Bayerische Verfassung aus ihrer Präambel zu zitieren – „angesichts des Trümmerfeldes“, das die Terrorherrschaft und der Militarismus des Nationalsozialismus Deutschland hinterlassen hatten. Vor vergleichbaren Bedrohungen der Rechtsstaatlichkeit stehen wir heute mit Sicherheit nicht. Gleichwohl kann man nicht verkennen, dass auch in Deutschland und der Europäischen Union gewisse Erosionserscheinungen im Hinblick auf die Rechtsstaatlichkeit zu beobachten sind. Es ist auf jeden Fall Sorge zu tragen, dass der Menschenwürdeschutz und die Freiheitsverbürgungen auch im digitalen Zeitalter nicht ihre verfassungsrechtliche Dignität, Geltungs- und Durchsetzungskraft verlieren und sich letztlich nur noch nach Maßgabe eines unterverfassungsrechtlichen Normenwerks der nationalen und europäischen Gesetzgebung, also allein nach den Maßstäben des politisch, ökonomisch und technisch Zweckmäßigen und Durchsetzbaren, behaupten können. Die Grundrechtsgewährleistungen erlangten – nicht zuletzt durch die 28 Rechtsprechung des Bundesverfassungsgerichts – in diesem Land eine bedeutende Entfaltung, sie wurden zur unübersehbaren Realität in Staat und Gesellschaft. Normativität und Justiziabilität der Grundrechte ersetzten damit historisch gewohnte Programmhaftigkeit und verfassungslyrische Verheißungen im Hinblick auf Grund- und Menschenrechte. Die unaufhaltsamen Entwicklungen in der digitalen und globalisierten Lebenswirklichkeit, verbunden mit einer bedrohlichen Zunahme des Terrorismus, erfordern notfalls Anpassungen und rechtsfortbildende Konkretisierungen der Grundrechtsdogmatik und ihre praktische Umsetzung. Diese müssen aber trotz aller Herausforderungen vorrangig die Wahrung und Stärkung des freiheitlichen Rechtsstaates, nicht aber seine Schwächung und seinen Rückbau zum Ziel oder zur Folge haben. 147
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz Frank Hartmann/Matthias Prinz* I. Einleitung II. 1. 2. 3.
Technische Grundlagen Einordnung Training des KNN Ausprägungen des Maschinellen Lernens bei KNNs 4. Der Software-Entwicklungsprozess
III. Urheberrechtlicher Schutz 1. Framework-Programmierung 2. Topologie des Netzes a) Schutz im Gesamtprogramm b) Schutz der Topologie per se aa) Rechtlicher oder technischer Begriff des Computerprogramms? bb) Definitionsversuch cc) Idee der Topologie dd) Weitere Schutzvoraussetzungen gem. § 69a Abs. 3 UrhG
ee) Alternativer Schutz nach § 2 I Nr. 7 UrhG 3. Trainiertes Netz a) Als Computerprogramm nach § 69a UrhG aa) Divergenz der Ausdrucksformen bb) Programmidentität cc) Eigene geistige Schöpfung dd) Eigene geistige Schöpfung ee) Miturheberschaft/Bearbeitung b) Datenbankwerk oder Datenbank IV. Patentrechtlicher Schutz V. Fazit VI. Aktueller Diskussionsstand
Literaturübersicht: Antoine, Lucie: Entwurfsmaterial im Schutzsystem der Software-Richtlinie, CR 2019, 1 – 8; Benkard, Georg: Patentgesetz, Kommentar, 11. Auflage, C.H. Beck 2015; Böcker, Lina Barbara: Computerprogramme zwischen Werk und Erfindung, Nomos, Baden-Baden 2009; Borges, Georg: Rechtli-
*
Frank Hartmann/Rechtsanwalt Matthias Prinz, Technische Universität Darmstadt, Fachbereich Zivilrecht, Gewerblicher Rechtsschutz und Urheberrecht sowie Recht der Informationsgesellschaft (Prof. Dr. Jochen Marly), [email protected]/[email protected]. Anmerkung: Der folgende Aufsatz wurde von den Autoren zur DSRI Herbstakademie 2018 angemeldet und im entsprechenden Tagungsband sowie der WRP 2018, 1431 ff. bereits veröffentlicht. Inhaltlich ist er bewusst unverändert. Einzig ergänzt wurde eine Darstellung der Diskussion der Thematik in der Literatur seit der Erstveröffentlichung am Ende.
149
Frank Hartmann/Matthias Prinz che Rahmenbedingungen für autonome Systeme, NJW 2018, 977 – 982; Dreier, Thomas/Schulze, Gernot: Urheberrechtsgesetz (UrhG), Kommentar, 5. Auflage, C.H. Beck 2015; Ehinger, Patrick/Stiemerling, Oliver: Die urheberrechtliche Schutzfähigkeit von Künstlicher Intelligenz am Beispiel von Neuronalen Netzen, CR 2018, 761 – 769; Hetmank, Sven/Lauber-Rönsberg, Anne: Künstliche Intelligenz – Herausforderungen für das Immaterialgüterrecht, GRUR 2018, 574 – 582; Hornik, Kurt: Multilayer Feedforward Networks are Universal Approximators, Neural Networks Vol. 2, 1989, S. 359 – 366; Koch, Frank: Begründung und Grenzen des urheberrechtlichen Schutzes objektorientierter Software, GRUR 2010, 191 – 202; Lauber-Rönsberg, Anne: Autonome „Schöpfung“ – Urheberschaft und Schutzfähigkeit, GRUR 2019, 244 – 248; Lederer, Thomas: Patentierung im Bereich Künstlicher Intelligenz, GRUR-Prax, 2019, 152 – 154; Lesshaft, Karl/Ulmer, Detlef: Urheberrechtliche Schutzwürdigkeit und tatsächliche Schutzfähigkeit von Software, CR 1993, 607 – 615; Loewenheim, Ulrich/Leistner, Matthias/Ohly, Ansgar (Hrsg.): Urheberrecht, Kommentar, 5. Auflage, C.H. Beck 2017 [zit.: Schricker/ Loewenheim]; Marly, Jochen: Praxishandbuch Softwarerecht, 7. Auflage, C.H. Beck 2018; Marly, Jochen: Der Schutzgegenstand des urheberrechtlichen Softwareschutzes, GRUR 2012, 773 – 779; Marly, Jochen: Urheberrechtsschutz für Computersoftware in der Europäischen Union, C.H. Beck 1995; Ménière, Yann/Pihlajamaa, Heli: Künstliche Intelligenz in der Praxis des EPA, GRUR 2019, 332 – 336; Nägerl, Joel/ Neuburger, Benedikt/Steinbach, Frank: Künstliche Intelligenz: Paradigmenwechsel im Patentsystem, GRUR 2019, 336 – 341; Ohst, Claudia: Computerprogramm und Datenbank. Definition und Abgrenzung im Urheberrecht, Peter Lang, 2003; Ory, Stefan/Sorge, Christoph: Schöpfung durch Künstliche Intelligenz?, NJW 2019, 710 – 712; Papastefanou, Stefan: Genetic Breeding Algorithms als Form des „Machine Learning“ im Urheber- und Patentrecht, CR 2019, 209 – 215; Reagan, Brandon/Adolf, Robert/Whatmough, Paul/Wei, Gu-Yeon/Brooks, David: Deep learning for computer architects, Morgan & Claypool, 2017; Rektorschek, Jan Phillip: Industrie 4.0 und künstliche Intelligenz, Mitt 2017, 438 – 443; Silver, David/et al.: Mastering the game of Go without human knowledge, Nature Vol. 550, 2017, 354 – 359; Söbbing, Thomas: Deep Learning: Wenn künstliche Intelligenz lernt – kann das durchaus rechtliche Relevanz haben, K&R 2019, 164 – 169; Spindler, Gerald/ Schuster, Fabian: Recht der Elektronischen Medien, Kommentar, 3. Auflage, C.H. Beck 2015; Spindler, Gerald: Grenzen des Softwareschutzes, CR 2012, 417 – 422.
I. Einleitung 1 Der Einsatz Künstlicher Intelligenz (KI) gewinnt fraglos sowohl in Unternehmen wie auch im privaten Bereich Relevanz. Während die Grundlagen der Technik und die damit verbundenen Visionen schon Jahrzehnte alt sind, haben aktuelle Fortschritte in Programmierung und Hardware den praktischen Einsatz von KI erst in den letzten Jahren ermöglicht. Seitdem werden regelmäßig neue Einsatzfelder erschlossen, in denen KI bisher für
150
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
Computer unmögliche Aufgaben übernimmt1. Besonders vielsprechend erscheint dabei der Einsatz Künstlicher Neuronaler Netze (KNN), die sich an der Struktur des menschlichen Hirns in Grundzügen orientieren. Die Implikationen dieser neuen Technologie werden gesellschaftlich 2 breit diskutiert. Auch im rechtlichen Bereich stellen sich viele Folgefragen, die insbesondere an die (eigenverantwortliche?) Handlungsfähigkeit der KI anknüpfen. Dieser Vortrag klammert diese Fragestellungen im Kontext der Subjektivität von KI aus und betrachtet Systeme Künstlicher Intelligenz am Beispiel von KNN als Objekt des Immaterialgüterrechts. Denn es ist durchaus fraglich, ob KNN unter die aktuellen immaterialgüterrechtlichen Schutzgüter subsumiert werden können. Gleichzeitig besteht ein entsprechendes Schutzbedürfnis durchaus, denn auch wenn KNN häufig als Service über die Cloud ihren Einsatz finden, sind sie auch immer öfter direkt auf digitalen Endgeräten als Bestandteil verschiedenster Software implementiert. II. Technische Grundlagen 1. Einordnung Künstliche Intelligenz bezeichnet ein Teilgebiet der Informatik, das sich 3 damit beschäftigt, Computern die Fähigkeit zur eigenständigen Problemlösung zu verleihen2. Einen Ansatz hierfür stellt Maschinelles Lernen dar, bei dem ein Computer Beispielsdaten analysiert und aus den daraus gewonnenen Informationen Lösungsstrategien ableitet3. Als Schlüsseltechnologie haben sich dabei Künstliche Neuronale Netze (KNN) entwickelt, auf die sich der Beitrag fokussiert. Mit KNN können beliebig komplexe Funktionen mit einem beliebigen 4 Grad an Genauigkeit approximiert werden, soweit das Netz genügend Variablen enthält4. KNN können Muster erkennen und erlernen und somit auch bislang unbekannte Daten verarbeiten. Diese Fähigkeit ermächtigt sie zu Einsätzen in Bereichen, in denen herkömmliche Programme weitestgehend untauglich sind. Dieser theoretischen Mächtigkeit stehen praktisch erhebliche Hindernisse durch die benötigte Rechenleistung sowie das Erfordernis nach einer effektiven Ausgestaltung der Umsetzung entgegen, die zunehmend überwunden werden.
1
2 3 4
McKinsey: Künstliche Intelligenz: Potenzial von neuronalen Netzen gigantisch, https://www.mckinsey.de/news/presse/kunstliche-intelligenz-potenzial-von-neuronalen-netzen-gigantisch vom 20.4.2018 (abgerufen am 1.7.2018). https://de.wikipedia.org/wiki/Künstliche_Intelligenz (abgerufen am 1.7.2018). https://de.wikipedia.org/wiki/Maschinelles_Lernen (abgerufen am 1.7.2018). Vgl. Reagan et al., S. 14; Hornik, Neural Networks Vol. 2, 359 (361).
151
152
Quelle: Matthias Prinz, CC BY-SA 3.0 | https://commons.wikimedia.org/wiki/File:ArtificialNeuronModel_deutsch.png by Chrislb, CC BY-SA 3.0 (https://creativecommons.org/licenses/by-sa/3.0/legalcode)
Abb.: Künstliches Neuronales Netz mit drei Schichten (links) | künstliches Neuron (rechts)
Schematische Struktur und Aufbau künstlicher neuronaler Netze
Frank Hartmann/Matthias Prinz
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
KNN werden durch ein Netz miteinander verbundener künstlicher 5 Neuronen gebildet, die in Schichten angeordnet sind. Jede Eingabe in das KNN durchläuft dieses Netz, wird transformiert und erzeugt eine Ausgabe. Die Funktionalität eines KNN besteht darin, Eingabe und Ausgabe in einen Sinnzusammenhang zu stellen, also bspw. dem Bild eines Hundes den Begriff „Hund“ zuzuordnen. Welche Ausgabe einem Eingabewert zugewiesen wird, hängt dabei von Gewichtungsvariablen (Parametern) ab, die in den Verbindungen zwischen Neuronen gespeichert werden und den Durchlauf der Eingabe durch das Netz regeln. KNN sind meist mehrere Netzschichten tief aufgebaut und müssen maschinell angelernt werden, weshalb auch der Technologiebegriff „Deep Learning“ verbreitet ist. Die Netzstruktur eines KNN (Topologie) kann beliebig komplex gestal- 6 tet werden und aus einer Vielzahl von Ebenen, Kanälen und Rückkopplungen bestehen. Verschiedene Topologien sind für verschiedene Aufgaben verschieden gut geeignet, wobei die Funktionalität des KNN aber nicht in der Topologie verankert ist. Eine Topologie kann daher je nach Training unterschiedliche Aufgaben erfüllen, allerdings kann sich die Qualität des Ergebnisses erheblich unterscheiden. Sowohl die Topologie des KNNs als auch dessen grundlegende Befehlsstruktur sind statisch. Bei der Verarbeitung einer Eingabe durch ein Neuron wird ein Eingabe- 7 wert mit dem korrespondierenden Parameter multipliziert. Dabei liegen an einem Neuron meist mehrere Eingaben an. Die Zwischenergebnisse aller Multiplikationen werden aufsummiert. Auf diese Summe wird eine Aktivierungsfunktion angewendet, die bestimmt, ab welchem Summenwert das Ergebnis mit welchem Wert weitergeleitet wird. Das Ergebnis der Aktivierungsfunktion stellt den Eingabewert für die Neuronen der nächsten Netzschicht dar. Der Vorgang wiederholt sich, bis die Ausgabeschicht erreicht ist und das KNN ein Ergebnis ausgibt. Initial werden allen Parametern des KNN zufällige Zahlenwerte zuge- 8 wiesen5. In diesem Zustand ist das KNN bereits ablauffähig, erfüllt aber noch nicht die beabsichtigte Funktionalität. 2. Training des KNN Um diese zu erzielen, müssen die Parameter zwischen allen verbunde- 9 nen künstlichen Neuronen so gewählt werden, dass das KNN die Eingabedaten in die gewünschten Ausgabedaten transformiert. Hierfür werden KNN „trainiert“. Dafür ist es nötig, dass das KNN die Qualität seiner Ergebnisse bewerten kann. Dann kann mittels Backpropagation-Algorith5
Vgl. Silver et al., Nature 2017, 354 (356).
153
Frank Hartmann/Matthias Prinz
men die Diskrepanz zwischen gewünschter und tatsächlicher Ausgabe minimiert werden, indem die Parameter über verschiedene Netzschichten hinweg im Sinne einer Fehlerminimierung schrittweise angepasst werden6. Durch das wiederholte Anwenden dieses „Lernvorgangs“ mit unterschiedlichen Daten parametrisiert sich das KNN so, dass die gewünschte Funktionalität des KNN für noch unbekannte Daten hergestellt wird. 3. Ausprägungen des Maschinellen Lernens bei KNNs 10 Beim Training wird zwischen supervised learning, unsupervised learning und reinforcement learning unterschieden. 11 Beim supervised learning liegen bereits korrekt zugewiesene Eingabe-Ausgabe-Paare (Trainingsdaten) vor. Das KNN kann dann aus dem Unterschied zwischen Soll- und Ist-Ergebnis seinen Fehler ableiten. Beim unsupervised learning fehlen solche Trainingsdaten; das KNN wird nur angewiesen, die Eingabewerte in eine Ordnung zu bringen, die ihm selbst überlassen ist. Für das reinforcement learning hingegen erhält das KNN „Belohnungen“, je näher es einem Ziel kommt, sodass es sich hinsichtlich der Zielerreichung optimiert. 12 Ferner wir danach unterschieden, ob sich das KNN im Betrieb fortgehend weiter trainieren kann (online-learning) oder ob es nach dem initialen Trainingsvorgang statisch bleibt (offline-learning). 4. Der Software-Entwicklungsprozess 13 An dieser Stelle wird ein grundlegender Unterschied zwischen der Erstellung von KNN und der herkömmlicher Programme deutlich: Während letztere durch eine explizite Angabe von Methoden in Form von Code programmiert werden, erfolgt diese Angabe bei KNN implizit, d. h. es wird nur festgelegt, was sie erreichen sollen, nicht aber, wie sie es erreichen. 14 Entsprechend unterscheidet sich der Erstellungsvorgang auch für den Entwickler7. Die Lösung der beabsichtigten Aufgabe durch eine algorithmische Beschreibung entfällt, wenn er das Problem unter Einsatz eines KNN lösen möchte. Stattdessen muss er dessen Topologie modellieren
6 7
Wenn – wie üblich – die Aktivierungsfunktion des künstlichen Neurons differenzierbar ist. Der Entwickler wird daher oft auch als Data Scientist oder Data Engineer bezeichnet.
154
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
und die Daten für den Trainingsprozess auswählen. Es ist dann Aufgabe des Computers, selbst Lösungen für das vorgegebene Problem zu entwickeln – sinnvollerweise vor allem für solche, für die der Entwickler selbst keine Lösung mehr zu formulieren in der Lage ist. Für die Unterscheidung zwischen herkömmlichen Programmen und KNN ist daher das Bild heranziehbar, dass der Programmierer bei der herkömmlichen Programmierung dem Computer einen Fisch gibt, während er ihn bei der Erstellung des KNN das Angeln lehrt. Die Arbeitsteilung zwischen Mensch und Maschine verschiebt sich dabei fundamental, wenn die menschliche Leistung auch bei weitem noch nicht verzichtbar ist. Sie findet einerseits auf Ebene der framework-Entwicklung statt. Dabei 15 handelt es sich um Programmierbibliotheken, die effiziente Funktionen für die Erstellung von KNN bereitstellen, wie beispielsweise Matritzenoperationen oder die Nutzung der Grafikkarte für die Berechnung. Um eine konkrete Anwendung von KNN zu ermöglichen, müssen so- 16 dann die Daten analysiert und aufbereitet werden, die für das Training verwendet werden sollen. Dabei muss darauf geachtet werden, dass sie die gewünschte Funktionalität abdecken. Sie müssen einerseits ausreichend unterschiedlich sein, um alle zu erwartenden Eingaben zu erfassen, gleichzeitig aber eine inhärente Struktur aufweisen, um einen Sinnzusammenhang ableiten zu können. Diese Aufgabe nimmt einen Großteil des Erstellungsprozesses von KNN ein8. Zudem muss der Softwareentwickler die Netztopologie festlegen, wobei 17 er sich an den zu verarbeitenden Daten und der gewünschten Funktionalität orientieren wird. Des Weiteren muss er ein Programm erstellen, das das KNN maschinell anlernen lässt. Der Entwicklungsprozess wird meist in mehreren Iterationen durch- 18 laufen9, im Laufe derer die Ergebnisse immer wieder evaluiert und das Modell und die Trainingsdaten angepasst werden10. Ergebnis ist ein KNN, das mit ausreichender Zuverlässigkeit die ihm implizit vorgegebene Funktion erfüllt und in das – auch über das in den Trainingsdaten enthaltene know-how – erhebliche Investitionen geflossen sind. Dessen Schutzwürdigkeit soll im Folgenden diskutiert werden.
8 Carlton E. Sapp: Preparing and Architecting for Machine Learning, https:// www.gartner.com/binaries/content/assets/events/keywords/catalyst/catus8/ preparing_and_architecting_for_machine_learning.pdf (abgerufen am 1.7.2018). 9 Smith, Leslie N. (2017): Best Practices for Applying Deep Learning to Novel Applications, http://arxiv.org/pdf/1704.01568v1 (abgerufen am 1.7.2018). 10 Ebenda.
155
Frank Hartmann/Matthias Prinz
III. Urheberrechtlicher Schutz 19 Als mögliches Ausschließlichkeitsrecht für den Schutz Neuronaler Netze kommt vorrangig das Urheberrecht in Betracht. Diese Schutzgrundlage wurde von der WIPO 1977 für Computersoftware empfohlen11, da sie die Form, in der Software ihren Ausdruck findet, als Hauptschutzgut identifizierte: „Die schöpferische Geistestätigkeit bei der Schaffung von Computersoftware liegt zumeist in dem Geschick und der Anstrengung, die darauf verwendet werden, diese Ideen einem Computer so wirtschaftlich und effizient wie möglich „verständlich“ zu machen.“12 20 Angesichts des eben beschriebenen Erstellungsprozesses stellt diese Einordnung den Schutz von KNN vor Probleme. Denn es ist fraglich, ob der Gedanke, der der gesetzlichen Ausgestaltung des Softwareschutzes zu Grunde liegt, weiter Geltung beanspruchen kann, obwohl sich die menschliche Leistung erheblich verändert hat und die Programmierleistung nicht mehr darin besteht, einem Computer eine Idee „verständlich zu machen“. Dieses Problem findet bei der Subsumtion des KNN unter den Begriff des „Computerprogramms“ iSd. § 69a Abs. 1 UrhG Niederschlag. 21 Die Schutzfähigkeit soll für drei Entwicklungsstufen des KNN geprüft werden: Die Programmierung des zugrundeliegenden frameworks, die Modellierung der Topologie sowie das Trainieren des Netzes mit relevanten Daten. Diese Unterteilung ist nicht an den praktischen Erstellungsprozess angelehnt (s.o). Die Schritte unterscheiden sich aber klar hinsichtlich ihres Produktes, sodass sich die Unterscheidung zumindest für eine Betrachtung vor dem Hintergrund des Urheberrechts, dessen Schutzgut das Werk und nicht die Werkschaffung ist, anbietet. Zudem weisen sie oft verschiedene Urheber auf, die jeweils ein individuelles Interesse am Schutz haben können, was voraussetzt, dass die Zwischenprodukte eigenständigen Schutz genießen13. Ausgeklammert von der Betrachtung bleiben der das KNN einbettende Programmmantel sowie die für das Training verwendeten Daten selbst, für die sich keine Besonderheiten im Vergleich zu sonstigen Programmen bzw. Datenbanken ergeben.
11 Deutsche Fassung abgedruckt in GRUR Int 1978, 286. Die englische Originalfassung findet sich in Copyright 1978, 6 sowie als WIPO-Publikation No. 814. 12 WIPO, GRUR Int 1978, 286 (288). 13 Schulze in Dreier/Schulze, § 2 UrhG Rz. 76.
156
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
1. Framework-Programmierung Die Programmierung von frameworks ist ein hochkomplexer Prozess, 22 bei dem erhebliche methodische Hindernisse zu überwinden sind14. Die Schöpfungshöhe steht entsprechend außer Zweifel. Ansonsten ergeben sich für sie keine spezifischen urheberrechtlichen 23 Probleme. Frameworks zur Programmierung von KNN unterscheiden sich strukturell nicht von den bereits bekannten, die erweiterte Befehlssätze für die Programmierung „klassischer“ Programme anbieten. Dabei ist der zusätzliche Befehlssatz, der durch das framework angeboten wird, nicht schutzfähig, vergleichbar der fehlenden Schutzfähigkeit von Makro- oder Programmsprachen15. Durchaus schutzfähig ist hingegen der Code, mit dem das framework die 24 Funktionen implementiert16. Dieser Schutz bezieht sich aber nicht auf die darin verkörperte Funktionalität selbst, für die ein Freihaltebedürfnis besteht17. Die meisten Entwickler haben ohnedies kein Interesse an einem Aus- 25 schließlichkeitsrecht an ihren frameworks18, die von einer hohen Verbreitung profitieren. Der Großteil der frameworks zur Entwicklung von KNNs unterliegt daher open-source-Lizenzen19. 2. Topologie des Netzes Der Schritt der Modellierung der Topologie unterscheidet sich insofern 26 von der framework-Entwicklung, als es sich hierbei bereits um eine anwendungsorientierte Aufgabe handelt. Andererseits sind Topologien auch noch so abstrakt und komplex, dass ihr Zukauf möglich und vorzugswürdig sein kann20. Entsprechend besteht zwar bereits ein Interesse an einem Investitionsschutz, allerdings nicht in gleichem Maße wie für
14 V.a. Das Vanishing-gradient-problem, https://en.wikipedia.org/wiki/Vanishing_gradient_problem (abgerufen am 1.7.2018). 15 EuGH v. 2.5.2012 − C-406/10 Ls. 1; Spindler, CR 2012, 417 (418); für den Schutz Grützmacher in: Wandtke/Bullinger, § 69a UrhG Rz. 30. 16 EuGH v. 2.5.2012 − C-406/10 Rz. 43; Loewenheim/Spindler in: Schricker/ Loewenheim, § 69a UrhG Rz. 12 bzgl. der insoweit analogen Kompilierung. 17 EuGH v. 2.5.2012 − C-406/10 Ls. 1; Grützmacher in: Wandtke/Bullinger, § 69a UrhG Rz. 30. 18 Vgl. Dreier in: Dreier/Schulze, § 69a UrhG Rz. 24. 19 https://en.wikipedia.org/wiki/Comparison_of_deep_learning_software (abgerufen am 1.7.2018). 20 Carlton E. Sapp, Fn. 9.
157
Frank Hartmann/Matthias Prinz
das trainierte Netz, da die Topologie für das Unternehmen nur begrenzten strategischen Wert besitzt21. 27 Ob die Ausformung der Topologie in Codeform urheberrechtlichen Schutz genießen kann, ist angesichts der gesetzlichen (Nicht-)Definition des Begriffes „Computerprogramm“ durchaus fraglich. a) Schutz im Gesamtprogramm 28 Denkbar wäre, die Frage nach der Schutzwürdigkeit dadurch zu beantworten, dass man auf die notwendige Einbettung des Topologie-Codes in den Programm-Mantel verweist, der ein klassisches Computerprogramm darstellt. Dies stellt allerdings einen unzureichenden Schutz dar, da Werkteile nur dann vor einer Vervielfältigung geschützt sind, wenn sie selbst den Voraussetzungen der Schutzfähigkeit genügen22. b) Schutz der Topologie per se 29 Zu prüfen ist daher, ob die codierte Topologie die Voraussetzungen erfüllt, um als Computerprogramm eingeordnet zu werden. Auf eine Legaldefinition des Computerprogramm-Begriffes haben sowohl der europäische als auch der deutsche Gesetzgeber unter Hinweis auf die technische Entwicklung bewusst verzichtet23. Literatur und Rechtsprechung rekurrieren auf den Vorschlag der WIPO24 sowie auf die Definition der DIN 44300 (1972)25, die der BGH in folgender Formel zusammengefasst hat: „Das fertige Computerprogramm wird als eine Folge von Befehlen definiert, die nach Aufnahme in einen maschinenlesbaren Träger fähig sind zu bewirken, daß eine Maschine mit informationsverarbeitenden Fähigkeiten eine bestimmte Funktion oder Aufgabe oder ein bestimmtes Ergebnis anzeigt, ausführt oder erzielt“26.
21 Z.T. werden Topologien daher offengelegt, http://openaccess.thecvf.com/content_cvpr_2016/papers/He_Deep_Residual_Learning_CVPR_2016_paper.pdf (abgerufen am 1.7.2018). 22 Loewenheim in: Schricker/Loewenheim, § 2 UrhG Rz. 87; Schulze in: Dreier/ Schulze, § 2 UrhG Rz. 76; Koch, GRUR 2000, 191 (197). 23 Vgl. BT-Drs. 12/4022 S. 9; RL 91/250/EWG S. 1. 24 Siehe Fn. 1 25 Loewenheim/Spindler in: Schricker/Loewenheim, § 69a UrhG Rz. 2; Dreier in: Dreier/Schulze § 69a UrhG Rz. 12; Wiebe in: Spindler/Schuster, § 69a UrhG Rz. 3. 26 BGH v. 9.5.1985 – I ZR 52/83, BGHZ 94, 276-292.
158
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
aa) Rechtlicher oder technischer Begriff des Computerprogramms? Diese Definition lässt bereits einen weiten Schutz von Software zu, wo- 30 bei unstrittig ist, dass auch diese im Sinne des Gesetzgebers nicht abschließend sein kann und sich der Schutz letztlich an der technischen Praxis orientiert27. Allerdings ist es auch nicht überzeugend, den Begriff des Computerprogramms als allein technischen Tatsachenbegriff zu verstehen28. Rechtliche Schutzgüter sind der rechtlichen Auslegung zugänglich – spätestens nach Art. 103 II GG, sobald wie hier durch § 106 UrhG Strafandrohungen an sie geknüpft werden. Der Begriff des Computerprogramms ist im Urheberrecht auch als urheberrechtlicher Begriff zu verstehen, da andernfalls die Einordnung des Schutzes in dieses Rechtsgebiet, das gerade am Schutzgut und dessen Eigenart anknüpft, nicht mehr schlüssig wäre29. Dabei ist zwar zu berücksichtigen, dass angesichts der insoweit klaren Gesetzesbegründung die Schutzfähigkeit eines Programms nicht durch einen Streit über Begriffe entschieden werden darf30, dass aber auch gerade aufgrund der unabsehbaren technischen Entwicklung stets rechtlich geprüft werden muss, ob das, was in der Praxis als „Programm“ bezeichnet wird, noch den Mindestvoraussetzungen eines Schutzes nach dem Urheberrecht genügt. bb) Definitionsversuch Als minimal notwendiges Element eines Programms wird in der juristi- 31 schen Literatur seine Steuerungsfunktion31 bzw. seine Ablauffähigkeit32 verlangt, also die Fähigkeit, auf das Rechenwerk eines Computers unmittelbar steuernd einzuwirken. Vom Schutz ausgeschlossen werden damit v. a. reine Daten.
27 Loewenheim/Spindler in: Schricker/Loewenheim, § 69a UrhG Rz. 2; Dreier in: Dreier/Schulze §69a UrhG Rz. 12; Wiebe in: Spindler/Schuster, § 69a UrhG Rz. 4; Grützmacher in: Wandtke/Bullinger, § 69a UrhG Rz. 3. 28 So aber Koch, GRUR 2000, 191 (195) – ihn zitierend Loewenheim/Spindler in: Schricker/Loewenheim, § 69a UrhG Rz. 2; Grützmacher in: Wandtke/Bullinger, § 69a UrhG Rz. 3. 29 Vgl. Marly, Jochen: Urheberrechtsschutz für Computersoftware in der Europäischen Union, S. 104; Ohst, S. 18; Schulze in: Dreier/Schulze, § 2 UrhG Rz. 2 zum urheberrechtlichen Werkbegriff; anders Böcker, S. 54, die allerdings auch gerade die Einordnung ins Urheberrecht kritisiert. 30 Marly, GRUR 2012, 773 (777) m.w.N. 31 Marly, GRUR 2012, 773 (775); BAG v. 24.3.2011 – 2 AZR 282/10 NZA 2011, 1029; Loewenheim/Spindler in: Schricker/Loewenheim, § 69a UrhG Rz. 2; Grützmacher in: Wandtke/Bullinger, § 69a UrhG Rz. 3. 32 Lesshaft/Ulmer, CR 1993, 607 (608).
159
Frank Hartmann/Matthias Prinz
32 Offen bleibt dabei, welchen Bezug diese Steuerungsfunktion haben muss – also ob es ausreichend ist, dass durch den Code Steuerbefehle an den Computer formuliert werden, oder ob diese Steuerbefehle eine Funktion über die Zustandsänderung des Rechenwerkes hinaus verfolgen müssen. Dasselbe Problem ergibt sich beim Versuch der Subsumtion unter die „bestimmte Funktion“ in der Definition des BGH, die nahelegt, dass die Funktion eines Computerprogramms abschließend definiert und mit einem klaren Sinngehalt versehen sein muss. Diese Frage wird für KNN akut, da ein untrainiertes Netz noch keinen unmittelbar zuweisbaren Zweck über den Ablauf hinaus besitzt. 33 Betrachtet man das Computerprogramm als rein technischen Begriff, ist es naheliegend, ein zusätzliches Finalitätserfordernis abzulehnen und als Computerprogramm alles zu verstehen, was auf Computer einwirkt33. Einziges Kriterium für die Bestimmung des Vorliegens eines Computerprogrammes wäre dann das Vorliegen in einer maschinenlesbaren Anweisungssprache.34 Damit wären die Anforderungen aber eindeutig zu niedrig angesetzt, da der urheberrechtliche Werkbegriff verlangt, dass sich in einem Werk der menschliche Geist äußert35, was durch dieses rein formale Kriterium nicht erfassbar ist. Zwar ist das Erfordernis der Geistigkeit in § 69a Abs. 3 UrhG niedergelegt, sodass eingewandt werden könnte, dass es für die Prüfung des Begriffs „Computerprogramm“ in Abs. 1 unerheblich ist. Dieser Auftrennung des Werkbegriffs steht allerdings § 2 Abs. 2 UrhG entgegen, der feststellt, dass die persönlich-geistige Schöpfung bereits Voraussetzung für das Vorliegen eines Werkes iSd. UrhG und nicht erst für dessen Schutzfähigkeit ist. Bereits der Werkbegriff ist daher urheberrechtlich normativ aufgeladen36 und kann nicht als technischer Begriff übernommen werden, um dann allein die Schutzfähigkeit des Werkes rechtlich zu prüfen37. 34 Ohnedies lässt selbst die technische DIN-Definition das bloße Vorliegen von Code nicht ausreichen, sondern betrachtet ebenfalls einen Aufga-
33 Koch, GRUR 2000, 191 (195), der entsprechend nur den Maschinenbezug voraussetzt; auch Böcker, S. 50, soweit sie das Programm über die Ablauffähigkeit in einer Turing-Maschine definieren will. 34 Vgl. Ohst, S. 31. 35 Loewenheim in: Schricker/Loewenheim, § 2 UrhG Rz. 45; Schulze in: Dreier/ Schulze, § 2 UrhG Rz. 11, 81; auch BGH v. 7.2.2002 – I ZR 304/99, GRUR 2002, 532 (534). 36 Loewenheim in: Schricker/Loewenheim, § 2 Rz. 1 f.; Schulze in: Dreier/Schulze, § 2 UrhG Rz. 2. 37 A.A. Koch, GRUR 2000, 191 (196); Grützmacher in: Wandtke/Bullinger, § 69a UrhG Rz. 3.
160
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
benbezug als konstitutiv38. Bei dieser Anforderung handelt es sich somit nicht einmal um eine spezifisch rechtliche Restriktion. Einschränkend wird daher teils zusätzlich zur Steuerungsfunktion eine 35 Eingabe-Ausgabe-Fähigkeit verlangt, d. h. die Fähigkeit des Programms, „die zur Eingabe erlangten Daten zu verarbeiten und anschließend auszugeben“39. Zustimmungswürdig ist der Gedanke insofern, als er den Prozesscharakter des Programms betont, es also als Verfahren begreift, das Werte in andere Werte transformiert, wobei dieser Transformation irgendein Nutzen zugesprochen werden kann. Damit wird der eingangs zitierte Schutzgrund für Computerprogramme fruchtbar gemacht: Diese sollen geschützt werden, weil sie eine Idee in eine für den Computer verständliche Form bringen. Die zugrundliegende, „übersetzte“ Idee ist daher konstitutiv für das urheberrechtliche Verständnis des Computerprogramms. Da es sich bei einem Computer um ein bloßes Rechenwerkzeug handelt, das nur Eingaben in Ausgaben überführt, kann die Idee hier synonym als Funktion verstanden werden. Daraus ergibt sich aber auch, dass diese Funktion nicht in der Steuerung des Computers an sich liegen kann, da sie sich diesem nur als Mittel bedient, sondern ein übergeordnetes Ziel aufweisen muss. Die oben angeführte Frage ist daher dahingehend zu beantworten, dass die reine (An-)Steuerung des Computers nicht ausreicht, um von einem Computerprogramm ausgehen zu können; gleichzeitig muss das Programm eine Funktion haben, die einen Nutzen über den Programmablauf an sich aufweist. cc) Idee der Topologie Eine solche Funktion ist für die Topologie eines KNN nicht unmittelbar 36 gegeben, da es den Nutzen, den das fertige KNN erfüllen soll, selbst nicht aufweist und auch keine Zwischenlösungen ausgeben kann, die Grundlage weiterer Verarbeitungsschritte werden könnten. Zweifellos erfüllt es eine Funktion insofern, als es Voraussetzung für die Schaffung eines vollständigen KNN ist, was allerdings keine ausreichende Qualifikation sein kann, weil dieses Erfordernis auch für Programmiersprachen oder einzelne Befehle erfüllt ist.
38 Vgl. DIN 44300 (1972): Programm ist „Eine zur Lösung einer Aufgabe vollständige Anweisung zusammen mit allen erforderlichen Vereinbarungen“; DIN 44300-4 (1988): „Nach den Regeln der verwendeten Sprache festgelegte syntaktische Einheit aus Anweisungen und Vereinbarungen, welche die zur Lösung einer Aufgabe notwendigen Elemente umfaßt.“ 39 Ohst, S. 31. Dies aufnehmend Böcker, S. 56.
161
Frank Hartmann/Matthias Prinz
37 Ebenfalls nicht zielführend ist es, einen Schutz als Entwurfsmaterial anzunehmen. Dieses muss nämlich laut Richtlinie „die spätere Entstehung eines Computerprogramms zulassen“40 und wird entsprechend als Synonym für die Programmbeschreibung verstanden41, für die nach § 1 Abs. 2 WIPO-Mustervorschrift42 wiederum verlangt wird, dass „deren Angaben ausreichend sind, […] ein ihr entsprechendes Computerprogramm dar[zu]stellen“. Es wird also gem. § 69a Abs. 1 UrhG als Ausprägung des Programms in anderer Gestalt gesehen, das (nur) noch der Umsetzung bedarf. Ein weiteres Verständnis, das als Entwurfsmaterial auch alle unterstützenden, nicht aber hinreichenden Materialien zur Programmerstellung versteht, ist zwar durch den Wortlaut der Richtlinie nicht ausgeschlossen. Es würde aber auf den Schutz auch abstrakter Überlegungen hinauslaufen, für die ein Freihaltebedürfnis besteht. Entsprechend ist für Entwurfsmaterial das Vorliegen in Codeform verzichtbar, nicht aber das Vorliegen sonstiger Voraussetzungen zur Einordnung als Programm43, also insb. eine inkorporierte Idee. 38 Fraglich ist nun, ob diese Idee ein Algorithmus zur Lösung eines Problems sein muss, oder ob es ausreicht, wenn die Idee einen Weg zur Findung dieses Algorithmus beschreibt. Diese Frage hat sich bisher nie gestellt, weil Computer stets nur vorgegebene Lösungswege abgearbeitet haben. Computer waren insofern nicht allein determinierte Maschinen, d. h. Maschinen, deren Ausgabe für gleiche Eingabeparameter stets reproduzierbar war, sondern auch theoretisch transparente Maschinen, d. h. ihre Ausgabe konnte zumindest theoretisch-abstrakt durch Flussdiagramme nachvollzogen werden. Zumindest das Merkmal der Transparenz gilt für Computer, die KNN ausführen, nur noch eingeschränkt, da der Prozess der Datenverarbeitung durch den Computer selbst gestaltet wird und sich keiner dem Programmierer bekannten Lösungsalgorithmen bedient. Es kann stets nur überprüft werden, ob ein KNN sinnvolle Ergebnisse ausgibt; dabei gibt es aber keinen Einblick, wie es diese Ergebnisse produziert. Zwar sind Zwischenschritte grundsätzlich protokollier- und visualisierbar, allerdings wird sich daraus selten ein echtes Verständnis der Arbeitsweise ableiten lassen. KNN stellen insofern eine black-box dar, sodass kein positiver Beweis ihrer Funktionsfähigkeit er-
40 41 42 43
Richtlinie 2009/24/EG vom 23.4.2009, 7. Erwägungsgrund. Marly, GRUR 2012, 773 (775). Siehe Fn. 11. So auch Koch, GRUR 200, 191 (199), der darauf abstellt, dass Entwurfsmaterial und Computerprogramm Teile eines „einheitlichen Werkschaffens“ sein müssen.
162
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
folgen kann, sondern ihre Funktionalität stets eine statistische Größe mit entsprechend anhaftender Unsicherheit darstellt. Es ist daher festzuhalten, dass die Idee, die der Modellierung eines KNN 39 zugrunde liegt, nichts mehr mit der Idee zu tun hat, die für die WIPO Anlass für die Verortung des Computerprogrammschutzes im Urheberrecht war. Entsprechend nicht mehr anwendbar sind die Definitionsversuche in Literatur und Rechtsprechung, soweit sie von einer bestimmten Funktion ausgehen; KNNs emanzipieren sich von der absoluten Beherrschbarkeit des Programmablaufs. Nichtsdestotrotz bleibt eine menschliche Leistung erhalten, auch wenn 40 sich ihr Inhalt erheblich verändert hat. Es finden sich keine Anhaltspunkte, dieser anderen Form der Leistung einen Schutz nach dem Urheberecht abzusprechen, auch wenn sich damit die Auffassung über die dort verankerte Werkform erheblich verschiebt. Das entspricht aber nur der Prognose des Gesetzgebers, der exakt diesen Fall erfassen und eine Schutzlücke vermeiden wollte. Letztlich kann es für eine Idee, deren Ausformung durch das Urheberrecht geschützt wird, nicht darauf ankommen, ob sie eine Methode zur Lösung oder eine Methode zur Findung einer Lösungsmethode beinhaltet – das Fischen-Lehren ist als genauso schutzwürdig zu betrachten wie das Fischen selbst. dd) Weitere Schutzvoraussetzungen gem. § 69a Abs. 3 UrhG Unabhängig von der Einordnung als Computerprogramm muss die Er- 41 stellung einer Topologie auch die Anforderungen des § 69a Abs. 3 UrhG erfüllen. Gefordert ist, dass es sich um eine eigene, menschliche geistige Schöpfung handelt44. Das Problem der „menschlichen Schöpfung“ wird im Kontext von KNN sicherlich akut, sobald man die Schutzfähigkeit ihrer Ausgaben betrachtet45, hingegen nicht bei ihrer Programmierung. Für die Geistigkeit kann auf die o. g. Erwägungen zum Vorliegen einer „Idee“ verwiesen werden, wobei sich die Frage hier für jedes Werk individuell stellt, während sie oben abstrakt zu diskutieren war. Da ein Computerprogramm eine zugrundeliegende Idee demnach bereits voraussetzt, ist die Voraussetzung der Geistigkeit auch für einzelne Werke regelmäßig anzunehmen46.
44 Loewenheim/Spindler in: Schricker/Loewenheim, § 69a UrhG Rz. 14; Dreier in: Dreier/Schulze, § 69a UrhG Rz. 26. 45 Hierzu Hetmank/Lauber-Rönsberg, GRUR 2018, 574 ff. 46 Vgl. i.E. Loewenheim/Spindler in: Loewenheim/Spindler, § 69a UrhG Rz. 16.
163
Frank Hartmann/Matthias Prinz
42 Einzig fraglich könnte das Merkmal der Individualität sein, das voraussetzt, dass dem Programmierer ein gewisser Gestaltungsspielraum bei der Entwicklung zur Verfügung steht47. Zwar ist für Computerprogramme ausdrücklich auch die kleine Münze geschützt48, allerdings stellt sich für die Topologie erneut die Besonderheit, dass eben nicht einer Lösung individuell Ausdruck verliehen wird, sondern nur die Struktur so lange angepasst wird, bis sie zu befriedigenden Ergebnissen führt; entsprechend setzt die Funktion, die das Programm erfüllen können soll, einen Rahmen für die Topologie. Allerdings unterscheidet sich die Modellierung der Topologie damit auch nicht von der herkömmlichen Programmierung, bei der ebenfalls ein erwünschtes Ergebnis den Rahmen für die Schöpfung setzt49. Im Gegenteil dürfte der Gestaltungsspielraum für Topologien tendenziell höher sein, da prinzipiell unendlich viele Möglichkeiten denkbar sind, eine Funktion zu realisieren, zwischen denen nur qualitative Unterschiede bestehen. Anders als bei der Programmierung ist eine Topologie für eine Aufgabe nicht von vornherein gänzlich ungeeignet. 43 Ausgeschlossen vom Schutz sind analog zu klassischen Programmen Banalprogramme50, was insofern ebenfalls eine Änderung der Beurteilungsmaßstäbe verlangt, als aus der Komplexität der Aufgabe nicht mehr problemlos auf die Komplexität der erforderlichen Topologie geschlossen werden kann51. Hier bedarf es Erfahrungssätzen, welche Topologien typischerweise gewählt werden und als solche banal sind, und welche das Ergebnis individueller Optimierungsarbeit darstellen. ee) Alternativer Schutz nach § 2 I Nr. 7 UrhG 44 Soweit die Topologie durch § 69a UrhG geschützt ist, besteht keine Notwendigkeit des Schutzes als Werk anderer Art. Darstellungen der Topologie als schematische Zeichnungen sind als Entwurfsmaterial ebenfalls
47 Dreier in: Dreier/Schulze, § 69a UrhG Rz. 26. 48 BT-Drs. 12/4022, S. 9; BGH v. 3.3.2005 – I ZR 111/02, GRUR 2005, 860 (861); Loewenheim/Spindler in: Schricker/Loewenheim, § 69a UrhG Rz. 19; Dreier in: Dreier/Schulze, § 69a UrhG Rz. 26. 49 Restriktiv insoweit daher noch BGH v. 9.5.1985 – I ZR 52/83, BGHZ 94, 276. 50 Dreier in: Dreier/Schulze, § 69a UrhG Rz. 27. 51 Im Beispiel zur Erkennung von Zahlen des MNIST-Datensatzes auf https:// github.com/aymericdamien/TensorFlow-Examples/blob/master/examples/ 3_NeuralNetworks/neural_network_raw.py (abgerufen am 1.7.2018) wird die Topologie durch vier Zeilen Code definiert – für eine Aufgabe, die mit klassischer Programmierung nicht zu lösen gewesen wäre!
164
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
von § 69a Abs. 1 UrhG erfasst, sofern sie den späteren Aufbau des KNN abschließend erfassen und damit definieren. 3. Trainiertes Netz Ein Interesse an der Schutzfähigkeit eines trainierten Netzes besteht für 45 Unternehmen aus zwei Gründen: Einerseits ist das Training eines KNN mittels korrekt und effizient aufbereiteter Trainingsdaten mit erheblichem Aufwand verbunden. Zum anderen wird für das Training auf Daten zurückgegriffen, die aus dem Unternehmen stammen, um das KNN an die eigenen Zwecke möglichst exakt anzupassen. Diese Daten können für das Unternehmen erheblichen Wert haben. Sobald das KNN mit diesen Daten trainiert wurde, ist das entsprechende know-how im KNN implizit gespeichert, sodass auch diesbezüglich ein Schutzinteresse besteht. a) Als Computerprogramm nach § 69a UrhG Auch das trainierte Netz weist Probleme bei der Subsumtion unter den 46 Begriff des Computerprogramms auf: aa) Divergenz der Ausdrucksformen Zum einen führt das Training zu keinerlei Änderung am Quellcode des 47 Programms, da es nach der Kompilierung stattfindet. Unterschiede in der Parametrisierung durch das Training schlagen sich allein im Maschinencode nieder. Allein hier kommt eine Werkschöpfung in Betracht, da das Netz nun eine neue Funktionalität aufweist und damit eine neue Idee inkorporiert. Dass Funktionalität von Quell- und Maschinencode derart auseinan- 48 derfallen, ist ebenfalls eine Besonderheit von KNN. Bei herkömmlicher Programmierung muss die Funktionalität bereits im Quellcode hinterlegt sein, sodass die Kompilierung zu keinem diesbezüglichen Mehrwert führte. Ein KNN gewinnt seine Funktionalität hingegen erst nach der Kompilierung, sodass Quell- und Maschinencode des trainierten KNN nicht mehr Ausdrucksformen derselben Idee sind: Während der Quellcode mit der Topologie eine Idee zur Lösungsfindung umsetzt, inkorporiert das kompilierte trainierte KNN eine Idee zur Lösung. Auch wenn daher das trainierte KNN in Form von Maschinencode ge- 49 schützt ist, ist zu beachten, dass der Quellcode keine Ausdrucksform desselben Programms iSd. § 69a Abs. 1 S. 1 UrhG darstellt, da er nicht alle für die Vervielfältigung des Programms notwendigen Informationen
165
Frank Hartmann/Matthias Prinz
enthält52. Aus demselben Grund wird er auch nicht als Entwurfsmaterial des trainierten Netzes geschützt53. bb) Programmidentität 50 Ebenfalls problematisch wirkt sich die bedingte Determiniertheit der KNN aus. Die Definitionen des Computerprogramms durch BGH und WIPO verlangen eine bestimmte Funktion zur Aufgabenerfüllung. Diese Bestimmtheit ist einerseits insofern nicht gegeben, als nicht explizit bestimmbar ist, welche Funktion das KNN aufweist, wie bereits dargestellt wurde. 51 Bei einem online lernenden KNN ist dessen Funktion auch nicht bestimmt in dem Sinne, dass sie festgelegt wäre. Sie unterscheidet sich je nach bereits verarbeiteten Daten. Dies kann dazu führen, dass das KNN aufgrund „schlechter“ online-Trainingsdaten sein Verhalten auf unerwünschte Art verändert54. Ebenso ist es möglich, dass es alte Funktionalität zu Gunsten neu gelernter „vergisst“55. 52 Betrachtet man – wie oben vorgeschlagen – die zugrundeliegende Idee eines Programms als Kriterium zu dessen Identifikation, kann daher fraglich sein, ob ein online lernendes KNN nach einer bestimmten Zeit im Einsatz noch dasselbe Computerprogramm ist wie zu Beginn der Verwendung – und wenn nicht, wer Urheber des neu entstandenen Programms ist. cc) Eigene geistige Schöpfung 53 Beide Probleme bzgl. der Qualifikation des trainierten KNN als Computerprogramm gehen darauf zurück, dass seine Funktionalität mit Beendigung der eigentlichen Programmierleistung noch nicht abschließend festgelegt ist, sondern das KNN nach der Kompilierung weitere Funktionen gewinnt. Mit dieser Veränderung des KNN hat der Programmierer nichts mehr zu tun, sondern sie beruht auf der selbstständigen Adaption des Netzes. Daher ist fraglich, ob im Training noch eine menschliche
52 Vgl. EuGH v. 22.12.2010 – C-393/09, GRUR 2011, 220 (222) zu Ausdrucksformen als Grundlagen zur Vervielfältigung. 53 Vgl. oben; auch Loewenheim/Spindler in: Schricker/Loewenheim, § 69a UrhG Rz. 5. 54 So Microsofts Twitter-KI, die durch andere Nutzer schnell zu rassistischer Hetze erzogen wurde https://de.wikipedia.org/wiki/Tay_(Bot) (abgerufen am 1.7.2018). 55 https://en.wikipedia.org/wiki/Catastrophic_interference, abgerufen am 1.7.2018.
166
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
Leistung zu sehen ist, wie sie Voraussetzung für einen Urheberrechtsschutz darstellt. Unzweifelhaft liegt in der Vorbereitung der Trainingsdaten eine erheb- 54 liche Leistung, die einen Großteil der Erstellung des KNN ausmacht56. Fraglich ist aber, ob die Schaffung der trainierten KNN dieser Leistung und damit dem entsprechenden Leistenden zurechenbar ist. Denn die Datenaufbereitung geschieht zwar im Hinblick auf das Training eines KNN, stellt aber nicht den Trainingsprozess selbst dar und hat somit allein mittelbare Auswirkung auf die Schaffung des KNN. Dieses Problem ist aber nur die Folge des bereits diskutierten Problems 55 der inkorporierten Idee des Programms: Wie oben diskutiert wurde, ob eine Idee zur Findung von Lösungsmethoden in Abgrenzung zur dezidierten Angabe der Methode ausreichende gedankliche Grundlage für ein Programm sein kann, stellt sich nun die Frage, ob die bloße Bereitstellung von Mitteln zur Findung der Methode in Abgrenzung zur dezidierten Formalisierung der Methode eine ausreichende Eigenleistung darstellen kann. Es wäre entsprechend inkonsequent, bzgl. beider Fragen zu unterschiedlichen Ergebnissen zu kommen. Wer es als legitime Hilfe betrachtet, einen Menschen das Angeln zu lehren, kann sich nicht beklagen, dass der Lehrende dem Gelehrten nur eine Angel übergibt und ihm das Fischen überlässt. Die Annahme einer Eigenleistung ist auch deshalb begründet, da der 56 Computer zur Überführung der Trainingsdaten in Parameter einen determinierten Algorithmus nutzt. Die Ausgabeparameter sind daher allein von den Eingangswerten abhängig57, sodass derjenige, der die Trainingsdaten auswählt, die volle Kontrolle über das Ergebnis besitzt. Er ist damit v. a. auch dafür verantwortlich, dass das KNN durch die Daten die gewünschte Funktionalität erlangt. Damit ist das entstandene KNN ein Produkt der Datenauswahl und damit eine Leistung des Datenaufbereiters. dd) Eigene geistige Schöpfung Dennoch stellt sich bzgl. dieses Ergebnisses die Frage, ob es teleologisch 57 haltbar ist. Denn derart wird das Ergebnis einer Leistung geschützt, die nichts mehr mit einer „Programmierung“ gemein hat. Statt der Übersetzung eines abstrakt formulierten Algorithmus in eine maschinenlesbare Form besteht die Schöpfung hier in der zielgerichteten Aufbereitung von 56 Siehe Fn. 8. 57 Bei Konstanz der Netztopologie.
167
Frank Hartmann/Matthias Prinz
Daten. Das dafür notwendige Können und der Aufwand sind unbestritten, haben aber nur noch wenig mit der eingangs zitierten Erwägung der WIPO zur Einbeziehung des Computerprogrammes in das Urheberrecht zu tun, sodass eine Einordnung des entstandenen Computerprogramms als Computerprogramm im urheberrechtlichen Sinne wenigstens fragwürdig erscheint. 58 Das Urheberrecht stellt für seine Schutzbegründung in § 1 UrhG hingegen ausdrücklich auf das Werk als Schutzgegenstand ab, wobei die Werkschaffung als Leistung keinen eigenen Schutz genießt und auch nicht schutzbegründend ist. Entsprechend gibt das Gesetz keinen Spielraum dafür, eine Einschränkung anhand der Werkschaffung vorzunehmen. ee) Miturheberschaft/Bearbeitung 59 Ob das trainierte KNN als Bearbeitung eines geschützten Topologie-Werkes oder als Gesamtwerk in Miturheberschaft entsteht, beurteilt sich anhand dessen, ob die Kollaboration der jeweils Beteiligten bei den Entwicklungsschritten zielgerichtet und bewusst erfolgt58. 60 Als problematisch dürfte sich die Urheberschaft bei online lernenden Netzen darstellen, auf deren Funktionalität u. U. eine Vielzahl an Menschen Einfluss hat. Hier wird eine Werkschaffung einem einzelnen nicht zurechenbar sein, und auch für eine Miturheberschaft fehlen sowohl das Zusammenwirken59 als auch die eigene geistige Leistung60 der Beteiligten. b) Datenbankwerk oder Datenbank 61 Ein Schutz als Datenbankwerk oder als Datenbank kommt für ein trainiertes KNN nicht in Betracht, da die einzelnen Elemente – die „Neuronen“ bzw. Parameter – nicht unabhängig voneinander sind. Sie gewinnen ihren Wert erst durch die Eintragung in das KNN und sind isoliert wertlos61.
58 Schulze in: Dreier/Schulze, § 3 UrhG Rz. 6. 59 Loewenheim/Pfeier in: Schricker/Loewenheim, § 8 UrhG Rz. 8. 60 Loewenheim/Pfeier in: Schricker/Loewenheim, § 8 UrhG Rz. 4; BGH v. 26.2.2009 – I ZR 142/06, GRUR 2009, 1046 (1050). 61 Vgl. Dreier in: Dreier/Schulze, § 87a UrhG Rz. 6; Vogel in: Schricker/Loewenheim, § 87a UrhG Rz. 12.
168
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
IV. Patentrechtlicher Schutz Ob patentrechtlicher Schutz erlangt werden kann, hängt nach 62 § 1 Abs. 1 PatG davon ab, ob es sich um eine Erfindung auf dem Gebiet der Technik handelt, die neu ist, auf einer erfinderischen Tätigkeit beruht und gewerblich anwendbar ist. Problematisch für die Gewährung von Patentschutz stellt sich bei Com- 63 puterprogrammen regelmäßig das Merkmal der Erfindung dar62. Grundsätzlich gilt, dass „Programme für Datenverarbeitungsanlagen“ 64 nach § 1 Abs. 3 Nr. 3, Abs. 4 PatG „als solche“ keinen Schutz beanspruchen können. Diese gelten demnach nicht als Erfindungen im Sinne des Gesetzes.63 Dennoch sind Computerprogramme nicht schlechthin vom Patentschutz ausgenommen64. KNN sind als Programme für Datenverarbeitungsanlagen zu qualifizie- 65 ren. Wie bei gewöhnlichen Computerprogrammen sind das Ergebnis von Eingabedaten nach der Verarbeitung durch das Netz immer Ausgabedaten. Die Systeme werden gewöhnlicher Weise als Softwaresystem mit bekannten Programmiermethoden umgesetzt65. Für eine Erfindung muss die beanspruchte Lehre Anweisungen enthal- 66 ten, die der Lösung eines konkreten technischen Problems mit technischen Mitteln dienen66. Welches technische Problem durch eine Erfindung gelöst wird, ist objektiv danach zu bestimmen, was die Erfindung tatsächlich leistet67. Das Softwaremodell eines neuronalen Netzes als solches bewegt sich vollständig innerhalb des Gebiets der Sammlung, Speicherung, Auswertung und Verwendung von Daten, welche Vorgänge als außertechnisch anzusehen sind68. Der Ausschlusstatbestand für Computerprogramme wird jedoch über- 67 wunden, wenn ein Verfahrensablauf durch technische Gegebenheiten 62 Vgl. Hetmank/Lauber-Rönsberg, GRUR 2018, 574 (575). 63 So auch für das europäische Patent, vgl. Art. 52 Abs. 2 lit. c EPÜ. 64 BGH, Beschl. v. 17.10.2001 – X ZB 16/00; Marly, Praxishandbuch Softwarerecht, Rz. 418. 65 BPatG, Beschl. v. 9.6.2015 – 17 W (pat) 37/12; anderes könnte bei der Ausführung von KNN auf neuromorphen Computern gelten, da hier eine völlig andere Computerarchitektur genutzt wird. 66 Ebenda; auch BGH, Beschl. v. 19.10.2004 – X ZB 34/03 (BPatG). 67 BPatG, Beschl. v. 9.6.2015 – 17 W (pat) 37/12; BGH, Beschl. v. 19.10.2004 – X ZB 33/03, GRUR 2005, 141. 68 Vgl. BPatG, Beschl. v. 9.6.2015 – 17 W (pat) 37/12; BGH, GRUR 2009, 479; vgl. auch: Lederer, GRUR-Prax 2019, 152, 153.
169
Frank Hartmann/Matthias Prinz
außerhalb der Datenverarbeitungsanlage bestimmt ist. Gleiches gilt, wenn das zur Problemlösung eingesetzte Computerprogramm Rücksicht auf spezielle technische Gegebenheiten der Datenverarbeitungsanlage nimmt.69 Diesbezüglich weisen KNN keine Besonderheiten im Unterschied zu herkömmlichen Programmen auf und sind in technischen Bereichen grundsätzlich verwendbar. 68 Da die Lehre die Lösung beinhaltet, muss auch das Erreichen der Funktionalität des KNN in der Lehre enthalten sein. Eine Aufspaltung der Entwicklungsschritte des KNN dürfte im Patentrecht daher außer Betracht bleiben. 69 Das Patentrecht knüpft zudem an den Schöpferbegriff an, wobei Erfinder derjenige sein soll, der den Erfindungsgedanken kennt und dessen schöpferischer Tätigkeit die Erfindung entspringt70. Wenn KNN in technischen Erfindungen Anwendung finden, dürfte die schöpferische Tätigkeit dennoch dem Erfinder zuzurechnen sein, da er mit dem Erfindungsgedanken in einer schöpferischen Tätigkeit das Verfahren erdenkt. Die Ausführung des maschinellen Lernens, um das Verfahren umzusetzen, ist daher unschädlich. Anderes dürfte für Erfindungen gelten, die das Ergebnis der Anwendung von KNN sind71. V. Fazit 70 Für KNN ist ein Schutz nach dem Patent- und Urheberrecht de lege lata möglich. 71 Im Patentrecht bestehen wenige Besonderheiten. Schutzhürde wird wie bei allen Programmen zur Datenverarbeitung das Erfordernis der Technizität darstellen. 72 Die Beanspruchung urheberrechtlichen Schutzes stößt hingegen auf erheblich größere Probleme bei der Subsumtion unter das einschlägige Schutzgut des „Computerprogramms“. KNN sind unter die bisherige Auffassung des Programms als determinierter Befehlssatz teilweise nicht mehr subsumierbar. Die Tatsache, dass KNN nicht darauf angewiesen sind, bereits bekannte Lösungsalgorithmen umzusetzen, führt zu einem Zugewinn an Einsatzbereichen, geht aber auch mit einem Verlust von 69 Vgl. Nägerl/Neuburger/Steinbach, GRUR 2019, 336, 339. 70 BGH v. 18.5.2010 – X ZR 79/07, GRUR 2010, 817, Rz. 28; Rektorschek, MittdtPatA 2017,438 (442); Mellulis in: Benkard, § 6 PatG Rz. 30. 71 Hetmank/Lauber-Rönsberg, GRUR 2018, 574 (577); Rektorschek, MittdtPatA 2017, 438 (442).
170
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
Kontrolle im Schöpfungsprozess einher. Die Leistung des Herstellers verschiebt sich damit erheblich von einer expliziten Methodenanweisung zu einer impliziten Anweisung der gewünschten Funktionalität. Damit hat sich die Weitsicht des Gesetzgebers ausgezahlt, der auf eine Definition des Programms verzichtet hat, da die Erstellung eines KNN durchaus schutzwürdig erscheint. Wenn allerdings Voraussetzung zur Erstellung von KNN ein aussagekräftiger Datenschatz ist, stellt sich auch die Frage, ob sich der Schutz des § 69a UrhG nicht zunehmend zu einem bloßen Investitionsschutz entwickelt. VI. Aktueller Diskussionsstand Als mit der Arbeit an obigem Beitrag begonnen wurde, waren Abhand- 73 lungen über das Thema in der Literatur dünn gesät bis nicht existent72. Anliegen des Aufsatzes – und insbesondere des darauf aufbauenden Vortrages bei der Herbstakademie – war daher, eine Grundlage zum Verständnis von KNN zu schaffen, die Probleme bezüglich ihrer Schutzwürdigkeit aufzuzeigen und erste Impulse zur Diskussion zu geben. Es kann konstatiert werden, dass diese Diskussion seitdem zunehmend 74 stattfindet. Seit der Herbstakademie haben Beiträge zur Einordnung von KNN ins geltende Immaterialgüterrecht deutlich zugenommen. Der Schwerpunkt der meisten Arbeiten liegt jedoch weiterhin auf den Erzeugnissen Künstlicher Intelligenz. Ehinger/Stiemerling73 behandelten nichtsdestotrotz nach Erstveröffent- 75 lichung dieses Beitrags dieselbe Thematik. Abweichend von obigem Beitrag nehmen sie aber das Vorliegen eines Computerprogramms für die Topologie weitgehend problemlos an, jedenfalls als Entwurfsmaterial74. Sie werfen die Frage nach dem Anweisungscharakter dafür bezüglich der Gewichtungsparameter auf, lehnen diesen ab75 und vertreten eine Ausweitung des Computerprogrammbegriffs auch für Konstanten und Variablen mit „funktionaler Bedeutung für das Verhalten des Compu-
72 Hetmank/Lauber-Rönsberg, GRUR 2018, 574, 575 weisen bereits auf das Problem hin, setzen den Schwerpunkt aber klar beim Schutz der Erzeugnisse. 73 Ehinger/Stiemerling, CR 2018, 761 ff. 74 Dies., S. 764. 75 Dies., S. 767. Fraglich hierbei erscheint, ob sie einen relevanten Schutzgegenstand betrachten. Denn die Gewichtungsparameter sind ohne Kenntnis der Topologie, in die sie eingebettet werden können, nicht für ein Programm verwendbar, sodass auch kein Schutzbedürfnis besteht. Werden sie gemeinsam mit der Topologie übernommen, liegen auch wieder Steuerungsbefehle vor.
171
Frank Hartmann/Matthias Prinz
ters“76. Der Forderung des o. g. Beitrags nach einer Begriffsneudefinition und einer Anknüpfung an die Funktion des Programmes stimmen sie insofern zu. Einen Schutz als Datenbankwerk und Datenbank diskutieren sie mit gleichem Ergebnis ausführlich, lehnen beides mangels eigenständigen Informationswertes der Parameter aber ab77. 76 Vor dem Hintergrund einer Betrachtung des Begriffs des „Entwurfsmaterials“ widmete sich Antoine78 der Thematik, die die Unterscheidung zwischen untrainiertem und trainiertem Netz aufgreift. Sie nimmt mit Verweis auf Ehinger/Stiemerling ebenfalls einen Schutz des untrainierten Netzes als Computerprogramm an, wobei sie hierfür nicht die endgültige Geeignetheit des Programmes zur Aufgabenerfüllung fordert79. Hinsichtlich der Überführung des untrainierten Netzes in ein trainiertes bezweifelt sie eine menschliche Schöpfung80. Söbbing lehnt den Schutz Neuronaler Netze sowohl nach Patentrecht als auch Urheberrecht de lege lata ab und verweist stattdessen auf die Geschäftsgeheimnis-RL81. 77 Papastefanou82 behandelte die Schutzwürdigkeit von Generic Breeding Models. Diese unterscheiden sich zwar im Aufbau von KNN, weisen aber ein vergleichbares Problem auf, da auch hier das endgültige Programm nicht durch einen menschlichen Programmierer erzeugt wird, sondern durch automatisierte Verfahren entsteht, die aus großen Datenmengen Muster ableiten. Es ist somit ähnlich intransparent wie ein KNN. Papastefanou überträgt daher die Unterscheidung zwischen untrainiertem und trainiertem Netz auf die Struktur aus grundlegenden Builderbzw. Test-Algorithmen und dem Ziel-Algorithmus83. Auch er verweist für die Schutzfähigkeit ersterer auf Ehinger/Stiemerling. Bezüglich des Zielalgorithmus thematisiert er vorrangig die geistige Schöpfung; die Subsumtion unter den Begriff des Computerprogramms stellt sich aus seiner Sicht wenig problematisch dar84. 76 Dies., S. 767. Hier wird sich für die Praxis das Problem ergeben, den Begriff der „Funktionalität“ der Variablen zu bestimmen. So sind auch temporär lokal gespeicherte Variablen „funktional“, aber sicherlich kein Teil des Schutzgegenstandes. Die Identifikation der Gewichtungsparameter als Schutzgegenstand erschafft damit Folgeprobleme. 77 Dies., S. 768 f. 78 Antoine, CR 2019, 1 – 8. 79 Dies., S. 3 f. 80 Dies., S. 5 f. 81 Söbbing, K&R 2019, 164 – 169. 82 Papastefanou, CR 2019, 209 – 215. 83 Ders., S. 212 f. 84 Ders., S. 13 f. Dabei nimmt er die Programmeigenschaft aufgrund des Vorhandenseins von Steuerungsbefehlen an. Auf die Notwendigkeit einer Geeignetheit zur Erfüllung einer Aufgabe geht er nicht ein.
172
Immaterialgüterrechtlicher Schutz von Systemen Künstlicher Intelligenz
Mit Fokus auf das Patentrecht nähert sich Lederer85 der Frage und weist 78 bezüglich des problematischen Merkmals der Technizität einerseits auf eine knappe Behandlung in den Prüfungsrichtlinien und eine spärliche Rechtsprechung, zum anderen aber auf eine intensive Beschäftigung der Patentämter mit der Thematik hin. Auch nach Nägerl/Neuburger/Steinbach86 ändert sich durch KNN (KI) nichts an den Grundlagen zur Patentierbarkeit von Software. Ménière/Pihlajamaa87 stellen in ihrem Beitrag die wachsende Anzahl 79 von Patentanmeldungen mit Bezug zu KI heraus. Neben der Problematik der Erfindungen durch KI, die u. a. den Stand der Technik beeinflussen könnten88, thematisieren sie auch die Offenbarung im Zuge der Patentanmeldung. Demnach stellt die Intransparenz des endgültigen Algorithmus kein Hindernis dar, da er über Ausgangsalgorithmus und Trainingsdaten reproduzierbar ist89. Das Thema der Schutzfähigkeit von Erzeugnissen von KI wurde im obi- 80 gen Aufsatz zwar ausgeklammert, die oben diskutierten Fragen werden aber relevant bei der Suche nach Zurechnungsketten, die eine Verortung der Schöpfung von KNN-Erzeugnissen beim Programmierer erlauben würden. Lauber-Rönsberg90 hinterfragt diesbezüglich das Kriterium der absolu- 81 ten Kontrollierbarkeit als Voraussetzung für einen Schutz als persönlich-geistiges Werk generell und fordert eine wertende Betrachtung91. Für sie ist maßgebliche Frage für die Zurechnung von durch KI erzeugte Werke, wer die maßgeblichen Gestaltungsentscheidungen bei der Schöpfung getroffen hat, wobei hierfür Programmierer, Nutzer oder KI in Betracht kommen; denkbar sei auch eine Miturheberschaft92. Ory/Sorge93 betonen auf technischer Seite die Wichtigkeit und Möglichkeit von menschlicher Einflussnahme auf KI94. Auch sie geben keine eindeutige Einschätzung der Schutzfähigkeit, sondern wollen je nach Grad der Autonomie der Software eine Schöpfung annehmen oder ablehnen95. 85 86 87 88 89 90 91 92 93 94 95
Lederer, GRUR-Prax 2019, 152 – 154. Nägerl/Neuburger/Steinbach, GRUR 2019, 336. Ménière/Pihlajamaa, GRUR 2019, 332 – 336. Dies., S. 334 f. Dies., S. 335. Lauber-Rönsberg, GRUR 2019, 244 – 253. Dies., S. 247. Dies., S. 248. Ory/Sorge, NJW 2019, 710 – 713. Dies., S. 710. Dies., S. 711.
173
Frank Hartmann/Matthias Prinz
82 Schließlich findet sich die Frage nach der Zurechenbarkeit auch bei der Problematik der zivilrechtlichen Haftung für autonome Systeme sowie des Strafrechts. Exemplarisch weist Borges96 auf Problemfelder hin, die sich im Zusammenhang mit Autonomen Systemen als Systeme, „deren Verhalten nicht vollständig vorherbestimmt oder vorhersehbar ist“97, ergeben. Auf diesen großen Komplex kann hier aber nicht erschöpfend eingegangen werden. 83 Weitere Beiträge zur Thematik sind für die 5. Tagung GRUR Junge Wissenschaft angekündigt, was für eine Relevanz gerade für die kommende Generation von Immaterialgüterrechtlern spricht. Die Autoren sind diesbezüglich gespannt auf die weitere Entwicklung.
96 Borges, NJW 2018, 977; bereits vor der Herbstakademie erschienen. 97 Ders., S. 978.
174
KI und das europäische Datenschutzgrundrecht – Spielräume für technologische Innovation und innovativen Schutz Nikolaus Marsch* I. Anliegen des Beitrags: Eine Tür für KI öffnen II. Warum eine Tür geöffnet werden muss 1. Die traditionelle Grundkonzeption des Datenschutzrechts: Enge Grenzen für den Einsatz von KI 2. Konstitutionalisierung eines einfachgesetzlichen Regelungsmodells: Das Recht auf informationelle Selbstbestimmung in Deutschland als verfassungsrechtliche Grenze für KI a) Grundrechtsinnovation unter Rückgriff auf ein Regelungsmodell des einfachen Rechts b) Unterscheidung zwischen der rechtstechnischen Konstruktion und der theoretischen Konzeption: Das Recht auf informationelle Selbstbestimmung als instrumenteller Vorfeldschutz c) Supra-individuelle Elemente in der Rechtsprechung des Bundesverfassungsgerichts 3. Zwischenfazit
*
III. Wie eine Tür geöffnet werden könnte 1. Art. 8 GRC als Ausgestaltungspflicht des Gesetzgebers, nicht als Recht auf informationelle Selbstbestimmung a) Wortlaut und Gesetzgebungsgeschichte b) Systematik c) Art. 8 als modernes Datenschutzgrundrecht: Verbindung von Innovationsoffenheit und grundrechtlichem Schutz 2. Und der EuGH? Ein sich schließendes window of opportunity IV. Keine Tür ohne Rahmen: Gesetzgeber und Wissenschaft sind in der Pflicht 1. Gesetzgeber: Ein Regelungsrahmen für KI 2. Wissenschaft: Plädoyer für mehr bottom-up-Forschung
Prof. Dr. Nikolaus Marsch, D.I.A.P. (ENA), Lehrstuhl für Staats- und Verwaltungsrecht an der Universität des Saarlandes. Translation from the English language edition: Regulating Artificial Intelligence by Thomas Wischmeyer and Timo Rademacher. Copyright © Springer Nature Switzerland AG 2019. All Rights Reserved.
175
Nikolaus Marsch Literaturübersicht: Albers, Informationelle Selbstbestimmung, 2005; dies., Realizing the Complexity of Data Protection, in: Gutwirth/Leenes/De Hert (Hrsg.), Reloading data protection: Multidisciplinary Insights and Contemporary Challenges, 2014, 213; Altman/Wood/O’Brien/Gasser, Practical approaches to big data privacy over time, International Data Privacy Law 8 (2018), 29; Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation (2.4.2013), http://ec.europa.eu/justice/article-29/documentation/opinion-recommendation/ files/2013/wp203_en.pdf; Boehme-Neßler, Die Macht der Algorithmen und die Ohnmacht des Rechts, NJW 2017, 3031; Britz, Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts, in: Hoffmann-Riem (Hrsg.), Offene Rechtswissenschaft, 2010, 561; Butterworth, The ICO and artificial intelligence, Computer Law & Security Review 34 (2018), 257; Calliess/Ruffert (Hrsg.), EUV/AEUV: Das Verfassungsrecht der Europäischen Union mit Europäischer Grundrechtecharta – Kommentar, 5. Auflage 2016; Cate/Cullen/Mayer-Schönberger, Data Protection Principles for the 21st Century: Revising the 1980 OECD Guidelines, 2014, https://www.oii.ox.ac.uk/archive/downloads/publications/Data_Protection_Principles_for_the_21st_Century.pdf; Conrad, Künstliche Intelligenz – Die Risiken für den Datenschutz, DuD 2017, 740; ders., Kann die Künstliche Intelligenz den Menschen entschlüsseln? – Neue Forderungen zum Datenschutz, DuD 2018, 541; Cornils, Grundrechtsschutz gegenüber polizeilicher KfZ-Kennzeichenüberwachung, Jura 2010, 443; ders., Schrankendogmatik, in: Grabenwarter (Hrsg.), Enzyklopädie Europarecht II: Europäischer Grundrechtsschutz, 2014, § 5; ders., Der grundrechtliche Rahmen für ein (trans-)nationales Datenschutzrecht im digitalen Zeitalter, in: Hain/Peifer (Hrsg.), Datenschutz im digitalen Zeitalter – global, europäisch, national, 2015, 11; Council of Europe’s Consultative Committee of Convention 108 (2017), Guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data, 2017, https:// rm.coe.int/CoERMPublicCommonSearchServices/DisplayDCTMContent?documentId=09000016806ebe7a; Eichenhofer, Privatheit im Internet als Vertrauensschutz, Der Staat 55 (2016), 41; Forgó/Hänold/Schütze, The Principle of Purpose Limitation and Big Data, in: Corrales/Fenwick/Forgó (Hrsg.), New Technology, Big Data and the Law, 2017, 17; González Fuster/Gutwirth, Opening up personal data protection: A conceptual controversy, Computer Law & Security Review 29 (2013), 531; von Grafenstein, The Principle of Purpose Limitation in Data Protection Laws, 2018; Hoeren/Niehoff, KI und Datenschutz – Begründungserfordernisse automatisierter Entscheidungen, RW 2018, 47; Hoffmann-Riem, Informationelle Selbstbestimmung in der Informationsgesellschaft, AöR 123 (1998), 513; ders., Rechtliche Rahmenbedingungen für und regulative Herausforderungen durch Big Data, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, 9; Hornung, Grundrechtsinnovationen, 2015; ders., Erosion traditioneller Prinzipien des Datenschutzrechts durch Big Data, in: Hoffmann-Riem (Hrsg.), Big Data – Regulative Herausforderungen, 2018, 79; ders./Herfurth, Datenschutz bei Big Data, in: König/Schröder/Wiegand (Hrsg.), Big Data: Chancen, Risiken, Entwicklungstendenzen, 2018, 149; Information Commissioner‘s Office, Big data, artificial intelligence, machine learning and data protection, 2017, https://ico.org.uk/ media/for-organisations/documents/2013559/big-data-ai-ml-and-data-protection. pdf; Kamarinou/Millard/Singh/Jatinder, Machine Learning with Personal Data,
176
KI und das europäische Datenschutzgrundrecht in: Leenes/van Brakel/Gutwirth/de Hert (Hrsg.), Data Protection and Privacy: The Age of Intelligent Machines, 2017, 89; Kroll/Huey/Barocas/Felten/Reidenberg/ Robinson/Yu, Accountable Algorithms, University of Pennsylvania Law Review 165 (2017), 633; Marsch, Das europäische Datenschutzgrundrecht: Grundlagen – Dimensionen – Verflechtungen, 2018; Martini, Algorithmen als Herausforderung für die Rechtsordnung, JZ 2017, 1017; Mayer-Schönberger/Cukier, Big data: A revolution that will transform how we live, work, and think, 2013; Meyer (Hrsg.), Charta der Grundrechte der Europäischen Union, 4. Auflage, 2014; Naumann, Art. 52 Abs. 3 GrCh zwischen Kohärenz des europäischen Grundrechtsschutzes und Autonomie des Unionsrechts, EuR 2008, 424; Oostveen/Irion, The Golden Age of Personal Data: How to Regulate an Enabling Fundamental Right?, Bakhoum/Conde Gallego/Mackenrodt/Surblytė-Namavičienė (Hrsg.), Personal Data in Competition, Consumer Protection and Intellectual Property Law, 2018; Poscher, Die Zukunft der informationellen Selbstbestimmung als Recht auf Abwehr von Grundrechtsgefährdungen, in: Gander/Perron/Poscher/Riescher/Würtenberger (Hrsg.), Resilienz in der offenen Gesellschaft, 2012, 167; ders., The Right to Data Protection: A No-Right Thesis, in: Miller (Hrsg.), Privacy and power: A transatlantic dialogue in the shadow of the NSA-Affair, 2017, 129; Rademacher, Predictive Policing im deutschen Polizeirecht, AöR 142 (2017), 366; Rost, Künstliche Intelligenz, DuD 2018, 558; Schneider/Hofmann/Ziller (Hrsg.), ReNEUAL-Musterentwurf für ein EU-Verwaltungsverfahrensrecht, 2015; Schneider/Rennert/ Marsch, ReNEUAL-Musterentwurf für ein EU-Verwaltungsverfahrensrecht – Tagungsband, 2016; Siemen, Datenschutz als europäisches Grundrecht, 2006; Spiecker gen. Döhmann, Big und Smart Data: Zweckbindung zwecklos?, Spektrum der Wissenschaften Spezial 2017, 56; Trute, Verfassungsrechtliche Grundlagen, in: Roßnagel (Hrsg.), Handbuch Datenschutzrecht, 2003, Kap. 2.5; ders., Rechtliche Herausforderungen der Digitalisierung, in: Bär/Grädler/Mayr (Hrsg.), Digitalisierung im Spannungsfeld von Politik, Wirtschaft, Wissenschaft und Recht – Band 2, 2018, 313; ders./Broemel, Alles nur Datenschutz? Zur rechtlichen Regulierung algorithmenbasierter Wissensgenerierung, Berliner Debatte Initial 27 (2016), 50; Wischmeyer, Regulierung intelligenter Systeme, AöR 143 (2018), 1; ders./Rademacher (Hrsg.), Regulating Artificial Intelligence, 2019 (im Erscheinen); darin ders., AI and Transparency – Opening the „black box“.
Abstract: Soweit personenbezogene Daten verwendet werden, stellt der 1 Einsatz von KI eine Herausforderung für das geltende Datenschutzrecht dar, mit dessen Grundkonzeption KI in vielen Punkten in Konflikt gerät. Der Beitrag geht der Frage nach, ob dies aus einer grundrechtlichen Perspektive so sein muss. Erkennt man im Datenschutzgrundrecht in Art. 8 der EU-Grundrechtecharta (GRC) ein dem deutschen Recht auf informationelle Selbstbestimmung nachempfundenes Recht darauf, selbst über die Verwendung seiner personenbezogenen Daten zu entscheiden, dann wären die Spielräume des Gesetzgebers jedenfalls hinsichtlich der Verwendung von KI durch öffentliche Stellen eng – sein Einsatz wäre insoweit weitgehend unzulässig. Überzeugender scheint es jedoch, Art. 8 GRC als eine Pflicht des Gesetzgebers zu verstehen, den Informationsumgang des Staates – und damit auch den Einsatz von 177
Nikolaus Marsch
KI – so zu regulieren, dass die Grundrechte einen möglichst weitgehenden Schutz erfahren. Ein in dieser Weise interpretiertes Datenschutzgrundrecht wäre offen für technische Innovationen, denn es würde dem Gesetzgeber ermöglichen, von der hergebrachten Grundkonzeption des Datenschutzrechts in Teilen abzuweichen und stattdessen innovative Schutzinstrumente zu erproben, die sich sogar als effektiver erweisen könnten. Zugleich stellt es den Einzelnen auch nicht schutzlos, da es den Gesetzgeber unter anderem dazu verpflichtet, seinen Regelungen ein umfassendes Konzept zum Schutz der Grundrechte zugrunde zu legen, das auch die Datenverarbeitung durch Private zu berücksichtigen hat. I. Anliegen des Beitrags: Eine Tür für KI öffnen 2 Künstliche Intelligenz, Big Data Analytics und Machine Learning fordern das geltende Recht und insbesondere das europäische Datenschutzrecht heraus. Wie alle technologischen Innovationen wirft auch KI die Frage auf, inwieweit die bisherigen Regeln noch zur veränderten Realität passen. Sofern das bestehende Recht keine problemadäquaten Antworten gibt, müssen neue Lösungen gefunden werden.1 Fraglich ist jedoch, welche Spielräume für neue Antworten die nationalen sowie der europäische Gesetzgeber noch besitzen. Soweit personenbezogene Daten verwendet werden, ergeben sich die Grenzen der Spielräume der nationalen Gesetzgeber vor allem aus dem europäischen Datenschutzrecht, namentlich der Datenschutz-Grundverordnung (DSGVO). Diese einfachrechtlichen, das heißt verschiebbaren, Grenzen sind nicht Gegenstand des folgenden Beitrags.2 Im Folgenden soll es vielmehr um jene Grenzen gehen, die den nationalen wie dem europäischen Gesetzgeber durch die Grundrechte gesetzt werden, insbesondere durch Art. 8 EU-Grundrechtecharta (GRC). Dieser verankert erstmals auf europäischer Ebene ein explizites Datenschutzgrundrecht, das nicht nur die Organe der EU, sondern sehr weitgehend auch die nationalen Gesetzgeber bindet (Art. 51 Abs. 1 GRC).3
1
2
3
Eine Reihe sachgebietsspezifischer Analysen und Vorschläge enthält der von Thomas Wischmeyer und Timo Rademacher bei Springer herausgegebene Band „Regulating Artificial Intelligence“, in dem auch die Ursprungsversion des vorliegenden Beitrags erscheint. Zu dieser Thematik siehe unter anderem die Beiträge von Hoeren/Niehoff, RW 2018, 47 und Kamarinou et al., Machine Learning (2017) sowie Conrad, DuD 2018, 541 (542-545). Hierzu ausführlich Marsch, Europäisches Datenschutzgrundrecht (2018), S. 306-344.
178
KI und das europäische Datenschutzgrundrecht
Anliegen des Beitrags ist nun, eine grundrechtliche Tür für KI zu öffnen, 3 ohne zugleich die BürgerInnen schutzlos zu stellen. Dem liegt die Überzeugung zugrunde, dass auf technologische Innovationen wie KI nicht unhinterfragt mit existierenden rechtlichen Instrumenten geantwortet werden kann, sondern sie regelmäßig nach innovativen Lösungen verlangen. Nach hergebrachter Lesart des Art. 8 GRC ist der Einsatz von KI, zumindest wenn er durch öffentliche Stellen erfolgt und dabei personenbezogene Daten verwendet werden, jedoch weitgehend unzulässig, was es erforderlich macht, eine grundrechtliche Tür zu öffnen. Im Folgenden wird daher zunächst erläutert, warum die hergebrachte Lesart von Art. 8 GRC die Tür für KI weitestgehend verschließt (II.), bevor dargelegt wird, in welcher Weise die Öffnung der grundrechtlichen Tür durch eine Reinterpretation des Grundrechts erfolgen kann (III.). Da jede Tür auch eines Rahmens bedarf, sollen abschließend die Aufgaben von Gesetzgebung und Wissenschaft skizziert werden, diesen Rahmen für den Einsatz von KI näher zu bestimmen (IV.). II. Warum eine Tür geöffnet werden muss Wenden wir uns also zunächst der Frage zu, warum eine grundrecht- 4 liche Tür zu öffnen ist. Grund hierfür ist, dass nach der traditionellen Grundkonzeption des Datenschutzrechts der Einsatz von KI weitgehend unzulässig ist (II.1). Dies stellt zumindest in Deutschland auch ein grundrechtliches Problem dar, weil das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung unter Rückgriff auf das Datenschutzrecht und dessen Grundkonzeption entwickelt und diese damit konstitutionalisiert hat (II.2). Die Analyse dieser deutschen Entwicklung lohnt sich schließlich deshalb, weil sich in der Rechtsprechung des EuGH eine ähnliche Entwicklung abzeichnet (III.2). 1. Die traditionelle Grundkonzeption des Datenschutzrechts: Enge Grenzen für den Einsatz von KI Ziel des Datenschutzrechts war es von Beginn an, die Verarbeitung per- 5 sonenbezogener Daten zu strukturieren, zu begrenzen und für die betroffenen Personen transparent zu machen. Zu diesem Zweck enthielt schon das Bundesdatenschutzgesetz (BDSG) von 1977 in seinem § 3 das sogenannte Verbotsprinzip4, wonach die Verarbeitung personenbezogener
4
Die Bezeichnung als „Verbot mit Erlaubnisvorbehalt“ ist dagegen schief, da es für die Datenverarbeitung keiner behördlichen Erlaubnis bedarf, sondern einer gesetzlichen Rechtsgrundlage.
179
Nikolaus Marsch
Daten grundsätzlich verboten ist, sofern sie nicht durch eine gesetzliche Grundlage oder eine Einwilligung gerechtfertigt wird. Und bereits diese Norm aus dem Jahr 1977 präzisierte, dass das Erfordernis einer rechtlichen Grundlage oder Einwilligung für jede einzelne Verarbeitungsphase gilt.5 Zu dieser Konzeption, jede einzelne Datenverarbeitung zu regulieren, die auch der DSGVO (namentlich den Art. 5 und 6) zugrunde liegt, gehört als „Eckpfeiler“6 der Grundsatz der Zweckbindung, wonach personenbezogene Daten nur zu vorher festgelegten, konkreten Zwecken verarbeitet werden dürfen (Art. 5 Abs. 1 lit. a DSGVO).7 An diese Festlegung eines Zweckes der Datenverarbeitung knüpfen eine Vielzahl anderer Regelungen und Grundsätze an, wie beispielsweise die Informationspflichten nach Art. 13 und 14 DSGVO und das Erforderlichkeitsprinzip in Art. 5 Abs. 1 lit. c DSGVO. Der hergebrachte Anspruch des geltenden Datenschutzrechts ist es also, die Datenverarbeitung zu rationalisieren, indem es die Verarbeitung von personenbezogenen Daten nur auf einer gesetzlichen Basis, zu festgelegten Zwecken und in einer transparenten Weise erlaubt. In den Worten von Marion Albers: „The entire approach is guided by the idea that courses of action and decision-making processes could be almost completely foreseen, planned and steered by legal means.“8 Dass KI mit diesem Anspruch des Datenschutzrechts in Konflikt gerät, liegt auf der Hand. 6 So basiert der Einsatz der heute üblichen – also auf maschinellem Lernen basierenden – KI auf großen Datenmengen, die zu Trainings- und Testzwecken genutzt werden.9 Diese Daten sind regelmäßig zu anderen Zwecken erhoben worden, weshalb ihre Weiterverwendung als Trainingsund Testdaten für den Einsatz von KI rechtfertigungsbedürftig ist. Zwar sieht Art. 6 Abs. 4 DSGVO die Möglichkeit einer Weiterverwendung zu anderen Zwecken vor, sofern der ursprüngliche und der neue Zweck vereinbar sind. Hierbei handelt es sich aber um eine nach Ansicht vieler eng auszulegende Ausnahme vom Zweckbindungsprinzip, die zudem aufgrund ihrer weichen Formulierung nicht die erforderliche Rechtssicherheit schafft, um die Verwendung der Daten als Grundlage für KI
5 6 7
8 9
Siehe auch Albers, Complexity of Data Protection (2014), S. 213 (214 f.). Article 29 Data Protection Working Party, Opinion 03/2013 on purpose limitation (2013), S. 4. Zur Entwicklung des Zweckbindungsgrundsatzes auf internationaler Ebene, namentlich in den Europaratsabkommen und in den OECD-Richtlinien siehe Forgó et al., The Principle of Purpose Limitation and Big Data (2017), S. 17 (22-25). Albers, Complexity of Data Protection (2014), S. 213 (221). Wischmeyer, AöR 143 (2018), 1, 10-11, 14-15.
180
KI und das europäische Datenschutzgrundrecht
über Einzelfälle hinaus rechtfertigen zu können.10 Grundsätzlicher noch gerät KI deshalb mit der Konzeption des geltenden Datenschutzrechts in Konflikt, weil vielfach auch die Programmierer selbst – insbesondere im Fall des unsupervised learning – nicht mehr nachvollziehen können, wie die KI zu ihren Ergebnissen kommt, und weil erst die Datenanalyse die eigentliche These und damit letztlich auch den Verarbeitungszweck hervorbringt.11 Einer solchen black box steht die Idee, jeden Datenverarbeitungsvorgang rechtlich zu regulieren, diametral entgegen.12 Der sich im Datenschutzrecht abbildenden Sorge vor dem Kontrollverlust steht damit das partiell Unkontrollierte und Unkontrollierbare in Gestalt von KI gegenüber.13 Dass KI das geltende Datenschutzrecht in seiner Grundkonzeption her- 7 ausfordert, wird deutlich, wenn man versucht, den in Art. 5 DSGVO aufgelisteten Katalog der datenschutzrechtlichen Grundsätze auf KI zur Anwendung zu bringen. Mit nahezu allen Grundsätzen14 gerät KI in einen Konflikt, zumindest in eine gewisse Spannung (was nicht heißt, dass die Grundsätze alle und in allen Fällen verletzt sind). Für die Grundsätze der Transparenz15 und der Zweckbindung16 sowie die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) ergibt sich das bereits aus dem soeben Gesag10 So – allerdings in Bezug auf Big Data – Spiecker gen. Döhmann, Spektrum der Wissenschaften Spezial 2017, 56, 58-61; weniger streng – ebenfalls mit Blick auf Big Data – Hornung/Herfurth, Datenschutz bei Big Data (2018), S. 149 (168-169); allgemein für ein innovationsoffeneres Verständnis des Zweckbindungsprinzips plädiert von Grafenstein, Principle of Purpose Limitation (2018). 11 Conrad, DuD 2018, 541 (543-544); Hornung, Erosion traditioneller Prinzipien (2018), S. 79 (85 f.). 12 Angedeutet auch bei Conrad, DuD 2017, 740, 743; zur Intransparenz als einem zentralem Problem gerade auch mit Blick auf die nachlaufende Kontrolle Martini, JZ 2017, 1017, 1018-1019; zur Verbindung zwischen Zweckbindung und Transparenz siehe Forgó et al., The Principle of Purpose Limitation and Big Data (2017), S. 17 (27) und Trute, Herausforderungen der Digitalisierung (2018), S. 313 (317); zur Steuerbarkeit als Ziel von Transparenz Rademacher, AöR 142 (2017), 366 (376-377). 13 Boehme-Neßler, NJW 2017, 3031 bezieht diesen Befund nicht nur auf das Datenschutzrecht, sondern auf das Recht als Ganzes, das in seiner begrenzenden Wirkung durch die entgrenzend wirkende Digitalisierung herausgefordert wird. 14 Weitgehend konfliktfrei ist wohl allein das Verhältnis zu den in Art. 5 Abs. 1 lit. f DSGVO verankerten Grundsätzen der Integrität und der Vertraulichkeit. 15 Hierzu ausführlich Wischmeyer, AI and Transparency (2019). 16 Sehr kritisch daher zu Datenschutzgrundsätzen wie der Zweckfestlegung und der Verwendungsbeschränkung Cate et al., Data Protection Principles (2014), S. 11.
181
Nikolaus Marsch
ten. Aber auch die Grundsätze der Datenminimierung (lit. c) und der Speicherbegrenzung (lit. e) liegen letztlich quer zur Idee von Big Data, möglichst viele Daten zum Zwecke der Mustererkennung zu sammeln.17 Denn diesen Grundsätzen könnte ein Big-Data-Anwender in vielen Fällen nur dadurch Genüge tun, dass er als Datenverarbeiter den Zweck der Verarbeitung äußerst weit und damit unscharf fasst (beispielsweise „zum Zwecke der Mustererkennung“). Eine derart weite Zweckbestimmung würde jedoch ihre eigentlichen Schutzzwecke (Begrenzung und Transparenz der Datenverarbeitung) kaum mehr erfüllen und wäre auch kaum noch als eindeutig im Sinne des Art. 5 Abs. 1 lit. b DSGVO anzusehen.18 Auch der in Art. 5 Abs. 1 lit. d DSGVO verankerte Grundsatz der Richtigkeit ist nicht mit einer der Grundideen von Big Data in Einklang zu bringen, die darin liegt, dass die Aussagekraft vor allem durch die schiere Masse an Daten steigt, auch wenn diese in Teilen unsortiert, unscharf und sogar unkorrekt sind.19 8 Es erstaunt daher letztlich nicht, dass die DSGVO die durch KI aufgeworfenen Probleme nicht in den Blick nimmt.20 Denn dies hätte letztlich eine, zumindest für den Bereich KI geltende, Abkehr von der bisherigen Grundkonzeption des europäischen Datenschutzrechts erfordert. Lösungsversuche, die innerhalb des bestehenden Rahmens verbleiben, wie beispielsweise die Anonymisierung der Daten, führen nur in Einzelfällen, nicht aber generell zum Erfolg, da angesichts der Leistungsfähigkeit von Big-Data-Analysen eben auch das Risiko der Deanonymisierung gestiegen ist.21 9 Auf den Befund, dass der Einsatz von KI mit dem geltenden europäischen Datenschutzrecht weitgehend unvereinbar ist,22 kann nun auf zwei Arten und Weisen reagiert werden: Man kann dies angesichts der mit dem Einsatz von KI verbundenen Risiken und Gefahren für richtig halten und 17 Trute/Broemel, Berliner Debatte Initial 27 (2016), 50, 53 und Hornung, Erosion traditioneller Prinzipien (2018), S. 79 (86) betonen zu Recht, dass ohne eine Zweckfestlegung auch der Bezugspunkt für die der Datenminimierung und der Speicherbegrenzung zugrundeliegende Erforderlichkeit fehlt. 18 Hierzu Forgó et al., The Principle of Purpose Limitation and Big Data (2017), S. 17 (27 f.); ausführlich zur Präzision des Zweckbestimmung als zentrales Problem von Grafenstein, Principle of Purpose Limitation (2018), S. 231-295. 19 Zu den beiden Eigenschaften big („mehr“) und messy („unscharf“) siehe Mayer-Schönberger/Cukier, Big Data (2013), Kapitel 2 und 3. 20 So auch Hoeren/Niehoff, RW 2018, 47, 58. 21 Hierzu Altman et al., IDPL 8 (2018), 29, 41 f. und Hoffmann-Riem, Rechtliche Rahmenbedingungen und regulative Herausforderungen (2018), S. 9 (56). 22 So auch Hoffmann-Riem, Rechtliche Rahmenbedingungen und regulative Herausforderungen (2018), S. 9 (46).
182
KI und das europäische Datenschutzgrundrecht
einen gesetzgeberischen Handlungsbedarf insoweit bestreiten.23 Oder aber man versteht KI als eine Herausforderung für eine datenschutzrechtliche Konzeption, die weitgehend aus den 1970er Jahren stammt und daher heute schlicht keine adäquate rechtliche Reaktion auf den technologischen Fortschritt mehr darstellt.24 Will man jedoch die zweite Position einnehmen und für eine Reform des Datenschutzrechts plädieren, die den Einsatz von KI durch innovative Regeln sinnvoll steuert und begrenzt, wofür vieles spricht25, dann steht man vor der Frage, inwieweit sich das Datenschutzrecht noch ändern lässt. Anders gewendet: welche Teile des Datenschutzrechts sind durch die Grundrechte zwingend vorgegeben und damit einer Änderung durch den Gesetzgeber entzogen? Hier soll zunächst ein Blick auf das historisch ältere deutsche Recht auf informationelle Selbstbestimmung geworfen werden (II.2), bevor in Abgrenzung zu diesem eine innovationsoffene Konzeption des europäischen Datenschutzgrundrechts in Art. 8 GRC entfaltet wird (III.). 2. Konstitutionalisierung eines einfachgesetzlichen Regelungsmodells: Das Recht auf informationelle Selbstbestimmung in Deutschland als verfassungsrechtliche Grenze für KI a) Grundrechtsinnovation unter Rückgriff auf ein Regelungsmodell des einfachen Rechts Mit seinem Volkszählungsurteil hat das Bundesverfassungsgericht aus 10 dem Grundrecht des allgemeinen Persönlichkeitsrechts ein Recht auf informationelle Selbstbestimmung abgeleitet. Dieses Grundrecht gewährleistet „die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.“26 Das Gericht begründet die von ihm aus dem Grundgesetz abgeleitete
23 Tendenziell in diese Richtung Hornung, Erosion traditioneller Prinzipien (2018), S. 79 (87). 24 So beispielsweise Trute/Broemel, Berliner Debatte Initial 27 (2016), 50; grundsätzlich zu dem durch die Algorithmisierung ausgelösten Reformbedarf Hoffmann-Riem, Rechtliche Rahmenbedingungen und regulative Herausforderungen (2018), S. 9 (13 f.). 25 In diese Richtung beispielsweise auch Conrad, DuD 2017, 740, 744 und Hoffmann-Riem, Rechtliche Rahmenbedingungen und regulative Herausforderungen (2018), S. 9 (58 f.); auch Trute, Rechtliche Herausforderungen (2018), S. 313 (323) betont, dass sich der Rückgriff auf einfache Regelungsmuster hier verbietet. 26 BVerfG v. 15.12. 1983, BvR 209, 269, 362, 420, 440, 484/83 = E 65, 1, 43 (Volkszählung).
183
Nikolaus Marsch
Grundrechtsinnovation27 wie folgt: „Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß.“28 Jede Verarbeitung eines personenbezogenen Datums durch eine öffentliche Stelle bedarf daher, so das Gericht, „einer (verfassungsmäßigen) gesetzlichen Grundlage, aus der sich die Voraussetzungen und der Umfang der Beschränkungen klar und für den Bürger erkennbar ergeben und die damit dem rechtsstaatlichen Gebot der Normenklarheit entspricht.“29 Das Bundesverfassungsgericht hat auf diese Weise das historisch ältere Regelungsmodell der Datenschutzgesetze, wonach für jede einzelne Verarbeitungsphase das Verbotsprinzip gilt, konstitutionalisiert.30 Da, wie bereits gezeigt, dieses nunmehr grundrechtlich verankerte Regelungsmodell zumindest mit einem Einsatz von KI durch staatliche Stellen schwer vereinbar ist, spricht auf den ersten Blick vieles dafür, dieses weitgehend auch für verfassungswidrig zu erachten. Diese Schlussfolgerung wird jedoch erschüttert, wenn man die theoretische Grundlage des Rechts auf informationelle Selbstbestimmung einmal genauer in den Blick nimmt. b) Unterscheidung zwischen der rechtstechnischen Konstruktion und der theoretischen Konzeption: Das Recht auf informationelle Selbstbestimmung als instrumenteller Vorfeldschutz 11 In den letzten 15 Jahren wurde in der deutschen grundrechtlichen Literatur herausgearbeitet, dass das Recht auf informationelle Selbstbestimmung nicht als ein Herrschaftsrecht misszuverstehen ist, das dem Einzelnen ein Recht gibt, über die ihn betreffenden personenbezogenen Daten zu verfügen.31 Schon im Volkszählungsurteil hatte das Bundesver27 Allgemein zu den Grundrechtsinnovationen des deutschen Verfassungsrechts Hornung, Grundrechtsinnovationen (2015). 28 BVerfG v. 15.12.1983, BvR 209, 269, 362, 420, 440, 484/83 = E 65, 1, 43 (Volkszählung). 29 BVerfG v. 15.12. 1983, BvR 209, 269, 362, 420, 440, 484/83 = E 65, 1, 44 (Volkszählung). 30 Albers, Complexity of Data Protection (2014), S. 213 (215). 31 Siehe als Beispiel Albers, Complexity of Data Protection (2014), S. 213 (215); Britz, Informationelle Selbstbestimmung (2010), S. 561 (562 ff.); Trute, Verfas-
184
KI und das europäische Datenschutzgrundrecht
fassungsgericht klargestellt, dass „der Einzelne nicht ein Recht im Sinne einer absoluten, uneinschränkbaren Herrschaft über „seine“ Daten (Anführungszeichen im Original) hat“32 und dass eine „Information, auch soweit sie personenbezogen ist, ein Abbild sozialer Realität darstellt, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann.“33 Insbesondere Gabriele Britz und Ralf Poscher haben herausgearbeitet, dass das Recht auf informationelle Selbstbestimmung als ein bloß instrumentelles Grundrecht in erster Linie den Schutz anderer Grundrechte bezweckt, deren Verletzung bereits im Vorfeld34 durch eine Regulierung der Datenverarbeitung verhindert werden soll.35 Noch einen Schritt weiter geht Marion Albers, die sich zum einen gegen ein rein individualistisches Verständnis des Rechts auf informationelle Selbstbestimmung wendet36 und zum anderen betont, dass das Datenschutzrecht ein ganzes Bündel von Interessen schütze, die nicht als ein einheitliches Schutzgut verstanden werden könnten.37 Entscheidend für das Verständnis des Rechts auf informationelle Selbst- 12 bestimmung ist dabei jedenfalls, dass zwischen der rechtstechnischen Konstruktion und der dem Grundrecht zugrundeliegenden theoretischen Konzeption unterschieden werden muss.38 Die Konstruktion des Rechts auf informationelle Selbstbestimmung, wonach die Verarbeitung personenbezogener Daten durch den Staat einen Eingriff in das Recht des Einzelnen darstellt, selbst über die Verarbeitung entscheiden zu können, ist hiernach kein Selbstzweck,39 sondern nur Mittel zum Zweck des Schutzes anderer Grundrechte. In dieser instrumentellen Wirkweise
32 33 34
35
36 37 38 39
sungsrechtliche Grundlagen (2003), Rz. 7 ff.; Hoffmann-Riem, AöR 123 (1998), 513 (519 ff.). BVerfG v. 15.12. 1983, BvR 209, 269, 362, 420, 440, 484/83 = E 65, 1, 43-44 (Volkszählung). BVerfG v. 15.12. 1983, BvR 209, 269, 362, 420, 440, 484/83 = E 65, 1, 44 (Volkszählung). Der Gedanke des Vorfeldschutzes prägt auch die Rechtsprechung des Bundesverfassungsgerichts, s. beispielsweise BVerfG v. 27.2.2008, 1 BvR 370, 595/07 = E 120, 274, 312 (Online-Durchsuchung); BVerfG v. 11.3.2008, 1 BvR 2074/05, 1 BvR 1254/07, E 120, 378, 397 (KfZ-Kennzeichenkontrolle I). Britz, Informationelle Selbstbestimmung (2010); Poscher, Die Zukunft der informationellen Selbstbestimmung (2012). Von einem „enabling right“ sprechen Oostveen/Irion, Golden Age of Personal Data (2018). Ausführlich Albers, Informationelle Selbstbestimmung (2005). Knapp Albers, Complexity of Data Protection (2014), S. 213 (227). Ausführlich hierzu Marsch, Europäisches Datenschutzgrundrecht (2018), S. 98 ff. Prägnant spricht Poscher, The Right to Data Protection (2017), von einer „noright thesis“.
185
Nikolaus Marsch
des Rechts auf informationelle Selbstbestimmung liegt seine theoretische Konzeption. Die deutsche Rechtswissenschaft hat eine ganze Zeit benötigt, um diese fundamentale Differenzierung herauszuarbeiten, was auch an der missverständlichen Bezeichnung des Grundrechts durch das Bundesverfassungsgericht als ein Recht auf informationelle Selbstbestimmung gelegen haben mag und daran, dass sich das Gericht bis heute nicht deutlich zu den theoretischen Grundlagen des Grundrechts geäußert hat. In der jüngeren Rechtsprechung wird jedoch zunehmend deutlich, dass auch das Bundesverfassungsgericht das Recht auf informationelle Selbstbestimmung nicht streng individualistisch versteht, sondern ihm eine starke supra-individuelle Dimension beimisst. c) Supra-individuelle Elemente in der Rechtsprechung des Bundesverfassungsgerichts 13 Besonders deutlich wird dies in der ersten Entscheidung des Bundesverfassungsgerichts zum automatischen KfZ-Kennzeichenabgleich aus dem Jahr 2008.40 Die Polizei hatte in zwei deutschen Bundesländern Kameras aufgestellt, mit denen sie die Kennzeichen der vorbeifahrenden Kraftfahrzeuge filmte. Die eingelesenen Kennzeichen wurden sodann automatisch mit einer Datei abgeglichen, in der jene Kraftfahrzeuge gespeichert waren, nach denen die Polizei fahndete. Ergab dieser Abgleich einen Treffer, wurde dies der Polizei angezeigt. In allen anderen Fällen, in denen das jeweilige Kennzeichen nicht im Fahndungsbestand enthalten war, wurde das Kennzeichen automatisch direkt nach dem Abgleich gelöscht. Dieser Vorgang dauerte – je nach verwendetem System – maximal eine Sekunde. 14 Das Bundesverfassungsgericht stellt in der Entscheidung aus 2008 zunächst fest, dass nur in den Treffer-Fällen ein Eingriff in das Grundrecht vorliegt.41 Wird das Kennzeichen, dass den Halter oder Fahrer ja nicht unmittelbar erkennen lässt, nach dem Abgleich sofort wieder gelöscht, ohne dass der Personenbezug hergestellt wurde, dann stellt die Erhebung in diesen Fällen nach Ansicht des Gerichts keinen Eingriff in das Recht auf informationelle Selbstbestimmung dar.42 Dies bedeutet zunächst, dass die allermeisten Kennzeichen erfasst und mit dem Fahndungsbestand abgeglichen werden, ohne dass hierin ein Grundrechtseingriff liegt. Dennoch hat das Gericht für die – vergleichsweise wenigen – Trefferfälle auf der Ebene der Verhältnismäßigkeit betont, dass die Kennzeichener-
40 BVerfG v. 11.3.2008, 1 BvR 2074/05, 1 BvR 1254/07, E 120, 378, 397 (KfZ-Kennzeichenkontrolle I). 41 Rz. 69 ff. des Urteils. 42 Rz. 68 des Urteils.
186
KI und das europäische Datenschutzgrundrecht
fassung alle Menschen trifft, die am Kontrollpunkt vorbeifahren und sich daher das Gefühl des Überwachtseins einstellen kann, was wiederum chilling effects zur Folge haben kann. Das Gericht zieht also in der Verhältnismäßigkeitsprüfung auch die Nicht-Treffer als Argument heran, in denen es selbst keinen Grundrechtseingriff sieht. Hierin liegt nun nicht etwa ein logischer Bruch, sondern die Erkenntnis des Gerichts, dass das Recht auf informationelle Selbstbestimmung nicht rein individualistisch zu verstehen ist, sondern eine starke supra-individuelle Dimension enthält, aus der objektive Vorgaben über den staatlichen Informationsumgang folgen.43 Dieser Deutung des Rechts auf informationeller Selbstbestimmung als 15 ein Grundrecht mit stark ausgeprägter supra-individueller Dimension steht auch nicht die jüngst ergangene zweite Entscheidung des Bundesverfassungsgerichts zum KfZ-Kennzeichenabgleich entgegen.44 Selbst wenn das Gericht hier seine frühere Rechtsprechung ausdrücklich aufgibt und nun auch in den Nicht-Treffer-Fällen einen Grundrechtseingriff sieht, zieht es doch als Begründung hierfür die Streubreite heran.45 Aus der großen Zahl von Betroffenen wird also die Eingriffsqualität für den Einzelfall hergeleitet. Diese umstrittene datenschutzrechtliche Sonderdogmatik, die sich vom Erfordernis einer individuellen Betroffenheit im konkreten Einzelfall weitgehend löst,46 lässt sich durch die Annahme einer bedeutenden supra-individuellen Grundrechtsdimension am besten erklären.
43 Ausführlich hierzu Marsch, Europäisches Datenschutzgrundrecht (2018), S. 116 ff. 44 BVerfG v. 18.12.2018 – 1 BvR 142/15 (KfZ-Kennzeichenkontrolle II) sowie BVerfG v. 18.12.2018 – 1 BvR 2795/09 und 3187/10 (KfZ-Kennzeichenkontrollen BW-HE). 45 BVerfG v. 18.12.2018 – 1 BvR 142/15, Rz. 45 ff. (KfZ-Kennzeichenkontrolle II). Ein prozessualer Grund hierfür könnte zudem gewesen sein, dass es sich bei den 2018 entschiedenen Verfahren um Urteilsverfassungsbeschwerden handelte, die bei Anlegung des Maßstabs aus der 2008 ergangenen Entscheidung und angesichts der Feststellungen der Verwaltungsgerichte (s. nur letztinstanzlich BVerwG v. 22.10.2914 – 6 C 7/13, NJW 2015, 906) wohl unzulässig gewesen wären, da die Autokennzeichen der Beschwerdeführer nicht im Fahndungsbestand gespeichert waren. Derartige fachrichterliche Feststellungen gab es im ersten bundesverfassungsgerichtlichen Verfahren nicht, da es sich um Gesetzesverfassungsbeschwerden handelte, weshalb das Bundesverfassungsgericht es im Rahmen der Zulässigkeit bei der Feststellung der abstrakten Möglichkeit einer Grundrechtsverletzung belassen konnte. 46 Kritisch beispielsweise Cornils, Jura 2016, 443, 447.
187
Nikolaus Marsch
3. Zwischenfazit 16 Mit dem Recht auf informationelle Selbstbestimmung hat das Bundesverfassungsgericht also das historisch ältere Regelungsmodell des einfachgesetzlichen Datenschutzrechts konstitutionalisiert. Wie für das Datenschutzrecht gilt aber somit auch für das Recht auf informationelle Selbstbestimmung der von Marion Albers mit Blick auf Datenverarbeitungsprozesse festgestellte Befund: „The idea that these processes could be almost completely foreseen, planned and steered by legal means has turned out to be too simple.“47 Das aus den 1970er Jahren und damit dem Zeitalter der Großrechenanlagen stammende Regelungsmodell, das vom Bundesverfassungsgericht aufgenommen wurde, mag damals seinen Zweck erfüllt haben. Im Zeitalter der Smartphones, des ubiquitous computing, des internet of things und dem vermehrten Einsatz von KI erweist es sich jedoch als überkommen, innovationsfeindlich und zudem auch als kaum noch geeignet, einen adäquaten Schutz des Einzelnen sicherzustellen. Ob der weitere Ausbau und die Stärkung supra-individueller Elemente insoweit Abhilfe schaffen kann, erscheint fraglich. Vergegenwärtigt man sich, dass das Recht auf informationelle Selbstbestimmung in seiner juristischen Konstruktion von der ihm zugrundeliegenden theoretischen Konzeption und damit auch seinen Schutzzielen zu unterscheiden ist, dann wirft dies die Frage auf, ob das Recht auf informationelle Selbstbestimmung als Konstruktion nicht eines Updates bedarf. Ausgangspunkt hierfür müssten die Schutzzwecke – also die theoretische Konzeption – sein, nicht die juristische Konstruktion, die historisch kontingent ist. Mit der überkommenen Konstruktion und dem hergebrachten Regelungsmodell des Datenschutzrechts auf den mit KI verbundenen Fortschritt zu reagieren, wäre genauso unbefriedigend, als hätte man nach der Erfindung des Flugzeugs die moderne Luftfahrt den Regeln des Straßenverkehrs unterworfen mit dem Argument, es handele sich in beiden Fällen um Verkehr und Ziel sei es, Leib und Leben zu schützen. 17 Das Bundesverfassungsgericht stellt dies vor ein Problem. Denn es ist das eine, unter Bezugnahme auf die Idee einer living constitution innovative Grundrechte aus dem Verfassungstext abzuleiten. Etwas anderes ist es dagegen, die eigenen Grundrechtsinnovationen später grundlegend wieder in Frage zu stellen und neu zu konstruieren. Doch eine Verfassung muss nicht nur hinsichtlich der Frage, ob sie vor neuartigen Bedrohungen Schutz gewährt, anpassungsfähig sein; sie muss es auch im Hinblick darauf sein, wie sie den erforderlichen Schutz gewährt. Auch wenn
47 Albers, Complexity of Data Protection (2014), S. 213 (232).
188
KI und das europäische Datenschutzgrundrecht
Verfassungsgerichte Rechtsprechungsänderungen mit guten Gründen scheuen, muss das Bundesverfassungsgericht in den kommenden Jahren die Frage beantworten, wie das Recht auf informationelle Selbstbestimmung angesichts des technologischen Fortschritts weiterzuentwickeln ist. Der EuGH hat es da – wie im folgenden Abschnitt zu zeigen sein wird – etwas leichter. III. Wie eine Tür geöffnet werden könnte Während also in Deutschland ein vor mehr als 35 Jahren vom Bundes- 18 verfassungsgericht konkretisiertes und dem Regelungsmodell des Datenschutzrechts nachempfundenes Grundrecht den Einsatz von KI durch staatliche Stellen derzeit weitgehend verbietet, hat der EuGH die Chance, dass mit Art. 8 GRC ein erst seit 2009 geltendes und innovatives Grundrecht den Prüfungsmaßstab seiner Rechtsprechung bildet. Dieses erweist sich als flexibler und innovationsoffener als das Recht auf informationelle Selbstbestimmung des Grundgesetzes und bietet so einen zeitgemäßeren Schutz vor den Grundrechtsgefährdungen, die von den neuen Technologien ausgehen (III.1). Allerdings steht zu befürchten, dass sich der EuGH bei der Auslegung von Art. 8 GRC langfristig am hergebrachten Regelungsmodell des Datenschutzrechts und damit am überkommenen Recht auf informationelle Selbstbestimmung des Grundgesetzes orientieren könnte, sodass sich das window of opportunity für eine modernere Interpretation des Art. 8 GRC zu schließen beginnt (III.2). 1. Art. 8 GRC als Ausgestaltungspflicht des Gesetzgebers, nicht als Recht auf informationelle Selbstbestimmung48 Wie aber ist der für den Einsatz von KI maßgebliche Art. 8 GRC nun 19 auszulegen? Anders als die meisten Autoren in Deutschland meinen,49 spricht viel dagegen, in diesem ein europäisches „Recht auf informationelle Selbstbestimmung“ zu erkennen. Gegen die Annahme eines solchen legal transplant sprechen nämlich Wortlaut und Gesetzgebungsgeschichte (III.1.a), die Systematik des Art. 8 GRC (III.1.b) sowie die oben bereits dargelegte grundrechtstheoretische Kritik am rein individualistischen Verständnis des deutschen Rechts auf informationelle Selbstbestimmung (III.1.c). 48 Dem folgenden Abschnitt liegen die Überlegungen zugrunde, die ich im zentralen Kapitel meiner Habilitationsschrift zu Art. 8 GRC angestellt habe: Marsch, Europäisches Datenschutzgrundrecht (2018), Kapitel 3. 49 So explizit beispielsweise Bernsdorff in: Meyer, Art. 8 GRC Rz. 13-14; Kingreen in: Calliess/Ruffert, EUV/AEUV/GRC, Art. 8 GRC Rz. 1.
189
Nikolaus Marsch
a) Wortlaut und Gesetzgebungsgeschichte 20 Wenden wir uns zunächst dem Wortlaut des Art. 8 GRC zu. Dieser besagt in relativ großer Offenheit: „Everyone has the right to the protection of personal data concerning him or her.“ Während aus dem Wortlaut noch nicht allzu viel abzuleiten ist, besitzt er jedoch in der Zusammenschau mit der Entstehungsgeschichte eine gewisse Aussagekraft. Denn im Grundrechtekonvent war – nachdem das Präsidium zunächst einen der heutigen Fassung weitgehend entsprechenden Vorschlag gemacht hatte – zwischenzeitlich ein Vorschlag des deutschen Konventsmitglieds Jürgen Meyer diskutiert worden. Dieser hatte mit Unterstützung des deutschen Konventspräsidenten Roman Herzog vorgeschlagen, die folgende Formulierung zu wählen: „Everyone has the right to determine for himself wether his personal data may be disclosed and how they may be used.“50 Diese wörtliche Übernahme des deutschen Rechts auf informationelle Selbstbestimmung fand im Konvent jedoch keine Zustimmung, sondern stieß sogar auf erhebliche Kritik, da viele Konventsmitglieder eine inakzeptabel starke Beeinträchtigung des staatlichen Handelns befürchteten. Der Grundrechtekonvent kehrte daher zur ursprünglichen Formulierung zurück, nach der der Einzelne „a right to protection of personal data concerning him or her“ hat. Wortlaut und Entstehungsgeschichte deuten somit nicht darauf hin, dass Art. 8 GRC ein Recht auf informationelle Selbstbestimmung nach deutschem Vorbild normiert. b) Systematik 21 Gestärkt wird diese Sichtweise durch die Binnensystematik des Art. 8 GRC, nämlich durch die Unterteilung der Absätze 1 und 2. Letzterer besagt, dass „diese Daten (…) nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden (dürfen).“ Hierin sieht die deutsche Literatur ganz überwiegend einen qualifizierten Grundrechtsvorbehalt,51 der den allgemeinen Grundrechtsvorbehalt des Art. 52 Abs. 1 GRC konkretisieren soll, ohne diesen zu verdrängen.52 Zu überzeugen vermag diese Interpretation jedoch nicht. Denn zum einen ist sonderbar, dass Art. 8 Abs. 2 GRC das Erfordernis einer Rechtsgrundlage, das auch in Art. 52 Abs. 1 GRC ver50 Ausführlich und mit Nachweisen zur Entstehungsgeschichte Marsch, Europäisches Datenschutzgrundrecht (2018), S. 74 f. 51 So beispielsweise Siemen, Datenschutz als europäisches Grundrecht (2006), S. 283 f.; Cornils, Grundrechtlicher Rahmen (2015), S. 11 (27). 52 Cornils, Schrankendogmatik (2014), Rz. 46 f.; Kingreen in: Calliess/Ruffert, EUV/AEUV/GRC, Art. 8 GRC Rz. 14.
190
KI und das europäische Datenschutzgrundrecht
ankert ist, wiederholt. Zum anderen wird im Falle einer Einwilligung der betroffenen Person gerade nicht in das Grundrecht eingegriffen und es liegt somit kein Grundrechtseingriff vor, was ebenfalls Zweifel an der These aufkommen lässt, es handele sich bei Art. 8 Abs. 2 GRC um einen Grundrechtsvorbehalt. Wenn aber der Art. 8 Abs. 2 GRC nicht dem Ziel dient, Beschränkungen des Datenschutzgrundrechts zu ermöglichen, was regelt er dann? Diese Frage kann nicht isoliert beantwortet werden, ohne den Abs. 1 miteinzubeziehen. Eine erste Antwort geben insoweit González Fuster und Gutwirth.53 Sie 22 unterscheiden in ihrem luziden Aufsatz nämlich zwei unterschiedliche Konzeptionen des Datenschutzgrundrechts in Art. 8 GRC: Das von der deutschen Literatur nahezu ausnahmslos vertretene Konzept, wonach Abs. 1 ein Recht auf informationelle Selbstbestimmung und Abs. 2 einen Grundrechtsvorbehalt enthalten soll, bezeichnen sie als prohibitives Konzept. Nach diesem Konzept ist die Verarbeitung von personenbezogenen Daten im Ausgangspunkt verboten (Abs. 1), es sei denn sie ist aufgrund einer dem Abs. 2 entsprechenden Rechtsgrundlage oder einer Einwilligung (ausnahmsweise) erlaubt. Diesem prohibitiven Konzept stellen die Autoren ein permissives oder regulierendes Konzept gegenüber. Hiernach stellen Datenverarbeitungen nicht grundsätzlich einen Grundrechtseingriff dar, sondern sie sind grundsätzlich zulässig, müssen aber die Erfordernisse des Abs. 2 beachten. Nach diesem Verständnis liegt in Abs. 2 der eigentliche Kern der grundrechtlichen Gewährleistung.54 Auf diese Weise bekommt der Abs. 2 einen Sinn, den er in der prohibitiven Konzeption nicht hätte. Wenn aber der Kern der grundrechtlichen Gewährleistung im Abs. 2 des Art. 8 GRC zu verorten ist, welchen Gehalt hat dann dessen Abs. 1? c) Art. 8 als modernes Datenschutzgrundrecht: Verbindung von Innovationsoffenheit und grundrechtlichem Schutz In einen Einklang bringen lassen sich die beiden ersten Absätze von 23 Art. 8 GRC dann, wenn man den Abs. 1 als einen Auftrag an den Gesetzgeber versteht, die Verarbeitung von personenbezogenen Daten so zu regulieren, dass die Grundrechte und Interessen der Bürger angemessen geschützt werden. Das Datenschutzgrundrecht verpflichtet die Gesetzgeber also in Abs. 1 zum Erlass von grundrechtsadäquaten Regeln und macht ihnen hierfür mit dem Abs. 2 Vorgaben, die bei der Gesetzgebung zu beachten sind. Von diesen Vorgaben darf jedoch unter Beachtung des
53 González Fuster/Gutwirth, CLSR 29 (2013), 531 (532 f.). 54 Hierzu Marsch, Europäisches Datenschutzgrundrecht (2018), S. 137 ff.
191
Nikolaus Marsch
Verhältnismäßigkeitsprinzips abgewichen werden, wenn durch andere Schutzmechanismen ein adäquater Grundrechtsschutz sichergestellt ist.55 Ein solches Verständnis hat auch den Vorteil, dass es sich auf den gesamten Abs. 2 und nicht nur auf dessen ersten Satz beziehen lässt. Denn der zweite Satz des Abs. 2 enthält mit dem Auskunftsrecht und dem Berichtigungsrecht zwei zentrale Betroffenenrechte des Datenschutzrechts, die seit jeher für bestimmte Konstellationen vom Gesetzgeber beschränkt wurden und unstreitig beschränkt sein müssen.56 Dies belegen auch die von den Gerichten nach Art. 52 Abs. 7 GRC bei der Auslegung zu berücksichtigenden Erläuterungen zu Art. 8 GRC, in denen es heißt: „Die genannte Richtlinie [95/46/EG; d. i. die EG-Datenschutzrichtlinie, welche durch die DSGVO abgelöst wurde, d. Verf.] und Verordnung [45/2001; d. i. die Datenschutzverordnung, welche die EU-Organe bindet, d. Verf.] (…) enthalten Bedingungen und Beschränkungen für die Wahrnehmung des Rechts auf den Schutz personenbezogener Daten (Hervorhebungen d. Verf.).“ 24 Ein so verstandenes Datenschutzgrundrecht ist im Gegensatz zum Recht auf informationelle Selbstbestimmung des Grundgesetzes innovationsoffener, da es nicht zur Fortschreibung überkommener Datenschutzkonzepte zwingt, sondern es dem Gesetzgeber ermöglicht, auf den technologischen Fortschritt mit neuen und problemadäquaten Regelungskonzepten zu reagieren. Zugleich verpflichtet es den Gesetzgeber zum Tätigwerden und ermöglicht auf diese Weise unter Umständen einen effektiveren Schutz, als es die hergebrachten Konzepte leisten könnten. Diese normative Offenheit entspricht auch der Vielzahl ganz unterschiedlicher Interessen, die das Datenschutzrecht zu schützen bezweckt. Das Datenschutzgrundrecht benennt somit die Verarbeitung personenbezogener Daten als ein aus grundrechtlicher Sicht aufmerksamkeitsbedürftiges Thema. Zugleich stellt es den Gesetzgeber nicht von jeglichen Beschränkungen frei, sondern fordert von diesem beispielsweise, dass er seinen regulatorischen Überlegungen ein Konzept zugrunde legt (hierzu IV.1). 25 Doch trotz der aus Art. 8 und dem Verhältnismäßigkeitsprinzip abzuleitenden Grenzen, denen der Gesetzgeber bei der Ausgestaltung unterliegt, könnte ein in dieser Weise interpretiertes Datenschutzgrundrecht zu Befürchtungen führen, dass dieses keinen robusten Grundrechtsschutz gewährleistet. Für derlei Befürchtungen besteht jedoch kein Anlass. Denn neben dem Datenschutzgrundrecht in Art. 8 GRC enthält die Charta
55 Ausführlich hierzu Marsch, Europäisches Datenschutzgrundrecht (2018), S. 190 ff. 56 Siehe Art. 23 DSGVO sowie schon Art. 13 Datenschutz-Richtlinie 95/46/EG.
192
KI und das europäische Datenschutzgrundrecht
mit Art. 7 GRC auch ein Recht auf Schutz des Privatlebens. Dieses ist gemäß der Kohärenzklausel in Art. 52 Abs. 3 GRC entsprechend dem Art. 8 EMRK auszulegen, wobei auch die Rechtsprechung des EGMR zu berücksichtigen ist.57 Dieser leitet aus dem Recht auf Schutz des Privatlebens nach Art. 8 EMRK auch ein – allerdings beschränktes – Recht auf Schutz der personenbezogenen Daten ab: Datenverarbeitungen durch öffentliche Stellen sollen hiernach einen Eingriff in Art. 8 EMRK darstellen, wenn die Daten das Privatleben betreffen58 oder wenn sie – insbesondere durch Polizei oder Nachrichtendienste – „systematisch gesammelt“ wurden.59 Diese Rechtsprechung des EGMR wurde vom EuGH schon vor dem Verbindlichwerden der Grundrechtecharta intensiv rezipiert.60 Seit dem Verbindlichwerden fungiert das vom EuGH geschaffene „Kombinationsgrundrecht“ aus den Artikeln 7 und 8 GRC als Pendant zur Datenschutzrechtsprechung des EGMR. Wenn der EuGH seit der Entscheidung Schecke in ständiger Rechtsprechung von der „in den Art. 7 und 8 der Charta anerkannte(n) Achtung des Privatlebens hinsichtlich der Verarbeitung personenbezogener Daten“ spricht,61 dann stellt er so die Kohärenz zur EMRK und der EGMR-Rechtsprechung her. Für Datenverarbeitungen, denen ein besonderes Gefährdungspotential innewohnt und die daher vom EGMR als Eingriffe in Art. 8 EMRK angesehen werden, erstarkt Art. 8 GRC in Verbindung mit Art. 7 GRC in der Terminologie von González Fuster und Gutwirth zu einem prohibitiven Recht. Die hier vorgestellte Interpretation des Datenschutzgrundrechts verbin- 26 det somit die von den beiden Autoren identifizierten Konzeptionen, indem sie den Art. 8 Abs. 1 GRC als eine Pflicht des Gesetzgebers zum Erlass und zur grundrechtsadäquaten Ausgestaltung datenschützender Regelungen unter Beachtung der in Abs. 2 verankerten Prinzipien 57 Naumann, Europarecht 2008, 424 (425 f.). 58 EGMR v. 26.3.1987 – 9248/81, Leander/Schweden, Rz. 48; EGMR v. 16.2.2000 – 27798/95, Amann/Schweiz, Rz. 66-67. 59 EGMR v. 4.5.2000 – 28341/95, Rotaru/Rumänien, Rz. 43; EGMR v. 25.9.2001 – 44787/98, P. G. und J. H./Vereinigtes Königreich, Rz. 57. Anders als von manchen Autoren angenommen, hat der EGMR jedoch aus dem Recht auf Privatleben kein allgemeines Recht auf informationelle Selbstbestimmung abgeleitet, da er bisher noch in keiner Entscheidung geurteilt hat, dass ausnahmslos jede Verarbeitung personenbezogener Daten einen Eingriff in Art. 8 EMRK darstellt, siehe hierzu die Analyse der Rechtsprechung des EGMR bei Marsch, Europäisches Datenschutzgrundrecht (2018), S. 8 ff. 60 Siehe insbesondere die Entscheidung EuGH v. 20.5.2003 – verb. Rs. C-465/00 u.a., ORF. 61 EuGH v. 9.11.2010 – verb. Rs. 92/09 u. C-93/09, Schecke, Rz. 52; EuGH v. 24.11.2011 – verb. Rs. 468/10 u. C-469/10, ASNEF, Rz. 42; EuGH v. 17.10.2013 – C-291/12, Schwarz, Rz. 26.
193
Nikolaus Marsch
verpflichtet. Neben diesen flexiblen und innovativen Schutz tritt die Grundrechtskombination aus den Artikeln 7 und 8 GRC, die für Datenverarbeitungen mit einem besonders engen Bezug zum Privatleben oder systematische Datenverarbeitungen durch Polizei und Geheimdienste einen robusteren, aber auch unflexibleren Schutz bietet. 2. Und der EuGH? Ein sich schließendes window of opportunity 27 Wirft man nun jedoch einen Blick auf die jüngere Rechtsprechung des EuGH, dann beschleicht einen die Befürchtung, dass dieser, anders als hier vertreten, doch ein umfassendes Recht auf informationelle Selbstbestimmung nach deutschem Vorbild aus der Grundrechtecharta ableiten will. Zunächst hatte sich der Gerichtshof noch bedeckt gehalten, welchen Inhalt Art. 8 Abs. 1 GRC genau hat und in welchem Verhältnis der Abs. 2 zu Art. 52 Abs. 1 GRC steht.62 So hatte er beispielsweise in der Entscheidung Schecke zunächst das von ihm geschaffene Kombinationsgrundrecht aus den Art. 7 und 8 GRC zur Anwendung gebracht, um so Kohärenz zur EGMR-Rechtsprechung herzustellen und ohne sich dazu zu äußern, ob er in jeder Verarbeitung von personenbezogenen Daten einen Grundrechtseingriff erblickt. In der Entscheidung Schwarz stellt der Gerichtshof sodann in Bezug auf die Art. 7 und 8 GRC zurückhaltend fest, dass sich „aus diesen Bestimmungen (…) insgesamt (ergibt), dass jede Verarbeitung personenbezogener Daten durch Dritte grundsätzlich einen Eingriff in diese Rechte darstellen kann (Hervorhebungen d. Verf.).“63 Erst in der Entscheidung Digital Rights Ireland betrachtet der EuGH die Vorratsdatenspeicherungsrichtlinie als einen Eingriff „in das durch Art. 8 der Charta garantierte Grundrecht auf den Schutz personenbezogener Daten (…), da sie eine Verarbeitung personenbezogener Daten vorsieht.“64 Allerdings stellt in der folgenden Prüfung, ob der Grundrechtseingriff gerechtfertigt ist, Art. 7 GRC den Schwerpunkt dar, wohingegen Art. 8 GRC weitgehend als ein Grundrecht erscheint, das eine technische Form des Datenschutzes enthält.65 In der Google Spain Entscheidung und der Schrems Entscheidung wiederum differenziert der EuGH nicht zwischen den Art. 7 und 8 GRC, sondern nennt sie kumu-
62 Siehe zum Folgenden näher Marsch, Europäisches Datenschutzgrundrecht (2018), S. 132 ff. und 136 f. 63 EuGH v. 17.10.2013 – C-291/12, Schwarz, Rz. 25. 64 EuGH v. 8.4.2014 – verb. Rs. C-293/12 u. C-594/12, Digital Rights Ireland, Rz. 36. 65 Rz. 66 ff. des Urteils.
194
KI und das europäische Datenschutzgrundrecht
lativ als Prüfungsmaßstab;66 zudem steht in der Entscheidung Schrems Art. 7 GRC im Vordergrund.67 Mit dem Gutachten zum EU-Kanada Fluggastdatenabkommen scheint der EuGH jedoch möglicherweise seine Rechtsprechung in Richtung eines Rechts auf informationelle Selbstbestimmung konsolidieren zu wollen, wenn er feststellt, dass „diese Vorgänge (…), weil es sich bei ihnen um Verarbeitungen personenbezogener Daten handelt, auch einen Eingriff in das durch Art. 8 der Charta garantierte Grundrecht auf Schutz personenbezogener Daten dar(stellen).“68 Das window of opportunity, währenddessen der EuGH überzeugt werden könnte, die Innovationspotentiale nicht zu verschenken, die Art. 8 GRC innewohnen, droht sich also langsam zu schließen. IV. Keine Tür ohne Rahmen: Gesetzgeber und Wissenschaft sind in der Pflicht Um den EuGH davon zu überzeugen, dass ein alternatives Verständ- 28 nis des Art. 8 GRC nicht nur im Sinne der Datenverarbeiter innovativ ist, sondern auch einen innovativeren Schutz der betroffenen Personen bietet, sollten Gesetzgeber und Wissenschaft daher möglichst zügig Vorschläge entwickeln, wie ein solcher Schutz aussehen könnte. Denn die hier vorgestellte Interpretation des Art. 8 GRC als eine Ausgestaltungspflicht zielt nicht auf weniger Schutz ab, sondern darauf, dem Gesetzgeber die Tür zu öffnen, eine andere Form des Schutzes vorsehen zu können. Der Rahmen dieser Tür, also die Art und Weise des Schutzes, wird dabei in einem ersten Schritt vom Gesetzgeber festgelegt, kann aber in einem zweiten Schritt von den Gerichten und insbesondere dem EuGH auf seine Angemessenheit hin überprüft und gegebenenfalls für unzureichend erklärt werden. 1. Gesetzgeber: Ein Regelungsrahmen für KI In erster Linie ist somit der Gesetzgeber in der Pflicht, den Einsatz von KI 29 zu regulieren und zu begrenzen. Soweit dabei personenbezogene Daten verwendet werden, ergeben sich Vorgaben für eine Regulierung aus den Strukturprinzipien des Art. 8 Abs. 2 GRC. Diese zielen vor allem auf die Strukturierung, Begrenzung und Transparenz von Datenverarbeitung ab und damit letztlich auch auf die Sicherung von Vertrauen der betroffe66 EuGH v. 13.5.2014 – C-131/12, Google Spain, Rz. 38, 69, 80; EuGH v. 6.10.2015 – C-362/14, Schrems, Rz. 91. 67 EuGH v. 6.10.2015 – C-362/14, Schrems, Rz. 92 ff. 68 EuGH v. 26.7.2017 – Gutachten 1/15, EU-Kanada Fluggastdatenabkommen, Rz. 126.
195
Nikolaus Marsch
nen Personen.69 Das heißt aber nicht, dass sie absolut gelten. Vielmehr darf im öffentlichen Interesse von ihnen abgewichen werden, wenn und soweit eine Abwägung dies als erforderlich und angemessen erscheinen lässt, insbesondere weil andere Sicherungsmechanismen für einen adäquaten Schutz sorgen. 30 Eine ganze Reihe solcher allgemeinen Sicherungsinstrumente, die in Spezialregelungen auf den Einsatz von KI angepasst und zugeschnitten werden könnten, enthält bereits die DSGVO. Grundsätze wie data protection by design (Art. 25 DSGVO), aber auch Verfahrensregeln wie die Datenschutz-Folgenabschätzung (Art. 35 DSGVO) und die Ernennung von behördlichen und betrieblichen Datenschutzbeauftragten (Art. 37-39 DSGVO) sowie Selbstregulierungsmechanismen wie die Erarbeitung von Verhaltensregeln durch die datenverarbeitenden Unternehmen (Art. 40-41 DSGVO) und die Einführung von Zertifizierungsprozessen sowie Datenschutzsiegeln und -prüfzeichen (Art. 42-43 DSGVO) können Vorbilder für spezielle KI-Regelungen sein. Darüber hinaus werden eine Reihe weiterer Instrumente diskutiert, die für einen grundrechtsschützenden Einsatz von KI sorgen können, wie unter anderem der Einsatz von internen oder externen Ethikbeiräten,70 die Sicherung von compliance durch technische Mittel71 wie beispielsweise Kontrollalgorithmen72 und die Entwicklung von erklärbarer KI (explainable AI, XAI) sowie der Erlass adäquater Haftungsregeln durch den Gesetzgeber.73 Solche Sicherungsinstrumente könnten dann auch Ausnahmeregelungen nach dem Vorbild der Ausnahmen für staatliche und private Forschung rechtfertigen. 31 Die Liste an Vorschlägen für Regelungsinstrumente ist keinesfalls abschließend, sondern ließe sich noch verlängern. Mit Blick auf den Gesetzgeber ist aber nicht die Quantität der Regelungsinstrumente von Bedeutung, sondern dass sich diese in ein gesetzgeberisches Konzept einfügen, welches einen adäquaten Grundrechtsschutz verspricht. Dieses Konzept stellt denn auch den Ansatzpunkt einer gerichtlichen Kontrolle dar, die wie in der Schecke Entscheidung des EuGH an der Begründung des jeweiligen Rechtsaktes anknüpft. Der EuGH hatte in dieser Entschei-
69 Zu letzterem siehe Eichenhofer, Der Staat 55 (2016), 41. 70 So die guidelines on the protection of individuals with regard to the processing of personal data in a world of Big Data of the Council of Europe’s Consultative Committee of Convention 108 (2017), Rz. 1.3 sowie der Vorschlag des UK Information Commissioner‘s Office (2017), Rz. 176 ff., 196 (zu diesem Vorschlag siehe auch Butterworth, CLSR 34 (2018), 257). 71 Kroll et al., Univ. Pa. Law Rev. 165 (2017), 633. 72 Martini, JZ 2017, 1017, 1022; Rost, DuD 2018, 558, 561. 73 Hierzu Martini, JZ 2017, 1017, 1024 f.
196
KI und das europäische Datenschutzgrundrecht
dung zwar zunächst begonnen, die Verhältnismäßigkeit der EU-Verordnung über die Veröffentlichung der Namen der Empfänger von Agrarsubventionen zu prüfen.74 Innerhalb dieser Prüfung leitet der Gerichtshof sodann aber von einer materiellen zu einer prozeduralen Prüfung über und erklärt die Verordnung im Wesentlichen deshalb für nichtig, weil „es (…) jedoch nicht ersichtlich ist, dass der Rat und die Kommission bestrebt gewesen wären, hinsichtlich natürlicher Personen als Empfänger von EGFL- und ELER-Mitteln eine solche ausgewogene Gewichtung des Interesses der Union, die Transparenz ihrer Handlungen und eine bestmögliche Verwendung der öffentlichen Mittel zu gewährleisten, auf der einen und der in den Art. 7 und 8 der Charta verankerten Grundrechte auf der anderen Seite vorzunehmen.“75 Eine Pflicht des Gesetzgebers, ein umfassendes Konzept zu erstellen und dies (zumindest teilweise) in die Begründung des Rechtsakts aufzunehmen, ist geeignet, die eher schwachen materiellen Bindungen, die aus Art. 8 GRC folgen, prozedural zu kompensieren.76 Innerhalb des gesetzgeberischen Konzepts können zudem outcome und impact einer Regulierung des Einsatzes von KI stärker berücksichtigt werden. Schließlich hat der hier vorgestellte Ansatz den Vorteil, dass die Grenzen 32 des Einsatzes von KI nicht abstrakt aus der Grundrechtecharta abgeleitet werden müssen, was zu wenig passgenauen Lösungen führen dürfte, sondern dass es Aufgabe des Gesetzgebers ist, sachgebietsspezifisch angepasste Lösungen zu erarbeiten. Denn gerade Datenschutzrecht muss, so Marion Albers, „reflexives Recht“ sein, welches durch Instrumente wie eine experimentelle Gesetzgebung sicherstellt, dass Lernprozesse und Fortentwicklungen möglich bleiben.77 Gerade auch die Rechtswissenschaft kann und muss hier unterstützen. 2. Wissenschaft: Plädoyer für mehr bottom-up-Forschung Schon bisher hat die Rechtswissenschaft sich mit zunehmender Inten- 33 sität des Themas KI angenommen. Dabei überwogen Beiträge, die sich KI zunächst in einer eher abstrakten Weise genähert und versucht haben, generalisierend Probleme zu beschreiben und rechtliche Lösungen zu skizzieren. So wichtig dies in einer ersten Phase wissenschaftlicher Durchdringung eines neuen Themas ist, auch um mögliche Perspektiven
74 EuGH v. 9.11.2010 – verb. Rs. 92/09 u. C-93/09, Schecke, Rz. 72 ff. 75 Rz. 80; siehe auch Rz. 81-83 des Urteils. 76 Hierzu ausführlich Marsch, Europäisches Datenschutzgrundrecht (2018), S. 196 ff. 77 Albers, Complexity of Data Protection (2014), S. 213 (232).
197
Nikolaus Marsch
und Problemzugriffe zunächst einmal zu sammeln, bedarf es zukünftig stärker eines bottom-up-Ansatzes.78 Ausgehend vom (möglichen) Einsatz von KI in konkreten Bereichen sollte in einer zweiten Phase rechtswissenschaftlicher Analyse von KI intensiv darüber geforscht werden, welche Regelungsinstrumente in konkreten Anwendungsfeldern, wie zum Beispiel im Gesundheitsbereich, ein angemessenes Maß an grundrechtlichem Schutz bieten.79 Die in den einzelnen Einsatzfeldern von KI zu gewinnenden Erkenntnisse wären dann in einer dritten Phase zu systematisieren und könnten schließlich in einem wissenschaftlich fundierten Regelungsvorschlag für einen allgemeinen Teil eines KI-Regelungsrahmens aufgehen.80
78 In diesem Sinne enthält der part II „Governance of and through AI“ des Bandes von Wischmeyer/Rademacher, Regulating Artificial Intelligence, eine Reihe von sachgebietsspezifischen Analysen. 79 Speziell hierzu die Beiträge von Molnár-Gábor und Jabri im genannten Band von Wischmeyer/Rademacher. 80 Vorbildhaft könnte insoweit die Erarbeitung des ReNEUAL-Musterentwurfs für ein EU-Verwaltungsrecht sein, siehe Schneider/Hofmann/Ziller (Hrsg.), ReNEUAL-Musterentwurf, 2015, sowie Schneider/Rennert/Marsch (Hrsg.), ReNEUAL-Musterentwurf – Tagungsband, 2016.
198
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht Wolfgang Schulz* 1. Plattformen und Kommunikationsfreiheiten a) Anwendbarkeit der Grundrechte des Grundgesetzes b) Abwehrrechtliche Gewährleistungsgehalte
2. Objektive Gewährleistungsgehalte 3. Äußerungsrecht und DS-GVO
Das Thema „Kommunikationsgrundrechte vor dem Bundesverfassungs- 1 gericht“ lässt sich aus zwei – miteinander verbundenen – Perspektiven bearbeiten. Zum einen ist zu untersuchen, wie es um den Schutz von Kommunikationsplattformen im Internet und von anderen Informationsintermediären bestellt ist. Zudem bedarf es einer Auseinandersetzung mit der Problematik, welche Bedeutung die Grundrechte im Äußerungsrecht noch haben, wenn Kommunikationsvorgänge von der Datenschutz-Grundverordnung (DS-GVO) umfasst werden. 1. Plattformen und Kommunikationsfreiheiten Die Bedeutung von Plattformen für die individuelle, aber auch für die 2 öffentliche Kommunikation hat deutlich zugenommen, wird allerdings zuweilen auch überschätzt. Noch spielen die traditionellen Medien eine entscheidende Rolle bei der Meinungsbildung, und zwar auch bei der jüngeren Generation.1 Dennoch ist zu erwarten, dass viele grundsätzliche Fragen, die die Kommunikationsfreiheiten betreffen und die in den *
1
Prof. Dr. Wolfgang Schulz, Lehrstuhl für Medienrecht und Öffentliches Recht einschl. ihrer theoretischen Grundlagen, Universität Hamburg; Direktor des Leibniz Institut für Medienforschung | Hans-Bredow-Institut (HBI); Direktor des Humboldt-Institut für Internet und Gesellschaft (HIIG) und UNESCO Lehrstuhl für Freiheit der Kommunikation und Information. Der Autor dankt Alexander Pirang, Wissenschaftlicher Mitarbeiter am HIIG, für weltvolle Unterstützung. Hasebrink/Schmidt, Informationsrepertoires der deutschen Bevölkerung, Arbeitspapiere des Hans-Bredow-Instituts Nr. 24, 2012, S. 53 f., abrufbar unter: http://www.hans-bredow-institut.de/webfm_send/657, zuletzt abgerufen am 23.11.2018.
199
Wolfgang Schulz
nächsten Jahren vom Bundesverfassungsgericht zu entscheiden sind, mit Internet–Kommunikationsplattformen zu tun haben werden. Daher lohnt eine Analyse, wenngleich sie hier nur skizzenhaft bleiben muss. 3 Bislang leiden Untersuchungen des Themas zuweilen darunter, dass nicht hinreichend differenziert wird. Ob Facebook beispielsweise von Art. 5 Abs. 1 GG geschützt wird, ist eigentlich keine sinnvolle Frage, denn es handelt sich um ein hybrides Angebot. Dieses beinhaltet etwa die Selektion und Sortierung des Newsfeed sowie die Bereitstellung von Speicherplatz für Nutzerinhalte. Ebenso umfasst es die Löschung von Inhalten, weil sie den Community-Standards widersprechen oder weil die Löschung aufgrund von gesetzlichen Vorgaben wie etwa des Netzwerkdurchsetzungsgesetzes erforderlich ist. Eine verfassungsrechtliche Analyse muss präzise fassen, welche Handlung des Anbieters einer Plattform von einer staatlichen Maßnahme betroffen ist und welche Gewährleistungsgehalte eines Grundrechts möglicherweise dadurch aktiviert werden. a) Anwendbarkeit der Grundrechte des Grundgesetzes 4 Ob das Bundesverfassungsgericht bei diesen für die künftige Kommunikationsordnung hochrelevanten Fragen eine praktische Rolle spielen wird, hängt von einer Norm ab, die eher ein Schattendasein führt: Art. 19 Abs. 3 GG. 5 Der Norm zufolge sind die Grundrechte des Grundgesetzes nur auf inländische juristische Personen anwendbar, und auch nur dann, wenn und soweit sie dem Wesen nach auf juristische Personen anwendbar sind. Für Unternehmen aus der EU muss die Norm bereits korrigierend ausgelegt werden.2 Da viele der großen Plattformen von amerikanischen Unternehmen betrieben und die relevanten Funktionen von den amerikanischen Müttern kontrolliert werden, stellt sich die Frage nach dem Grundrechtsschutz für ihre Aktivitäten im deutschen Raum. 6 Ich möchte zwei Argumentationslinien zeichnen, wie ein Grundrechtschutz dennoch angenommen werden kann. Zum einem kann das Handeln der europäischen Tochterunternehmen als Anknüpfungspunkt dafür genutzt werden, um auch das Handeln der Mütter an nationales beziehungsweise europäisches Recht zu binden. Man denke an das so genannte Recht auf Vergessenwerden. Das Anzeigengeschäft der nationalen Töchter reichte dem EuGH als Anknüpfungspunkt dafür, die damalige 2
Ausführlich Remmert in: Maunz/Dürig (Hrsg.), GG, 84. EL August 2018, Art. 19 Abs. 3 Rz. 92 ff.
200
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht
Datenschutzrichtlinie3 für auf das Handeln der Mütter anwendbar zu erklären (sog. Marktortprinzip).4 Der dadurch konstruierte Zusammenhang zwischen zwei eigentlich getrennten Funktionen – Anzeigengeschäft der Tochterunternehmen und Sortier-und Selektionsleistungen der Mütter – kann auch bei der Frage des Grundrechtsschutzes hergestellt werden. So lässt sich die mittelbare Beeinträchtigung der europäischen Tochterunternehmen, die sich unproblematisch auf nationale Grundrechte berufen können, als Eingriff in diese Grundrechte begreifen. Insofern käme es auf Art. 19 Abs. 3 GG nicht an. Die zweite Argumentationslinie setzt direkt bei Art. 19 Abs. 3 GG an. 7 Es gibt schon lange Stimmen in der Literatur, die für die Kommunikationsfreiheiten nach Art. 5 Abs. 1 GG eine Ausnahme von Art. 19 Abs. 3 GG machen und den persönlichen Schutzbereich erweitern wollen.5 Das Hauptargument lautet wie folgt: Wenn und soweit ausländische juristische Personen des Privatrechts Einfluss auf die Kommunikation und die Meinungsbildung in Deutschland haben, wäre die Kommunikationsfreiheit unzureichend geschützt, würde man dem Staat die Möglichkeit geben, Maßnahmen gegen diese Unternehmen zu ergreifen, ohne dass diese am Maßstab des Grundgesetzes geprüft werden könnten. Angenommen, das Netzwerkdurchsetzungsgesetz sei verfassungswidrig – und für diese Annahme ist nicht viel Fantasie erforderlich6 –, dann könnte es angesichts des Umstandes, dass vor allem große amerikanische Unternehmen in den Anwendungsbereich der problematischen Normen fallen, womöglich nie vom Bundesverfassungsgericht auf seine Verfassungsmäßigkeit geprüft werden, wenn man hier im Bereich von Art. 19 Abs. 3 Grundgesetz keine Ausnahme vorsieht.7 Gleichwohl kann das Gesetz 3
4 5
6
7
Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.10.1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. EuGH v. 13.5.2014 – Rs. C-131/12 (Google Spain). Vgl. Hoffmann-Riem in: Denninger/Hoffmann-Riem/Schneider/Stein (Hrsg.), AK-GG, 3. Aufl. 2001, Art. 5 Abs. 1 Rz. 35 m.w.N; a.A. Grabenwarter in: Maunz/Dürig (Hrsg.), GG, 84. EL August 2018, Art. 5 Abs. 1 Rz. 35 m.w.N.; s. auch die Begründung des Hanseatischen Oberlandesgerichts zu Google, v. 26.5.2011 – 3 U 67/11, Rz. 126. Statt vieler Ladeur/Gostomzyk, Gutachten zur Verfassungsmäßigkeit des Entwurfs eines Gesetzes zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken i.d.F. vom 16.5.2017, Mai 2017, abrufbar unter: https://www. cr-online.de/NetzDG-Gutachten-Gostomzyk-Ladeur.pdf, zuletzt abgerufen am 23.11.2018. Wenn nicht die mittelbar betroffenen Autoren von Posts Verfassungsbeschwerde erheben (Ladeur/Gostomzyk sehen die „gesetzlich veranlassten, zwangsläufig nur kursorischen Entscheidungen der Betreiber über die Zuläs-
201
Wolfgang Schulz
dazu führen, dass in Deutschland von deutschen Staatsbürgern für die Kommunikation in Deutschland vorgesehene Äußerungen gelöscht werden, obwohl sie rechtmäßig sind. Es spricht daher viel dafür, eine Ausnahme von Art. 19 Abs. 3 GG für solche ausländischen juristischen Personen des Privatrechts vorzusehen, die Angebote unterbreiten, die für die Kommunikation in Deutschland relevant sind. 8 Dass die Kommunikationsgrundrechte grundsätzlich dem Wesen nach auf juristische Personen anwendbar sind, liegt nach allgemeiner und zutreffender Ansicht auf der Hand.8 b) Abwehrrechtliche Gewährleistungsgehalte 9 Damit stellt sich nun die Frage, wie das Bundesverfassungsgericht Handlungen von Betreibern von Plattformen einordnen wird, wenn entsprechende Fälle zu entscheiden sind. Für die folgenden Überlegungen soll wieder der Newsfeed von Facebook als Beispiel dienen, sie sind aber auch auf andere Plattformen mit ähnlichen Angeboten anwendbar. Ausgespart werden soll die Frage, inwieweit eine konkrete Meinungsäußerung auch von Intermediären über Art. 5 Abs. 1 Satz 2 – nicht Satz 1 – GG geschützt sind, so wie es zumindest das Bundesverfassungsgericht hinsichtlich traditioneller Medien annimmt.9 10 Es gilt, zwei grundlegende Fragen zu adressieren: 1. Wann ist ein technisch erzeugtes Symbol, das für Menschen Sinn ergibt, eine Meinung im Sinne des Grundgesetzes? 2. Welche Handlungen, die in dem betreffenden sozio-technischen System von – natürlichen oder juristischen – Personen ausgeführt werden, sind als „Äußerungen“ von Art. 5 Abs. 1 Satz 1 GG geschützt? 11 Zur Beantwortung der ersten Frage ist auf den Grund zu rekurrieren, der dazu führt, dass Kommunikation als Handlung besonderen verfassungsrechtlichen Schutz genießt. Analysiert man die Verfassungsrecht-
8 9
sigkeit von Meinungsäußerungen“ als mittelbare staatliche Eingriffe in die Meinungsfreiheit der von ungerechtfertigten Löschungen Betroffenen (https:// www.cr-online.de/NetzDG-Gutachten-Gostomzyk-Ladeur.pdf, S. 80). M.w.N. Grabenwarter in: Maunz/Dürig (Hrsg.), GG, 84. EL August 2018, Art. 5 Abs. 1 Rz. 33. Zum Verhältnis von Presse- und Meinungsfreiheit BVerfGE 62, 230, 243; s. aber Wendt in von Münch/Kunig (Hrsg.), GG, Bd. 1, 6. Aufl. 2012, Art. 5 Rz. 45 unter Verweis auf BVerfGE 114, 339, 347 ff., wonach selbst das BVerfG für publizistische Meinungsäußerungen im Rundfunk von einem Vorrang der Meinungsfreiheit ausgehe.
202
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht
sprechung dazu, dann zeigen sich zwei Wurzeln der Kommunikationsfreiheit:10 Zum einen geht es um die Bedeutung der Kommunikation dafür, wie sich das einzelne Individuum ins Dasein setzt, wie es seine Persönlichkeit entwickelt und seine Beziehungen zu anderen organisiert.11 Neben dieser individuellen Komponente tritt zum anderen die Bedeutung von Kommunikation für die Meinungs- und Willensbildung und damit letztlich für die Funktionstüchtigkeit der Demokratie hinzu.12 Nähert man sich der Frage, wie sich die Gestaltung des Newsfeed im 12 Hinblick auf diese beiden Komponenten verhält, dann lässt sich feststellen, dass die relevanzbasierten Entscheidungen der verantwortlichen (juristischen) Person etwas über deren Haltung zu anderen Personen und der Gesellschaft insgesamt aussagen. Ein treffendes Beispiel liefert die Ankündigung von Facebook Anfang diesen Jahres, die Kommunikation von Freunden höher zu gewichten als professionell erstellte Kommunikate.13 Vorliegend geht es nicht darum, diese hochumstrittene Umstellung zu rechtfertigen, sondern nur darum, sie rechtlich einzuordnen. Dass eine solche Entscheidung Relevanz für die öffentliche Meinungs- 13 und Willensbildung haben kann,14 scheint evident, auch wenn die Effekte – wie oben schon angedeutet – in der öffentlichen und zuweilen auch in der Fachdebatte evidenzfrei überhöht werden.15 Welche Handlung ist als Äußerung geschützt? Dazu ist ein kurzer Ex- 14 kurs zur Funktionsweise des Newsfeed angezeigt. 10 Vgl. BVerfGE 7, 198, 208; 82, 272, 281. 11 Vgl. BVerfGE 7, 198, 208; vgl. auch Hoffmann-Riem in: Denninger/Hoffmann-Riem/Schneider/Stein (Hrsg.), AK-GG, 3. Aufl. 2001, Art. 5 Abs. 1 Rz. 25. 12 Dazu nur BVerfGE 85, 23, 31; vgl. Grabenwarter in: Maunz/Dürig (Hrsg.), GG, 84. EL August 2018, Art. 5 Abs. 1 Rz. 5. 13 Mitteilung von Facebook, News Feed Aktualisierung: Die Menschen näher zusammenbringen, 12.1. 2018, abrufbar unter: https://de.newsroom. fb.com/news/2018/01/news-feed-fyi-grosses-update/, zuletzt abgerufen am 21.11.2018. 14 Vgl. Paal, Intermediäre: Regulierung und Vielfaltssicherung, Rechtsgutachten im Auftrag der Landesanstalt für Medien Nordrhein-Westfalen, März 2018, S. 10 ff.; Schulz/Dankert, Die Macht der Informationsintermediäre, Friedrich-Ebert-Stiftung, 2016, S. 47. 15 Vgl. Flaxman/Goel/Rao, „Filter Bubbles, Echo Chambers, and Online News Consumption“, Public Opinion Quarterly 2016, Vol. 80 (S1), 298 ff.; Dubois/ Blank, „The echo chamber is overstated. The moderating effect of political interest and diverse media“, Information, Communication & Society 2018, Vol. 21 (5), 729 ff.; Haim/Graefe/Brosius, „Burst of the Filter Bubble?“ Digital Journalism 2017, Vol. 6 (3), 330 ff.
203
Wolfgang Schulz
Wenn auf der Grundlage relevanzbasierter Parameter die vom Algorithmus zu berücksichtigenden Signale ausgewählt und zueinander gewichtet werden, kommt dies einer redaktionellen Entscheidung gleich – was nicht heißt, dass es sich um journalistisch-redaktionelle Kommunikation im einfachgesetzlichen Sinne handelt –, die unter den sachlichen Schutzbereich von Art. 5 Abs. 1 Satz 1. 1. Alt GG fällt.16 Anderes mag etwa für den Einsatz eines Systems gelten, das nur daraufhin optimiert wird, vorherzusagen, welches Ergebnis von Nutzerinnen und Nutzern am häufigsten geklickt wird. 15 Staatliche Maßnahmen, die die relevanzbasierten Parameter beeinflussen, berühren daher den Schutzbereich von Art. 5 Abs. 1 GG und bedürfen einer verfassungsrechtlichen Rechtfertigung.17 16 Es lässt sich auch diskutieren, ob Handlungen, die keine eigene oder zu eigen gemachte Äußerung darstellen, den Schutz der Kommunikationsfreiheiten genießen. In einer sich ausdifferenzierenden Kommunikationslandschaft gibt es zunehmend Funktionen, die selbst nicht kommunikativ sind, aber Kommunikation – technisch oder sozial – ermöglichen oder jedenfalls erleichtern.18 Da Art. 5 Abs. 1 Satz 1 GG den Prozess freier Kommunikation schützen will, indem es den für die Kommunikation relevanten Akteuren subjektive Rechte einräumt, spricht viel für eine weite Auslegung des Schutzbereichs auch im Hinblick auf die Funktion der Ermöglichung der Kommunikation Dritter. Insofern kommt es für den Schutz durch Art. 5 Abs. 1 GG nicht darauf an, dass sich der Betreffende selbst äußert.19 2. Objektive Gewährleistungsgehalte 17 Hinsichtlich der objektiven Komponente der Kommunikationsfreiheiten hat das Bundesverfassungsgericht mit seiner Nebenbemerkung in der Fraport-Entscheidung20 und mit zwei jüngeren Entscheidungen zum
16 Etwa für die in einem Suchergebnis liegende Relevanzaussage vgl. Milstein/ Lippold, NVwZ 2013, 182; vgl. auch Paal, Intermediäre: Regulierung und Vielfaltssicherung, S. 21. 17 Vgl. Schulz, AfP 2017, 373 (375, 379). 18 BVerfGE 97, 391. 19 Vgl. Hoffmann-Riem in: Denninger/Hoffmann-Riem/Schneider/Stein (Hrsg.), AK-GG, 3. Aufl. 2001, Art. 5 Abs. 1 Rz. 32; a.A. Schmidt-Jortzig in: Isensee/ Kirchhof (Hrsg.), HdStR VI, 2. Aufl. 2001, § 131 Rz. 21, 24. 20 BVerfGE 128, 226.
204
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht
Nachdenken angeregt.21 Es hat die Möglichkeit in den Raum gestellt, Unternehmen, die eine strukturierende Bedeutung für die öffentliche Kommunikation haben, in gleicher Weise wie den Staat an die Grundrechte zu binden.22 Nicht abschließend geklärt ist indes, ob das Bundesverfassungsgericht auf einen besonderen Fall unmittelbarer Drittwirkung hinaus will oder ob es darum geht, dass der Staat die entsprechenden Unternehmen an die Gewährleistungsgehalte der Grundrechte binden darf oder sogar binden muss.23 Auch im Bereich der Kommunikationsfreiheiten kann aus den Grund- 18 rechten die staatliche Verpflichtung folgen, eine rechtliche Ordnung zu gestalten, die gewährleistet, dass Unternehmen nicht die Freiheit von Bürgerinnen und Bürgern beeinträchtigen. Ein besonderer Fall ist hier die Rundfunkfreiheit, die bekanntlich vom Bundesverfassungsgericht aus einer stark objektiv-rechtlichen Perspektive gelesen wird.24 Dies hat zur Folge, dass der Staat hier eine positive Ordnung zu gestalten hat, in der die Rundfunkfreiheit erst verwirklicht werden kann.25 Vor diesem Hintergrund nimmt es nicht Wunder, dass Teile der Literatur 19 und auch die für die Regulierung zuständigen Länder die Intermediäre dem verfassungsrechtlichen Rundfunkbegriff zuschlagen und beginnen, die Konzepte der positiven Rundfunkordnung jedenfalls teilweise auf diese zu übertragen.26 So liegen derzeit Vorschläge für einen sogenannten Medienstaatsvertrag vor, in denen explizit auch Informationsintermediäre in die Regulierung einbezogen werden würden. Neben Regelungen zur Transparenz sind hier auch Vorschläge enthalten, die darauf abzielen, Diskriminierung jedenfalls bei der Sortierung und Selektion medialer Inhalte zu verbieten. Dies soll der Vielfaltssicherung dienen. Es scheint daher angebracht, dies zum Anlass zu nehmen, die weitere Entwicklungsfähigkeit der bisherigen Konzepte der Rundfunkregulierung zu hinterfragen.
21 BVerfGE, Beschl. v. 18.7.2016 – 1 BvQ 25/15 (‚Bierdosen-Flashmob‘); Beschl. v. 11.4.2018 – 1 BvR 3080/09 (‚Fußballstadion‘). 22 BVerfGE 128, 226, 249; kritisch Di Fabio, Grundrechtsgeltung in digitalen Systemen, 2016, S. 66. 23 Vgl. Schulz, AfP 2017, 373 (377). 24 Ladeur in: Paschke/Berlit/Meyer (Hrsg.), Hamburger Kommentar Gesamtes Medienrecht, 3. Aufl. 2016, 1. Teil 3. Kap. 4. Abschn. Rz. 68. 25 BVerfGE 12, 205, 262 f.; 57, 295, 320 f.; 90, 60, 88. 26 Mit Vorschlägen in dieser Richtung etwa Müller-Terpitz, AfP 2017, 380 (383 f.); Paal, Intermediäre: Regulierung und Vielfaltssicherung, S. 28 ff.; Paal/Hennemann, ZRP 2017, 76 (78); Bund-Länder-Kommission zur Medienkonvergenz, Juni 2016, S. 35 ff.
205
Wolfgang Schulz
20 Vorab ist kurz zu erläutern, wie sich die besondere Regulierungsnotwendigkeit beim Rundfunk begründet: Art. 5 Abs. 1 GG liegt die freie individuelle und öffentliche Meinungsbildung als übergeordnetes Ziel zugrunde, dies ist weitgehend unstreitig.27 Daraus ergibt sich eine Art Sonderdogmatik für den Rundfunk, basierend auf einer Vorstellung einer „gestalteten Freiheit“, die eine vielfaltssichernde positive Ordnung erfordert.28 Flankiert wird dies durch die Ausgestaltungsdogmatik, die Spielräume des Gesetzgebers erhalten soll:29 Maßnahmen, die diese positive Ordnung konstruieren, sind demzufolge keine Eingriffe, sondern als ausgestaltende Maßnahmen nur eingeschränkt einer Verhältnismäßigkeitsprüfung zugänglich.30 Auch die Verbreitungswege unterfallen der Ausgestaltung, da ohne die Regulierung der Verbreitung die Vielfaltssicherung leer liefe.31 Begründet wird die Notwendigkeit einer positiven Ordnung für die Freiheitssicherung mit der Wirkmächtigkeit der audiovisuellen Medien32 und einem (strukturellen!) Marktversagen, das verhindert, dass der ökonomische Wettbewerb diese Macht bändigt.33 21 Lässt sich diese Logik auf internetbasierte Kommunikation übertragen?34 Wohl nicht vollständig: Das Netz der Netze ist gerade dadurch charakterisiert, dass komplett unterschiedliche Angebote bis hin zur Systemsteuerung von IoT-Geräten auf demselben Protokollstandard laufen. Mediale Angebote im Internet können zwar weiterhin einer Spezialregulierung unterfallen, jedoch besteht kein umfassender Gestaltungsauftrag für die gesamte internetbasierte Kommunikation. Ebenso wenig besteht ein verfassungsrechtlicher Auftrag, eine positive Internetordnung zu schaffen.35
27 BVerfGE 57, 295, 319; 114, 371, 386 f.; 74, 297, 323; 87, 181, 197. 28 BVerfGE 12, 205, 262 f.; 57, 295, 320 f., 325; 90, 60, 88. 29 Zum Spielraum des Gesetzgebers bei der Ausgestaltung BVerfGE 90, 60, 94; 97, 228, 267; 119, 181, 214; 121, 30, 50. 30 BVerfGE 73, 166; 73, 118, 166; Jarass in: Jarass/Pieroth (Hrsg.), GG, 13. Aufl, 2014, Art. 5 Rz. 56. 31 Vgl. BVerfGE 73, 118, 197 ff.; vgl. Hoffmann-Riem in: Denninger/Hoffmann-Riem/Schneider/Stein (Hrsg.), AK-GG, 3. Aufl. 2001, Art. 5 Abs. 1 Rz. 187. 32 Zur besonderen Meinungsmacht des Rundfunks aufgrund dessen „Breitenwirkung, Aktualität und Suggestivkraft“ BVerfGE 90, 60, 87; 114, 371, 387; 119, 181, 214 f. 33 Vgl. Ladeur in: Paschke/Berlit/Meyer (Hrsg.), Hamburger Kommentar Gesamtes Medienrecht, 3. Aufl. 2016, 1. Teil 3. Kap. 4. Abschn. Rz. 69. 34 Vgl. Schulz, AfP 2017, S. 373 (375). 35 Vgl. Kube in: Isensee/Kirchhof (Hrsg.), HdStR IV, 3. Aufl. 2006, § 91 Rz. 11, 83 ff.
206
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht
Problematisch sind hier nun wieder die Intermediäre: Sie sind keine Me- 22 dien und auch eine Reduktion auf die Funktion der Verbreitung medialer Inhalte wird ihnen nicht gerecht.36 Sie erfüllen eine spezifische intermediäre Funktion, die oftmals gerade in der Ungleichbehandlung bei der Selektion und Sortierung von Inhalten liegt – das macht ihr auf jeden Nutzer individuell zugeschnittenes Angebot aus.37 Wann schlägt eine solche Ungleichbehandlung in eine Diskriminierung 23 um? Schon bei traditionellen Medien sind Konzepte wenig brauchbar, die versuchen, Vielfalt in der Gesellschaft zu messen und darauf ein Repräsentationsmodell zu bauen.38 Die Vielfaltssicherung wird weitgehend prozeduralisiert und pluralen Gremien zur Konkretisierung zugewiesen.39 Die bekannten Konzepte versagen dann vollständig, wenn sich der Bereich des Medialen, der reguliert werden soll, nicht mehr abgrenzen lässt. Wiederum eignet sich der Newsfeed als Beispiel: Der aktuelle Gesetzes- 24 entwurf der Länder sieht vor, dass mediale Inhalte nicht ohne sachlichen Grund ungleich behandelt werden dürfen.40 Dies könnte dazu führen, dass wegen dieser Regelung ein mediales Angebot, das bei Anwendung des Algorithmus auf einem unteren Listenplatz wäre, hoch gestuft werden muss. Dies geht logisch nur, wenn andere, nicht mediale Inhalte herunter gestuft werden. Dies ist nur unter der Prämisse verfassungsrechtlich haltbar, dass jeder beliebige mediale Inhalt für die Vielfalt wichtiger ist als jeder beliebige nicht-mediale. Die Prämisse ist nicht plausibel, auch wenn viel dafür spricht, dass journalistisch-redaktionelle Inhalte immer noch eine besondere Funktion für die Selbstbeobachtung der Gesellschaft erfüllen. Das Konzept der gestalteten Vielfalt stößt an strukturelle Grenzen, wenn die möglichen betroffenen Inhalte nicht mehr in Gänze erfassbar sind.
36 Vgl. Drexl, ZUM 2017, 529 (536); Schulz, AfP 2017, S. 373 (375). 37 Vgl. Schulz/Dankert, Die Macht der Informationsintermediäre, S. 15-17; Schulz/Dreyer, Stellungnahme zum Diskussionsentwurf eines Medienstaatsvertrags der Länder, September 2018, S. 15. 38 Vgl. Rossen-Stadtfeld in: Hahn-Vesting (Hrsg.), Beck’scher Kommentar zum Rundfunkrecht, 3. Aufl. 2012, § 25 RStV Rz. 4, 17, der auf den in der Praxis überwiegenden konzentrationsrechtlichen Ansatz der Vielfaltsgewährung im Bereich des einfachrechtlichen Rundfunkrechts hinweist. 39 Zur Ausgestaltung des Medienaufsichtsrechts Held in: Paschke/Berlit/ Meyer (Hrsg.), 8. Teil 2. Kap. 74. Abschn. (Aufsicht über Presse und Film) und 75. Abschn. (Aufsicht über Rundfunk und Telemedien). 40 § 53e MStV-E.
207
Wolfgang Schulz
25 Damit hat jedenfalls für diese Fälle das Konzept einer Repräsentation von Vielfalt ausgedient. Sinnvoll erscheint daher die Entwicklung funktionsspezifischer Kriterien in Bezug auf Diskriminierung statt einer Übertragung von rundfunkrechtlichen Konzepten.41 26 Auch darüber hinaus gilt es bezüglich der Sicherung der Freiheit öffentlicher Kommunikation, eine differenzierte Betrachtung von Risiken, Regelungsmöglichkeiten und -notwendigkeiten anzustellen, anstatt an Dienstetypen anzuknüpfen und den Pfad der traditionellen Rundfunkregulierung ins Netz zu verlängern. Als Anwendungsbeispiel sei hier nur die derzeit viel diskutierte Gewährleistung der Integrität von Wahlen genannt. 3. Äußerungsrecht und DS-GVO 27 Im zweiten Teil soll ausgelotet werden, welche Rolle das Bundesverfassungsgericht bei der Gestaltung der Kommunikationsordnung einnehmen kann. Hier geht es nicht nur um Informationsintermediäre, auch wenn diese einen wichtigen Anwendungsfall bieten: Die Frage der Herstellung praktischer Konkordanz zwischen Persönlichkeitsrechten und Kommunikationsfreiheiten ist nirgends so heftig diskutiert worden wie bei dem sogenannten Recht auf Vergessenwerden.42 28 Das Bundesverfassungsgericht hat bereits sehr fein nuancierte Heuristiken entwickelt, die beispielsweise in Fällen, in denen es um die Resozialisierung von ehemaligen Straftätern geht, ermöglichen, das Interesse des Betroffenen an gelingender Resozialisierung mit den Informationsinteressen der Bevölkerung in Ausgleich zu bringen.43 Nun stellt sich die Frage, ob nach Inkrafttreten der DS-GVO überhaupt noch Raum ist, diese an den Grundrechten des Grundgesetzes orientierte praktische Konkordanz herzustellen. 29 Zunächst ist kurz zu untersuchen, inwieweit nationales Verfassungsrecht überhaupt noch gilt, soweit die DS-GVO anwendbar ist. Sodann folgen Überlegungen zur Anwendung des Art. 85 DS-GVO und der Notwendigkeit, hier nationale Regelungen zu schaffen.
41 Schulz/Dreyer, Stellungnahme zum Diskussionsentwurf eines Medienstaatsvertrags der Länder, September 2018, S. 14 ff. 42 Explizit vom EuGH anerkannt mit Urt. v. 13.5.2014 – Rs. C-131/12 (Google Spain), nunmehr in Art. 17 DS-GVO geregelt. 43 Vgl. nur BVerfGE 116, 69, 85 f.
208
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht
Den oben dargestellten Ausgleich leisten in den Mitgliedstaaten ins- 30 besondere die Regelungen des Äußerungsrechts, in Deutschland etwa die Abwägungsdogmatik zwischen dem Allgemeinem Persönlichkeitsrecht und den Kommunikationsfreiheiten im Rahmen der Prüfung des § 823 Abs. 1 BGB.44 Dies ermöglicht zugleich, praktische Konkordanz zwischen dem verfassungsrechtlichen, in Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG geschützten Persönlichkeitsrecht einerseits und den Rechten aus Art. 5 Abs. 1 GG andererseits herzustellen. In die Dogmatik des Äußerungsrechts gehen auch Spezifika der Informationsnutzung und des kulturellen Kontextes ein, so dass es konsequent erscheint, dass die DSGVO die Mitgliedstaaten diesen Ausgleich herstellen lässt und insoweit keine Vollharmonisierung vornimmt.45 Der Ausgleich kann dadurch geschehen, dass, wie in der Vergangenheit bei traditionellen Medien, die datenschutzrechtlichen Regeln teilweise für unanwendbar erklärt werden, oder aber, dass diese selbst eine den eben genannten Grundsätzen gehorchende Abwägung ermöglichen.46 Bei grenzüberschreitenden Angeboten kann es zu Doppelregelungen kommen, was in diesem Fall auch funktional ist.47 Die Grundrechte der EU-Grundrechtecharta binden die Mitgliedstaaten 31 nach Art. 51 Abs. 1 GRCh nur bei der Durchführung von Unionsrecht.48 Ein lediglich thematischer Anknüpfungspunkt genügt hingegen nicht.49 Insofern sind deutsche Stellen grundsätzlich an die Unionsgrundrechte gebunden, wenn sie Normen der DS-GVO anwenden. Nicht so eindeutig ist dies bei den Ausnahmen, auch nach Art. 85 DS-GVO, da hier den Mitgliedstaaten gerade Spielräume eröffnet werden.50 Die Anwendungsbereiche der Normen im Mehrebenensystem von EMRK, GRCh und nationalen Verfassungsrechten sind weiterhin sogar in den Grundsätzen umstritten. Für Art. 85 DS-GVO scheint allerdings plausibel, dass die Rechtsnormen der Mitgliedstaaten, die den Ausgleich zwischen den In-
44 Vgl. Wagner in: MüKo BGB, 7. Aufl. 2017, § 823 Rz. 364; siehe etwa BGH v. 8.5.2012 − VI ZR 217/08, NJW 2012, 2197 Rz. 35. 45 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 8. 46 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 34. 47 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 8. 48 Vgl. EuGH v. 13.4.2000 – Rs. C-292/97 (Karlsson ua.), Slg. 2000, I-2737, Rz. 37. 49 EuGH, Urt. v. 26.2.2013, Rs. C-617/10 (Åkerberg Fransson), Rz. 18; BVerfGE 133, 277, 313 ff. 50 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 9.
209
Wolfgang Schulz
teressen herstellen sollen, sich als Durchführung von Unionsrecht darstellen und daher auch an der GRCh zu messen sind.51 In diese Richtung ist auch EG 153 zur DS-GVO zu interpretieren, der explizit die GRCh erwähnt, nicht aber Grundrechte der Mitgliedstaaten.52 32 Es geht mit dem Unionsrecht konform, wenn dabei Spielräume eröffnet werden, die auch an den Grundsätzen der Verfassungen der Mitgliedstaaten orientiert sind, so dass unterschiedliche Abwägungsergebnisse in den Mitgliedstaaten in vergleichbaren Fällen des Äußerungsrechts möglich erscheinen.53 Der Verordnungsgeber wollte ersichtlich keine europäische Harmonisierung des Äußerungsrechts durch die „Hintertür“ des Datenschutzes.54 Die nationalen Grundrechte kommen damit bei der Durchführung von EU-Recht neben denen der GRCh zur Anwendung, soweit Spielräume für die Mitgliedstaaten bestehen.55 Kommt es zu Konflikten zwischen den Vorgaben der GRCh und den nationalen Grundrechten, stellt sich die Grundsatzfrage zum Anwendungsvorrang von Unionsrecht gegenüber dem Grundgesetz.56 Dies soll hier jedoch nicht weiter adressiert werden. 33 Das Bundesverfassungsgericht bleibt also auch bei dieser eher europarechtsorientierten Auslegung des Zusammenspiels der Normen ein wichtiger Akteur. 34 Auch die DS-GVO kennt nicht nur den Schutz von Privatheit und Daten, sondern erkennt in Art. 85 DS-GVO auch an, dass es entgegenstehende Grundrechte geben kann.57 Art. 85 Abs. 1 DS-GVO verpflichtet die Mitgliedstaaten zur Herstellung eines Ausgleiches zwischen dem Schutz von Privatheit und Daten mit der Freiheit von Meinungsäußerung und Information. Art. 85 Abs. 2 DS-GVO konkretisiert dies und sieht be-
51 Vgl. Albrecht/Janson, CR 2016, 500 (504 ff.). 52 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 9. 53 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 10. 54 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 10. 55 EuGH v. 26.2.2013 – Rs. C-617/10 (Åkerberg Fransson), Rz. 20; zur Anwendung der Grundrechte des GG im Rahmen der Umsetzung von Richtlinien BVerfGE 125, 160. 56 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 10; vgl. Borowsky in: Meyer (Hrsg.), GrCh Kommentar, 4. Aufl. 2014, Art. 51 Rz. 24. 57 Vgl. Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 1.
210
Kommunikationsgrundrechte vor dem Bundesverfassungsgericht
stimmte Ausnahmen vom Datenschutzrecht etwa dann vor, wenn es im Bereich der Verarbeitung von Daten für ausschließlich journalistische Zwecke erforderlich ist. Abs. 2 enthält also ein klassisches Medienprivileg auf Grundlage dessen, was bereits unter der Datenschutz-Richtlinie galt. Abs. 1 geht hingegen darüber hinaus. Deutschland hat die Verpflichtung zur Einführung eines mit Abs. 2 kom- 35 patiblen Medienprivilegs erfüllt. Hier hat es gesetzgeberische Anpassungen gegeben. Ob diese in jedem Falle angemessen sind und ob eine konsonantere Regelung der Länder nicht sinnvoller gewesen wäre, soll an dieser Stelle nicht beurteilt werden. Zur Erfüllung der Verpflichtung des Art. 85 Abs. 1 DS-GVO hat es hin- 36 gegen in Deutschland bislang keine Gesetzgebungsaktivitäten gegeben. Ob darin ein Verstoß gegen Europäisches Recht zu erblicken ist, hängt von der – durchaus umstrittenen – Frage ab, ob Mitgliedstaaten zur Erfüllung dieser Verpflichtung spezifisches Recht setzen müssen oder ob es genügt, dass geltendes, auch generalklauselartiges Recht es ermöglicht, den von Art. 85 Abs. 1 DS-GVO geforderten Ausgleich im Einzelfall herzustellen.58 Die Frage hat mit Blick auf die Anwendbarkeit des Kunsturhebergesetzes (KUG) und der darin enthaltenen Regelung zur Veröffentlichung von Bildnissen von Personen ohne Einwilligung bereits die Gerichte beschäftigt. Das OLG Köln geht davon aus, dass die DS-GVO der Anwendung des abgestuften Schutzkonzeptes des KUG nicht entgegensteht, d. h. zugunsten der Verarbeitung zu journalistischen Zwecken.59 Dem ist im Ergebnis zwar zuzustimmen. Allerdings ist zu beachten, dass 37 Art. 85 Abs. 1 DS-GVO lediglich eine Verpflichtung für die Mitgliedstaaten enthält.60 Die Norm selbst sieht keine Ausnahmen von den in der Verordnung normierten Rechten und Pflichten vor. Solange also Mitgliedsstaaten keine Regelungen zur Erfüllung der Verpflichtung erlassen haben, sind widersprüchliche Ergebnisse bei der Anwendung der Regelungen der DS-GVO und des Äußerungsrechts nicht ausgeschlossen. Nur dort, wo die DS-GVO – wie etwa in Art. 17 Abs. 3 lit. a DS-GVO für das Recht auf Vergessenwerden – selbst eine Abwägung mit den Kommunikationsfreiheiten vorsieht – oder ein anderer Erlaubnistatbestand passt –,
58 Vgl. Stender-Vorwachs in: Wolff/Brink (Hrsg.), BeckOK Datenschutzrecht, 25. Ed. 2017, DS-GVO, Art. 85 Rz. 33 ff. 59 OLG Köln, Beschl. v. 18.6.2018 – 15 W 27/18, ZUM-RD 2018, 549. 60 Schulz/Heilmann in: Gierschmann u.a. (Hrsg.), Kommentar DS-GVO, 2017, Art. 85 Rz. 4.
211
Wolfgang Schulz
besteht jedenfalls die Möglichkeit einer Abweichung von den allgemeinen datenschutzrechtlichen Regelungen. 38 Insofern ist anzuraten, dass der Bund bei der geplanten zweiten BDSG-Novelle jedenfalls festlegt, dass die äußerungsrechtlichen Regelungen des § 23 KUG und des § 823 Abs. 1 BGB die Verpflichtung des Art. 85 Abs. 1 DS-GVO in Deutschland umsetzen. Dabei sollten zur Klarstellung auch die Vorschriften der DS-GVO genannt werden, von denen Abweichungen möglich sind. So werden die vom Bundesverfassungsgericht erarbeiteten Abwägungsgrundsätze relevant bleiben.
212
E-Government in Deutschland und Europa Keynote auf dem 25. Drei-Länder-Treffen der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI) am 21. Juni 2018 in St. Gallen Wilfried Bernhardt* 1. Deutschland kommt beim E-Government kaum voran a) Der E-Government-Monitor 2017 b) 14. eGovernment Benchmark 2017 Report c) Die digitalen „Champions“ d) Situation in Deutschland 2. Verstärkte Digitalisierungsanstrengungen: die Möglichkeiten der elektronischen Identifizierung verbessern 3. Die Tallinn-Erklärung von 2017 – europäische Prinzipien für E-Government-Fortschritte
4. Förderungsmöglichkeiten für E-Government in Deutschland: Onlinezugangsgesetz und EUVerordnung zur Einrichtung eines Single Digital Gateway a) Onlinezugangsgesetz b) EU-Verordnung zur Einrichtung eines zentralen digitalen Zugangstores (Single Digital Gateway (SDG)) 5. Weitere EU-Maßnahmen zur praktischen Förderung von E-Government 6. Fazit
1
Meine sehr geehrten Damen und Herren, für die Einladung zum Drei-Länder-Treffen danke ich sehr. Es ist für mich eine große Ehre, zu Ihnen sprechen zu dürfen. Das Thema meines Vortrags ist sehr allgemein gehalten: E-Government in Deutschland und Europa. Doch dieses Thema bietet die Chance, darzustellen, wo wir uns in Deutschland auf dem Wege zur digitalen Verwaltung gerade befinden, und aufzuzeigen, wie dies europäisch einzuordnen ist.
*
Rechtsanwalt Prof. Dr. Wilfried Bernhardt, Staatssekretär a.D., Berlin. Es handelt sich um einen Keynote-Vortrag, den der Verfasser beim 25. Drei-Länder-Treffen der Deutschen Gesellschaft für Recht und Informatik (DGRI) e.V. in St. Gallen (21.-23.6.2018) gehalten hat. Die Vortragsform wurde beibehalten. Der Beitrag gibt die persönliche Meinung des Verfassers wieder.
213
Wilfried Bernhardt
1. Deutschland kommt beim E-Government kaum voran 2 Glücklicherweise müssen wir uns bei dieser Frage nicht mehr auf Gerüchte oder das Bauchgefühl verlassen. Jährlich zeigen uns umfragebasierte Analysen und Statistiken auf, welchen Stand Deutschland, aber auch die Nachbarstaaten beim E-Government erreicht haben. a) Der E-Government-Monitor 2017 3 Der E-Government Monitor von 20171 hat uns vor Augen geführt, dass die digitale Verwaltung und die digitale Kommunikation zwischen Behörden und Verwaltungskunden in Deutschland nach Meinung der Befragten 2017 keine nennenswerten Fortschritte zeigten. Zum einen hat E-Government weiterhin ein Imageproblem, denn die digitalen Angebote sind zu unbekannt. Zum anderen wirkt sich belastend aus, dass E-Government-Angebote nur genutzt werden können, wenn die Kunden zuvor zusätzliche Hardware angeschafft haben, und digitale Verwaltungsleistungen immer noch nicht durchgängig erreichbar sind. Ähnliche Probleme zeigen sich übrigens auch in Österreich, während in der Schweiz offenbar immer mehr E-Government-Angebote auch durchgehend nutzbar sind. Das ist insbesondere deshalb bemerkenswert, weil in der Schweiz die föderalen Strukturen mit daraus folgenden vielfältigen digitalen Lösungen oft ähnlich wie in Deutschland als besonders herausfordernd gelten. 4 Die Werte für die Zufriedenheit mit E-Government Angeboten haben sich in allen drei Ländern verringert, in Deutschland waren die Verwaltungskunden schon vorher vergleichsweise unzufrieden und sind es jetzt noch mehr. Sicherlich dürfte die Ursache hierfür nicht etwa in der Verringerung der Zahl der digitalen Informationen und Dienstleistungen zu suchen sein. Vielmehr setzen die Bürgerinnen und Bürger im privaten Umfeld und im Kontakt mit den Wirtschaftsunternehmen immer mehr auf digitale Instrumente und erwarten vergleichbare Digitalisierungsanstrengungen auch von der Verwaltung, die jedoch diese Erwartungen nicht befriedigen kann. b) 14. eGovernment Benchmark 2017 Report 5 Der 14. EU-Benchmark, den Capgemini und andere im Auftrag der Europäischen Kommission im letzten Herbst erarbeitet haben und der am
1
https://www.egovernment-monitor.de/die-studie/2017.html, abgerufen am 27.2.2019.
214
E-Government in Deutschland und Europa
27. November 2017 veröffentlicht wurde2, stellt den aktuellen Stand der digitalen Transformation europäischer öffentlicher Verwaltungen dar, und zwar auf der Basis der Lebenslagen- und Geschäftslagen Unternehmensgründung, Verlust und Suche nach einem Arbeitsplatz, Studium und Familienleben. Er erfasst nicht nur die EU-Mitgliedsstaaten, sondern auch Island, Norwegen, Montenegro, Serbien, Schweiz und die Türkei. Insgesamt gibt der Bericht Anlass zu vorsichtigem Optimismus. Immer 6 mehr Behördendienste sind online verfügbar. Mehr als doppelt so viele Onlinedienste als 2015 sind mobil nutzbar. Öffentliche Services werden als stärker nutzerorientiert wahrgenommen. Für die europäische Dimension ist wesentlich, dass Government-Dienste auch zunehmend eine grenzüberschreitende Nutzung erlauben. c) Die digitalen „Champions“ Üblicherweise interessiert vor allem, wie die EU-Mitgliedsstaaten und 7 die Schweiz beim sogenannten Staatenranking bezogen auf die Digitalisierung der Lebens- und Geschäftslagen Unternehmensgründung, Verlust und Suche nach einem Arbeitsplatz, Studium und Familienleben abschneiden. Ich möchte die Champions bei der Nutzerorientiertheit hervorheben. Hierbei ist das Angebot von Leistungen für die Onlinenutzung, den mobilen Zugang zu digitalen Angeboten und für den Onlinesupport berücksichtigt. Auf den Spitzenreiter Malta folgen Dänemark, Portugal, Schweden und Österreich. Bei der Verwaltungstransparenz, also bei den Informationen über die 8 Dauer eines Verwaltungsverfahrens, bei der Transparenz der öffentlichen Organisation, den Informationen über den Umgang mit personenbezogenen Daten durch die Verwaltung liegen Malta, Estland, Litauen, Österreich und Spanien vorn. Bei der grenzüberschreitenden Mobilität erreicht wiederum Malta den 9 Spitzenplatz vor Schweden, Norwegen, Lettland und Österreich. Schaut man auf die digitalen Schlüsseltechnologien, also das Befüllen 10 von Online-Formularen mit authentischen Daten, die die Behörde aus anderen Zusammenhängen bereits kennt, bei der Möglichkeit ausschließlich digitaler Kommunikationsinstrumente unter Nutzung elek-
2
https://www.capgemini.com/consulting/wp-content/uploads/sites/30/2017/ 11/2017-egovernment-benchmark-insight1.pdf, abgerufen am 27.2.2019.
215
Wilfried Bernhardt
tronischer Identitäten und der Verwendung elektronischer Dokumente rangieren Malta, Dänemark, Estland, Litauen und die Niederlande vorn. 11 Konzentriert man den Vergleich auf die drei Länder dieser Tagung, dann rangiert Österreich bei der Gesamtbewertung der Onlinedienste in den genannten Lebens- und Geschäftslagen vor Deutschland, das aber wiederum erstaunlicherweise über dem Europa-Durchschnitt platziert ist, unterdurchschnittlich schneidet die Schweiz ab. 12 Bei der Erreichbarkeit von Verwaltungsdiensten auf zentraler, regionaler und lokaler Ebene bewertet der Benchmark Deutschland höher als Österreich und die Schweiz. Auch bei der mobilen Nutzbarkeit von Verwaltungsleistungen schneidet Deutschland besser als die Schweiz und Österreich ab. d) Situation in Deutschland 13 Nun möchte ich konkret auf den Stand der digitalen Verwaltung in Deutschland eingehen. Überraschend positiv ist, dass in Deutschland immerhin 81 % der Onlinedienste grenzüberschreitend nutzbar sind. Vielleicht ist dieser Zahl zu entnehmen, dass sich die föderalismusgeprägten Erfahrungen von Deutschland gut auf europäischer Ebene nutzen lassen. Denkbar ist aber auch, dass die Verwaltungen in Deutschland die Chance erkennen, den Bürgern und der Wirtschaft ein grenzüberschreitendes E-Government anzubieten, denn Deutschland profitiert vom digitalen Binnenmarkt auch bezogen auf die Verwaltungsdienste in besonderer Weise. 14 Auch das Open Government von Deutschland präsentiert sich – im Vergleich zu anderen Mitgliedsstaaten – überdurchschnittlich. Nutzerfreundliche mobile Zugänge und Transparenz in der Erbringung der Dienstleistung kommen in Deutschland insbesondere den Lebenslagen Arbeit und Unternehmensgründung zugute. Mutmaßlich haben auch mehr und mehr politisch Verantwortliche in Deutschland erkannt, dass die Realisierung der Prinzipien Open Government bzw. Open Data dem Gemeinwesen zugutekommt. Entsprechend hat der deutsche Gesetzgeber 2017 das E-Government-Gesetz des Bundes um eine weitere OpenData-Klausel in § 12a ergänzt3.
3
Artikel 1 – Erstes Gesetz zur Änderung des E-Government-Gesetzes (1. EGovGÄndG), v. 5.7.2017, BGBl. I S. 2206 (Nr. 45); Geltung ab 13.7.2017.
216
E-Government in Deutschland und Europa
In den Bundesländern Hamburg4, Bremen5 und Rheinland-Pfalz6 haben 15 die Transparenzgesetze zu wirken begonnen, welche die Behörden dazu zwingen, bestimmte Daten zur Weiterverwendung in Registern bereitzustellen. Die Qualität der Onlinedienste in Deutschland ist demgegenüber noch 16 ausbaubar, z. B. durch transparentere Zustellverfahren und die Vorabbefüllung von Online-Formularen mit personenbezogenen Daten – vorausgesetzt, die Bürger haben jeweils hierzu ihre Einwilligung erteilt. Für die Verwaltungskunden wäre allerdings ein proaktiv handelnder Staat noch attraktiver. Insoweit könnte Österreich mit seiner antraglosen Familienbeihilfe bei der Geburt eines Kindes als Vorbild wirken. Zwar gab es vom Bundesministerium für Familie, Senioren, Frauen und 17 Jugend bereits in der vergangenen Legislaturperiode Bemühungen, über eine Erweiterung des Elterngeldrechners7 eine durchgehend elektronische Beantragung des Elterngeldes zu ermöglichen. Letztendlich sorgten aber Bedenken von Datenschutzbehörden wegen angeblich fehlender Rechtsgrundlage bei der Weitergabe von Daten aus den Formularen an andere Behörden dafür, dass das Projekt noch nicht abgeschlossen werden konnte. Ich hielt zwar diese Bedenken nicht für stichhaltig, wenn die Einwilligung der Bürger vorliegt; es fehlte aber den politisch Verantwortlichen ganz offensichtlich der Mut, sich über die Bedenken von Datenschutzbehörden hinwegzusetzen. Vielleicht hilft dann eine geplante Ergänzung des Bundeselterngeld- und 18 Elternzeitgesetzes um eine neue Norm, die explizit die Datenverarbeitung zur elektronischen Unterstützung der Antragstellung eines Elterngeldantrags durch ein vom Bund verantwortetes Internetportal erlaubt8. Zusätzlich soll Bremen mit einer sogenannten „ELFE-App“ (Einfach
4 5 6 7 8
Hamburgisches Transparenzgesetz (HmbTG) vom 19.6.2012, HmbGVBl. 2012, 271. https://www.transparenz.bremen.de/, abgerufen am 28.2.2019. Landestransparenzgesetz (LTranspG) vom 27.11.2015, GVBl. 2015, 383. https://familienportal.de/familienportal/rechner-antraege/elterngeldrechner, abgerufen am 28.2.2019. Art. 118 des Entwurfes eines Zweiten Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU), Drs. 19/4674: Einfügung eines § 24b in das Bundeselterngeld- und Elternzeitgesetz.
217
Wilfried Bernhardt
Leistungen für Eltern)9 im Auftrag des IT – Planungsrats die digitale Elterngeldbeantragung weiter erleichtern. 19 Im Detail zeigt der eGovernment Benchmark Report, dass die Digitalkompetenz der Bürger und Unternehmen in Deutschland im Vergleich zu anderen europäischen Staaten überdurchschnittlich ausgeprägt ist, die tatsächliche Nutzung der Informations- und Kommunikationstechnologie unterdurchschnittlich. Während der Digitalisierungsgrad der Verwaltung in Deutschland immerhin bei erstaunlichen 75 % liegt, muss von einem recht niedrigen digitalen Durchdringungsgrad (in dem Sinne, dass die Nutzer die Potentiale der IT bezogen auf E-Government in vollem Umfang nutzen) ausgegangen werden. 2. Verstärkte Digitalisierungsanstrengungen: die Möglichkeiten der elektronischen Identifizierung verbessern 20 Dank Benchmark und Ranking können nicht nur die politisch Verantwortlichen der jeweiligen Staaten überprüfen, inwieweit die Digitalisierungsanstrengungen gerade im Verhältnis zu den Erfolgen anderer Staaten noch zu steigern sind. Das Ranking motiviert auch die Behörden in Europa, voneinander zu lernen, um ihre Online-Dienste weiterhin zu verbessern. Wenn europäische Regulierungen – wie die eIDAS-Verordnung – darauf abzielen, Online-Dienste nahtlos national und grenzüberschreitend anzubieten und dabei die Nutzung elektronischer Identitäten auch über das CEF-Projekt TReats (TRans European AuThentication Services)10 zu fördern, dann motivierte das auch die deutsche Bundesregierung, die eID des elektronischen Personalausweises möglichst schnell europaweit einsetzbar zu machen. 21 Deutschland ist damit der erste EU-Mitgliedstaat, der seine nationale eID notifizierte, so dass der deutsche elektronische Ausweis ab 29. September 2018 europaweit anzuerkennen ist, soweit in den anderen Mitgliedsstaaten die elektronische Identifizierung für Verwaltungsdienste zugelassen ist11. Auch Estland, Ungarn, Italien und Luxemburg haben die Notifizierung eingeleitet. Ferner hat sich Deutschland bereits in 9 Siehe Veröffentlichung der Finanzverwaltung Bremen: https://www.finanzen. bremen.de/neue_verwaltung/zentrales_it_management_und_e_government/ elfe___einfach_leistungen_fuer_eltern-60128, abgerufen am 28.2.2019. 10 https://netlab.hs-harz.de/TREATSWS/slides/007_2017-06-08__12_20__ 12_35_Workshop_TREATS_BuDru_HSH.pdf, abgerufen am 29.2.2019. 11 Siehe Veröffentlichung der Notifizierung im Amtsblatt: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=OJ:C:2017:319:FULL&from=EN, abgerufen am 28.02.2019.
218
E-Government in Deutschland und Europa
der vergangenen Legislaturperiode bemüht, durch die Novellierung des Personalausweisgesetzes12 die Nutzung der elektronischen Ausweise attraktiver zu machen. Nunmehr ist die eID automatisch freigeschaltet. Das Vergabeverfahren für die Berechtigungszertifikate wurde novelliert. Schließlich kann mittlerweile der elektronische Ausweis auch über NFC-fähige Smartphones und die Ausweis-App ohne spezielles Lesegerät genutzt werden. In diesem Zusammenhang ist auch das Vorhaben der Schweiz hervor- 22 zuheben, das Monopol für die Verantwortung für die eID-Trägermedien (in Deutschland noch bei der Bundesdruckerei angesiedelt) für die Schweiz zu beseitigen. Zukünftig sollen Unternehmen unterschiedliche Trägermedien für die eID anbieten können. Die neue Regelung gibt der Wirtschaft eine Chance zur Fortentwicklung von öffentlichen IT-Instrumenten und trägt damit auch zur weiteren Verbreitung der digitalen Instrumente bei – ganz im Sinne des Prinzips der „Digitalen Gewaltenteilung als Marktverantwortung“ zur Förderung der privatwirtschaftlichen Entfaltungsmöglichkeiten auf dem Markt der IT-Herstellung und IT-Services, das Dirk Heckmann und ich in einer Studie vom März 2016 für Deutschland auf der Basis rechtlicher Argumente gefordert haben13. 3. Die Tallinn-Erklärung von 2017 – europäische Prinzipien für E-Government-Fortschritte 2017 hatte Estland während seiner Ratspräsidentschaft die Digitalisie- 23 rung auch der Verwaltung zu einem der bedeutsamsten Ziele seines Ratsvorsitzes erhoben. Entsprechend drängte die estnische Regierung mit Erfolg auf eine Tallinn-Erklärung der für E-Government zuständigen Minister der 28 Mitgliedsstaaten sowie der Europäischen Freihandelsassoziation und der Schweiz14. Diese Erklärung trägt sicherlich auch dazu bei, dass die Regierungen zukünftig die Verwaltungsorganisationen modernisieren und hierfür die
12 Personalausweisgesetz vom 18. Juni 2009 (BGBl. I S. 1346), zuletzt geändert durch Art. l 4 des Gesetzes vom 18. Juli 2017 (BGBl. I S. 2745). 13 https://www.for-net.info/wp-content/uploads/2016/04/Heckmann-Bernhardt-Studie-Digitale-Gewaltenteilung.pdf, abgerufen am 18.9.2019. 14 Tallinn Declaration on eGovernment at the ministerial meeting during Estonian Presidency of the Council of the EU on 6 October 2017, https://www. eu2017.ee/sites/default/files/2017-10/Tallinn_eGov_declaration.pdf, abgerufen am 28.2.2019.
219
Wilfried Bernhardt
Mitarbeiter schulen. Denn die Verwirklichung des digitalen Binnenmarkts könnte jährlich 415 Mrd. EUR zur Wirtschaft beitragen15. 24 Die Tallinnerklärung benennt 5 Prinzipien und konkretisiert sie durch Beispiele und Handlungsanweisungen: Prinzip 1: Digital by default, Inklusivität und Barrierefreiheit: Die Behörden sollen über den digitalen Kanal erreichbar sein. Unnötige mehrmalige Behördenkontakte sollen vermieden werden. Die digitalen Fähigkeiten von Bürgern und Unternehmen sind fortzuentwickeln. Die Zugänge zu Websites und Mobil-Apps sollen besser erreichbar sein und damit der digitale Zugang zu Dienstleistungen und Informationen verbessert werden. Die Dienste sollen sektorenübergreifend integriert werden. 25 Prinzip 2: Once Only Die Bürokratielasten sollen durch grenzüberschreitenden Datenaustausch und Zusammenarbeit reduziert werden. Die Schlüssel-Basisregister sollen leichter aufgefunden, die Qualität verbessert werden. Man will die Wiederverwendungskultur fördern, indem die Verwaltungen die von Bürgern und Unternehmen einmal angegebenen Daten unter Beachtung der Datenschutzprinzipien wiederverwenden können. Man will die Kerndaten digitalisieren und Datenplattformen zum Datenaustausch schaffen. 26 Prinzip 3: Vertrauenswürdigkeit und Sicherheit Die Minister wollen die eID-Nutzung durch eine breitere eIDAS-Notifikation beschleunigt realisieren. Sie wollen den Privatsektor motivieren, auch die eID-Systeme zu nutzen. Digitale Behördenleistungen sollen sicher und genau zu identifizieren sein. Eine konsequente Umsetzung der NIS-Richtlinie16 soll die Cybersicherheit erhöhen. 27 Prinzip 4: Offenheit und Transparenz Diese Prinzipien zielen auf eine bessere Administration der eigenen Verwaltungsdaten ab. Nutzen und Qualität der Verwaltungsdaten sollen vom Open by default-Grundsatz profitieren. 15 Presseerklärung der EU-Kommission zur Vorstellung von Initiativen zur Verwirklichung des digitalen Binnenmarkts (https://europa.eu/rapid/press-release_IP-15-4919_de.htm, abgerufen am 18.9.2019). 16 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.
220
E-Government in Deutschland und Europa
28
Prinzip 5: Interoperabilität by default Die Bausteine des EU-Programms „Connecting Europe Facility17“ (eID, eSignatur, eDelivery, eProcurement, eInvoicement) gewinnen durch sektorenübergreifende Verwendung an Bedeutung. Schließlich sollen auch Open-Source-Lösungen und offene Standards verstärkt angewandt und die Verwaltungs-IT-Lösungen auch im privaten Sektor eingesetzt werden.
Die Tallinn-Erklärung und der eGovernment Benchmark dokumentieren, 29 dass es vor allem um Maßnahmen gehen muss, die Verwaltungsdienste qualitativ und nutzerorientiert zu verbessern. Bürger und Unternehmen können dann einen echten Mehrwert bei der Nutzung der digitalen Dienste erfahren. Die Verwaltungsbeschäftigten können allerdings die teilweise hochwertigen Instrumente nur wirklich nutzen, wenn sie Möglichkeiten zur Weiterqualifizierung erhalten. 4. Förderungsmöglichkeiten für E-Government in Deutschland: Onlinezugangsgesetz und EU-Verordnung zur Einrichtung eines Single Digital Gateway Ich möchte nun konkret den Blick noch stärker auf Deutschland fokus- 30 sieren. Wie kann man E-Government in Deutschland fördern und dabei gleichzeitig die europäische Idee stärken? Welche Rolle spielt die rechtliche Steuerung des E-Government-Prozesses? 2013 verfolgte der Bund mit dem (Bundes-) E-Government-Gesetz18 31 das Ziel, der Entwicklung der digitalen Verwaltung einen rechtlich-organisatorischen Rahmen zu geben. Vor allem die elektronischen Kommunikationsinstrumente, die die klassische Schriftform ersetzen, das obligatorische E-Government-Angebot und die interne elektronische Aktenführung fanden ihren rechtlichen Niederschlag in diesem Gesetz. Allerdings binden die Regelungen vor allem die Bundesbehörden und nur in sehr begrenztem Umfang die Landes- und Kommunalbehörden, wenn sie Bundesrecht ausführen. Das Ziel, die Länder zu einem parallelen Vorgehen mit eigenen Landes-E-Government-Regelungen zu veranlassen, konnte das Bundesgesetz nur sehr begrenzt erreichen. Deutschland präsentiert sich weiterhin als Flickenteppich bei der E-Government-Gesetzgebung. Noch immer verfügen nicht alle Länder über ein E-Govern-
17 https://ec.europa.eu/inea/en/connecting-europe-facility, abgerufen am 28.2.2019. 18 E-Government-Gesetz vom 25. Juli 2013 (BGBl. I S. 2749), zuletzt geändert durch Artikel 1 des Gesetzes vom 5. Juli 2017 (BGBl. I S. 2206).
221
Wilfried Bernhardt
ment-Gesetz; so haben einige Länder lediglich ihre Verwaltungsverfahrensgesetze angepasst und noch keine klaren Fristen für die tatsächlichen Infrastrukturen für die Nutzung des sogenannten elektronischen Schriftformersatzes bzw. für die Umstellung auf die elektronische Verwaltungsakte gesetzt. Das führt dazu, dass Bürger, die innerhalb Deutschlands umziehen oder Verwaltungsleistungen in einem anderen als dem Heimatbundesland digital beantragen wollen, sich auf ganz unterschiedliche für sie maßgebliche Rechtslagen einstellen müssen. 32 Die gesetzgebenden Institutionen in Deutschland haben bis zum letzten Jahr zu wenig berücksichtigt, dass digitale Abbilder der bisherigen Papierkommunikation oder eine 1:1- Digitalisierung persönlicher Kundentermine der Verwaltung allein nicht ausreichend die Wünsche der Bürger berücksichtigen. Die Bürger wollen zukünftig vor allem einfacher mit der Verwaltung kommunizieren. Sie wollen nicht immer wieder dieselben Daten der Verwaltung übermitteln. Sie wollen keine endlosen Formulare ausfüllen und Kontakte mit einer Vielzahl unterschiedlicher Behörden unterhalten müssen. 33 Gerade in einem föderal verfassten Staat mit den zwischen Bund, Ländern und Kommunen aufgeteilten Kompetenzen ist es für den Bürger, aber auch für ein Unternehmen äußerst schwierig, sich im Dickicht der Bürokratie und Zuständigkeiten zurechtzufinden. Die Digitalisierung einzelner Verwaltungsleistungen hilft dabei nur bedingt. Deshalb nutzte der Bund die Finanzverhandlungen 2016 mit den Ländern, als Gegenleistung für seine finanzielle Großzügigkeit die Bereitschaft einzufordern, bei einem großen Portalverbund mitzumachen, über den alle Verwaltungsleistungen von Bund, Ländern und Kommunen spätestens ab 1.1.2023 abrufbar sein sollten. a) Onlinezugangsgesetz 34 Das am 18. August 2017 in Kraft getretene Onlinezugangsgesetz (OZG)19 verpflichtet Bund und Länder, ihre Verwaltungsportale miteinander zu einem Portalverbund zu verknüpfen und bis spätestens Ende 202220 ihre
19 Das Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen (Onlinezugangsgesetz – OZG) vom 14. August 2017 (BGBl. I S. 3122, 3138) wurde als Artikel 9 des Gesetzes v. 14.8.2017 (BGBl. I 3122, 3138) vom Bundestag mit Zustimmung des Bundesrates beschlossen und ist gem. Art. 25 Abs. 1 dieses Gesetzes am 18.8.2017 in Kraft getreten. 20 § 1: „bis spätestens zum Ablauf des fünften auf die Verkündung dieses Gesetzes folgenden Kalenderjahres“.
222
E-Government in Deutschland und Europa
Verwaltungsleistungen auch elektronisch über Verwaltungsportale anzubieten. Gleichzeitig zielten Aktivitäten auf EU-Ebene darauf ab, Barrieren im 35 grenzüberschreitenden E-Government-Verkehr abzubauen. Die Europäische Kommission legte Anfang Mai 2017 einen Verordnungsvorschlag über die Einrichtung eines zentralen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten21 vor. Die Mitgliedsstaaten sollen verpflichtet werden, bestimmte Informationen zu den Vorschriften, Rechten und Pflichten in bestimmten Schlüsselbereichen sowie einige wichtige Verfahren vollständig online bereitzustellen und diese nach einem vereinbarten Zeitplan auch für grenzüberschreitende EU-Nutzer vollständig zugänglich zu machen. Darauf werde ich gleich noch näher eingehen. Dass die europäische Ebene und der EU-Mitgliedstaat Deutschland auf 36 demselben Themenfeld tätig werden, überrascht nicht, zumal national wie grenzüberschreitend ein Bedarf dafür besteht, Verwaltungsleistungen ohne Medienbrüche und unter Verzicht auf Papieranlagen online abzuwickeln. Idealerweise handeln die Mitgliedstaaten und die europäische Ebene in zeitlich abgestimmter Weise. Das bedeutet: Die Mitgliedstaaten und die Kommission kooperieren für ein gemeinsames Regelungswerk. Am Ende des EU-Gesetzgebungsverfahren steht schließlich eine Verordnung bzw. eine Richtlinie, die Mitgliedsstaaten nehmen danach die erforderlichen gesetzlichen und praktischen Umsetzungs- bzw. Anpassungsmaßnahmen vor. Leider kommt es nur selten zu einer inhaltlich und zeitlich koordi- 37 nierten Gesetzgebung. So mag es nicht überraschen, dass zunächst die Bundesregierung in Deutschland das Onlinezugangsgesetz auf den Weg brachte und kurze Zeit später die Kommission den Vorschlag für die genannte Verordnung für ein europäisches Portal vorlegte. Die Thematik in den beiden Regelungen überschneidet sich, ist aber nicht deckungsgleich. Wenn die EU-Verordnung verabschiedet wird und in Kraft tritt, muss Deutschland das Umsetzungskonzept für das Onlinezugangsgesetz anpassen. Dabei kam die Initiative der EU-Kommission nicht un21 Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über die Einrichtung eines zentralen digitalen Zugangstors zu Informationen, Verfahren, Hilfs- und Problemlösungsdiensten und zur Änderung der Verordnung (EU) Nr.1024/201, COM(2017) 256 final, http://ec.europa.eu/transparency/regdoc/rep/1/2017/DE/COM-2017-256-F1-DE-MAIN-PART-1.PDF, abgerufen am 28.2.2019.
223
Wilfried Bernhardt
angekündigt. Bereits seit längerer Zeit arbeitete die Kommission an der Initiative für ein zentrales digitales Eingangstor. Diese ist bereits im eGovernment- Aktionsplan 2016-202022 bzw. in der Binnenmarktstrategie von 201523 vorgesehen. Auch deshalb verwies die Begründung des Verordnungsvorschlags für ein Single Digital Gateway darauf, dass die Initiative „auf einer engen Zusammenarbeit zwischen der Kommission und den Mitgliedsstaaten mit Blick auf eine wirksame, schrittweise Umsetzung der verschiedenen Anforderungen des Vorhabens“ beruht24. Dennoch ließen die skeptischen politischen Reaktionen in Deutschland darauf schließen, dass man sich nicht ausreichend darauf vorbereitet hatte, die Fortentwicklung des deutschen eGovernment mit den europäischen Vorgaben zu verzahnen. 38 Aufbauend auf einer gleichzeitig verabschiedeten Ergänzung des Art. 91c Abs. 5 GG („Der übergreifende informationstechnische Zugang zu den Verwaltungsleistungen von Bund und Ländern wird durch Bundesgesetz mit Zustimmung des Bundesrates geregelt“) verpflichtet das Onlinezugangsgesetz (OZG) die Behörden von Bund und Ländern dazu, bis Ende 2022 die Verwaltungsleistungen auch online über Verwaltungsportale zur Verfügung zu stellen. Insoweit ist ein barriere- und medienbruchfreier Zugang zu gewähren. Auch wenn das OZG die Kommunen im Gesetzestext nicht ausdrücklich erwähnt, geht man davon aus, dass die genannten Verpflichtungen auch die Kommunen erfassen, da die Länder nach außen auch für die Kommunen handeln25. Eine Verletzung der verfassungsrechtlich verbürgten kommunalen Selbstverwaltungsgarantie ist darin nicht zu sehen, weil Eingriffe in diese Garantie sich auf Gemeinwohlgründe (bürgernahe und effektive Verwaltung) stützen können.
22 https://ec.europa.eu/digital-single-market/en/european-egovernment-action-plan-2016-2020, abgerufen am 28.2.2019. 23 Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen: Den Binnenmarkt weiter ausbauen: mehr Chancen für die Menschen und die Unternehmen, COM(2015) 550 final, https://ec.europa.eu/transparency/regdoc/rep/1/2015/DE/1-2015-550-DE-F1-1.PDF, abgerufen am 28.2.2019. 24 Begründung des o.g. Verordnungsvorschlags, S. 6 (https://ec.europa.eu/transparency/regdoc/rep/1/2017/DE/COM-2017-256-F1-DE-MAIN-PART-1.PDF, abgerufen am 18.9.2019). 25 So auch die Gesetzesbegründung: BT-Drs. 18/11135, 91 ff.: „Bund und Länder (einschließlich Kommunen)“. Ebenso Herrmann/Stöber: Das Onlinezugangsgesetz des Bundes NVwZ 2017, 1401, 1403.
224
E-Government in Deutschland und Europa
In der Literatur26 wird darauf hingewiesen, dass das Onlinezugangsgesetz 39 den Bürgern und Unternehmen keine subjektiven, einklagbaren Rechte verleiht. Das bedeutet, dass eine Verletzung der gesetzlichen Verpflichtungen – etwa die Nichteinhaltung der im Gesetz enthaltenden Fristen – sanktionslos bleibt. Das ist nachteilig für die Verwaltungskunden. Denn der Bund hat das Vertrauen in seine Rechtstreue bereits erschüttert, indem er die im EGovG vorgesehenen Fristen nicht einhielt – vielleicht auch, weil er keine Sanktionen bei einer Fristüberschreitung befürchten musste. Es ist daher veranlasst, für mehr Gesetzestreue zu sorgen. Vielleicht könnte – ähnlich wie bei europarechtlichen Pflichtverletzungen, die durch ein Vertragsverletzungsverfahren und finanzielle Sanktionen angegangen werden können – auch innerhalb von Deutschland auf Gesetzesverletzungen durch die angesprochenen Verwaltungsebenen mit finanziellen Sanktionen reagiert werden. Eine Pflicht zur Digitalisierung interner Verwaltungsverfahren lässt 40 sich nicht unmittelbar aus dem OZG ableiten; dort ist nur der digitale Online-Zugang zu Verwaltungsleistungen festgelegt. Dennoch sind die Behörden gut beraten, auch intern die Weichen auf eine elektronische Arbeit umzustellen. Zum einen verpflichten einige E-Government-Gesetze bereits dazu. Zum anderen dürften auch die Länder, die keine entsprechenden gesetzlichen Regelungen verabschiedet haben, nur schwer ein externes Onlineverfahren bereitstellen können, wenn intern weiterhin mit Papier gearbeitet wird. Der ursprüngliche Gesetzentwurf der Bundesregierung enthielt die Ein- 41 schränkung, dass nur „geeignete“ Verwaltungsleistungen online zu stellen seien27. Diese Einschränkung entfiel dann im beschlossenen Gesetz. Bereits im Gesetzgebungsverfahren wurde allerdings betont, dass auch ohne entsprechenden ausdrücklichen Hinweis im Gesetzestext der Grundsatz „Ultra posse nemo obligatur“ gelte. Eine Verpflichtung zur Digitalisierung der Verwaltungsleistung entfällt demnach bei tatsächlicher Unmöglichkeit, z. B. bei einem Realakt, bei rechtlicher Unmöglichkeit sowie auch bei wirtschaftlicher Unmöglichkeit, sofern diese im groben Missverhältnis zum Ziel des OZG steht28. Nun muss es darum gehen, die Verwaltungen daran zu hindern, zu oft den Ausnahmegrund „wirtschaftliche Unmöglichkeit“ zu bemühen, denn eine Berufung hierauf wäre nur in sehr seltenen Ausnahmesituationen rechtlich vertretbar.
26 Herrmann/Stöber: Das Onlinezugangsgesetz des Bundes NVwZ 2017, 1401, 1404 unter Verweis auf die Gesetzesbegründung in BT-Drs. 18/11135, 91. 27 BT-Drs. 18/11135, 31. 28 Zum Ganzen Herrmann/Stöber, aaO, S. 1404.
225
Wilfried Bernhardt
42 Martini/Wiesner29 haben eine verfassungsrechtliche These erarbeitet, die aufhorchen lässt: Die Regelungskompetenz des Bundes bezogen auf die vollständige Digitalisierung von Verwaltungsleistungen gelte nur für Bundesbehörden und Länder, soweit sie Bundesgesetze im Auftrag oder unter Aufsicht des Bundes auf der Grundlage der Art. 83 ff. GG vollziehen. Problematisch sei daher eine durch das OZG geschaffene Pflicht zur Digitalisierung von Verwaltungsdienstleistungen, die in der Landeskompetenz stehen, weil Art. 30, Art. 70 GG den Vollzug von Landesrecht eindeutig den Ländern als Kompetenz zuweise und keine andere Verfassungsnorm eine Abweichung von diesem Grundsatz vorsehe. Der neue Art. 91c Abs. 5 GG („Der übergreifende informationstechnische Zugang zu den Verwaltungsleistungen von Bund und Ländern wird durch Bundesgesetz mit Zustimmung des Bundesrates geregelt“) betreffe nur die Regelungskompetenz zum Anschluss bestehender Online-Leistungen an einen Portalverbund. Dies belege die Auslegung des Abs. 5 nach den klassischen Methoden (Wortlaut, Entstehungsgeschichte, Ratio der Norm, Verfassungssystematik). Ich teile die Auffassung von Martini/Wiesner nicht. Die Grundgesetzergänzung sollte gerade die bereits damals geplante OZG-Regelung verfassungsrechtlich absichern. Dies ist aus der gleichzeitigen Erarbeitung von OZG und Grundgesetzänderung zu folgern. Insoweit führt gerade die historische Auslegungsmethode zur verfassungsrechtlich zulässigen OZG-Verpflichtung. 43 Das OZG sieht ferner die Einrichtung sogenannter Nutzer- oder Servicekonten vor. Diese sollen den Zugang zu den Verwaltungsleistungen nach dem Once-Only-Prinzip eröffnen: Bürger und Unternehmen (juristische Personen oder Personengesellschaften) können in diesen Konten die für die Identifizierung und Authentifizierung erforderlichen Daten (Stammdaten) für eine einmalige oder mehrmalige Übermittlung und Verwendung an die zuständigen Behörden bereit halten. Ferner kann die DE-Mail-Adresse gespeichert und ein Dokumentensafe für Dokumente des Bürgers registriert bzw. eingerichtet werden. Im Mittelpunkt stehen bei den Registrierungen und Einrichtungen das Recht auf informationelle Selbstbestimmung und die Vorgaben der Europäischen Datenschutzgrundverordnung, welchen durch Einwilligungserfordernisse entsprochen wird. Der Bürger entscheidet selbst über die Nutzbarkeit seiner Daten. Er kann ggf. auch die Löschung seines Kontos verlangen.
29 ZG 2017, 193 ff.
226
E-Government in Deutschland und Europa
Auch die europäische eIDAS-Verordnung30 wirkt in die Funktionswei- 44 se des Nutzerkontos hinein: So ist neben der DE-Mail-Adresse die Adresse eines eIDAS- Zustelldienstes einzutragen. Registriert werden die üblichen Stammdaten von Bürgern, also Name, Vorname, Anschrift, Geburtsname, Geburtsort, Geburtsland, Geburtsdatum, akademischer Grad, dienste- und kartenspezifische Kennzeichen der ID-Dokumente. Ähnliches gilt für Unternehmen: Firma, Name, Rechtsform, Registernummer, Registerort, Hauptniederlassung, Namen der gesetzl. Vertreter, Anschrift der gesetzl. Vertreter u. a. Die Nutzerkonten von Bund und Ländern sollten von vornherein dar- 45 auf vorbereitet sein, auch eine gemäß eIDAS-Verordnung notifizierte eID eines Bürgers eines anderen EU-Mitgliedsstaats verarbeiten zu können. Auch der Einsatz der eID im Rahmen sogenannter Vertrauensniveaus entspricht der Philosophie der eIDAS-Verordnung: Das Identifizierungsmittel ist nach dem jeweils benötigten Vertrauensniveau der Verwaltungsdienstleistung (Level of Assurance) zu wählen. Dabei ist zwischen den Vertrauensniveaus „niedrig“, „substanziell“ und „hoch“ zu unterscheiden. Das OZG legt selbst nicht die Vertrauensdienstleistungen fest. Dies ist den Fachregelungen bzw. der Verwaltungspraxis überlassen. Nicht jede Verwaltungsdienstleistung beansprucht das höchste Vertrauensniveau. Informationen sollten zumeist mit einer Identifizierung auf niedrigem Vertrauensniveau erhältlich sein. Demgegenüber verlangt z. B. die Ausstellung einer Geburtsurkunde ein hohes Vertrauensniveau. Das OZG enthält zahlreiche Verordnungsermächtigungen, mit denen für 46 die Einrichtung des Portalverbunds wesentliche IT-Komponenten (Software, Hardware), Kommunikations- und Sicherheitsstandards vorgegeben werden können. Einer Zustimmung des Bundesrates bedarf es dabei nicht. Der IT-Planungsrat – bisher das für viele Standards entscheidende Gremium – fällt in die Rolle eines Ratgebers zurück, denn bei einigen Standards ist lediglich das Benehmen mit dem IT-Planungsrat herzustellen, was einer qualifizierten Anhörungspflicht, aber eben keiner Pflicht zur Einholung des Einvernehmens entspricht. Es bleibt abzuwarten, ob er mit diesen Kompetenzen auch sachgerecht und zielführend umgeht. Dabei sollte er sich auch um europakonforme Standards bemühen.
30 Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments und des Rates vom 23. Juli 2014 über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG, ABl.L 257/73.
227
Wilfried Bernhardt
47 Der IT-Planungsrat hat am 5.10.2017 die Grundprinzipien der Architektur des künftigen Portalverbundes beschlossen31: Die Verwaltungsportale von Bund, Ländern und Kommunen werden auf- bzw. ausgebaut und intelligent miteinander verknüpft. Jedes Land verbindet sein Verwaltungsportal mit den Kommunalportalen und sonstigen Fachportalen seines Landes zu einem eigenen Portalverbund. Der Bund verknüpft die Fachportale des Bundes mit seinem Bundesportal. Alle Online-Leistungsbeschreibungen und -anwendungen von Bund, Ländern und Kommunen sollen über jedes Verwaltungsportal im Portalverbund direkt oder per Verlinkung aufrufbar sein – übrigens auch von verschiedenen mobilen Endgeräten aus. Über jedes Servicekonto sollen alle Online-Leistungen im Portalverbund genutzt werden können. Schließlich ist auch eine E-Payment-Komponente vorgesehen. Die Online-Leistungen werden über das System LeiKa-ID (verwaltungsebenenübergreifender Leistungskatalog der öffentlichen Verwaltung) eindeutig definiert. Es wurde ein Katalog von Leistungen zusammengestellt, sortiert aus Nutzersicht (Bürger, Unternehmen). Alle ca. 575 Verwaltungsleistungen sollen nach Lebens- und Geschäftslagen systematisiert und die geclusterten Lebensund Geschäftslagen in verteilter Verantwortung jeweils von interessierten Ländern zusammen mit Bundesbehörden pilotiert werden. b) EU-Verordnung zur Einrichtung eines zentralen digitalen Zugangstores (Single Digital Gateway (SDG)) 48 Dabei sollten – wie gesagt – auch die Vorgaben aus Brüssel Berücksichtigung finden: Die Kommission will mit dem Vorschlag für eine EU-Verordnung zur Einrichtung eines zentralen digitalen Zugangstors (Single Digital Gateway)32 die Situation für Unternehmen in der EU regeln, die im Binnenmarkt tätig sind und sich dort bewegen wollen. Sie will ferner Erleichterungen für Bürgerinnen und Bürger schaffen, die sich im Binnenmarkt bewegen, leben und arbeiten wollen. 49 Bürger anderer Mitgliedsstaaten halten bestimmte Verwaltungsvorschriften oft deshalb nicht ein, weil sie diese nicht kennen oder ein verständlicher Zugang zu den zugrundeliegenden Informationen fehlt. Für eine effiziente Wahrnehmung von EU-Grundfreiheiten fehlen die benötigten Informationen, weil sie im Internet nur schwer oder gar nicht auffindbar 31 https://www.it-planungsrat.de/SharedDocs/Downloads/DE/Entscheidungen/ 24_Sitzung/B31_Portalverbund_Anlage1.pdf?__blob=publicationFile&v=4, abgerufen am 28.2.2019. 32 Siehe oben Fn. 18.
228
E-Government in Deutschland und Europa
sind. Das Zusammenwirken von unionsrechtlichen und nationalen Vorschriften ist intransparent. Deshalb will die Verordnung regeln, dass die Verwaltungsinformationen künftig komfortabel („einfach“) online aufrufbar und in angemessener Qualität zur Verfügung stehen sollen. Nationale binnenmarktrelevante Verwaltungsinformationen sind zukünftig in mindestens einer Amtssprache der Union zusätzlich zur Landessprache zur Verfügung zu stellen. Hilfsdienste und Problemlösungsdienste (wie Gesundheitsinformations- 50 stellen und Informationsstellen für Bauprodukte sowie Online-Streitbeilegungsdienste) sind gezielt auch für eine effektive grenzüberschreitende Nutzung zu öffnen. Die vorgesehene Verordnung trifft schließlich Regelungen zur Frage der Verantwortlichen für die Zurverfügungstellung von Informationen. Mitgliedstaaten stellen auf nationalen Webseiten Informationen zum nationalen Recht zur Verfügung. Die EU-Kommission wiederum soll die Informationen über aus Unionsrecht abgeleitete Rechte und Pflichten, EU-Verfahren und EU- Hilfs- und Problemlösungsdienste in diesem zentralen Portal bereitstellen. Weitere detaillierte Qualitätsanforderungen zu Online-Informationen finden sich in den Art. 7, 8 und 9. Die vorgesehene Verordnung verpflichtet ferner die Mitgliedstaaten 51 dazu, innerhalb bestimmter Fristen binnenmarktrelevante Online-Verfahren auch für eine diskriminierungsfreie, grenzüberschreitende Nutzung zu öffnen: Wenn ein Verfahren für Staatsangehörige eines bestimmten Mitgliedstaates verfügbar ist, dann sollen auch Angehörige anderer EU-Staaten das Verfahren nutzen können. Und die Informationen zu solchen Verfahren sollen ebenfalls über die Amtssprache des eigenen Mitgliedsstaates hinausgehend in einer weiteren Amtssprache zur Verfügung gestellt werden. Schließlich – vielleicht der brisanteste Vorschlag – sollen die Mitglied- 52 staaten die im Anhang zur Verordnung aufgeführten wichtigsten und am häufigsten genutzten Verfahren vollständig online bereitstellen, also Anträge etwa bei der Geburt auf eine Geburtsurkunde, bei der Aufnahme eines Studiums auf Studienbeihilfen, im Arbeitsleben auf Sozialleistungen und Anerkennung beruflicher Qualifikationen. Für die Identifizierung, die Übersendung der Begleitunterlagen und das Anbringen einer Signatur ist jeweils ein einziger elektronischer Kanal vorgesehen. Die physische Anwesenheit der Nutzer ist auf das „unbedingt notwendige und objektiv gerechtfertigte Maß“ zu beschränken. Aber: Die Verordnung gibt keine Vorgaben für die Regelung des Inhalts der Angebote. Die Mitgliedsstaaten können neben den Online-Verfahren auch weiterhin zusätzliche Wege anbieten. 229
Wilfried Bernhardt
53 Dabei geht es nicht nur um die Online-Beantragung, sondern auch um die entsprechenden Online-Bescheide und Online-Urkunden sowie den elektronischen Rückkanal. Die Verordnung regelt auch die Verwendung von Nachweisen: Sie sollen in elektronischer Form einreichbar sein. Die Echtheit der Nachweise ist notfalls über das Binnenmarktinformationssystem zu überprüfen. Für den Nachweisaustausch zwischen zuständigen Behörden – auf Ersuchen des Nutzers auch grenzüberschreitend – soll die Europäische Kommission zusammen mit den Mitgliedstaaten ein neues technisches System einrichten. Ein Online-Payment-Verfahren soll einsetzbar sein. Besonders ambitioniert erschien die zunächst vorgesehene zeitliche Umsetzungsverpflichtung: Bereits innerhalb von zwei Jahren sollten alle Verpflichtungen der Verordnung umgesetzt sein. Allerdings hatte die Bundesregierung sich erfolgreich das Ziel gesetzt, auf eine teilweise Verlängerung der Fristen auf fünf Jahre hinzuwirken. 54 Darüber hinaus enthält der Verordnungsvorschlag einige Organisationsregelungen. So soll die Kommission ein zentrales Portal schaffen und die Verwaltung einer gemeinsamen Nutzerschnittstelle übernehmen. Nationale einschlägige Websites sollen darüber verbunden werden. Die Kommission soll ferner eine „Link“-Ablage zu den Diensten einrichten, nationale Koordinatoren stellen Links zur Verfügung und aktualisieren diese (Art. 16). Eine Suchmaschine für Hilfs- und Problemlösungsdienste auf zentraler Ebene (Art. 17) soll deren Auffinden erleichtern. Schließlich soll auch ein Tool für Nutzer-Feedback auf dem zentralen Portal zur Verfügung stehen. Zur Unterstützung der Organisation soll eine Koordinierungsgruppe der Nationalen Koordinatoren unter Vorsitz der EU-Kommission (Art. 25) eingerichtet werden. Wesentlich sind immer die Kostenfragen. So erklärt sich die EU-Kommission mit ihrem Vorschlag bereit, die Kosten für die Tools auf EU-Ebene und die Kosten für die Übersetzungen der Informationen in eine andere Amtssprache bis zu einer (noch festzulegenden) Höchstgrenze zu tragen. Die Mitgliedsstaaten sollen demnach die in den mitgliedstaatlichen Portalen anfallenden Kosten übernehmen. Zur Sicherung des Datenschutzes findet sich eine Generalverweisung auf die DSGVO (Art. 29). 55 Der VO-Vorschlag stieß in Deutschland zunächst auf Skepsis. Zwar kam im Bundesrat keine Mehrheit für eine Subsidiaritätsrüge zustande33. Dennoch formulierte der Bundesrat einige Bedenken34: Die rechtliche Verpflichtung zur Digitalisierung bestimmter Verwaltungsverfahren greife in die Organisationshoheit der Mitgliedsstaaten und in das kommunale
33 BR-Drs. 438/17 (Beschluss). 34 BR-Drs. 438/17 (Beschluss) (2).
230
E-Government in Deutschland und Europa
Selbstverwaltungsrecht ein, was im Hinblick auf das Subsidiaritätsprinzip (Art. 5 EUV) bedenklich sei: So gebe es insbesondere keine ausdrückliche Unionszuständigkeit für Personenstands-, Melde- und Passrecht. Die Vorgabe nationaler Koordinatoren verstoße gegen ein nationales Verbot der Mischverwaltung. Die grenzüberschreitende Verknüpfung z. B. eines Online-Lebenslagenmodells von der Gründung bis Schließung eines Unternehmens verursache einen hohen Verwaltungsaufwand. Dies setze eine europaweite Verknüpfung von Verfahrensbeschreibungen analog zum deutschen LeiKa- Standard voraus. Der Bundesrat forderte auch, die EU möge den erheblichen finanziellen Aufwand für die erforderlichen Übersetzungsarbeiten vollständig tragen. Außerdem bleibe die Schätzung der Kommission unter den tatsächlich zu erwartenden Kosten. 5. Weitere EU-Maßnahmen zur praktischen Förderung von E-Government Die EU beschränkte sich nicht auf den Verordnungsvorschlag, sondern 56 organisierte auf europäischer Ebene größere Projekte, um die Umsetzung der neuen VO durch Untermauerung des sogenannten OnceOnly-Prinzips zu unterstützen. The Once-Only Principle Project (TOOP)35 ist eine Initiative von 50 Organisationen aus der EU und assoziierten Ländern, um das Once-Only-Prinzip im grenzüberschreitenden Maßstab zu untersuchen und zu demonstrieren, wie man den Verwaltungsaufwand von Unternehmen und öffentlichen Verwaltungen verringern kann. Das Schwesterprojekt Stakeholder Community Once-Only Principle for Citizens (SOOP4C)36 prüft den Einsatz des Once-Only-Prinzips mit speziellem Focus auf den Nutzen des Bürgers. Diese sollen nicht immer wieder den öffentlichen Verwaltungen dieselben Informationen zur Verfügung stellen müssen. Stattdessen sollten öffentliche Verwaltungen die Möglichkeit haben, Informationen, die bereits von Bürgern bereitgestellt werden, auf transparente und sichere Weise wiederzuverwenden. Deutschland bringt sich in die Projekte ein, wenngleich der Beitrag noch ausbaufähig ist. Die von Deutschland zur Verfügung gestellten personellen Ressourcen für die europäische Projektarbeit stehen bisher noch nicht in einem angemessenen Verhältnis zur Leistungsfähigkeit des größten Mitgliedstaates der EU. Es wäre deshalb wichtig, bei der Planung der Personalressourcen der europäischen Arbeit eine größere Priorität einzuräumen.
35 http://www.toop.eu/, abgerufen am 28.2.2019. 36 https://scoop4c.eu/, abgerufen am 28.2.2019.
231
Wilfried Bernhardt
6. Fazit 57 Der Umgang mit dem Verordnungsvorschlag in Deutschland belegt, dass es in Deutschland Versäumnisse bei der Verwaltungsdigitalisierung gab, die innerhalb relativ kurzer Zeit kaum nachzuholen sind. Insbesondere blieben die die europäischen Erfordernisse weitgehend außer Acht. Dabei müssten die Regierungen von Bund und Ländern eigentlich die Binnenmarktverpflichtungen aus dem Europarecht kennen. Insbesondere sind einige für die grenzüberschreitende Nutzung bedeutsame Verfahren in Deutschland prinzipiell nicht digitalisiert (Passerteilungen, Geburtsurkunden). Hier müsste die Bundesregierung bei der Umsetzung des OZG frühzeitig die europäischen Anforderungen analysieren, um die neuen Verpflichtungen einhalten zu können. Auch die tatsächliche Einbindung von eIDAS-konformen Diensten in die Servicekonten bedarf verstärkter Bemühungen. Verwaltungsinformationen stehen zumeist nur in Deutsch zur Verfügung und erschweren eine grenzüberschreitende Verständlichkeit. Der Leistungskatalog der öffentlichen Verwaltung mit seinem einheitlichen, vollständigen und umfassenden Verzeichnis der Verwaltungsleistungen über alle Verwaltungsebenen hinweg sollte europäisiert werden, damit dann auch die vergleichbaren Dienstleistungen in anderen EU-Mitgliedstaaten erfasst werden. Es zeigt sich beispielhaft, was sich in Europa, speziell auch in Deutschland ändern muss: Das in Deutschland geplante Digitalisierungsprogramm sollte im Hinblick auf europäisch geforderte Online-Lebenslagen priorisiert werden. Englisch sollte bei bestimmten Informationen über Verwaltungsregelungen und Verwaltungsdienste als weitere Amtssprache von vornherein eingebaut werden. Generell gilt: Die europäische Entscheidungsebene sollte ernster genommen werden. Ich plädiere für einen künftigen „European-First“oder „Europe by design“- Ansatz, Europa also bei nationaler IT- Gesetzgebung und bei Umsetzung nationaler Gesetze immer mitzudenken. 58 Dazu sind insbesondere zwei Grundsätze des E-Government-Aktionsplan 2016-202037 zu betonen: „Standardmäßig grenzübergreifend“: Öffentliche Verwaltungen sollten einschlägige digitale öffentliche Dienste grenzübergreifend anbieten und eine weitere Fragmentierung verhindern, um die Mobilität im Binnenmarkt zu erleichtern. „Standardmäßig interoperabel“: Öffentliche Dienste sollten so konzipiert sein, dass sie nahtlos im gesamten Binnenmarkt und über organisa-
37 https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX: 52016DC0179&from=EN, abgerufen am 28.2.2019.
232
E-Government in Deutschland und Europa
torische Grenzen hinweg erbracht werden können, wozu ein freier Austausch von Daten und digitalen Dienstleistungen in der Europäischen Union gewährleistet werden sollte. Je strukturierter im Übrigen die Verwaltungsinformationen für die Digitalisierung aufbereitet werden, umso einfacher lassen sich die Informationen – quasi automatisch – in weitere Sprachen übersetzen. Das Onlinezugangsgesetz mit der Verpflichtung auf einen deutschen Por- 59 talverbund ist sicherlich ein wichtiger Baustein für den deutschen Beitrag zu einem Single Digital Gateway. Aber er reicht nicht aus. Deutschland sollte den Impuls des Vorschlags für die neue EU-Verordnung nutzen, das eigene Digitalisierungsprogramm im Bereich E-Government zu beschleunigen und den Abstand zu den insoweit innovativen EU-Mitgliedstaaten zu verkürzen. Vielen Dank für Ihre Aufmerksamkeit!
233
DGRI 3-Länder-Treffen 2018 Länderbericht Österreich Clemens Appl* 1. Ausgewählte Rechtsprechung des OGH zum Informationsrecht a) Verantwortung von Piraterie-Plattformen und ISP: OGH 24.10.2017 – 4 Ob 121/17y b) Schutz didaktischer Konzepte (Planspiele): OGH 20.2.2018 – 4 Ob 21/18v c) Abgrenzung Mit- und Teilurheberschaft an Kunstwerk: OGH 26.9.2017 – 4 Ob 64/17s d) Bild-Metadaten und Nennung des Lichtbildherstellers: OGH 28.3.2017 – 4 Ob 43/17b
e) Anforderungen an Bildzitat: OGH 26.9.2017 – 4 Ob 81/17s f) Jenseits des Urheberrechts aa) Domainrecht: OGH 27.7.2017 – 4 Ob 120/17a – Ceconi/Ceconi‘s bb) Persönlichkeitsrecht: OGH 21.3.2018 – 3 Ob 195/17y – Überwachungsdruck 2. Gesetzgebung zum Informationsrecht
Dieser Länderbericht gibt einen Überblick über ausgesuchte Beispiele 1 der österreichischen höchstgerichtlichen Rechtsprechung sowie über gesetzliche Initiativen des Berichtszeitraums 2017/18, die aus Perspektive des Informationsrechts als besonders relevant erscheinen. Der Fokus liegt dabei auf dem Urheberrecht, dem Domainrecht und dem zivilrechtlichen Persönlichkeitsschutz. 1. Ausgewählte Rechtsprechung des OGH zum Informationsrecht In der Folge wird eine Auswahl von relevanten OGH-Entscheidungen 2 überblicksartig dargestellt und kurz besprochen. Die Reihung der Entscheidungen erfolgt thematisch und nach Relevanz. An den Beginn wird demnach das Urteil des OGH zur Verantwortlichkeit von Piraterie-Plattformen und Internet Service Provider (ISP) gestellt, das unmittelbare Bezüge zur europäischen Rechtsprechung (EuGH C-610/15 – Stichting
*
Univ.-Prof. Ing. Dr. Clemens Appl, LL.M., Leiter des Zentrums für Geistiges Eigentum, Medien- und Innovationsrecht sowie Inhaber des Lehrstuhls für Internationales, Europäisches und Österreichisches Urheberrecht an der Donau-Universität Krems.
235
Clemens Appl
Brein/Ziggo BV, XS4All Internet BV) aufweist. Daran schließen Entscheidungen zur urheberrechtlichen Schutzfähigkeit von Planspielen, zur Miturheberschaft, zur Herstellerbezeichnung bei Lichtbildern und zum Zitierprivileg an, die von grundlegender Bedeutung sind. Jenseits des Urheberrechts werden zwei weitere Entscheidungen als Abschluss erwähnt. a) Verantwortung von Piraterie-Plattformen und ISP: OGH 24.10.2017 – 4 Ob 121/17y 3 BitTorrent-Plattformen wie The Piratebay ermöglichen es ihren Nutzern, urheberrechtlich geschützte Medieninhalte aller Art auszutauschen. Im Gegensatz zu Download- oder Streaming-Portalen halten BitTorrent-Plattformen die Medieninhalte jedoch nicht selbst auf eigenen Servern zum Abruf bereit. Vielmehr werden über die Plattformen lediglich Torrent-Files zugänglich gemacht, die Informationen zum Auffinden von Medieninhalten enthalten und sohin als Wegweiser fungieren. Der Austausch (Upload und Download) der Medieninhalte findet in der Folge nicht über die Plattform, sondern direkt zwischen Nutzern statt („Peerto-Peer Filesharing“). Im Regelfall verfügen die Nutzer, die urheberrechtlich geschützte Inhalte Dritter mittels der Torrent-Technologie anderen Nutzern zur Verfügung stellen, über keine Erlaubnis der Rechteinhaber (Urheber und Leistungsschutzberechtigten). Da die Nutzer jedoch oftmals anonym agieren und schwer zu lokalisieren sind, bieten sich zur Geltendmachung urheberrechtlicher Ansprüche vor allem zentrale Knotenpunkte in der Übertragungskette an: 4 Dabei treten zunächst die BitTorrent-Plattformen in den Mittelpunkt des Interesses: Seit der Entscheidung des EuGH in der Rs The Piratebay1 ist klargestellt, dass Betreiber von BitTorrent-Plattformen – obwohl sie selbst keine urheberrechtlich geschützten Inhalte zum Abruf bereit halten – einen eigenständigen Eingriff in das Zurverfügungstellungsrecht des § 18a öUrhG bzw Art. 3 InfoSocRL vornehmen, weil sie die Torrent-Files (unter anderem) indizieren und auffindbar machen. Unter diesen Voraussetzungen unterliegen die Betreiber von BitTorrent-Plattformen somit einer unmittelbaren urheberrechtlichen Haftung und Rechteinhaber können diese (auch ohne vorherige Abmahnung) auf Unterlassung der Bereitstellung von Torrent-Files in Anspruch nehmen, die Informatio-
1
EuGH 14.6.2017 – C-610/15 – Stichting Brein Ziggo ua („The Piratebay“), CR 2017, 813 = GRUR 2017, 790 = GRURInt 2017, 782 = K&R 2017, 476 (Frank) = MMR 2017, 518.
236
Länderbericht Österreich
nen zum Download ihrer urheberrechtlich geschützten Medieninhalte beinhalten (vgl. § 81 öUrhG, § 19 öECG). In der Praxis stellt sich oftmals jedoch das Problem, dass sich die Betrei- 5 ber der BitTorrent-Plattformen nicht im Inland befinden und daher eine effektive und rasche Rechtsdurchsetzung nicht möglich ist. Aus diesem Grund hat sich der Fokus seit geraumer Zeit auf die Access-Provider der heimischen Internetnutzer verlagert. Diese betreiben zwar weder eine Plattform zum Austausch von TorrentFiles noch halten sie selbst urheberrechtlich geschützte Medieninhalte zum Abruf bereit; sie stellen aber die Infrastruktur zur Nutzung des Internets bereit und schaffen dadurch die technischen Voraussetzungen für die Nutzung von BitTorrent-Plattformen. Mit dem auf Art. 8 Abs. 3 InfoSoc-RL beruhenden § 81 Abs. 1a öUrhG verfügt das österreichische Urheberrecht auch über eine Grundlage für einen Unterlassungsanspruch gegen Access-Provider: Dazu müssen diese als „Vermittler“ desjenigen zu qualifizieren sein, der eine Urheberrechtsverletzung begangen hat oder von dem diese droht. Bereits in dem Verfahren bezüglich der Streaming-Seite kino.to haben der EuGH2 und der OGH3 ausgesprochen, dass Access-Provider heimischer Internetnutzer als Vermittler der Personen zu qualifizieren sind, die urheberrechtliche Schutzgegenstände auf Streaming-Seiten wie kino.to einstellen und diese dadurch rechtswidrig zur Verfügung stellen. M.a.W. wurden die Access-Provider als Vermittler des hochladenden Nutzers qualifiziert.4 Die vorliegende Entscheidung führt die Grundsätze der europäischen 6 und österreichischen Rechtsprechung fort und qualifiziert AccessProvider auch hinsichtlich der BitTorrent-Plattformen als Vermittler. Demnach können Rechteinhaber, deren urheberrechtlich geschützte Werke im Internet über die Nutzung von BitTorrent-Plattformen ausgetauscht werden, fortan Access-Provider nach vorheriger Abmahnung (da diese dem Haftungsprivileg des § 15 öECG unterliegen) auf Unterlassung nach § 81 Abs. 1a öUrhG in Anspruch nehmen. Wie der OGH klarstellt, ist die Geltendmachung des Anspruchs gegen die Access-Provider nicht davon abhängig, dass Rechteinhaber zuvor erfolglos versucht haben, die Uploader oder die Betreiber der BitTorrent-Plattformen in Anspruch zu 2
3 4
Appl, Digitalisierung, Vernetzung und das Recht der öffentlichen Wiedergabe im Schlaglicht der Platform Economy, MR-Beilage H3 „50. Arbeitskreis Urheberrecht“ 2018, 37. EuGH 23.3.2014 – C-314/12, UPC Telekabel/Constantin Film ua. OGH 24.6.2014 – 4Ob71/14s – UPC Telekabel II/kino.to. Vgl. dazu mit kritischer Analyse des Verfahrens Appl/Homar, EuGH 23.3.2014 – C-314/12 – UPC Telekabel (kino.to): Anmerkungen zu den Schlussanträgen v. 26.11.2013, ZTR 2013, 249.
237
Clemens Appl
nehmen („Subsidarität“). Inhaltlich kann sich der Anspruch nach § 81 Abs. 1a öUrhG (mangels Zugriffs auf die BitTorrent-Plattformen) zwar nicht auf die Unterlassung der Zugänglichmachung der Torrent-Files, aber auf die Implementierung von Zugangsbeschränkungen zu den Plattformen richten. Dabei kommen etwa DNS-Sperren oder Blockaden von IP-Adressen in Frage. 7 Im Sinn eines effektiven Rechtsschutzes ist zu begrüßen, dass Access-Provider zur Anwendung von Zugangsbeschränkungen zu BitTorrent-Plattformen in Anspruch genommen werden können, weil diese die Entwicklung von legalen Geschäftsmodellen erschweren. Die Ausdehnung der Sperrverpflichtungen birgt aber auch Gefahren in sich: Bei den streitgegenständlichen BitTorrent-Plattformen wie The Piratebay handelt es um strukturell rechtsverletzende Dienste, deren Verhalten – trotz Distanz zur Kernverletzung durch den konkreten Uploader5 – als unmittelbare Verletzung des Rechts der öffentlichen Wiedergabe gilt. Insofern stellt sich künftig die Frage, inwieweit eine Sperrverpflichtung auch eingreift, wenn sich in dem Angebot von Online-Services wie Suchmaschinen, Foren oder sozialen Netzwerken lediglich einzelne rechtsverletzende Medieninhalte oder Links zu rechtsverletzenden Medieninhalten befinden und die restlichen Inhalte keine Urheberrechtsverletzung darstellen. Diese Problematik des „Over-Blockings“ spricht auch die vorliegende Entscheidung an und hält dazu fest, dass es nicht primär quantitativ auf das Mengenverhältnis zwischen rechtmäßigen und unrechtmäßigen Inhalten ankommt; vielmehr ist eine Gesamtschau vorzunehmen, die neben quantitativen auch qualitative Kriterien, wie den Wesensgehalt der legalen Informationen, berücksichtigt. Dem Grundsatz nach ist dies berechtigt, könnten doch Plattformen ansonsten Sperrverpflichtungen abwenden, indem sie die abrufbaren Inhalte massenweise um urheberrechtsfreie Dateien ergänzen. Wie genau die Abwägung sowohl in qualitativer als auch in quantitativer Hinsicht zu treffen sein wird, wird sich wiederum nur durch die Rechtsprechung klären lassen. Wenn der Zugang zu rechtsverletzenden Bestandteilen jedoch über einen abgrenzbaren Bereich eines Online-Dienstes erfolgt, kommen jedenfalls nur selektive Sperren zu diesem Bereich (etwa Sperren einzelner URL), aber keine Gesamtsperren des Online-Dienstes in Betracht.6 Ferner ist zu beachten, dass im Fall der bloßen Verlinkung auf rechtsverletzende Inhalte die Rechtsverletzung durch den
5
6
S dazu Appl, Digitalisierung, Vernetzung und das Recht der öffentlichen Wiedergabe im Schlaglicht der Platform Economy, MR-Beilage H3 „50. Arbeitskreis Urheberrecht“ 2018, 37. S dazu die Anmerkung von Homar, OGH 24.10.2017 – 4 Ob 121/17y, EvBl 2018/47 (319).
238
Länderbericht Österreich
Online-Dienst von der Erkennbarkeit der Rechtswidrigkeit abhängt.7 Abseits von strukturell rechtsverletzenden Diensten wie BitTorrent-Plattformen wird dies eine vorherige Inkenntnissetzung des Online-Dienstes erfordern. Erst danach kommt die Geltendmachung einer Sperrverfügung gegen Access-Provider in Betracht. b) Schutz didaktischer Konzepte (Planspiele): OGH 20.2.2018 – 4 Ob 21/18v Gegenstand der Entscheidung sind durch Beratungs- und Trainings- 8 dienstleistungsunternehmen entwickelte Planspiele auf dem Gebiet der Betriebswirtschaftslehre. Im Konkreten geht es um das von der Beklagten entwickelte Planspiel „Act Business Facility“, welches einen völlig identen didaktischen Aufbau sowie teilweise idente Grafiken und Zahlenmaterial wie das von der Klägerin entwickelte Planspiel „Easy Business“ aufweist. Trotz der Kürze des vom OGH erlassenen Zurückweisungsbeschlusses lassen sich aus der Entscheidung interessante Erkenntnisse zu drei Themenbereichen ableiten, die durchaus Praxisrelevanz aufweisen. Schutzfähigkeit von didaktischen Spielen und Konzepten. Zunächst ist 9 die vorliegende Entscheidung insofern von Interesse, als der OGH die urheberrechtliche Schutzfähigkeit des streitgegenständlichen Planspiels bejaht. Dies ist jedenfalls soweit naheliegend, als die graphische Gestaltung des Planspiels betroffen ist. In Planspielen enthaltene bildliche Abbildungen in Form von Fotografien, Zeichnungen8 oder Grafiken aller Art9 können als Werke der bildenden Künste i. S. d. § 3 öUrhG urheberrechtlichen Schutz genießen. Aufgrund der Zweckneutralität des urheberrechtlichen Schutzes ist dabei irrelevant, ob die graphische Gestaltung (wovon bei Planspielen wohl oftmals auszugehen sein wird) nicht als Kunst im klassischen Sinn zu beurteilen ist, sondern vordergründig einen Gebrauchszweck aufweist.10 Bemerkenswert ist aber, dass die Schutzfähigkeit des Planspiels aufgrund 10 der graphischen Gestaltung in der vorliegenden Entscheidung nur eine untergeordnete Rolle spielt. Vordergründig sieht der OGH das schöpferische Element in der „innovative[n] Methode der (spielerischen) Vermitt7 EuGH 8.9.2016 – C-160/15 – GS Media / Sanoma ua, 15, EuZW 2016, 785 (Schmidt-Wudy) = GRUR 2016, 1152 (Ohly) = GRURInt 2016, 1056 = MMR 2017, 95 = NJW 2016, 3149 = ZUM 2016, 975. 8 Tonninger in Kucsko/Handig (Hrsg.), urheber.recht2, § 3 öUrhG Rz. 5. 9 Bspw Figuren oder Logos, siehe Schulze in Dreier/Schulze (Hrsg.), Urheberrechtsgesetz6, § 2 dUrhG Rz. 163 ff. 10 Walter, HdB Urheberrecht I, Rz. 145.
239
Clemens Appl
lung des Wissens“, dem „didaktischen Aufbau“ und dem „Lehr- und Lernkonzept der Planspielunterlagen“. Dies ist keineswegs selbstverständlich, weil abstrakte Ideen, Grundkonzepte, Methoden, Spiele, Spielregeln11 sowie didaktische Methoden12 dem urheberrechtlichen Schutz nicht zugänglich sind. Die gegenständliche Beurteilung durch den OGH steht damit aber nicht zwangsläufig in Widerspruch: Im Schrifttum ist anerkannt, dass der urheberrechtliche Schutz nicht nur durch die äußerliche Formgestaltung, sondern im Einzelnen auch durch eine systematische Darstellung in Form einer prägnanten, gut gegliederten und didaktisch hilfreichen Gedankenführung13 sowie bei wissenschaftlichen Werken auch durch die Gliederung, Argumentationsführung und Auswahl der Fakten und Beispiele14 eröffnet sein kann. Diesbezüglich ist davon auszugehen, dass sich auch die Beurteilung des streitgegenständlichen Planspiels in diese Grundsätze einordnet und der OGH didaktische Konzepte und Spiele nicht schlechthin dem urheberrechtlichen Schutz unterstellt. 11 Unabhängig von der Schutzfähigkeit der Inhalte können Planspiele nur insofern urheberrechtlich geschützt sein, als sie sich von allgemein üblichen didaktischen Konzepten und Spielen abheben, wie im gegenständlichen Fall (vermutlich) durch eine spezielle „innovative Methode der (spielerischen) Vermittlung“. Dem kann aber nur soweit zugestimmt werden, als im Rahmen der Prüfung der Originalität sichergestellt bleibt, dass weder die Vermittlung von Lehrinhalten noch die Verwendung allgemein üblicher Gestaltungsformen und Vermittlungskonzepte monopolisiert wird.15 Klarstellend sei darauf verwiesen, dass die Schutzfähigkeit des gegenständlichen Planspiels die Freiheit des vermittelten betriebswirtschaftlichen Wissens unberührt lässt. 12 Anforderungen an die Eigentümlichkeit. Bezüglich der Eigentümlichkeit des Planspiels stellt der OGH darauf ab, ob sich dieses „hinreichend deutlich von ähnlichen Schöpfungen unterscheidet“, was anhand der Umstände des Einzelfalls zu beurteilen ist. Die vom OGH gewählte Formel der Unterscheidbarkeit stellt einen pragmatischen Ansatz dar, der auch im Schrifttum Deckung findet16 und in aller Regel zutreffende Ergebnisse hervorbringen wird. Aus wissenschaftlicher Perspektive versagt dieser Ansatz jedoch bei (zumindest im Bereich der kleinen 11 12 13 14 15
Walter, HdB Urheberrecht I, Rz. 147. Loewenheim in Schricker/Loewenheim, Urheberrecht5, § 2 dUrhG Rz. 71. Kucsko in Kucsko/Handig (Hg.), urheber.recht2, § 1 öUrhG Rz. 45. Walter, HdB Urheberrecht I, Rz. 152. S dazu die Anmerkung von Walter, OGH 20.2.2018 – 4 Ob 21/18v, MR 2018, 120 (122). 16 Walter, HdB Urheberrecht I, Rz. 118 ff.
240
Länderbericht Österreich
Münze) denkbaren Doppelschöpfungen: Sofern zwei Urheber unabhängig voneinander idente Werke schaffen, genießen beide urheberrechtlichen Schutz.17 In diesem Fall unterscheidet sich das von einem der Urheber hervorgebrachte Werk gerade nicht hinreichend deutlich von ähnlichen Schöpfungen. Zutreffender wäre deshalb darauf abzustellen, ob ein Werk eine persönlich-geistige Prägung durch den Urheber erhalten hat, was freilich in aller Regel gegeben sein wird, wenn sich ein Werk hinreichend deutlich von ähnlichen Schöpfungen unterscheidet. Anforderungen an eine Neuschöpfung. Schließlich thematisiert die Ent- 13 scheidung auch die Abgrenzung einer unfreien (zustimmungspflichtigen) Bearbeitung von einer freien (zustimmungsfreien) Bearbeitung urheberrechtlich geschützter Werke. Hätte die beklagte Partei das Planspiel der Klägerin lediglich als Anregung – und nicht als Vorlage – für die Gestaltung eines betriebswirtschaftlichen Planspiels verwendet, wäre dies nach § 5 Abs. 2 öUrhG zulässig gewesen. Im konkreten Fall ist dies jedoch gerade nicht geschehen, weil der didaktische Aufbau und das Zahlenmaterial (völlig) identisch, die Grafiken teilweise ident und die graphische Gesamtgestaltung weitgehend ähnlich übernommen wurde. Somit überrascht es nicht, dass das Planspiel der Beklagten als unfreie Bearbeitung qualifiziert wird, deren Verwertung die Zustimmung der Klägerin erfordert hätte (§ 14 Abs. 2 öUrhG). Der OGH führt damit seine restriktive Judikatur18 zu den Anforderungen an eine freie Nachschöpfung fort, für die er ein vollständiges in den Hintergrund treten des benutzten Werks im Sinn eines „Verblassens“ fordert. Für den Ausgangsfall ist dem auch zuzustimmen, weil die Benutzung eines betriebswirtschaftlichen Planspiels bei der Erstellung eines neuen Planspiels durch ein Beratungs- und Trainingsdienstleistungsunternehmen keinen Fall darstellt, der eine Erweiterung der vom OGH verlangten Grundsätze erfordert: Zum einen handelt es sich um keine Nutzung, die (wie bspw eine Parodie) durch Grundrechte legitimiert ist. Zum anderen hält das UrhG mit dem Zitat (§ 42f öUrhG) und dem unwesentlichen Beiwerk (§ 42e öUrhG) auch Schranken bereit, die im gegenständlichen Kontext gewisse Übernahmen von geschützten Elementen ermöglicht hätten. c) Abgrenzung Mit- und Teilurheberschaft an Kunstwerk: OGH 26.9.2017 – 4 Ob 64/17s Der OGH hatte bereits mehrfach Gelegenheit, zu § 11 öUrhG Stellung 14 zu nehmen und das Vorliegen einer Miturheberschaft zu prüfen. Den17 Schulze in Dreier/Schulze (Hrsg.), Urheberrechtsgesetz6, § 2 dUrhG Rz. 17. 18 OGH gestützt auf RIS-Justiz RS 0076521.
241
Clemens Appl
noch ist diese Entscheidung besonders hervorzuheben, weil der OGH nicht nur die Merkmale der Miturheberschaft konzise zusammenfasst, sondern vielmehr auch in nicht unumstrittener Weise konkretisiert. Gegenstand der Entscheidung ist ein Streit unter zwei Künstlern, der sich an der Verteilung der Verwertungserlöse entzündet hat. Die Klage ist auf Feststellung der Miturheberschaft gerichtet. 15 Der Kläger ist Künstler und beschäftigt sich mit lichtunterstützten Skulpturen. Er stellt Kunstwerke aus Maschendraht, Kabelbindern und unterlegter Lichtquelle her. Der Beklagte ist im Bereich Design, Skulptur und Fotografie tätig. Er schuf die Figur des „Wächters“, teilweise in sitzender Form als „Kantenhocker“, teilweise in stehender Form. Beide Künstler sind für ihre jeweiligen Kunstformen überregional bekannt. In Gesprächen zwischen den Künstlern entstand die Idee, dass ein Kantenhocker des Beklagten auf ein vom Kläger herzustellendes Kabelbinder-Drahtgeflecht in Form eines großen T, und zwar auf dessen Querbalken, platziert werden könnte. Der Kläger hat seitens des Beklagten keine Vorgaben zur Ausführung des „T“ erhalten. Die Kombination zwischen dem vom Kläger hergestellten „T“ und dem darauf platzierten Wächter des Beklagten wurde anschließend als Gemeinschaftskunstwerk unter der Bezeichnung „T-Guardian“ in Galerien ausgestellt.19 Nachdem sich unter den Künstlern ein Streit über die Verteilung von Verwertungserlösen entfachte, entfernte der Beklagte den auf seiner Website bislang bei der Skulptur „T-Guardian“ enthaltenen Hinweis, dass es sich um ein Gemeinschaftsprodukt der Streitteile handle und stellte die Skulptur fortan als sein Allein-Kunstwerk dar. 16 Erstgericht und Berufungsgericht gaben der Feststellungsklage statt und bejahten die Miturheberschaft am „Gemeinschaftskunstwerk“. Der OGH hat die außerordentliche Revision zugelassen, hat die vorinstanzlichen Urteile aufgehoben und das Feststellungsbegehren abgewiesen, d. h. die Miturheberschaft am gemeinsamen Kunstwerk verneint. 17 Gemäß § 11 Abs 1 öUrhG liegt Miturheberschaft vor, wenn „mehrere gemeinsam ein Werk geschaffen [haben], bei dem die Ergebnisse ihres Schaffens eine untrennbare Einheit bilden.“ 18 Bewusste Zusammenarbeit und Werkcharakter der Beiträge. Der OGH arbeitet in dieser Entscheidung die Voraussetzungen für die Miturheberschaft instruktiv auf. Demnach ist für die Miturheberschaft „eine bewusste Zusammenarbeit zum Zweck der Werkherstellung“ zu ver-
19 S hierzu OHG 4 Ob 64/17s.
242
Länderbericht Österreich
langen,20 wobei jeder Beitrag zum gemeinsamen Werk für sich genommen Werkcharakter i. S. d. § 1 Abs. 1 öUrhG aufzuweisen hat.21 Bloße Anregungen und Ideen begründen demnach keine Miturheberschaft.22 Umfang und Bedeutung sind ohne Belang; auch ein geringfügiger Beitrag reicht aus, um eine Miturheberschaft zu begründen.23 Gleichgültig ist schließlich auch, ob ein Werk in horizontal oder vertikal arbeitsteiligem Verfahren geschaffen wird. Beiträge können demnach neben- oder nacheinander geleistet werden, sofern ein einheitlicher Schöpfungsprozess vorliegt.24 Der OGH folgt in diesem Zusammenhang den Vorinstanzen. Auch der 19 OGH erblickt im Zusammenwirken der Künstler ein bewusstes Zusammenarbeiten „zum Zweck der Schaffung eines gemeinsamen Werks“. Wenngleich der Kläger in der Realisierung „absolut frei“ war, ist bereits mit der grundsätzlichen Übereinkunft darüber, eine Gestaltung im typischen Stil des Klägers beizutragen, die „gemeinsame Herstellung des Werks als (subjektive) Voraussetzung der Miturheberschaft“ erfüllt. Auch bejaht der OGH die urheberrechtliche Schutzfähigkeit der Leistung des Klägers, namentlich seiner aus Draht und Kabelbindern geformten T-Skulptur. In ihr manifestiert sich der „eigentümliche Stil des Klägers […] in konkreter Gestalt“. Aus dogmatischer Sicht ist dieses Zwischenergebnis nachvollziehbar. 20 Zutreffend wird auf ein „bewusstes“ und/oder faktisch gewolltes Zusammenwirken abgestellt. Eines rechtsgeschäftlichen Willens zur Zusammenarbeit bedarf es nicht. Dies würde insb. im Fall des Zusammenwirkens nicht voll geschäftsfähiger Personen m. E. dem Grundprinzip zuwiderlaufen, dass das Urheberrecht durch Realakt und ohne rechtsgeschäftlichen Willen entsteht. Zu Recht bejaht der OGH im konkreten Fall auch den eigenschöpferischen Charakter der Leistung des Klägers. Es entspricht der hA, dass die einzelnen Beiträge zu einem gemeinschaftlichen Werk für sich genommen schutzfähig sein müssen, um als Miturheber in Betracht zu kommen. Angesichts der niedrigen Origina-
20 OGH gestützt auf OGH 19.1.1988 – 4 Ob 409/87 – Codo; OGH 8.9.2009 – 4 Ob 115/09d – Passfotos II. 21 OGH gestützt auf Ciresa in Ciresa (Hrsg.), Österreichisches Urheberrecht, § 11 öUrhG Rz. 7; Loewenheim in Schricker/ Loewenheim (Hrsg.), Urheberrecht4, § 8 dUrhG Rz. 4; Thum in Wandtke/Bullinger (Hrsg.), Urheberrecht4, § 8 dUrhG Rz. 3. 22 OGH gestützt auf RIS-Justiz RS0076710. 23 OGH gestützt auf OGH 19.11.2002 – 4 Ob 229/02h – Hundertwasserhaus II. 24 OGH gestützt auf Walter, HdB Urheberrecht I, Rz. 354; Wiebe in Spindler/ Schuster (Hrsg.), Recht der elektronischen Medien3, § 8 dUrhG Rz. 3.
243
Clemens Appl
litätsschwelle (Kleine Münze) führt diese Anforderung wohl nur in Ausnahmefällen zu Wertungswidersprüchen. Das „urheberlose“ Werk, das durch Kumulation vieler, für sich genommen nicht-schutzfähiger Beiträge zu entstehen droht (z. B. Auswahl der Farbe eines einzelnen Pixels durch jeweils eine einzelne Person als Teil eines kollaborativen Kunstprojekts), liegt damit zwar im Bereich des Möglichen, aber praktisch eher Unwahrscheinlichen. 21 Untrennbarkeit des gemeinsamen Werks. Als weiteres konstitutives Tatbestandsmerkmal behandelt der OGH das Kriterium der untrennbaren Werkeinheit. Die Ergebnisse des gemeinsamen Schaffens müssen eine untrennbare Einheit bilden, damit eine Miturheberschaft im Gesamtwerk entstehen kann. Lässt sich ein Gesamtwerk in einzelne Teile zerlegen, die selbstständig Bestand haben und durch die Trennung in ihrem Wesen nicht verändert werden, liegt kein untrennbares Ganzes vor.25 Der OGH führt weiter aus, dass durch die Verbindung von mehreren selbstständigen Werken keine Miturheberschaft entsteht, selbst wenn die Werke zum Zweck ihrer Verbindung geschaffen wurden. An selbstständigen Teilen besteht Teilurheberschaft und durch die Werkverbindung „entsteht zwischen den beteiligten Urhebern eine Gesellschaft bürgerlichen Rechts nach §§ 1175 ff ABGB“.26 22 Werkteile sind eines selbstständigen Bestands fähig, wenn „sie sich theoretisch gesondert verwerten lassen“.27 Sind die einzelnen Beiträge den einzelnen Schöpfern zuzuordnen, ist zu prüfen, ob der einzelne Beitrag für sich genommen – „ohne weitere Ergänzung oder Umgestaltung“ – verkehrsfähig ist. Dies ist allein objektiv nach Maßgabe der Möglichkeit zur Verwertung und nicht subjektiv nach den Vorstellungen der Schöpfer zu beurteilen.28 Der OGH führt weiter aus, dass es irrelevant ist, „ob den Anteilen der Urheber im Rahmen des Ganzen eine Bedeutung zukommt, die über den Wert des isoliert stehenden Anteils hinausgeht.“ 25 OGH gestützt auf EB zum Urheberrechtsgesetz 1936, in: Dillenz, Materialien zum österreichischen Urheberrecht, 60; Kusznier in Kucsko/Handig (Hrsg.), urheber.recht2, § 11 öUrhG Rz. 22 mwN. 26 OGH gestützt auf Kusznier in Kucsko/Handig (Hrsg.), urheber.recht2, § 11 öUrhG Rz. 42 f. 27 OGH gestützt auf Kusznier in Kucsko/Handig (Hrsg.), urheber.recht2, § 11 öUrhG Rz. 23; Walter, HdB Urheberrecht I Rz 351; Ciresa in Ciresa, Österreichisches Urheberrecht, § 11 öUrhG Rz. 10; BGH 3.3.1959 – I ZR 17/58 – Wenn wir alle Engel wären, GRUR 1959, 335. 28 OGH gestützt auf Loewenheim in Schricker/Loewenheim (Hrsg.), Urheberrecht4, § 8 dUrhG Rz. 5 f; Thum in Wandtke/Bullinger (Hrsg.), Urheberrecht4, § 8 dUrhG Rz. 7 f; BGH 26.2.2009 – I ZR 142/06 – Kranhäuser, GRUR 2009, 1046.
244
Länderbericht Österreich
Selbst wenn ein größeres Ganzes geschaffen wurde, „überwiegt für gewöhnlich das Interesse an der Sonderverwertung des einzelnen Anteils“.29 Miturheberschaft ist aber dann anzunehmen, wenn durch Teilung des Gesamtwerks eine „unorganische Zergliederung“ und damit „Ergänzungsbedürftigkeit“ des Restwerks entstehen würde.30 Bemerkenswert ist weiterhin, dass der OGH nun auf eine allgemeine zi- 23 vilrechtliche Vorschrift zum Problem der Rückführbarkeit verarbeiteter Sachen, namentlich § 415 öABGB, rekurriert. Nach dieser Bestimmung gelten verbundene Sachen als untrennbar, wenn die Wiederherstellung mit unverhältnismäßigen Kosten verbunden wäre oder die Trennung eine unverhältnismäßige Wertzerstörung bewirken würde.31 Diese Überlegungen wendet der OGH im Ausgangsfall dergestalt an, dass 24 er zunächst auf das eigenständige Kunstschaffen des Klägers eingeht, der für seine Kunstform überregional bekannt ist und – unabhängig vom Kantenhocker des Beklagten – Skulpturen aus Drahtgeflecht und Kabelbindern einsetzt. Daraus leitet der OGH schließlich ab, dass die gegenständliche T-Skulptur des Klägers, die mit jener – aus unterschiedlichem Material gefertigten – des Beklagten (Kantenhocker) verbunden wurde, selbstständig verwertbar ist. Eine Trennung der beiden Elemente führt zu keiner unverhältnismäßigen Wertzerstörung der einzelnen Teile. Folglich liegt Teil- und nicht Miturheberschaft vor. Hier vermag aber die Entscheidung m. E. nicht vollends zu überzeugen. 25 Der T-Guardian beruht auf einem gemeinsamen gedanklichen Konzept, das durch bewusstes Zusammenwirken der Beteiligten in der Kombination von T-Skulptur und Kantenhocker konkret Form angenommen hat. Aus Perspektive des Kunstmarkts liegt eine Einheit vor, die auch als solche über Galerien verwertet wurde, woran sich auch der Streit zwischen den Künstlern entzündete. Nach Ansicht des OGH ist diese Kombination eine bloße Werkverbin- 26 dung mit Teilurheberschaft, weil sich die beiden Bestandteile am Kunstmarkt selbstständig verwerten lassen. Dies solle selbst dann gelten, wenn der T-Guardian mehr Wert ist als die Summe seiner Teile, denn der Wert 29 OGH gestützt auf Siefert, Die Abgrenzung von Werkeinheit und Werkmehrheit im Urheberrecht und deren Bedeutung für das Verwertungsrecht, UFITA 1998, 112 f. 30 OGH gestützt auf Loewenheim in Schricker/Loewenheim (Hrsg.), Urheberrecht4, § 8 dUrhG Rz. 6. 31 OGH gestützt auf RIS-Justiz RS0012024; Karner in Rummel/Lukas (Hrsg.), ABGB4, § 415 öABGB Rz. 2; Klicka/Reidinger in Schwimann/Kodek4, § 415 öABGB Rz. 1.
245
Clemens Appl
des einzelnen Bestandteils ist nach der Trennung der gleiche wie vor der Kombination mit dem anderen Teil. Auf den Wert des Ganzen sei nicht abzustellen.32 Verliert der jeweilige Einzelteil durch die Trennung nicht an Wert, entsteht folglich auch kein Gesamtwerk mit Miturheberschaft. Ist damit der T-Guardian – also die Kombination unabhängiger Elemente in einem künstlerischen Sinnzusammenhang – als solcher schutzlos? Dies wird mit Blick auf das OGH-Urteil anzunehmen sein, behandelt doch der OGH das Gesamtkunstwerk wie zwei aneinandergestellte Bücher voneinander unabhängiger Autoren. Zwar können sich beide Autoren schuldrechtlich – insb. durch eine Gesellschaft bürgerlichen Rechts – aneinander binden und die gemeinschaftliche Verwertung ihrer Bücher vereinbaren, nicht aber Dritten verbieten, die gleichen Bücher aus anderen Quellen zu beziehen, ident zu kombinieren oder mit weiteren zu ergänzen und solcherart weiterzuverkaufen. Im Fall des T-Guardian, bei welchem Urstücke der bildenden Kunst in einen neuen (eigenen) Sinnzusammenhang körperlich (aber leicht trennbar) zusammengeführt werden, könnten aber u. U. schutzwürdige ideelle Interessen einer identen Kombination durch Dritte entgegenstehen. Dies kann freilich nur gelten, wenn die Verbindung beider Werke zum T-Guardian als Eingriff in die Werkintegrität verstanden wird.33 Dieser Ansatz stärkt m. E. nicht die Position von Kunstschaffenden, die in gemeinschaftlichen Aktionen eigene Leistungen zu etwas neuem Ganzen zusammenführen, das urheberrechtlich als schlichte Werkmehrheit qualifiziert wird und in seiner Gesamtheit verwertet sowie geschützt sein soll. 27 Hätte ein Dritter die Werke der beiden Künstler zum T-Guardian verbunden, wäre dann ein schutzfähiges Werk entstanden? Es wäre zumindest ein typischer Fall der Appropriation Art. Damit würde es auch nicht überraschen, wenn der OGH dem T-Guardian – wäre er als Kombination beider Elemente durch einen Dritten als Allein-Schöpfer geschaffen worden – urheberrechtlichen Schutz zuerkennen würde. Ein solches Urheberrecht wäre u. U. in der Verwertung abhängig von den Urhebern der zusammengefügten Werke, was aber dem selbstständigen Charakter des Urheberrechts an der Kombination nicht schadet. Wenn aber die Kombination fremder Werke in Alleinurheberschaft schutzfähig ist, muss dies auch – ungeachtet der getrennten Verwertungsmöglichkeit der Werkteile – für die Miturheberschaft gelten. Andernfalls läge ein erheblicher Wertungswiderspruch vor, wenn ein und dieselbe Kombination einmal als schutzfähiges Ganzes und einmal als schutzlose Werkmehrheit qua32 Siefert, Die Abgrenzung von Werkeinheit und Werkmehrheit im Urheberrecht und deren Bedeutung für das Verwertungsrecht, UFITA 1998, 112. 33 S. dazu Schulze in Dreier/Schulze (Hrsg.), UrhG6, § 23 dUrhG Rz. 8.
246
Länderbericht Österreich
lifiziert wird. M.a.W.: In der Entscheidung bleibt unberücksichtigt, ob ein Urheberrecht an der Kombination als solcher bestehen kann, selbst wenn sich die Einzelteile ohne Wertverlust getrennt verwerten lassen. Anknüpfungspunkt dafür könnte m. E. der Schutz der Sammelwerke nach § 6 öUrhG sein, denn hier schadet die unabhängige Verwertbarkeit der zusammengefügten Beiträge nicht und am Sammelwerk kann ohne Zweifel Miturheberschaft begründet werden, selbst wenn die Beteiligten zugleich Urheber der Beiträge sind. Behauptungs- und Beweislast. Der OGH hat mit diesem Urteil in prozes- 28 sualer Hinsicht festgehalten, dass derjenige, der sich auf die Miturheberschaft beruft, das Vorliegen der oben dargestellten Voraussetzungen zu behaupten und zu beweisen hat. Der OGH hat zudem klargestellt, dass die Urhebervermutung des § 12 öUrhG auch unter Miturhebern gilt.34 M.a.W.: Miturheberschaft wird zugunsten derer vermutet, die am Werkexemplar identifizierbar ausgewiesen sind. Diese widerlegliche Vermutung führt – auch gegenüber vermeintlichen Miturhebern (!) – zu einer Beweislastumkehr. Hätte sich also der Kläger auf die Vermutungsregelung gestützt, hätte der Beklagte das Nicht-Vorliegen der Voraussetzungen zu beweisen gehabt. Dies wurde jedoch im Verfahren unterlassen und es blieb bei der allgemeinen Beweislastverteilung. Damit ist schließlich eine bisher offene, prozessual wichtige Frage35 entschieden. d) Bild-Metadaten und Nennung des Lichtbildherstellers: OGH 28.3.2017 – 4 Ob 43/17b Wann immer von Dritten angefertigte, urheberrechtlich geschützte 29 Medieninhalte genutzt werden, stellt sich für Nutzer die Frage, ob die Nutzung einen Hinweis auf den Urheber erfordert. Diese Frage ist im Regelfall zu bejahen: Wenn eine Nutzung auf einer vertraglichen Erlaubnis beruht, ist die Nennung oftmals zur Erfüllung der vertraglich auferlegten Pflichten erforderlich (vgl. etwa die Creative Commons-Lizenz CC-BY). Sofern eine Nutzung im Rahmen eines gesetzlichen Erlaubnistatbestands, bspw. im Rahmen eines Zitats i. S. d. § 42f öUrhG, erfolgt, ist nach § 57 Abs. 2 öUrhG stets die Quelle deutlich anzugeben, was sowohl eine Nennung des Titels des benutzten Werks als auch der Urheberbezeichnung erfordert. Im Ergebnis ist eine Nennung insb. dann nicht
34 § 12 Abs. 1 öUrhG: „Wer auf den Vervielfältigungsstücken eines erschienenen Werkes oder auf einem Urstück eines Werkes der bildenden Künste in der üblichen Weise als Urheber bezeichnet wird, gilt bis zum Beweis des Gegenteils als Urheber (§ 10, Absatz 1) des Werkes, …“. 35 S. noch Kusznier in Kucsko/Handig (Hrsg.), urheber.recht2, § 12 öUrhG Rz. 11.
247
Clemens Appl
erforderlich, wenn eine Nutzung unter der Ausnahme für die zufällige oder beiläufige Einbeziehung fremder Werke als unwesentliches Beiwerk (§ 42e öUrhG) erfolgt36 oder der Urheber auf eine Nennung verzichtet hat. An das Vorliegen eines Verzichts wird ein strenger Maßstab anzulegen sein,37 sodass eine bloße Veröffentlichung ohne ausdrücklichen Vorbehalt einer Nennung oder eine allgemein übliche „Unsitte“ der Verschweigung des Urhebers38 keinen Verzicht auf die Nennung darstellt. 30 Die Besonderheit der gegenständlichen Entscheidung liegt darin, dass es um die Nutzung von Fotografien geht, die nicht als urheberrechtlich geschützte Lichtbildwerke (§ 3 öUrhG), sondern als leistungsschutzrechtlich geschützte Lichtbilder (§ 73 öUrhG) zu qualifizieren sind. Bei diesen ist eine Nennung des Herstellers nur erforderlich, wenn dieser am Lichtbild einen Herstellervermerk angebracht hat (§ 74 Abs 3 öUrhG). Im Ausgangsfall waren die Informationen über den Hersteller nicht am Lichtbild selbst, sondern in den Metadaten der digitalen Bilddatei angebracht. Diesbezüglich stellt sich die Frage, ob dies den Erfordernissen einer Herstellerbezeichnung nach § 74 Abs. 3 öUrhG genügt, sodass der Hersteller des Lichtbilds in weiterer Folge bei den Nutzungen des Lichtbilds zu nennen ist. Ein gültiger Herstellervermerk verlangt sowohl eine hinreichende Deutlichkeit als auch eine hinreichend enge Verbindung mit dem Lichtbild.39 In der vorliegenden Entscheidung kommt der OGH zu dem Ergebnis, dass der Eintrag der Informationen über den Hersteller in den Metadaten einer digitalen Bilddatei diesen Anforderungen genügt. Dem ist zuzustimmen, weil – wie der OGH richtig feststellt – nicht ersichtlich ist, warum die Anbringung des Vermerks auf Umhüllungen von Negativfilmen und der Rückseite eines Papierabzugs ausreichen sollte, während die Aufnahme der Herstellerbezeichnung in die (einfach zugänglichen) Metadaten einer digitalen Bilddatei nicht genügen sollte. Insofern überträgt die Entscheidung die im analogen Bereich geltenden Grundsätze konsequent in den digitalen Raum. Im Fall der Herstellung von digitalen Bilddateien ist (abseits der Anbringung der Herstellerbezeichnung im Lichtbild selbst) auch keine andere Möglichkeit erkennbar, mit der ein Herstellervermerk in noch engerem Zusammenhang mit dem Lichtbild angebracht werden könnte. 31 Abschließend stellt sich die Frage, welche Konsequenzen die gegenständliche Entscheidung für Fotografien hat, die nicht (nur) als leistungsschutzrechtlich geschützte Lichtbilder, sondern als urheberrechtlich 36 37 38 39
Schulze in Dreier/Schulze (Hrsg.), Urheberrechtsgesetz6, § 63 dUrhG Rz. 6. Vgl. Homar, Prosumerism and Moral Rights, MR-Int 2016, 164 (167). OGH RIS-Justiz RS0116163. OGH RIS-Justiz RS0077143.
248
Länderbericht Österreich
geschützte Lichtbildwerke zu qualifizieren sind. Wie eingangs erwähnt, darf die Nennung des Urhebers in aller Regel nur unterbleiben, wenn dieser auf die Nennung verzichtet hat. Insofern darf aus der Entscheidung ganz allgemein die Obliegenheit abgeleitet werden, die Metadaten einer digitalen Bilddatei zu konsultieren: Wenn darin Informationen über den Urheber enthalten sind, kann nicht von einem Verzicht auf die Nennung ausgegangen werden, sodass der Titel und die Urheberbezeichnung anhand der Informationen in den Metadaten zu nennen sind. Eine davon abweichende Nennung (etwa in Form eines Pseudonyms) kann jedoch vertraglich vereinbart oder durch einen ausdrücklichen Hinweis des Urhebers auf der Website, von der die Bilddatei heruntergeladen wird, verlangt sein. In diesem Fall gehen diese Vereinbarungen oder die ausdrückliche Regelung der Nennung durch den Urheber den Informationen in den Metadaten vor. Wenn in den Metadaten einer digitalen Bilddatei keine Informationen über den Urheber enthalten sind, stellt dies keinen Verzicht auf die Nennung dar. In diesem Fall sind zur Auffindung der Informationen über den Urheber andere Quellen, wie etwa die Website, auf der das Bild abrufbar ist, zu konsultieren. Wenn eine Bilddatei auf einer Website ohne Hinweis auf den Urheber abrufbar ist, kann eine umgekehrte Bildersuchmaschine (z. B. https://images.google.com/) Aufschlüsse über den Urheber ergeben. e) Anforderungen an Bildzitat: OGH 26.9.2017 – 4 Ob 81/17s Diese Entscheidung setzt sich erstmals mit der Auslegung des mit UrhG- 32 Nov 2015 eingeführten § 42e öUrhG zum unwesentlichen Beiwerk sowie weiters mit den Anwendungsvoraussetzungen des Zitierprivilegs nach § 42f öUrhG auseinander. Dem Verfahren lag folgender Sachverhalt zugrunde: Ein Berufsfotograf hat ein Lichtbild eines 1982 erschossenen Wilderers angefertigt. Mit der Wahrnehmung seiner ihm an dem Lichtbild zufallenden Leistungsschutzrechte betraute er treuhändig den klagenden Verband. Das Lichtbild wurde durch den Beklagten, einen Privatfernsehsender, in einer ausgestrahlten Reportage über die Lebensgeschichte des von Jägern beim Wildern erschossenen Wilderers gezeigt, bei der auch dessen Bruder zu sehen ist. In dieser Sendung wird das verfahrensgegenständliche Lichtbild mindestens 13 mal eingeblendet, ohne den Fotografen als Urheber zu nennen. Das Lichtbild ist zudem als Aufdruck auf der Krawatte des Bruders des Wilderers, als Aufdruck auf Flugzetteln und im Hintergrund als eingerahmtes Familienfoto an der Wand des Esszimmers des Bruders zu sehen. Teilweise kommt das Bild in einer Szene auch mehrmals vor.
249
Clemens Appl
Der Fotograf hat dem Wilderer sowie dessen Bruder keine Werknutzungsrechte eingeräumt. 33 Kein unwesentliches Beiwerk. Gestützt auf eine Entscheidung des BGH40 verneint der OGH die Anwendung des § 42e öUrhG für den Ausgangsfall. Der OGH folgt somit der engen Auslegung des unwesentlichen Beiwerks, wonach der Äußerungszusammenhang relevant ist. Damit ist nur dann von einer Unwesentlichkeit auszugehen, wenn das Werk weggelassen oder ausgetauscht werden kann, ohne dass die Gesamtwirkung des Hauptgegenstands beeinflusst wird. Ist das einbezogene Werk „erkennbar stil- oder stimmungsbildend […] oder eine bestimmte Wirkung oder Aussage unterstreichend in den eigentlichen Gegenstand der Verwertung einbezogen […], einen dramaturgischen Zweck erfülle[nd] oder sonst charakteristisch“, ist es nicht mehr unwesentliches Beiwerk.41 Diese Kriterien wendet der OGH auf den vorliegenden Fall an und erblickt vor allem in der absichtlichen und wiederholten Einbeziehung des Bildes einen dramaturgischen Zweck, der Wirkung und Aussage der Reportage unterstreicht sowie stimmungsbildend ist. Auch ist das Lichtbild nicht beliebig austauschbar. Es ist sohin nicht zufällig noch beiläufig einbezogen, sondern steht in Bezug zur Reportage. 34 Der OGH verneint zu Recht die Anwendung der freien Werknutzung des § 42e öUrhG. Die Bestimmung stellt lediglich die „zufällige oder beiläufige“ Nutzung eines Werks frei, sofern diese Nutzung „ohne Bezug zum eigentlichen Gegenstand der Verwertungshandlung“ erfolgt. Da der Dreistufentest und das Fehlen eines Vergütungsanspruchs eine enge Auslegung nahelegen, wird eine an Belanglosigkeit grenzende Nebensächlichkeit des einbezogenen Werks zu fordern sein. Dass eine Nutzung „ohne Bezug zum eigentlichen Gegenstand der Verwertungshandlung“ vorausgesetzt wird, ist aber nicht im absoluten Sinn zu verstehen, um – wie der OGH ausdrücklich betont – „der Ausnahmebestimmung nicht ihre Wirksamkeit zu rauben“. Entscheidendes – im Einzelfall schwer zu bewertendes und subjektiv gefärbtes – Kriterium ist für den OGH der Äußerungszusammenhang und damit verbunden die Frage, ob „das Werk weggelassen oder ausgetauscht werden könne, ohne dass die Gesamtwirkung des Hauptgegenstands beeinflusst werde“. 35 Kein Bildzitat. Wenngleich i. E. nicht überraschend und sachgerecht, aber der Begründung nach problematisch, erfolgte die Prüfung, ob die 40 BGH 17.11.2014 – I ZR 177/13, GRUR 2015, 667. 41 OGH gestützt auf Mitterer in Kucsko/Handig (Hrsg.), urheber.recht2, § 42e öUrhG Rz. 8; Dreier in Dreier/Schulze (Hrsg.), UrheberrechtsG5, § 57 dUrhG Rz. 2; Grübler in Ahlberg/Götting, BeckOK Urheberrecht15, § 57 dUrhG Rz. 6.
250
Länderbericht Österreich
Bildnutzung durch das Zitatprivileg des § 42f öUrhG gedeckt ist. Für den OGH ist in Bezug auf diese freie Werknutzung „immer“ zu fragen, ob sich der Zitatzweck auch auf anderem Wege gleichermaßen erreichen lässt. Der OGH nennt hier ausdrücklich das Einholen der Zustimmung des Berechtigten oder die Paraphrase als primär ins Auge zu fassende Alternativen zum (direkten) Zitat. Das ist in dieser Allgemeinheit m. E. unhaltbar, wäre doch in vielen 36 Bereichen – insb. in der Wissenschaft – ein Primat der Paraphrase oder der Lizenzerwerb eine unzumutbare Beeinträchtigung nachschaffender Nutzungen zu völlig legitimen Zwecken. Angesichts einer wissensbasierten Gesellschaft und ihrer Anforderungen kann eine derartige Einschränkung nicht überzeugen. Anzuerkennen ist demgegenüber aber das Anliegen des OGH, dass eben nicht jeder potenzielle Zitatzweck eine Anwendung der freien Werknutzung des § 42f öUrhG trägt. Hier nimmt freilich der Medienbereich eine Sonderstellung ein. Häufig werden hier Bilder nicht zu Zwecken des Zitierens, sondern – wie im Ausgangsfall – (überwiegend) als Blickfang zur Anziehung von Aufmerksamkeit („Befriedigung von Neugierde und Sensationslust“) genutzt. Der OGH geht zu Recht davon aus, dass das bloße Illustrieren von Reportagen – ohne Belegfunktion oder inhaltliche Auseinandersetzung – nicht durch § 42f öUrhG gedeckt ist. Im Übrigen musste im vorliegenden Fall – was aber in der Entscheidung nicht beleuchtet wurde – das Zitatprivileg bereits an der fehlenden Urheber- und Lichtbildherstellernennung (§ 57 öUrhG) scheitern. f) Jenseits des Urheberrechts aa) Domainrecht: OGH 27.7.2017 – 4 Ob 120/17a – Ceconi/Ceconi‘s Das beklagte Salzburger Restaurant „Ceconi‘s“ benützte die Domain 37 ceconis.at und die E-Mail-Adresse [email protected]. Der Kläger ist Steuerberater in Salzburg und benützte die seinem Familiennamen entsprechende Domain ceconi.at und eine Catch-All-E-Mail-Adresse. Der Kläger erhielt mehrfach an das Restaurant gerichtete Anfragen über „restaurant@ceconi‗.at“ und begehrt Rechnungslegung. Der OGH behandelt in dem kurzen Zurückweisungsbeschluss zwei The- 38 menbereiche. Zunächst wird die Anwendung des § 9 öUWG verneint. Diese Bestimmung betrifft den lauterkeitsrechtlichen Kennzeichenmissbrauch und statuiert, dass im geschäftlichen Verkehr die Nutzung eines Namens, einer Firma, besonderer Unternehmenskennzeichen oder ungeschützter Titel von Druckwerken zu unterlassen ist, wenn diese geeignet ist, Verwechslungen mit dem Namen, der Firma oder der beson251
Clemens Appl
deren Bezeichnung hervorzurufen, deren sich ein anderer befugtermaßen bedient. Der OGH lässt jedoch – unter Hinweis auf Vorentscheidungen – die Anwendung der Bestimmung an der völligen Branchenverschiedenheit scheitern. Zudem konnte der Kläger auch die Verkehrsgeltung nicht nachweisen oder darlegen, sein Geschäftsfeld auszuweiten. 39 Bemerkenswert ist weiterhin, dass das Rechnungslegungsbegehren in Bezug auf das allgemeine Namensrecht (§ 43 öABGB) abgelehnt wurde. Der OGH hält fest, dass ein solches mit einer Verletzung eines Namensrechts nicht zwingend verbunden ist.42 Der Zweck der Rechnungslegung besteht nach dem OGH darin, dem Berechtigten die Grundlagen für Zahlungsansprüche gegen den Beklagten zu erschließen. Insofern besteht ein innerer Zusammenhang zwischen Zahlungsanspruch und Rechnungslegung. Im Verfahren behauptete der Kläger aber weder einen entstandenen Schaden noch eine Bereicherung des Beklagten; vielmehr hob der Kläger die „belästigende Verwechslung“ hervor. Insofern konnte der OGH nicht nachvollziehen, wie die Rechnungslegung über die Restaurantumsätze Rückschlüsse erlauben, in welcher Weise durch die behauptete Verletzung des Namensrechts der Beklagte profitiert haben könnte. bb) Persönlichkeitsrecht: OGH 21.3.2018 – 3 Ob 195/17y – Überwachungsdruck 40 Dem Verfahren liegt ein Rechtsstreit unter Nachbarn zu Grunde. Die beklagte Partei hat auf ihrer Liegenschaft vier Videokameras installiert, die auch Teile der Liegenschaft des Klägers filmen. Die Liegenschaftsteile des Klägers, die von den Kameras gefilmt werden, werden automatisch verpixelt. Die Beklagte kann diesen Aufzeichnungsmodus nicht alleine ändern. 41 Aus § 16 öABGB, wonach „jeder Mensch angeborene, schon durch die Vernunft einleuchtende Rechte [hat] und […] daher als Person zu betrachten“ ist, hat der OGH das allgemeine Persönlichkeitsrecht abgeleitet. Ein spezifischer Ausfluss dieser Zentralnorm des ABGB ist das Recht auf Wahrung der Geheimnissphäre und damit verbunden auch ein Schutz gegen geheime Bildaufnahmen im Privatbereich und fortdauernde unerwünschte Überwachungen. Dies umfasst auch ungerechtfertigten „Überwachungsdruck“, wenn eine Überwachung durch Kameras objektiv ernsthaft zu befürchten ist. Ob aber tatsächlich aufgenommen wird, ist nicht maßgeblich. Der OGH hat in diesem Zusammenhang selbst im Fall einer Kameraattrappe anerkannt, dass „eine schwerwiegende Beeinträchtigung der Privatsphäre (Geheimsphäre)“ vorliegen kann, „wenn 42 OGH 5.11.2002 – 4 Ob 237/02k.
252
Länderbericht Österreich
sich ein Betroffener durch die Art der Anbringung und den äußeren Anschein einem ständigen Überwachungsdruck ausgesetzt fühlt“.43 Für den vorliegenden Fall kam der OGH zu dem konsequenten und m. E. 42 zutreffenden Ergebnis, dass der Anspruch des Klägers auf Achtung seiner Privatsphäre nur dann effizient geschützt ist, wenn die Kameras nicht auf das Grundstück des Klägers gerichtet sind, selbst wenn diese nicht in Betrieb sind, weil der Kläger insoweit keinerlei Kontrollmöglichkeit hat. Da im vorliegenden Fall eine andere Ausrichtung der Kameras den Überwachungszweck zu erfüllen vermochte, unterblieb die ansonsten erforderliche Prüfung der Verhältnismäßigkeit des Eingriffs. 2. Gesetzgebung zum Informationsrecht Im Berichtszeitraum stechen mit Blick auf das Informationsrecht kei- 43 ne Gesetzesvorhaben besonders heraus. Hinzuweisen ist daher an dieser Stelle nur auf eine kleine Novelle zum Urheberrechtsgesetz. Vor dem Hintergrund des Marrakesch-Vertrags sowie der VO 2017/1563 44 und der RL 2017/1564 wurde eine Anpassung der bereits im Rahmen der Urh-Nov 201544 eingeführten freien Werknutzung zugunsten von Menschen mit Behinderungen erforderlich. Nach nunmehr geltender Rechtslage – die UrhG-Nov 201845 ist mit 17.8.2018 in Kraft getreten – werden Nutzungen zugunsten blinder, seh- oder lesebehinderter Personen46 sowie solcher Personen privilegiert, die körperlich nicht in der Lage sind, „ein Buch zu halten oder handzuhaben oder ihre Augen in dem Umfang zu fokussieren oder zu bewegen, wie es für das Lesen normalerweise erforderlich wäre“. Angehörige dieses Adressatenkreises sowie in deren Namen handelnde Personen dürfen ein Vervielfältigungsstück in einem barrierefreien Format zur ausschließlichen Nutzung durch die seh- oder lesebehinderte Person herstellen, wenn diese rechtmäßigen Zugang zu dem Werk hat. Darüber hinaus dürfen auch sog. „befugte Stellen“ i. S. d. § 42d Abs. 2 öUrhG bestimmte Nutzungshandlungen zugunsten des privilegierten Personenkreises vornehmen. Sie dürfen gemäß Abs. 5 leg. cit. a) ein Vervielfältigungsstück in einem barrierefreien Format herstellen, wenn sie rechtmäßigen Zugang zu dem Werk haben, und b) ein Verviel-
43 OGH gestützt auf OGH 17.12.2013 – 5 Ob 69/13b – Videoüberwachung im Gangbereich eines Mietshauses, jusIT 2014,72 (Thiele). 44 öBGBl. I 99/2015. 45 öBGBl. I 63/2018. 46 Die Vorgängerbestimmung bezog sich demgegenüber auf „Menschen mit Behinderung“ schlechthin.
253
Clemens Appl
fältigungsstück in einem barrierefreien Format zugunsten von Menschen mit Seh- oder Lesebehinderungen und anderen befugten Stellen für Sehund Lesebehinderungen, die ihren Wohnsitz oder Sitz im Inland oder in einem anderen Mitgliedstaat der EU oder Vertragsstaat des EWR haben, in gemeinnütziger Weise verbreiten, durch Rundfunk senden, der Öffentlichkeit zur Verfügung stellen, nach § 40g öUrhG öffentlich wiedergeben und zu öffentlichen Vorträgen, Aufführungen und Vorführungen nutzen. 45 Diese freie Werknutzung ist zwingend und unterliegt – soweit es die Nutzung durch befugte Stellen betrifft – einem verwertungsgesellschaftenpflichtigen Vergütungsanspruch. Die Grundsätze zur Bemessung der Vergütung sind in § 42d Abs. 8 öUrhG geregelt.
254
DGRI 3-Länder-Treffen 2018 Länderbericht Schweiz Clara-Ann Gordon* I. Einleitung II. Sichtung privates Facebook Account – BGer 1B_29/2017 vom 24. Mai 2017 1. Sachverhalt 2. Urteil 3. Key Take Aways III. Rücktritt/Täuschung bei Software-Integrationsvertrag – BGer 4A_141/2017 vom 4. September 2017 1. Sachverhalt 2. Urteil 3. Key Take Aways IV. Greenpeace und Zugang zu Kraftwerk-Daten – BGer 1C_394/2016 vom 27. September 2017
1. Sachverhalt 2. Urteil 3. Key Take Aways V. Speicherung und Aufbewahrung von Randdaten – BGer 1C_598/2016 vom 2. März 2018 1. Sachverhalt 2. Urteil 3. Key Take Aways VI. Facebook-Freundschaft mit Richter – BGer 5A_701/2017 vom 14. Mai 2018 1. Sachverhalt 2. Urteil 3. Key Take Aways
I. Einleitung Dieser Beitrag stellt eine Verschriftlichung des von der Autorin am 1 22.6.2018 in St. Gallen gehaltenen Vortrages beim „DGRI 3-Länder Treffen 2018“ dar. Es handelt sich dabei um den Schweizer Länderbericht für die Jahre 2017 und 2018. Es werden fünf höchstgerichtliche Entscheide besprochen. Insbesondere wird auf die Themen IT-, Persönlichkeits-, Urheber-, Lauterkeits- sowie Datenschutzrecht näher eingegangen.
*
Clara Ann Gordon, LL.M., CEDR Accredited Mediator, Rechtsanwältin, Partnerin bei Niederer Kraft Frey, Zürich.
255
Clara-Ann Gordon
II. Sichtung privates Facebook Account – BGer 1B_29/2017 vom 24. Mai 2017 1. Sachverhalt 2 Bei diesem Entscheid geht es um die Sichtung und die vorläufige Sicherstellung von Chat-Nachrichten eines des Drogenhandels beschuldigten Untersuchungshäftlings. An die Zugangsdaten kamen die Strafverfolger zufällig durch eine Notiz des Häftlings, die – nachdem sie ausdrücklich darum ersucht hatten – für seine Sprachlehrerin bestimmt war. Es stellte sich u. a. die Frage, ob die Strafverfolgungsbehörden einen direkten Zugriff auf im Ausland gespeicherte Daten haben. 2. Urteil 3 Die Beschwerde des Häftlings wurde abgewiesen. Die Verwertung des Zettels mit Login-Daten und Sichtung der Chats sei zulässig gewesen, da keine überwiegenden Geheimhaltungsinteressen des Häftlings vorliegen würden. Es liege ferner kein Verstoss gegen das Territorialitätsprinzip und keine Umgehung der Rechtshilfe vor, da die Untersuchungsbehörde von in der Schweiz befindlichen Computern, Servern und IT-Infrastrukturen aus eigene Ermittlungen im Internet aufgenommen hatte. 3. Key Take Aways 4 Bedingt durch die Digitalisierung und Internationalisierung stossen nationale Rechtsordnungen im Bereich der strafprozessualen Beweisbeschaffung an ihre Grenzen. Das Territorialitätsprinzip muss jedoch kritischer hinterfragt, und die Cybercrime-Konvention muss beachtet werden. III. Rücktritt/Täuschung bei Software-Integrationsvertrag – BGer 4A_141/2017 vom 4. September 2017 1. Sachverhalt 5 Bei diesem Fall ging es um die Ausschreibung einer Gesamterneuerung eines Internetauftritts für eine Stadt.
256
Länderbericht Schweiz
Der Zuschlag ging an einen Provider, nachdem der Leiter der IT, ein Webmaster und ein externer IT Berater der Stadt die Softwarelösung beurteilt hatten. Nach Differenzen wurden von der Stadt diverse Nachfristen zur mängelfreien Erfüllung angesetzt. Während den Vergleichsverhandlungen zog die Stadt einen externen Bera- 6 ter ohne Wissen des Providers bei und erklärte sofortigen Rücktritt unter Berufung auf Täuschung, Terminverzug und Kostenüberschreitung. Die Stadt machte u. a. Täuschung durch den Provider geltend, wonach die Software eine Standard-CMS-Software mit „out of the box“-Funktionalität sei. Ferner bestand die Stadt auf einer Standard-Lösung ohne Zusatzkosten. 2. Urteil Die Klage der Stadt wurde abgewiesen, da keine absichtliche Täuschung 7 vorlag. Täuschendes Verhalten des Providers ist in Relation zum Verhalten der Stadt zu setzen. Unter dem Gesichtspunkt der Opfermitverantwortung war die Stadt gesetzlich verpflichtet, die Angebote im Submissionsverfahren zu prüfen. Da die Stadt trotz Beizug eines Experten das Angebot des Providers nicht richtig prüfte, kann keine absichtliche (aktive) Täuschung geltend gemacht werden. Auch eine fehlende Aufklärung durch Provider (=passive Täuschung) wurde verneint, da die Stadt einen Experten beigezogen hatte. 3. Key Take Aways Es gibt kein absolutes Täuschungsverbot im Straf- und Zivilrecht. An- 8 hand des Kriteriums der Arglist wird das Risiko der Tatbestandsverwirklichung (Art. 28 OR, Art. 146 StGB) angemessen zwischen Täuschendem und Getäuschtem verteilt. Bei der Täuschung muss das Verhalten beider Parteien gewürdigt und in Relation zueinander gesetzt werden. Die Stadt hätte sich im Hauptstandpunkt auf Dissens betreffend Ver- 9 tragsleistungen und Preis berufen sollen (Standardlösung ohne Zusatzkosten vs. Verrechnung nach effektivem Aufwand). 257
Clara-Ann Gordon
Wäre das Gericht zum Schluss gekommen, dass kein Dissens vorgelegen hätte, sondern ein normativer Konsens, hätte sich die Stadt eventualiter auf Willensmängel berufen können. Die Stadt versuchte hingegen vergeblich, die absichtliche Täuschung mit Argumenten zu begründen, die im Rahmen der Auslegung hätten vorgebracht werden müssen. IV. Greenpeace und Zugang zu Kraftwerk-Daten – BGer 1C_394/2016 vom 27. September 2017 1. Sachverhalt 10 Greenpeace verlangte via das Eidg. Nuklearsicherheitsinspektorat (ENSI) Zugang zu den Abluftdaten des Kamins des Kernkraftwerks Leibstadt (KKL). ENSI bzw. KKL verweigerte die Offenlegung, weil einerseits keine Anonymisierung der Personendaten möglich sei und andererseits die Offenlegung zu einer öffentlichen Kritik durch Kernkraftwerkgegner führen könnte. 2. Urteil 11 Der Entscheid hielt fest, dass die ersuchten Personendaten offengelegt werden müssen. Das öffentliche Interesse am Zugang zu den Personendaten (Emissionsabgaben des KKL) überwiege die privaten Interessen einer Geheimhaltung. 3. Key Take Aways 12 Kein privates Geheimhaltungsinteresse ist gegeben bei der Befürchtung einer negativen Berichterstattung. Dies sind lediglich unangenehme Konsequenzen, die in einer rechtsstaatlichen Demokratie hinzunehmen sind. V. Speicherung und Aufbewahrung von Randdaten – BGer 1C_598/2016 vom 2. März 2018 1. Sachverhalt 13 Es ging bei diesem Entscheid um das Gesuch der Organisation Digitale Gesellschaft ans ÜPF um Erlass der Speicherung von Randdaten (=äussere Daten des Kommunikationswegs) und der Löschung bereits gespei-
258
Länderbericht Schweiz
cherter Randdaten, soweit nicht erforderlich für die Erbringung der vertraglichen Leistungen. Nach Ansicht der Digitalen Gesellschaft ist die Speicherung von Randdaten eine schwerwiegende Verletzung des Anspruchs auf Achtung des Fernmeldeverkehrs und des Rechts auf Schutz vor Missbrauch persönlicher Daten. Die Speicherung von Randdaten vermittle das Gefühl der Überwachung. 2. Urteil Der Entscheid hielt fest, dass die im BÜPF vorgesehene Vorratsdaten- 14 speicherung kein schwerwiegender Eingriff in die Grundrechte der Betroffenen sei. Die Speicherung der Randdaten durch die Fernmeldedienstanbieterin (FDA) erlaube ohnehin noch keinen Zugang zu oder Auswertung der Randdaten. Dies erfolge erst durch die Strafverfolgungsbehörden, wo die Intensität eines wesentlichen Grundrechtseingriffs erheblich zunehme. Eingriffe in Grundrechte benötigen eine gesetzliche Grundlage. Diese sei mit Art. 15 Abs. 2 BÜPF gegeben. Die Vorratsdatenspeicherung verfolgt primär das Ziel, die Verfügbarkeit 15 von Randdaten für die Aufklärung von Straftaten sicherzustellen und dient deshalb nicht nur der öffentlichen Sicherheit und Ordnung, sondern schützt ebenso die Rechte und Freiheiten Dritter. Folglich liege ein sehr gewichtiges öffentliches Interesse vor. Die Vorratsdatenspeicherung ist zudem verhältnismässig, da den Strafverfolgungsbehörden kein direkter und uneingeschränkter Zugriff erteilt wird. Das Bundesgericht forderte jedoch angemessene organisatorische und 16 technische Schutzvorkehrungen, um Schutz vor Missbrauch der Daten zu gewährleisten. Ferner bestätigte das Bundesgericht die Anwendbarkeit von Art. 8 DSG (Auskunftsrecht) des Datensubjekts auch in Bezug auf Randdaten gegenüber den FDA. 3. Key Take Aways Die Vorratsdatenspeicherung und damit der Eingriff in Grundrechte ist 17 durch das öffentliche Interesse an der Aufklärung von Straftaten und der Wahrung der öffentlichen Gesundheit gerechtfertigt. 259
Clara-Ann Gordon
Der Leitentscheid ist jedoch nicht überzeugend. Weiterzug an den EGMR durch die Digitale Gesellschaft wurde angekündigt. 18 Die Trennung zwischen (verwaltungsrechtlicher) Speicherung der Daten und (strafprozessualem) Zugriff auf die Daten ist nicht möglich. Das Urteil berücksichtigt zu wenig, dass die gespeicherten Randdaten nicht nur an die Strafverfolgungsbehörden weitergegeben werden können, sondern auch z. B. an den Nachrichtendienst. Nota: Randdaten, welche für den „gewöhnlichen“ Geschäftsbetrieb der FDA nicht erforderlich sind, werden ausschliesslich für die Zwecke der Strafverfolgung gespeichert. Die strafprozessualen Massnahmen sind erst bei hinreichendem Verdacht auf eine Straftat zulässig. Die Randdaten werden jedoch anlasslos erhoben. 19 Private Unternehmen werden zu Aktivitäten verpflichtet, welche den Behörden verboten wären. VI. Facebook-Freundschaft mit Richter – BGer 5A_701/2017 vom 14. Mai 2018 1. Sachverhalt 20 Bei diesem Fall geht es um einen Streit um das gemeinsame elterliche Sorgerecht. Der Vater des Kindes war mit dem KESB (Kindes- und Erwachsenenschutzbehörde) – Präsidenten befreundet. Die Mutter machte Befangenheit des KESB-Präsidenten geltend und verlangte die Aufhebung des Entscheids. 2. Urteil 21 Der Entschied hielt fest, dass keine Befangenheit des Richters vorliege. Ein Richter kann sich nicht der sozialen Realität gänzlich entziehen. Eine Facebook Freundschaft ist keine Freundschaft im traditionellen Sinne, da sie nicht zwingend eine gegenseitige Sympathie oder Zuneigung impliziere.
260
Länderbericht Schweiz
Bei einer Zahl von mehr als 150 Facebook-Freunden können auch solche darunter seien, mit denen man keinen Kontakt pflege oder die man nicht einmal kenne. 3. Key Take Aways Es sind weitere Hinweise notwendig, um den Anschein von Befangenheit 22 zu begründen.
261
Die DS-GVO aus österreichischer Sicht Dietmar Jahnel* 1. Einleitung
4. Persönlicher Anwendungsbereich
2. Die Genese des DSG (2018)
5. Umgang mit strittigen Punkten a) Gesundheitsdaten b) Qualifikation von Bilddaten
3. Sanktionen a) Allgemeines b) Verhältnismäßigkeit, „Verwarnen statt Strafen“ c) Rechtsnatur der Geldbuße d) Verhängung der Geldbußen durch die Datenschutzbehörde
6. Paralleler Rechtsschutz 7. Weitere Auslegungsfragen a) Bedingungen für die Einwilligung eines Kindes im Online-Kontext b) „Medienprivileg“
1. Einleitung Nach mehreren Entwürfen, die in einigen Bereichen nicht unterschied- 1 licher hätten sein können, und über 3.900 Änderungsanträgen im Europäischen Parlament ist im Mai 2016 der Text der Datenschutz-Grundverordnung im Amtsblatt der EU kundgemacht worden.1 Die neuen, in der gesamten Europäischen Union unmittelbar anwendbaren Datenschutzregelungen sind am 25. Mai 2016 in Kraft getreten und haben mit 25. Mai 2018 Geltung erlangt. Mit diesem Tag wurde die Datenschutz-Richtlinie 95/46/EG (DS-RL) aufgehoben und mit der DS-GVO ein – zumindest großteils – in der gesamten Europäischen Union einheitliches und unmittelbar anwendbares neues Datenschutzrecht eingeführt. Damit sind zwar viele Neuerungen im Detail verbunden, die bisher geltenden Grundsätze des europäischen Datenschutzrechts wurden aber durch die Neuregelung keineswegs komplett über Bord geworfen, sondern vielmehr aktualisiert, modernisiert und weiterentwickelt. Neben den unmittelbar anwendbaren Bestimmungen enthält die DS-GVO zahlreiche sog „Öffnungsklauseln“, die bestimmte Detailregelungen den nationalen Gesetzgebern überlassen. * 1
Prof. Dr. Dietmar Jahnel, Fachbereich Öffentliches Recht, Völker- und Europarecht, Universität Salzburg. Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung), ABl. L 2016/119, 1 idF L 2018/127, 2.
263
Dietmar Jahnel
2 Dem Titel dieses Beitrags entsprechend wird im Folgenden auf einige ausgewählte Auslegungsprobleme und Defizite der DS-GVO und des DSG 20181, aus speziell österreichischer Sicht, näher eingegangen. Zum besseren Verständnis einiger Fragestellungen ist es sinnvoll, zuvor kurz die Entstehungsgeschichte des österreichischen Datenschutzgesetzes zu schildern. 2. Die Genese des DSG (2018) 3 Um die Entstehungsgeschichte des DSG, des österreichischen Durchführungsgesetzes zur DS-GVO, verstehen zu können, ist vorauszuschicken, dass es in Österreich zwar mit dem Bundes-Verfassungsgesetz (B-VG) eine zentrale Verfassungsurkunde gibt, dass aber kein Inkorporationsgebot für Verfassungsrecht besteht. Das bedeutet, dass verfassungsrechtliche Änderungen und Ergänzungen nicht zwingend in den Text des B-VG aufgenommen werden müssen, sondern auch in eigenen Verfassungsgesetzen bzw. sogar in einzelnen Verfassungsbestimmungen innerhalb eines einfachen Gesetzes kundgemacht werden können, sofern die erschwerten Erzeugungsbedingungen für Verfassungsrecht (v. a. 2/3-Mehrheit im Parlament) eingehalten und die Verfassungsbestimmungen als solche bezeichnet werden. Ein plastisches Beispiel dafür war das DSG 2000,2 das in seinen §§ 1–3, § 35 Abs. 2, § 60 Abs. 8, § 61 Abs. 4 Verfassungsbestimmungen enthalten hat. 4 Am 31. Juli 2017 wurde das „Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird“ (Datenschutz-Anpassungsgesetz 2018 – DSAG 2018) in BGBl. I 2017/120 kundgemacht, mit dem v. a. zahlreiche Öffnungsklauseln der DSGVO durch den österreichischen Gesetzgeber ausgeführt wurden. Das ursprüngliche Vorhaben, ein komplett neues österreichisches Datenschutzgesetz zu erlassen, hätte wegen der angeführten Verfassungsbestimmungen im DSG 2000 nur mittels qualifizierter Zweidrittelmehrheit im Nationalrat umgesetzt werden können. Wegen des damaligen Vorwahlkampfes zur Nationalratswahl war abzusehen, dass eine solche nicht zu erlangen war. Aus diesem Grund entschied sich der
1
2
Im Folgenden zur Unterscheidung vom DSG 2000 als „DSG“ bezeichnet. Zur wechselvollen Entstehungsgeschichte des „neuen“ DSG siehe Jahnel, Gesetzgebungsmonitor Datenschutz: Datenschutz-Anpassungsgesetz 2018 idF Verfassungsausschuss und Novelle zur StMV 2004, jusIT 2017/66, 156 und Jahnel, Gesetzgebungsmonitor Datenschutz: Datenschutz-Deregulierungs-Gesetz 2018 und Materien-Datenschutz-Anpassungsgesetze, jusIT 2018/58, 160. Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), BGBl. I 1999/165 vor der Novelle BGBl. I 2017/120.
264
Die DS-GVO aus österreichischer Sicht
Gesetzgeber, die Verfassungsbestimmungen im DSG 2000 so zu belassen, wie sie waren und wendete eine ganz spezielle Technik an: Das DSAG 2018 hob sämtliche einfachgesetzlichen Bestimmungen des DSG 2000 auf. Übrig blieben die Verfassungsbestimmungen der §§ 1–3, § 35 Abs. 2, § 60 Abs. 8, § 61 Abs. 4. In die damit entstandenen „Lücken“ wurde der (einfachgesetzliche) Rechtstext aus dem DSAG 2018 eingefügt. Damit blieb v. a. der verfassungsrechtliche Grundrechtsschutz in § 1 DSG, der ja – mangels qualifizierter Mehrheit – nicht angetastet werden konnte, in seiner bisherigen Form aufrecht. Schließlich wurde noch der Titel des DSG 2000 („Bundesgesetz über den Schutz personenbezogener Daten“) in „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (Datenschutzgesetz – DSG) geändert. Mit dem sog „Datenschutz-Deregulierungs-Gesetz 2018“3 wurde Anfang 5 2018 ein neuerlicher Anlauf zur längst überfälligen Kompetenzbereinigung und Adaptierung des Grundrechts auf Datenschutz unternommen. Wiederum kam aber die notwendige Mehrheit zur Änderung der Verfassungsbestimmungen des DSG – diesmal im Plenum des Nationalrats – nicht zustande, obwohl der Verfassungsausschuss zuvor mit Zweidrittelmehrheit den Antrag gestellt hatte, der Nationalrat wolle dem angeschlossenen Gesetzentwurf die verfassungsmäßige Zustimmung erteilen. Stattdessen wurden mittels Abänderungsantrags kurzfristig einige Bestimmungen des DSAG 2018, das ja noch gar nicht in Kraft getreten war, abermals geändert. Anfang Jänner 2019 ist es nun doch gelungen, die notwendige qualifizierte 6 Mehrheit zustande zu bringen, um einige der Verfassungsbestimmungen des DSG aufzuheben bzw. einige legistische Fehlleistungen des Datenschutz-Deregulierungs-Gesetzes 20184 zu bereinigen: Durch die Novelle BGBl. I 2019/14 wird nun (endlich) mit Wirkung vom 1.1.2020 in Art. 10 Abs. 1 Z. 13 eine Bundeskompetenz für „allgemeine Angelegenheiten des Schutzes personenbezogener Daten“ geschaffen. Mit Inkrafttreten dieser Kompetenzbestimmung treten dann sowohl die Verfassungsbestimmungen der §§ 2 und 3 DSG als auch die landesgesetzlichen Vorschriften in allgemeinen Angelegenheiten des Schutzes personenbezogener Daten im nicht-automationsunterstützten Datenverkehr außer Kraft.
3 4
BGBl. I 2018/24. Danach ist ein § 70 DSG mit zwei Absätzen 3 entstanden, einem einfachgesetzlichen und einem im Verfassungsrang. Zudem verfügte das DSG bis zur nunmehrigen Novelle mit § 61 (wegen der Verfassungsbestimmung des bisherigen Abs. 4) und mit § 69 über zwei Übergangsbestimmungen.
265
Dietmar Jahnel
7 Unverändert geblieben ist allerdings – entgegen den ursprünglichen Intentionen des Gesetzgebers5 – zum wiederholten Male die Formulierung des österreichischen Grundrechts auf Datenschutz in § 1 DSG. Damit ist es wiederum zu keiner Anpassung des nationalen Grundrechts an die Terminologie und den persönlichen Anwendungsbereich der DSGVO gekommen. 3. Sanktionen a) Allgemeines 8 Einem Verantwortlichen oder Auftragsverarbeiter, der die Datenschutzvorschriften verletzt, drohen nach der DS-GVO strenge Sanktionen: So können etwa bei Verstößen gegen die Grundsätze der Verarbeitung oder gegen die Rechte der betroffenen Person gem. Art. 83 Abs. 5 DS-GVO Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Bei Verstößen gegen die sonstigen Pflichten des Verantwortlichen und der Auftragsverarbeiter sind Geldbußen bis zu 10 Mio. Euro oder bis zu 2 % des weltweiten Jahresumsatzes vorgesehen. b) Verhältnismäßigkeit, „Verwarnen statt Strafen“ 9 Nach Art. 83 Abs. 2 DS-GVO werden Geldbußen je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Art. 58 Abs. 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Höhe sind im jeweiligen Einzelfall alle besonderen Umstände, insb. Art, Schwere und Dauer des Verstoßes und dessen Folgen sowie der Maßnahmen, die ergriffen worden sind, um die Einhaltung der aus dieser Verordnung erwachsenden Verpflichtungen zu gewährleisten und die Folgen des Verstoßes abzuwenden oder abzumildern, zu berücksichtigen. 10 Zudem hat die Aufsichtsbehörde bei der Bemessung der Geldbuße immer das Gebot der Verhältnismäßigkeit zu wahren. So sieht Art. 83 Abs. 1 ausdrücklich vor, dass die Aufsichtsbehörde sicherstellt, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Abs. 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Handelt es sich um einen geringfügigen Verstoß einer natürlichen Person oder würde die Geldbuße zu 5
Siehe Regierungsvorlage 301 BlgNR 26. GP.
266
Die DS-GVO aus österreichischer Sicht
einer unverhältnismäßigen Belastung gegenüber einer natürlichen Person führen, haben die Aufsichtsbehörden gem. ErwGr. 148 die Möglichkeit, anstelle der festzusetzenden Geldbuße auch nur eine Verwarnung zu erteilen. Für Unternehmen ist diese Straferleichterung hingegen nicht vorgesehen. Knapp vor dem Inkrafttreten des DSG wurde mit § 11 eine Bestimmung 11 ins Gesetz eingeführt, nach der die DSB die Geldbußen nach Art. 83 Abs. 2 bis 6 DSGVO „so zur Anwendung bringen [wird], dass die Verhältnismäßigkeit gewahrt wird.“ Zudem soll die DSB insb. bei erstmaligen Verstößen von ihren Abhilfebefugnissen insb. durch Verwarnen Gebrauch machen („Verwarnen statt Strafen“). Dies bewirkt allerdings nicht, dass in jedem Fall ein erster Verstoß straffrei bleiben wird, da der nationale Gesetzgeber von zwingenden Bestimmungen der DS-GVO nicht abweichen kann. So steht der Grundsatz der Verhältnismäßigkeit zwar ohnehin auch in Art. 83 Abs. 1 DS-GVO, dort allerdings gemeinsam mit dem Erfordernis, dass die Verhängung von Geldbußen auch in jedem Einzelfall wirksam und abschreckend sein muss. Und dass die DSB – wie es die DS-GVO auch verlangt – verwarnen kann, heißt nicht, dass eine Verwarnung in jedem (auch ersten) Fall eines Verstoßes das Mittel der Wahl ist, zumal dabei nach der DS-GVO jeweils „nach den Umständen des Einzelfalls“ vorzugehen ist. c) Rechtsnatur der Geldbuße Über die Rechtsnatur der „Geldbuße“ gibt die DS-GVO keine Auskunft. 12 Es spricht durchaus einiges dafür, dass damit ein Sanktionensystem wie im europäischen Kartellrecht geschaffen werden sollte: So verweist ErwGr. 150 für die Auslegung des Begriffs „Unternehmen“ in der DSGVO ausdrücklich auf die Art. 101 und 102 AEUV, in denen die Wettbewerbsregeln für Unternehmen festgelegt werden. Zwar wird in der englischen Fassung der DS-GVO der Begriff „fine“ für Geldbuße verwendet, derselbe Ausdruck ist aber auch in Art. 53 VO (EG) 1/2003 (Kartellverordnung) zu finden und wird in der deutschen Fassung genauso mit Geldbuße übersetzt. In der österreichischen Fachliteratur ist die Frage nach der Rechtsnatur der kartellrechtlichen Geldbuße durchaus umstritten.6 Der OGH hat dazu ausgesprochen, dass die Geldbuße im Kartellrecht nach ihrem Zweck und ihrer Wirkung eine Sanktion mit strafrechtsähn-
6
Siehe die Zusammenfassung bei Huber/Rittenauer, Natur der Geldbußen und steuerliche Absetzbarkeit von Geldbußen, in Matousek/Müller/Thanner (Hrsg.), Kartell- und Wettbewerbsrecht. Jahrbuch 2010 (2010), 37 (38 ff).
267
Dietmar Jahnel
lichem Charakter ist und für den Fall geringer Schuld zu § 42 StGB und § 21 Abs. 1 VStG analog angewendet.7 13 Der österreichische Gesetzgeber hingegen möchte die Geldbuße nach der DS-GVO offenbar als eine Verwaltungsstrafe ansehen, auch wenn im Gesetzestext selbst dazu keine ausdrückliche Anordnung zu finden ist. In § 30 Abs. 3 DSG ist lediglich ein indirekter Hinweis auf das VStG zu finden: Danach hat die Datenschutzbehörde „von der Bestrafung eines Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes 1991 – VStG, BGBl. Nr. 52/1991, abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird.“ Explizit hingewiesen wird auf die Anwendbarkeit des VStG hinsichtlich der Verhängung von Geldbußen in den ErlRV zu § 22 DSG: „Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen. Auf die Verhängung solcher Geldbußen (Art. 83 DSGVO) findet das Verwaltungsstrafgesetz 1991 (VStG), BGBl. Nr. 52/1991, insoweit Anwendung, als die DSGVO im Rahmen des Anwendungsvorranges nicht speziellere Regelungen vorsieht (siehe z. B. die Regelung zum Kumulierungsverbot gemäß Art. 83 Abs. 3 DSGVO).“8 Im Wortlaut des § 22 DSG selbst ist allerdings keinerlei Hinweis auf die Anwendbarkeit des VStG zu finden. Damit handelt es sich hierbei um das erste Beispiel eines Phänomens im neuen DSG, das als „Gesetzgebung per Erläuterungen“ bezeichnet werden kann. d) Verhängung der Geldbußen durch die Datenschutzbehörde 14 Die – potenziell sehr hohen – Geldbußen nach der DS-GVO sind von der nationalen Datenschutzbehörde zu verhängen und nicht mehr wie nach dem DSG 2000 von den Bezirksverwaltungsbehörden. Die in der Fachliteratur zunächst umstrittene Frage, ob die Zuständigkeit der DSB zur Verhängung von unter Umständen sehr hohen Geldbußen mit Art. 91 B-VG vereinbar ist, wurde im Dezember 2017 durch die Rechtsprechung geklärt: Der VfGH hat im Zusammenhang mit einer in die Zuständigkeit der FMA fallenden Geldbuße nach dem Bankwesengesetz seine bisherige Judikatur geändert und ausgesprochen, dass die Höhe der Strafdrohung kein taugliches Abgrenzungskriterium zwischen gerichtlichem Strafrecht und Verwaltungsstrafrecht darstellt.9
7 8 9
ZB OGH 27.2.2006 – 16 Ok 52/05. AB 1761 BlgNR XXV. GP, 9. VfGH 13.12.2017 – G 408/2016, Dako 2018/10, 17 (Schweiger) = AnwBl 2018/96, 326 (Hollaender) = jusIT 2018/29, 79 (Jahnel) = ÖZK 2018, 69
268
Die DS-GVO aus österreichischer Sicht
Ausgangspunkt dieses VfGH-Erkenntnisses war die Verhängung einer 15 Verwaltungsstrafe in Höhe von 953.700,- Euro nach § 99d BWG gegen eine juristische Person durch die Finanzmarktaufsicht (FMA) wegen mehrerer Übertretungen des § 98 Abs. 5a Z. 3 BWG idF BGBl. I 184/2013 (Nichterteilung der für die Konsolidierung erforderlichen Auskünfte an die Zentralorganisation bei einem Kreditinstitute-Verbund). Das gegen dieses Straferkenntnis angerufene Bundesverwaltungsgericht hat nach Art. 140 Abs. 1 Z. 1 lit. a B-VG beim VfGH beantragt, § 99d BWG zur Gänze aufzuheben. In dieser Bestimmung ist u. a. vorgesehen, dass die Geldstrafe gegen die juristische Person bis zu 10 v. H. des jährlichen Gesamtnettoumsatzes des Kreditinstitutes betragen kann. Nach Ansicht des BVwG reicht damit der von § 99d BWG festgelegte Strafrahmen in den Kernbereich der Strafgerichtsbarkeit und würde gegen Art. 91 B-VG verstoßen. Tatsächlich hat der VfGH in seiner bisherigen st. Rspr. die Auffassung vertreten, dass nach Art. 91 Abs. 2 und 3 B-VG die Verhängung hoher Geldstrafen – worunter eine Größenordnung ab etwa 200.000,– Euro zu verstehen ist – den ordentlichen Gerichten vorbehalten ist (seit VfSlg 12.151/1989, zuletzt ausdrücklich in VfSlg 19079/2010). Mit der hier besprochenen Entscheidung hat der VfGH nun ausdrück- 16 lich seine Judikatur geändert und ausgesprochen, dass die Höhe der Strafdrohung kein taugliches Abgrenzungskriterium zwischen gerichtlichem Strafrecht und Verwaltungsstrafrecht darstellt. Folgende Überlegungen haben zu dieser Judikaturänderung geführt: –
Es überzeugt nicht, dass die Zuständigkeitsabgrenzung ausschließlich nach dem Kriterium der Strafdrohung zu erfolgen hat; dies gilt sowohl innerhalb der Strafgerichtsbarkeit als auch für die Abgrenzung des gerichtlichen Strafrechts und des Verwaltungsstrafrechts.
–
Das alleinige Abstellen auf die durch den Gesetzgeber für die jeweilige Straftat normierte Obergrenze der angedrohten Geldstrafe für die Zuordnung zu einem der beiden Vollzugsbereiche lässt die unterschiedliche Funktion der Geldstrafe im gerichtlichen und im Verwaltungsstrafrecht sowie die mit ihrer Verhängung jeweils einhergehenden Folgen außer Acht.
–
Die schematische Orientierung an der für die Straftat vorgesehenen Obergrenze der angedrohten Geldstrafe kann für die Abgrenzung des gerichtlichen Strafrechts und des Verwaltungsstrafrechts nicht die Unterschiede zwischen juristischen und natürlichen sowie zwischen vermögenden und weniger vermögenden Personen erfassen und da-
(Schwarz).
269
Dietmar Jahnel
mit letztlich nur ein unzureichendes Urteil über die „Schwere“ einer Strafe bieten. –
In der bisherigen Rspr. des VfGH werden die vom Gesetzgeber mit der Zuordnung verbundenen rechtspolitischen Zielsetzungen – allen voran jene der Stigmatisierung und der Entkriminalisierung – nicht zureichend berücksichtigt.
–
Schließlich ist auch noch zu berücksichtigen, dass das Rechtsschutzgefüge der Bundesverfassung durch die Schaffung einer Verwaltungsgerichtsbarkeit erster Instanz mit der Verwaltungsgerichtsnovelle 2012 insgesamt eine tiefgreifende Veränderung erfahren hat. Durch die Einräumung der richterlichen Garantien unterscheiden sich die neu geschaffenen Verwaltungsgerichte erster Instanz grundsätzlich von den zuvor bestehenden Rechtsschutzeinrichtungen der Unabhängigen Verwaltungssenate.
17 Aufgrund dieser Argumente gelangte der VfGH zur Auffassung, dass seine bisherige Judikatur zur Abgrenzung des gerichtlichen Strafrechts und des Verwaltungsstrafrechts vor dem Hintergrund des Art 91 B-VG nicht mehr aufrechterhalten werden kann. 18 Auch wenn dieses Erkenntnis des VfGH nicht unmittelbar zum Datenschutzrecht ergangen ist, hat es dennoch erhebliche Auswirkungen auf das Sanktionensystem nach der DS-GVO. Zwar ist die Rechtslage nach der DS-GVO insofern nicht ganz mit der nach dem BWG vergleichbar, als die Bestimmungen der DS-GVO unmittelbar anwendbar sind und dabei auch nationales Verfassungsrecht verdrängen. Allerdings ist in Art. 83 Abs. 9 DS-GVO folgende Öffnungsklausel vorgesehen: „Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird“. In extensiver Auslegung dieser Bestimmung wurden in der Fachliteratur verfassungsrechtliche Bedenken gegen die Zuständigkeit der DSB zur Verhängung der hohen Geldbußen im Hinblick auf die frühere Judikatur des VfGH geäußert.10 Nach der nun erfolgten Judikaturänderung ist aber davon auszugehen, dass die Bestimmungen der DS-GVO und des DSG bezüglich der Verhängung der (hohen) Geldstrafen durch die DSB nunmehr als verfassungskonform einzustufen sind. Dass Bankwesen und Datenschutz in Bezug auf die Bußgelder durchaus vergleichbar sind, wird auch aus dem Ausschussbericht deutlich, wonach
10 Potacs/Raschauer, Zur Problematik hoher Geldbußen im Unionsrecht – am Beispiel der Datenschutzgrundverordnung, ÖZW 2017, 54.
270
Die DS-GVO aus österreichischer Sicht
sich die Verhängung von Geldbußen gegen juristische Personen im DSG bewusst an der geltenden Regelung des § 99d BWG orientiert hat.11 4. Persönlicher Anwendungsbereich Schon aus dem Titel der DS-GVO („zum Schutz natürlicher Personen 19 bei der Verarbeitung personenbezogener Daten“) geht klar hervor, dass nur natürliche Personen in den Anwendungsbereich der Verordnung fallen. Auch der österreichische Gesetzgeber hat mit dem DatenschutzAnpassungsgesetz 201812 den Titel des früheren DSG 2000 entsprechend angepasst. Dieser lautet nun „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“. Allerdings wurde – wie unter Punkt 2 ausgeführt – weder durch das Datenschutz-Anpassungsgesetz 2018 noch durch das Datenschutz-Deregulierungs-Gesetz 2018 und auch nicht durch die DSGNovelle 2019 der Wortlaut des Grundrechts auf Datenschutz in § 1 DSG entsprechend angepasst und abgeändert. Somit gilt das Grundrecht auf Datenschutz in § 1 DSG unverändert wei- 20 ter. Es schützt „jedermann“ und damit neben natürlichen auch juristische Personen.13 Daher haben auch diese nach wie vor einen Anspruch auf Geheimhaltung personenbezogener Daten, „soweit ein schutzwürdiges Interesse daran besteht“. Dies ist auch unionsrechtlich unproblematisch, weil die DS-GVO keineswegs die Beschränkung des nationalen verfassungsrechtlichen Schutzes auf natürliche Personen gebietet14 und § 1 DSG daher in Ermangelung eines Widerspruchs zur DS-GVO nicht durch deren Anwendungsvorrang verdrängt wird.15 Allerdings versucht der österreichische Gesetzgeber in den Materialien, 21 dem unveränderten Wortlaut der Verfassungsbestimmung des § 1 DSG unter Hinweis auf die DS-GVO eine neue Bedeutung zu unterstellen. Die Begründung des Abänderungsantrags zu § 4 Abs. 1 DSG16 lautet:
11 1761 BlgNR XXV. GP, 16. 12 BGBl I 120/2017. 13 Vgl zum Anwendungsbereich des § 1 DSG (2000) für viele Jahnel, Handbuch Datenschutzrecht (2010) Rz. 2/5. 14 Klaushofer/Kneihs, Grundrechtliche Bezüge des neuen Datenschutzrechts, in Krempelmeier/Staudinger/Weiser (Hrsg), Datenschutzrecht nach der DSGVO – zentrale Fragestellungen (2018), 2 (6). 15 Anderl/Hörlsberger/Müller, Kein einfachgesetzlicher Schutz für Daten juristischer Personen, ÖJZ 2018/3, 14 (15). 16 AA-10 XXVI. GP.
271
Dietmar Jahnel
Klargestellt wird, dass sowohl die Bestimmungen der DSGVO als auch die Bestimmungen des neu geregelten Rechtsfolgenbereichs im DSG nur für natürliche Personen gelten (insb. auch das Strafregime). Das Grundrecht auf Datenschutz wurde bisher im Sinne der Begriffsbestimmungen des § 4 DSG 2000 ausgelegt (vgl. zB. Eberhard, zu § 1 DSG 2000, in Korinek/Holoubek u. a., Kommentar zum österreichischen Bundesverfassungsrecht). Nunmehr muss es im Sinne der Begriffsbestimmungen der DSGVO ausgelegt werden, d. h. „Betroffene“ bzw. „betroffene Personen“ sind gem. Art. 4 Z. 1 DSGVO nur natürliche Personen. In diesem Fall wird damit sogar versucht, eine Verfassungsänderung, die wegen der fehlenden Verfassungsmehrheit im Nationalrat nicht zustande gekommen ist, über Erläuterungen in Gesetzesmaterialien zu erreichen! Gerade angesichts der verfehlten Verfassungsmehrheit steht es aber keinesfalls in der Macht des einfachen Gesetzgebers, die Bedeutung verfassungsgesetzlicher Anordnungen zu verändern.17 5. Umgang mit strittigen Punkten 22 Etliche Auslegungsprobleme von Bestimmungen in der DS-GVO ergeben sich daraus, dass im Laufe des europäischen Gesetzgebungsverfahrens offenbar bei etlichen strittigen Punkten im Text der DS-GVO keine Einigung erzielt werden konnte. Max Schrems berichtet dazu Folgendes aus der Entstehungsgeschichte des finalen Textes der DS-GVO: „Bei vielen strittigen Punkten konnte im Text der DSGVO keine Einigung erzielt werden, jedoch akzeptierte die jeweils andere Seite eine Verschiebung der vorgeschlagenen Regelung in die Erwägungen der DSGVO. Die Erwägungsgründe sind bekanntlich rechtlich nicht verbindlich.18 Die eine Seite konnte sich damit begnügen, dass sich eine Regelung in der DSGVO wiederfindet, die andere Seite konnte gleichzeitig behaupten, dass sich diese Regelung nicht im verbindlichen Text befindet. Ein erheblicher Anteil von Detailregelungen findet sich durch diese Vorgehensweise nur in den Erwägungen und ist aus dem Gesetzestext weder abzuleiten noch zu erahnen. Formal sind diese Regelungen damit rechtlich nicht beachtlich. 17 Ebenso ausdrücklich Klaushofer/Kneihs, Grundrechtliche Bezüge des neuen Datenschutzrechts, in Krempelmeier/Staudinger/Weiser (Hrsg), Datenschutzrecht nach der DSGVO – zentrale Fragestellungen, 6. Auch die sonstige Fachliteratur geht einhellig davon aus, dass juristische Personen weiterhin in den Anwendungsbereich des § 1 DSG fallen. Vgl. zB Anderl/Hörlsberger/Müller, ÖJZ 2018/3, 15. 18 So zB EuGH in C-162/97 (Nilsson) Rz. 54.
272
Die DS-GVO aus österreichischer Sicht
In der Praxis werden sich wohl Gerichte und Aufsichtsbehörden trotzdem auf diese Erwägungen stützen.“19 Zwei plastische Beispiele dafür sind die Frage der Subsumtion der Sozialversicherungsnummer unter den Begriff der „Gesundheitsdaten“ und die Frage, ob Bilddaten sensible Daten sind oder nicht. a) Gesundheitsdaten Gesundheitsdaten werden in Art. 4 Z. 15 DS-GVO folgendermaßen de- 23 finiert: „personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.“ Die Sozialversicherungsnummer bezieht sich als solche weder auf die körperliche oder geistige Gesundheit einer natürlichen Person, noch gehen aus ihr Informationen über deren Gesundheitszustand hervor. Damit lässt sich die Sozialversicherungsnummer nicht unter den Wortlaut von Art. 4 Z. 15 DS-GVO subsumieren. Liest man nun den dazu gehörenden ErwGr. 35, so findet man an dieser Stelle folgende Aussage: „Dazu gehören auch […] Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“. Nach diesem Satz wären Sozialversicherungsnummern ganz eindeutig als Gesundheitsdaten und damit als sensible Daten zu qualifizieren.20 Es stellt sich aber die Frage, ob dieses Auslegungsergebnis noch im äußersten Wortlaut der Definition in Art. 4 Z. 15 der DS-GVO seine Deckung findet. Wenn man das mE mit guten Gründen verneint, ist nach der Judikatur des EuGH bei einem derartigen Widerspruch vom Vorrang des Gesetzestextes vor den Erwägungsgründen auszugehen.21
19 Schrems, Die DSGVO als Produkt von Lobbyismus und Tauschhandel, in Knyrim (Hrsg), Datenschutz-Grundverordnung (2016), 33 (34). 20 In diesem Sinne, allerdings nur unter Berufung auf ErwGr. 35 Feiler/Forgó, EU-DSGVO (2017), Art. 4 Rz. 35. 21 Zuletzt EuGH 19.6.2014 – C-345/13 (Karen Millen Fashions) Rz. 31 mit Verweis auf EuGH 24.11.2005 – C-136/04 (Deutsches Milch-Kontor) und EuGH 19.11.1998 – C-162/97 (Nilsson). Der Stehsatz des EuGH in der Rs. Nilsson lautet: „Die Begründungserwägungen eines Rechtsaktes der Gemeinschaften sind rechtlich nicht verbindlich und können nicht zur Rechtfertigung einer Abweichung von den Bestimmungen des betreffenden Rechtsaktes angeführt werden.“
273
Dietmar Jahnel
b) Qualifikation von Bilddaten 24 Schon seit Jahren wird in der datenschutzrechtlichen Fachliteratur die Frage kontrovers diskutiert, ob es sich bei Bilddaten um sensible oder um „normale“ Daten handelt.22 Die Zuordnung zu der einen oder anderen Kategorie von Daten hat ganz erhebliche rechtliche Konsequenzen, weil für die Prüfung der Zulässigkeit entweder die Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO herangezogen werden kann, oder aber zuvor eine Ausnahme vom Verarbeitungsverbot für sensible Daten in Art. 9 Abs. 2 DS-GVO gefunden werden muss, die in den meisten Fällen nur in einer ausdrücklichen Einwilligung für die Verarbeitung von Bilddaten bestehen kann. 25 Nun übernimmt Art. 9 Abs. 1 DS-GVO im Wesentlichen die Begriffsbestimmung aus der DS-RL, wonach u. a. „die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft […] hervorgeht“ unter die besonderen Kategorien von Daten fällt. In ErwGr. 51 liest man dazu weiter: „Die Verarbeitung von Lichtbildern sollte nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen.„ Damit ist die offene Frage weder im Text der DS-GVO noch im zitierten ErwGr. geklärt, weil dieser ausdrücklich nur auf Bilddaten im Zusammenhang mit dem Begriff der biometrischen Daten abstellt. Letztlich bleibt damit wiederum alles beim Alten und alles offen: Dementsprechend werden in der bisherigen Fachliteratur zur DS-GVO auch nach der neuen Rechtslage beide Sichtweisen argumentiert.23 26 Der österreichische Gesetzgeber hat diese offene Auslegungsfrage insofern entschärft, als in den §§ 12 und 13 DSG nationale Sonderbestimmungen für die „Bildverarbeitung“ normiert werden. Damit wäre die Frage, ob es sich bei den Bilddaten nun um sensible Daten handelt oder nicht, insofern entschärft, als Bilddaten ohnedies nach diesen besonde-
22 Vgl. zur Rechtslage nach dem DSG 2000 zuletzt Knyrim, Bilddaten: immer sensibel?, jusIT 2016/102, 235 und Bergauer, Die Einordnung von Bilddaten erkennbarer Personen im Datenschutzrecht. Eine Replik auf Knyrim, Bilddaten: immer sensibel?, jusIT 2016/103, 241. 23 Gegen die Qualifikation als sensible Daten: Fritz, Anwendungsbereich und Rechtfertigung – Alles neu macht die DS-GVO?, in Jahnel (Hrsg), Datenschutzrecht. Jahrbuch 2016 (2016), 9 (14 f.), dafür: Bergauer, jusIT 2016/102, 241 (244).
274
Die DS-GVO aus österreichischer Sicht
ren Vorschriften zu beurteilen sind. Als Neuerung gegenüber der bisherigen Rechtslage zur Videoüberwachung (§§ 50a ff. DSG 2000) kann die Zulässigkeit der Verarbeitung und Übermittlung von Bilddaten nun auch auf eine Interessenabwägung gem. § 12 Abs. 2 Z. 4 DSG gestützt werden. Fraglich ist allerdings, ob ein Nationalstaat nach der DS-GVO überhaupt 27 die Kompetenz zur Regelung eines Sonderdatenschutzrechts für Bilddaten hat. Die in Betracht kommenden Öffnungsklauseln sind: –
Art. 9 Abs. 2 lit. g DS-GVO, bei einer Qualifikation der Bilddaten als sensible Daten: „die Verarbeitung ist auf der Grundlage […] des Rechts eines Mitgliedstaates, das […] aus Gründen eines erheblichen öffentlichen Interesses erforderlich“ bzw.
–
Art. 6 Abs. 2 DS-GVO iVm Abs. 1 lit. e bei einer Qualifikation als nicht-sensible Daten: „die Verarbeitung ist zur Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt“.
Auch wenn die Initiative des österreichischen Gesetzgebers im Sinn der Rechtssicherheit durchaus wünschenswert ist, erscheint es zweifelhaft, ob sich diese Sonderregelung über die Bildverarbeitung auf eine der angeführten Öffnungsklauseln stützen kann.24 6. Paralleler Rechtsschutz Die DS-GVO sieht in ihren Art. 77 und Art. 79 zwei Möglichkeiten für 28 den Betroffenen vor, Verstöße gegen datenschutzrechtliche Bestimmungen geltend zu machen: Und zwar einerseits die Beschwerde an die Aufsichtsbehörde (in Österreich die DSB) mit gerichtlichem Rechtsbehelf dagegen „unbeschadet eines gerichtlichen Rechtsbehelfs“ und andererseits einen wirksamen gerichtlichen Rechtsbehelf „unbeschadet des Rechts auf Beschwerde“. Der österreichische Gesetzgeber führt nun im DSG die Beschwerde an die DSB samt Rechtsbehelf dagegen recht detailliert aus (§§ 24 – 27 DSG), hüllt sich aber hinsichtlich des gerichtlichen 24 Siehe dazu ausführlich Müllner/Wieser, §§ 12 f DSG – Kein Spielraum für Beharrlichkeit. Zur Unionsrechtskonformität der §§ 12 f. DSG vor dem Hintergrund der DS-GVO, jusIT 2019/25, 72, die die österreichischen Sonderbestimmungen zur Bildverarbeitung gem. §§ 12 f. DSG vor dem Hintergrund des harmonisierenden Regelungsregimes der DS-GVO zu großen Teilen als unionsrechtswidrig erachten. Zweifelnd bereits Kotschy, Vom DSG 2000 zur DS-GVO: Datenschutz im Wandel, jusIT 2017/96, 233 (236). Dieselben Bedenken äußert die EU-Kommissarin Věra Jourová in ihrem Schreiben an den Bundesminister Dr. Josef Moser, Beilage zur Anfragebeantwortung, 966/AB XXVI. GP.
275
Dietmar Jahnel
Klagerechts bei Verletzung der Rechte aufgrund der DS-GVO in Schweigen. Nur für Klagen auf Schadenersatz wird nach § 29 Abs. 2 DSG das Landesgericht in erster Instanz für zuständig erklärt. 29 In den Erläuterungen zu § 69 DSG ist folgende Aussage zu finden: „Neue Klagen können bei den ordentlichen Gerichten (§ 5 Abs. 4 DSG 2000) ab dem 25. Mai 2018 generell nicht mehr eingebracht werden; stattdessen ist der Antrag an die Datenschutzbehörde zu richten.“25 Damit wird auch an dieser – für die Rechtsdurchsetzung nicht gerade unwichtigen – Zuständigkeitsfrage die inhaltliche Aussage in den Erläuterungen und nicht im Gesetzestext getroffen: Dem Wortlaut des § 69 DSG selbst ist der vom österreichischen Gesetzgeber offenbar intendierte Ausschluss des Zivilrechtswegs bestenfalls im Umkehrschluss aus dessen Abs. 4 zu entnehmen. Dieser lautet: „Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren sind nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt.“ Dazu ist anzumerken, dass die Unterscheidung zwischen dem Datenschutzgesetz 2000 und „diesem Bundesgesetz“ eigentlich ins Leere geht, weil – entgegen den ursprünglichen Intentionen – kein neues DSG erlassen, sondern lediglich das DSG 2000 umbenannt und novelliert wurde. 30 In der österreichischen Fachliteratur hat sich bisher Klauser am ausführlichsten mit dieser Problematik auseinandergesetzt. Er kommt ebenfalls zum klaren Ergebnis, dass das System der Rechtsdurchsetzung nach der DS-GVO grundsätzlich zweigleisig konzipiert ist. Die DS-GVO sieht auch seiner Ansicht nach einerseits zur Geltendmachung der einer betroffenen Person zustehenden Rechte den Verwaltungsrechtsweg in Form einer Beschwerde bei der Aufsichtsbehörde (Art. 77 DS-GVO) mit einem nachfolgenden wirksamen gerichtlichen Rechtsbehelf gegen Bescheide bzw. gegen Untätigkeit der Aufsichtsbehörde (Art. 78 DS-GVO) vor und zum anderen – ausdrücklich „unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde“ – einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche und Auftragsver-
25 1761 BlgNR XXV. GP, 30.
276
Die DS-GVO aus österreichischer Sicht
arbeiter (Art. 79 Abs. 1 DS-GVO).26 In diesem Sinne äußert sich auch die weitaus überwiegende deutschsprachige Kommentarliteratur.27 Nun wurden in der österreichischen Fachliteratur teilweise auch Beden- 31 ken gegen diesen parallelen Rechtsschutz vorgebracht. Dabei wurde insbesondere der verfassungsrechtliche Grundsatz der Trennung von Justiz und Verwaltung (Trennungsgrundsatz nach Art. 94 B-VG) angeführt, wonach alle Aufgaben der Vollziehung entweder einem Gericht oder einer Verwaltungsbehörde zu übertragen sind.28 Auch im Hinblick auf den Verfahrensgrundsatz der materiellen Rechtskraft (res iudicata) ergäben sich durch eine solche Konstruktion noch nicht abzusehende Auswirkungen. So müssten zur Vermeidung unlösbarer Konflikte zwischen der befassten Aufsichtsbehörde einerseits und dem parallel dazu angerufenen Gericht sowie zur Verhinderung potenziell widersprüchlicher Regelungen komplexe Aussetzungsregelungen festgelegt werden.29 Fercher/Riedl weisen darüber hinaus auch noch auf systematische Argumente hin, weil ein wahlweises Beschreiten des Gerichtsweges nicht nur die praktische Bedeutung des One-Stop-Shop-Prinzips (Art. 55 iVm Art. 60 DS-GVO), sondern auch die des gesamten Kapitels VII, das die Zusammenarbeit der Aufsichtsbehörden untereinander regelt, minimiere. Dies ergebe sich daraus, dass die DS-GVO eine solche intensive Zusammenarbeit zwar für die Aufsichtsbehörden, nicht aber für die Gerichte der Mitgliedstaaten vorsieht. 26 Klauser, Google, Facebook & Co: Zivilrechtliche Ansprüche von Verbrauchern bei rechtswidriger Datenverarbeitung und deren Durchsetzung. Rechtslage gemäß DSG 2000, DSGVO und dem neuen österreichischen DSG idF des DSAnpG 2018 samt Anregungen zur Änderung/Ergänzung, in Leupold (Hrsg), Forum Verbraucherrecht 2017 (2017), 67 (85 f.) und Klauser, Rechtsdurchsetzung im Datenschutz nach der DSGVO und dem DSG 2018 idF des DS-DeregulierungsG 2018, VbR 2018/48, 89. 27 In Österreich Leupold/Schrems in Knyrim, DatKomm Art. 79 DSGVO Rz. 25 ff. (Stand 1.10.2018, rdb.at) und Feiler/Forgó, EU-DSGVO, Art. 77 Rz. 1. In Deutschland zB Nemitz in Ehmann/Selmayr, DS-GVO2 (2018), Art. 79 Rz. 2; Pötters/Werkmeister in Gola, DS-GVO2 (2018), Art. 77 Rz. 3; Martini in Paal/Pauly, Datenschutz-Grundverordnung2 (2018), Art. 79 Rz. 12; Bergt in Kühling/Buchner, DS-GVO – BDSG2 (2018), Art. 79 Rz. 13. 28 ZB VfSlg 19.929/2012: „… ergibt sich aus dem in Art 94 B-VG verankerten Prinzip der Trennung der Justiz von der Verwaltung die Verpflichtung des Gesetzgebers, eine Angelegenheit – zur Gänze – zur Vollziehung entweder den Gerichten oder den Verwaltungsbehörden zuzuweisen.“ 29 Pitsch in Gantschacher/Jelinek/Schmidl/Spanberger, Datenschutz-Grundverordnung (2016), Anm. 2 ff. zu Art. 79 und Fercher/Riedl, DSGVO: Entstehungsgeschichte und Problemstellungen aus österreichischer Sicht, in Knyrim (Hrsg), Datenschutz-Grundverordnung (2016), 7 (28 ff.).
277
Dietmar Jahnel
32 Alle diese Argumente zeigen zwar mögliche Problempunkte von parallelen Rechtsschutzwegen auf, allein die Tatsache, dass Österreich unter Bezugnahme auf diese Parallel-Konstruktion der DS-GVO nicht zugestimmt hat, macht aber mehr als deutlich,30 dass durch Art. 77 und Art. 79 DS-GVO in einer unmittelbar anwendbaren EU-Verordnung, die auch nach der st. Rspr. des VfGH dem österreichischen Verfassungsrecht vorgeht,31 eine Wahlmöglichkeit zwischen diesen beiden Rechtsschutzwegen vorgesehen ist.32 Eine betroffene Person kann daher unmittelbar aufgrund von Art. 79 DS-GVO Verstöße gegen Rechte, die ihr nach der DS-GVO zustehen, insb. auch Ansprüche auf Auskunft, Löschung, Feststellung und Unterlassung bei den Zivilgerichten geltend machen.33 33 Diese Ansicht wurde nun durch den OGH bestätigt.34 Dieser hat in seinem Urteil vom 20.12.2018 – 6 Ob 131/18ki eine grundlegende Aussage des OGH über die Zulässigkeit des Rechtswegs für datenschutzrechtliche Ansprüche getroffen: „Nach Art. 17 Abs. 1 lit. a DSGVO und § 45 Abs. 2 Z. 1 DSG hat der Verantwortliche personenbezogene Daten unverzüglich zu löschen, wenn die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Dieser Löschungsanspruch kann – unabhängig von der Übergangsbestimmung des § 69 Abs. 4 DSG – auch im gerichtlichen Verfahren geltend gemacht werden. […] Nach Art. 79 Abs. 1 DSGVO hat jede betroffene Person unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Dem steht § 29 Abs. 1 DSG, der sich auf Schadenersatzansprüche bezieht, nicht entgegen; diese Bestimmung bezieht sich auf Art. 82 DSGVO, der wiederum
30 So auch Klauser, Rechtsdurchsetzung im Datenschutz nach der DSGVO und dem DSG 2018 idF des DS-DeregulierungsG 2018, VbR 2018/48, 89 (90 FN 12). 31 Den Anwendungsvorrang des Unionsrechts hat auch der VfGH wahrzunehmen: ZB VfSlg 17.065/2003. 32 Pitsch in Gantschacher/Jelinek/Schmidl/Spanberger, Datenschutz-Grundverordnung Anm 2 ff. zu Art. 79 ganz am Ende und Fercher/Riedl, DSGVO: Entstehungsgeschichte und Problemstellungen, 30 FN 129. 33 In diesem Sinn auch Klauser, VbR 2018/48, 92. 34 OGH 20.12.2018 – 6 Ob 131/18k, Rz. 7 und mit ausführlicherer Begründung OGH 23.5.2019 – 6 Ob 91/19d.
278
Die DS-GVO aus österreichischer Sicht
als Ergänzung zum nationalen Schadenersatzrecht als eine Art lex specialis eines datenschutzrechtlichen Schadenersatzrechts zu sehen ist.“35 Damit bejaht der OGH die gerichtliche Zuständigkeit für den (im vorlie- 34 genden Fall geltend gemachten) Löschungsanspruch, und zwar ausdrücklich „unabhängig von der Übergangsbestimmung des § 69 Abs. 4 DSG“. Bemerkenswert ist daran, dass es für den konkret vom OGH entschiedenen Fall dieser Klarstellung gar nicht bedurft hätte, weil für diesen die gerichtliche Zuständigkeit schon aufgrund der Übergangsbestimmung des § 69 Abs. 4 DSG gegeben war.36 Umso erfreulicher ist es, dass der 6. Senat des OGH mit diesem obiter dictum die Gelegenheit genutzt hat, in diesem für den Rechtsschutz Betroffener zentralen Punkt Rechtssicherheit zu schaffen. Damit wurde unerwartet rasch sichergestellt, ohne dass die Frage dem EuGH vorgelegt werden musste, dass der ordentlichen Gerichtsbarkeit auch zukünftig eine maßgebliche Rolle für die Rechtsentwicklung im Datenschutzrecht zukommen wird.37 7. Weitere Auslegungsfragen a) Bedingungen für die Einwilligung eines Kindes im Online-Kontext Neu ist die Regelung über die datenschutzrechtliche Einwilligung Min- 35 derjähriger („Kinder“) in Art. 8 Abs. 1 DS-GVO, allerdings eingeschränkt auf Angebote von „Diensten der Informationsgesellschaft“. Darunter ist nach Auflösung des Verweises in Art. 4 Z. 25 DS-GVO „jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ zu verstehen. Die DS-GVO setzt die Altersgrenze für die Zustimmungsfähigkeit im Online-Bereich, die Voraussetzung für das Vorliegen einer gültigen Einwilligung ist, mit der Vollendung des sechzehnten Lebensjahres an. Allerdings können die Mitgliedstaaten diese Altersgrenze bis zum vollendeten dreizehnten Lebensjahr absenken. In Österreich wurde das Alter in § 4 Abs. 4 DSG auf 14 Jahre festgelegt.
35 OGH 20.12.2018 – 6 Ob 131/18k, Rz. 7. 36 Diese lautet: „Zum Zeitpunkt des Inkrafttretens dieses Bundesgesetzes bei der Datenschutzbehörde oder bei den ordentlichen Gerichten zum Datenschutzgesetz 2000 anhängige Verfahren sind nach den Bestimmungen dieses Bundesgesetzes und der DSGVO fortzuführen, mit der Maßgabe, dass die Zuständigkeit der ordentlichen Gerichte aufrecht bleibt.“ 37 In diesem Sinne auch Leupold, Gerichtliche Zuständigkeit im Datenschutz, VbR 2019/27, 41.
279
Dietmar Jahnel
36 Unterhalb dieser Altersgrenze muss die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt werden, oder von diesem autorisiert sein. Die im deutschen Wortlaut der DS-GVO benutzte Wendung „oder mit dessen Zustimmung erteilt werden“ ist mehr als missverständlich.38 37 Damit bleibt die bisherige Rechtsunsicherheit betreffend die genauen Voraussetzungen für die datenschutzrechtliche Zustimmungsfähigkeit Minderjähriger außerhalb von Onlinediensten weiter bestehen, worauf Kastelitz39 völlig zu Recht hinweist. In der aktuellen Rspr. wie auch in der Fachliteratur wird dazu auf die individuelle Einsichts- und Urteilsfähigkeit abgestellt, wobei jedoch bei Nichtvorliegen der Einwilligungsfähigkeit aufgrund der Tatsache, dass es sich bei der Zustimmung um ein höchstpersönliches Recht handelt, die Zustimmung nicht durch gesetzliche Vertreter, Sachwalter oder das Pflegschaftsgericht ersetzt werden kann.40 b) „Medienprivileg“ 38 Art. 85 DS-GVO regelt das sog „Medienprivileg“. Danach sehen die Mitgliedstaaten für die Verarbeitung, die zu journalistischen Zwecken erfolgt, Abweichungen oder Ausnahmen von den meisten Kapiteln der DS-GVO vor, wenn dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen. 39 Die österreichische Ausführung dieser Öffnungsklausel in § 9 DSG wurde ebenfalls neu formuliert.41 Dabei wurde der Anwendungsbereich der österreichischen Regelung gegenüber der unionsrechtlichen Vorgabe – wie schon in der Vergangenheit in § 48 DSG 2000 – eingeschränkt, nunmehr auf die Verarbeitung von personenbezogenen Daten durch Medieninhaber, Herausgeber, Medienmitarbeiter und Arbeitnehmer eines 38 Der in der englischen Sprachfassung wesentlich klarer formulierte Satz 2 von Art. 8 DS-GVO lautet: „Where the child is below the age of 16 years, such processing shall be lawful only if and to the extent that consent is given or authorised by the holder of parental responsibility over the child.“ 39 Kastelitz, Grundsätze und Rechtmäßigkeit der Verarbeitung personenbezogener Daten, in Knyrim (Hrsg), Datenschutz-Grundverordnung, 112. 40 Vgl. dazu zuletzt Marous, Zulässigkeit und Grenzen der Vertretung bei höchstpersönlichen Rechten. Eine Analyse unter besonderer Berücksichtigung des Medien- und Datenschutzrechts, jusIT 2016/55, 117. 41 Vgl. ausführlich zur österreichischen Umsetzung des Medienprivilegs Jahnel/ Krempelmeier, Medien und Datenschutz, in: Lachmayer/von Lewinski (Hrsg), Datenschutz im Rechtsvergleich Deutschland – Österreich (2019), 165.
280
Die DS-GVO aus österreichischer Sicht
Medienunternehmens oder Mediendienstes im Sinne des Mediengesetzes, zu journalistischen Zwecken des Medienunternehmens oder Mediendienstes. Die Vorgabe in Art. 85 DS-GVO verlangt hingegen eine Regelung für Verarbeitungen „zu journalistischen Zwecken“ ohne Einschränkung auf Zwecke des Medienunternehmens oder Mediendienstes. Da derartige nationale Ausführungsbestimmungen nach Art. 85 Abs. 3 der Kommission mitzuteilen sind, bleibt die Zukunft des in dieser Form offensichtlich unionsrechtswidrigen § 9 DSG abzuwarten.
281
Nachvollzug des europäischen Datenschutzrechts in der Schweiz – mit tabellarischer Gegenüberstellung des E-DSG-CH zur DSGVO (Privatbereich) und ergänzenden Überlegungen zum System der Angemessenheitsentscheidungen der EU-Kommission nach Artikel 45 DSGVO Christian Laux* I. Die Schweiz will ihr DSG-CH revidieren 1. Handlungsbedarf 2. Die Revision des DSG-CH wird ein steiniger Weg 3. Stand der Revisionsarbeiten II. E-DSG-CH im Vergleich zur DSGVO 1. Vergleich nach Umfang 2. Vergleich der Anwendbarkeitsregeln a) Sachlicher und räumlicher Anwendungsbereich b) Wirkungsweise c) Differenzierung des Anwendungsbereichs nach Sektoren (Behördenverkehr/andere) 3. Vergleich der Themenauswahl 4. Vergleich des Schutzkonzepts 5. Vergleich des Sanktionenkonzepts 6. Gegenüberstellung im Einzelnen a) Im Resultat ohne Abweichung: Auftragsdatenverarbeitung b) Etwas anders: Einwilligung c) Etwas anders: Informationspflicht und Anhörung bei AEFE
*
d) Deutlich anders: Herausgaberechte e) Mal mehr, mal weniger Abweichungen: Betroffenenrechte f) Abseits der DSGVO: Daten von verstorbenen Personen g) Deutlich anders: „Datenschutzbeauftragter“ (DSGVO) bzw. „Datenschutzberater“ (CH) h) Etwas anders: Datenschutzfolgeabschätzung i) Etwas anders: Meldung „Data Breach“ j) Etwas anders: Datenschutz und Technik III. Hat die Schweiz (nach wie vor) ein angemessenes Datenschutzniveau? 1. Warum interessiert uns Angemessenheit? 2. Angemessenheitsentscheidung der EU-Kommission vom 26. Juli 2000 3. Neue Evaluation im Jahr 2020 IV. Angemessenheit als Rechtsthema und Aufgabenstellung 1. Wie funktioniert Angemessenheit?
Christian Laux, Rechtsanwalt, Dr.iur., LL.M. (Stanford); soweit der vorliegende Beitrag auf Links im www verweist, liegen dem Verfasser diese Beiträge vor und können von ihm direkt bezogen werden: [email protected] (dies für den Fall, dass die Links zwischenzeitlich deaktiviert oder die Beiträge unter den Links nicht mehr auffindbar sein sollten).
283
Christian Laux a) Verfahren b) Schutzabsicht 2. Was sagt die DSGVO zur Angemessenheit? 3. Zum Kriterienkatalog nach WP 254 rev.01 4. Zur Erläuterung: Warum keine Angemessenheit für den „Use Case USA“? a) Im US-Datenschutzrecht fehlen umfassende Direktansprüche
b) Exkurs: Warum Datenübermittlungen gestützt auf den Privacy Shield und Standardvertragsklauseln dennoch möglich bleiben 5. Prüfung des „Use Case Schweiz“: Warum Angemessenheit? a) Analyse im Allgemeinen b) Zum Thema der Sanktionen insbesondere V. Rechtstatsächliches VI. Abschließende Würdigung
Literaturübersicht: Schweizerischer Bundesrat, Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011, BBl 2012 335 ff.1; Dachwitz, Ingo: Kartellamt gegen Facebook: Das OLG Düsseldorf schaut mit dem Tunnelblick auf die Datenfrage (online/netzpolitik.org);2 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter: 26. Tätigkeitsbericht 2018/19 für den Zeitraum zwischen 1. April 2018 und 31. März 2019, Bern 2019; Laux, Christian: Lex Laux: Überwachung im Internet – das Superproblem unserer Zeit (Update) (online3); Rieder, Stefan/Schwenkel, Christof/Kettiger, Daniel/ Knubel, Stefanie: Organisationsform und Zuständigkeiten der Datenschutzbehörden: Vergleichende Untersuchung unter besonderer Berücksichtigung der Herausforderungen in der Schweiz Bericht zuhanden des Bundesamts für Justiz, Luzern 20134; Rosenthal, David: Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27. November 2017 (zit. DSG-Rosenthal); Rosenthal, David: Der Vorentwurf für ein neues Datenschutzgesetz: Was er bedeutet, in: Jusletter 20. Februar 2017 (zit. Vorentwurf-Rosenthal); Rudin, Beat/Baeriswyl, Bruno/Mund, Claudia: Das revidierte Datenschutzgesetz ist keine souveräne Lösung, in: Neue Zürcher Zeitung, 30. Oktober 20175; Steiger, Martin: Ein Jahr DSGVO und die Schweiz, Swiss IT Magazine, Nr. 06 | 2017, 38-41; Stürtz, Norman: To All Who Worked on GDPR (online6); Vasella, David: Zum Entwurf des DSG vom 15. September 2017,
1 2 3 4 5 6
https://www.admin.ch/opc/de/federal-gazette/2012/335.pdf (26.7.2019). https://netzpolitik.org/2019/kartellamt-gegen-facebook-das-olg-duesseldorf-schaut-mit-dem-tunnelblick-auf-die-datenfrage/ (28.8.2019). https://www.inside-it.ch/articles/52518 (26.7.2019). https://www.bj.admin.ch/dam/data/bj/staat/gesetzgebung/datenschutzstaerkung/ber-interface-d.pdf (26.7.2019). https://www.nzz.ch/meinung/das-revidierte-datenschutzgesetz-ist-keine-souveraene-loesung-ld.1325078 (26.7.2019). https://www.linkedin.com/pulse/all-who-worked-gdpr-norman-stuertz (26.7.2019).
284
Nachvollzug des europäischen Datenschutzrechts in der Schweiz www.datenrecht.ch, Beitrag vom 30. Oktober 2017 (online7); Willke, Helmut: Die Steuerungsfunktion des Staates aus systemtheoretischer Sicht, in: Grimm, Dieter (Hrsg.), Staatsaufgaben, Baden-Baden 1994, S. 685-711.
I. Die Schweiz will ihr DSG-CH revidieren Im Folgenden bezeichnet DSG-CH das geltende Datenschutzgesetz der 1 Schweiz vom 19. Juni 1992 (zum Stand am 1. März 2019), E-DSG-CH den von der schweizerischen Regierung (Bundesrat) dem Parlament am 15. September 2017 zur Beratung vorgelegten Diskussionsentwurf für eine umfassende Revision des DSG-CH (im Text z. T. auch als der „schweizerische Gesetzesentwurf“ referenziert) und DSGVO die europäische Datenschutzgrundverordnung. EDÖB ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Aufsichtsbehörde in Datenschutzsachen von Privaten und über die Bundesverwaltung). 1. Handlungsbedarf Die Schweiz hat mehrfachen Handlungsbedarf für eine Revision des DSG- 2 CH identifiziert: Der Bundesrat meint, die fortschreitende Technologisierung mache ein neues Datenschutzrecht erforderlich. Eine weitere Notwendigkeit hatte sich aus dem Umstand ergeben, dass die Schweiz am Schengen-System teilnimmt; es musste die EU-Richtlinie 2016/680 (Weiterentwicklung des Schengen-Besitzstandes/Datenschutz im Bereich der Strafverfolgung) in das schweizerische Recht überführt werden. Die Revision soll der Schweiz sodann erlauben, das revidierte Datenschutzübereinkommen SEV 108 des Europarats zu ratifizieren. Und schließlich soll das schweizerische Datenschutzrecht der DSGVO angeglichen werden. Darin liegt wohl der unausgesprochene Hauptgrund. Dahinter steckt eine weitverbreitete Sorge: Die EU soll die Schweiz weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkennen können. 2. Die Revision des DSG-CH wird ein steiniger Weg Die Revision des DSG-CH wird ein steiniger Weg. Erst hat man einen 3 raschen Gesetzgebungsprozess erwartet, damit die Schweiz rasch mit der EU gleichziehen könne. Bei Abschluss des Manuskripts für den vorliegenden Beitrag (Mitte 2019) stellt sich jedoch gar die Frage, ob die
7
https://datenrecht.ch/wp-content/uploads/Kritikpunkte-beim-Entwurf-desDSG.pdf (26.7.2019).
285
Christian Laux
Schweiz sich überhaupt ein neues Datenschutzgesetz geben wird oder ob sie nicht mit dem DSG-CH weiterarbeiten will. 4 Damit ergeben sich die Fragestellungen, die in diesem Beitrag interessieren: Weist die Schweiz derzeit noch ein angemessenes Datenschutzniveau auf? Und würde sie ein solches nach wie vor aufweisen, auch wenn sie nicht mit der DSGVO gleichzieht? Und wenn nein: Was müsste sie tun, um ein angemessenes Datenschutzniveau zu erreichen? Muss die Schweiz überhaupt etwas auf gesetzgeberischer Stufe unternehmen oder würde es genügen, den EDÖB mit weitergehenden Personalressourcen auszustatten? Dies fragt sich aus der schweizerischen Optik genauso wie auch aus Sicht des europäischen Auslands. 5 Dieser Beitrag beschreibt den Stand des schweizerischen Gesetzgebungsvorhabens zur Revision des Datenschutzrechts. Es handelt sich dabei um die ausformulierte Fassung des Vortrags, welchen der Verfasser anlässlich des DGRI-Dreiländertreffens vom 23. Juni 2018 in St. Gallen gehalten hat. Allerdings bildet nur Ziffer II den Vortragsstoff ab8. 6 Die übrigen Ausführungen setzen den Vortragsstoff in einen breiteren Kontext. Es geht um den Angemessenheitsbeschluss der EU-Kommission (2000), welcher der Schweiz ein angemessenes Datenschutzniveau attestiert. Wird der Angemessenheitsbeschluss der EU-Kommission nach Ablauf der Zweijahresfrist (Mai 2020) Fortbestand haben? Insbesondere geht es um die Voraussetzungen für einen Angemessenheitsbeschluss der EU-Kommission im Sinne des Artikel 45 DSGVO. Wird die EU-Kommission einen solchen nur erlassen, wenn die Schweiz die DSGVO autonom nachvollzogen hat – vollständig oder zumindest weitgehend? Wie hat man sich als ausländische Rechtsordnung auf das Verfahren nach Artikel 45 DSGVO einzurichten? Der Beitrag enthält ergänzende Ausführungen zum System, nach welchem Angemessenheit festgestellt wird, sowie rechtstatsächliche Überlegungen zur Rolle des EDÖB. Auch solche Überlegungen dürften für die Frage, wie es ab Juni 2020 weitergeht mit dem Angemessenheitsbeschluss der EU-Kommission die Schweiz betreffend, relevant werden. 3. Stand der Revisionsarbeiten 7 Die Arbeiten an der Revision des E-DSG-CH haben im Jahr 2011 begonnen. Der Bundesrat hatte damals das Eidgenössische Justiz- und Polizei8
Die Vortragsunterlagen zum vorliegenden Beitrag sind abrufbar unter https://www.lauxlawyers.ch/wp-content/uploads/2018/09/Ch_Laux_ DGRI_23-Jun-2018_1auf1.pdf (26.7.2019).
286
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
departement (EJPD) beauftragt, gesetzgeberische Maßnahmen zur Stärkung des Datenschutzes zu prüfen sowie bis Ende 2014 Vorschläge zum weiteren Vorgehen zu unterbreiten – alles unter Berücksichtigung der damals bereits laufenden Entwicklungen in der EU und beim Europarat. Am 21. Dezember 2016 hat der Bundesrat den Vorentwurf zu einer Totalrevision des DSG und zur Änderung weiterer Erlasse zum Datenschutz in die Vernehmlassung gegeben9. Der Vorentwurf stieß auf lebhaftes Interesse. Bis zum Ablauf der Ver- 8 nehmlassungsfrist im Frühjahr 2017 haben interessierte Kreise über 220 Rückmeldungen zum Vorentwurf eingebracht. Nachdem der Bundesrat diese mit Hochdruck evaluiert hatte, verabschiedete er am 15. September 2017 die Botschaft zur Totalrevision des Datenschutzgesetzes. Das Parlament hatte alsdann die Aufteilung der Gesamtvorlage in zwei 9 Pakete beschlossen, jene zur Umsetzung des Schengen-Besitzstands und jene zur eigentlichen Revision des DSG-CH. Die Teile, die zur Umsetzung des Schengen-Besitzstands erforderlich waren, wurden zwischen Juni und September 2018 vorab behandelt und in der Schlussabstimmung vom 28. September 2018 im Parlament angenommen, und zwar als Sondergesetz, dessen Geltung sich auf die Datenbearbeitung der Strafverfolgungsbehörden des Bundes beschränkt. Der Bundesrat hat dieses Sondergesetz10 (das sog. SDSG) nun auf den 1. März 2019 in Kraft gesetzt. Der Abschluss der Beratung der vom Bundesrat am 15. September 2017 vorgelegten Totalrevision des DSG-CH lässt jedoch nach wie vor auf sich warten. Am 16. August 2019 hat die staatspolitische Kommission des Nationalrats (erstbehandelnder Rat) die Vorlage des Bundesrats vorbereitend diskutiert, womit die Vorlage ab dem 9. September 2019 in der Herbstsession beraten werden kann. II. E-DSG-CH im Vergleich zur DSGVO Die Gegenüberstellung des schweizerischen Gesetzesentwurfs zur 10 DSGVO wird über tabellarisch gehaltene Gegenüberstellungen vorgenommen. Zum besseren Verständnis wird zusätzlich Ergänzendes kommentiert.
9 https://www.bj.admin.ch/bj/de/home/aktuell/news/2016/ref_2016-12-21. html (26.7.2019). 10 Bundesgesetz über die Umsetzung der Richtlinie (EU) 2016/680 bzw. Schengen-Datenschutzgesetz (SDSG-CH).
287
Christian Laux
1. Vergleich nach Umfang 11 Friedrich der Große sagte einst über Gesetze, sie müssten kurz sein. Als ihm der Entwurf für sein eigenes Gesetzgebungsprojekt vorgelegt wurde (Schaffung eines „Allgemeinen Landrechts für die Preußischen Staaten“) meinte er: „Es ist aber sehr dicke!“. So fällt auch die DSGVO auf. Eine Gegenüberstellung der vom europäischen Gesetzgebungsstil geprägten DSGVO zum Entwurf schweizerischer Machart kann somit eindrücklich über statistische Angaben gelingen:
2. Vergleich der Anwendbarkeitsregeln a) Sachlicher und räumlicher Anwendungsbereich 12 In den Anwendbarkeitsvoraussetzungen unterscheiden sich die DSGVO und der schweizerische Gesetzesentwurf. Hintergrund ist, dass der schweizerische Gesetzesentwurf das bestehende Regelungskonzept des Datenschutzgesetzes der Schweiz nicht abändern will. 13 Die DSGVO zielt auf die moderne Informationsgesellschaft ab und knüpft ihre Anwendbarkeit in sachlicher Hinsicht entsprechend am Umstand an, dass die Datenverarbeitung zumindest teilweise Niederschlag in einem Informationssystem findet: „Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“ (Artikel 2 DSGVO). 14 Der schweizerische Entwurf beansprucht in sachlicher Hinsicht umfassende Geltung und soll auch dann zur Anwendung kommen, wenn die Datenverarbeitung außerhalb eines Informationssystems zum Tragen kommt.
288
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
In Bezug auf den örtlichen Anwendungsbereich arbeiten beide, sowohl 15 die DSGVO als auch der schweizerische Gesetzesentwurf, mit dem Kriterium des Binnenbezugs (zur entsprechenden Rechtsordnung). Es fällt dabei jedoch auf, dass die Definition des Binnenbezugs nach der DSGVO über Artikel 3 DSGVO (räumlicher Anwendungsbereich) präziser und damit enger gefasst ist als der schweizerische Gesetzesentwurf (wie übrigens auch das bereits geltende Datenschutzgesetz der Schweiz). Kein Unterschied besteht im Punkt, dass jeweils die in der jeweiligen Rechtsordnung „ansässigen“ Verantwortlichen bzw. Auftragsverarbeiter die lokal geltenden Bestimmungen einzuhalten haben. Soweit ausländische Stellen Daten verarbeiten, lassen sich in der Wirkung theoretische Unterschiede ausmachen, die sich sowohl in Bezug auf die Zuständigkeit der Aufsichtsbehörden als auch für die Durchsetzung vor Zivilgerichten auswirken könnten:
In Kürze bedeutet dies Folgendes: –
16
Administrativer Anwendungsbereich: Europäische Aufsichtsbehörden beanspruchen Durchsetzungs- und Sanktionskompetenzen auch für nicht in der EU/im EWR ansässige Verantwortliche (nicht aber für nicht in der EU/nicht im EWR ansässige Auftragsverarbeiter), der schweizerische EDÖB geht jedoch nicht so weit und wird nur in der Schweiz ansässige Stellen beobachten und gegebenenfalls untersuchen. 289
Christian Laux
–
Zivilrechtlicher Anwendungsbereich: Theoretisch kann jede, auch eine im Ausland begangene Verletzung nach dem schweizerischen Datenschutzrecht sanktioniert werden, sofern sie sich mindestens in der Schweiz auswirkt und der Verantwortliche mit Erfolgseintritt in der Schweiz rechnen musste11. Hintergrund ist die Einordnung von Datenschutzverletzungen als unerlaubte Handlungen nach internationalprivatrechtlichem Kollisionsrecht der Schweiz12. Ein schweizerisches Gericht würde sich für zuständig erklären, wenn der Beklagte seinen Sitz/Wohnsitz in der Schweiz hat, der Begehungsort in der Schweiz liegt oder wenn der Erfolgsort in der Schweiz liegt13. Das schweizerische Datenschutzgesetz hat somit einen theoretisch universellen Geltungsbereich und geht damit – freilich nur in der Theorie – weiter als die DSGVO.
17 Aus Praktikersicht ist die Wahrnehmung freilich eine andere: Das DSGCH kommt hauptsächlich nur für Binnensachverhalte zum Tragen. Die DSGVO dürfte damit in der Praxis weitergehen als das schweizerische Datenschutzrecht, jedenfalls solange die Schweiz nicht als guter Ge-
11 Die entsprechende gesetzliche Regel (Artikel 133 des Schweizerischen Bundesgesetzes über das Internationale Privatrecht, IPRG) ist allerdings differenzierter und kann zur Anwendung auch ausländischen Datenschutzrechts führen: „(1) Haben Schädiger und Geschädigter ihren gewöhnlichen Aufenthalt im gleichen Staat, so unterstehen Ansprüche aus unerlaubter Handlung dem Recht dieses Staates. (2) Haben Schädiger und Geschädigter ihren gewöhnlichen Aufenthalt nicht im gleichen Staat, so ist das Recht des Staates anzuwenden, in dem die unerlaubte Handlung begangen worden ist. Tritt der Erfolg nicht in dem Staat ein, in dem die unerlaubte Handlung begangen worden ist, so ist das Recht des Staates anzuwenden, in dem der Erfolg eintritt, wenn der Schädiger mit dem Eintritt des Erfolges in diesem Staat rechnen musste. (3) Wird durch eine unerlaubte Handlung ein zwischen Schädiger und Geschädigtem bestehendes Rechtsverhältnis verletzt, so unterstehen Ansprüche aus unerlaubter Handlung, ungeachtet der Absätze 1 und 2, dem Recht, dem das vorbestehende Rechtsverhältnis unterstellt ist.“ 12 Artikel 33 Absatz 2 IPRG lautet wie folgt: „Für Ansprüche aus Persönlichkeitsverletzung gelten die Bestimmungen dieses Gesetzes über unerlaubte Handlungen (Art. 129 ff.)“. 13 Artikel 129 Abs. 1 IPRG lautet wie folgt: „Für Klagen aus unerlaubter Handlung sind die schweizerischen Gerichte am Wohnsitz des Beklagten oder, wenn ein solcher fehlt, diejenigen an seinem gewöhnlichen Aufenthaltsort zuständig. Überdies sind die schweizerischen Gerichte am Handlungs- oder Erfolgsort sowie für Klagen aufgrund der Tätigkeit einer Niederlassung in der Schweiz die Gerichte am Ort der Niederlassung zuständig.“
290
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
richtsstand zur Durchsetzung von Datenschutzrechtsverstößen auch im Ausland erkannt wird14. Die Abgrenzung der Kompetenzen der einzelnen mitgliedstaatlichen 18 Aufsichtsbehörden innerhalb der EU/EWR erfolgt nach der DSGVO über das sog. One-Stop-Shop-Verfahren. Die DSGVO bestimmt die grundsätzliche Zuständigkeit einer Aufsichtsbehörde in Artikel 55, sieht bei grenzüberschreitenden Sachverhalten innerhalb der EU/des EWR eine federführende Aufsichtsbehörde im Sinne von Artikel 56 vor und regelt deren Zusammenarbeit im Kooperationsverfahren nach Artikel 60 DSGVO15. Das kann im Einzelfall auch mal zu Frustration im einzelnen Mitgliedstaat führen, wenn zwar ein Missstand greifbar ist, aber die federführende Aufsichtsbehörde untätig bleibt. Beispielhaft lässt sich der Facebook-Fall anführen, der schließlich vom deutschen Bundeskartellamt entschieden wurde (29. März 2019)16. An sich hätte es sich auch um eine in die Zuständigkeit der datenschutzrechtlichen Aufsichtsbehörden von Irland fallende Angelegenheit gehandelt. Aus der Warte des schweizerischen Beobachters drängt sich der Eindruck auf, dass die datenschutzrechtlichen Aufsichtsbehörden Deutschlands gerne eine Reaktion der federführenden Aufsichtsbehörde in Irland gesehen hätten, dass diese aber untätig blieb und dass in dieser Situation das Bundeskartellamt in die Bresche sprang und dem nach dem deutschen Rechtsempfinden dringenden Handlungsbedarf nachkam17. 14 Die Staatspolitische Kommission des Nationalrats hat Mitte August 2019 in diesem Punkt gestalterisch eingegriffen und entschieden, dass sich ausländische Unternehmen, die in der Schweiz Dienstleistungen anbieten, an das Schweizer Datenschutzrecht halten müssen. Sie müssen zudem eine Vertreterin oder einen Vertreter in der Schweiz bezeichnen. Auch hier wird abzuwarten sein, was das Parlament aus diesem Vorschlag machen wird. 15 Zum System: WP 244 – Guidelines for identifying a controller or processor’s lead supervisory authority. https://ec.europa.eu/newsroom/article29/itemdetail.cfm?item_id=611235. 16 Facebook-Entscheidung vom 29. März 2019, publiziert unter https://www. bundeskartellamt.de. – Das OLG Düsseldorf hat mittlerweile (26. August 2019) beschlossen, dass Facebook die Anordnung des Bundeskartellamts während des laufenden Beschwerdeverfahrens nicht vorläufig umzusetzen habe. Das OLG Düsseldorf führte unter anderem aus, „Die streitbefangenen Daten sind – anders als ein entrichtetes Entgelt – ohne Weiteres duplizierbar, weshalb ihre Hingabe an Facebook den Verbraucher wirtschaftlich nicht schwächt“. Diese Begründung, die den Wettbewerbsschaden einzig über einen Vergleich mit Geld verstehen will, scheint zu kurz gegriffen. 17 Dies ist selbstverständlich spekulativ und ein rein persönlicher Eindruck des Verfassers. Einschätzungen in den Online-Medien stellen die Situation wie folgt dar: „Datenschutzbehörden haben mit der Datenschutzgrundverordnung
291
Christian Laux
b) Wirkungsweise 19 Obwohl die DSGVO EU-weit (sowie im Europäischen Wirtschaftsraum, EWR) direkt anwendbar ist, enthält sie doch sog. Öffnungsklauseln, in denen Mitgliedsstaaten über nationales Recht doch wieder individuelle, länderspezifische Abweichungen vorsehen oder Differenzierungen vornehmen können. Beispiele für solche Öffnungsklauseln beziehen sich z. B. auf die Altersgrenze für die Einwilligung durch Kinder. Das anschaulichste Beispiel für ein länderspezifisches Bedürfnis nach einer Öffnungsklausel besteht im Recht eines Mitgliedsstaats, die Voraussetzungen zur Bestellung von Datenschutzbeauftragten eigenständig festzulegen. In Deutschland gab es vor Inkrafttreten bereits ein großes Heer an Datenschutzbeauftragten, weswegen nicht überrascht, dass im deutschen Umsetzungsgesetz die Pflicht zur Bestellung eines Datenschutzbeauftragten18 auch in der DSGVO-Ära schon recht rasch greift (§ 38 des deutschen Bundesdatenschutzgesetzes, BDSG). 20 Die schweizerische Gesetzgebung orientiert sich am föderalen System (Staatsaufbau mit einer Eidgenossenschaft und Kantonen), wonach Kantone das Funktionieren ihrer eigenen kantonalen Verwaltung selber organisieren und regeln. Zwar kann die eidgenössische Bundesverfassung im Sinne von Ausnahmen Bundeskompetenzen festlegen, was für den Datenschutz jedoch nicht gemacht wurde. Somit hat jeder Kanton ein eigenes Datenschutzgesetz und eigene Datenschutzbehörden, welche die Einhaltung des kantonalen Datenschutzrechts innerhalb der eigenen kantonalen Verwaltung sicherstellen.
(DSGVO) nun zwar eine Arbeitsgrundlage, aber ihnen fehlen die Ressourcen, um den Muskelspielen der Industrie etwas entgegenzusetzen. Um die wichtige Rolle, die ihnen laut DSGVO bei der Durchsetzung des Datenschutzes zusteht, bräuchten sie mehr Geld, mehr Personal und mehr technisches Knowhow. Zudem müssen sich die Behörden bei Verfahren gegen internationale Konzerne nicht nur innereuropäisch einigen, sondern es wird auch Jahre dauern, bis die juristischen Auseinandersetzungen um Auslegungsfragen beigelegt sind. Das Fehlen der ePrivacy-Verordnung, die Nutzer:innen mehr Selbstbestimmung beim Online-Tracking auf Drittseiten gewähren sollte, tut sein übrigens.“ 18 Wiederum sei dem ausländischen Betrachter die provokative Frage erlaubt, ob dies eher Ausdruck des deutschen Rechtsempfindens ist oder eher darauf hinauslaufen soll, diese Berufsgruppe wenn möglich „weiter zu beschäftigen“.
292
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Das Gesagte lässt sich tabellarisch wie folgt abbilden:
21
Neben dem DSG-CH gibt es in der Schweiz noch 26 kantonale Daten- 22 schutzgesetze und damit neben dem EDÖB noch 26 weitere Aufsichtsbehörden in Datenschutzfragen. Das föderale System führt dazu, dass sich die Schweiz dies für den Behördenverkehr in den Kantonen leistet. Dies klingt ironisch, ist aber nicht so gemeint. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte hat mehr Pflichten als ihm lieb ist, gemessen am eher geringen Personalbestand, den er beiziehen darf (vertiefend dazu Rz. 137 ff.). Müsste er auch noch die kantonalen Verwaltungen überwachen, würde sich die bei ihm bestehende Personalknappheit und damit das Problem einer möglicherweise zu wenig wirksamen Aufsicht eher noch verschärfen. Zudem ist es gerade bei den örtlich eben begrenzt tätigen kantonalen Verwaltungen sinnvoll, auch eine örtlich nahe sitzende Aufsicht zu haben. Und umgekehrt ist es sinnvoll, den privatwirtschaftlichen Markt, der ja an der Kantonsgrenze nicht Halt macht, einheitlich vom EDÖB überwachen zu lassen. Systematisch kann das schweizerische System also durchaus Sympathien gewinnen. c) Differenzierung des Anwendungsbereichs nach Sektoren (Behördenverkehr/andere) Sowohl die DSGVO als auch der schweizerische Gesetzesentwurf sehen 23 Sonderregeln für den Behördenverkehr vor. Als Besonderheit der Schweiz (föderales System, siehe Rz. 20 und Rz. 22) ist jedoch erneut auf den Umstand hinzuweisen, dass für den Behördenverkehr in den Kantonen die kantonalen Datenschutzgesetze Anwendung finden.
293
Christian Laux
24 Die DSGVO ist grundsätzlich ein Einheitsgesetz und hält keine sektorspezifischen Regeln bereit. Sie soll für alle Verantwortlichen, die personenbezogene Daten verarbeiten, grundsätzlich einheitlich gelten. Egal ob KMU, Google oder Alibaba, Verein oder gewinnstrebiges Unternehmen: Die DSGVO geht alle an und grundsätzlich soll bei der Umsetzung nicht differenziert werden. Information Governance ist ein Gebot des Zeitgeists und hängt mit Größe nicht zusammen. Sektorspezifische Regeln kennt die DSGVO nicht, wenn man davon absieht, dass zum Beispiel Erwägungsgrund 47 der DSGVO in auf den ersten Blick eher überraschender Weise Folgendes festhält: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ (es handelt sich zwar nicht um eine eigentlich auf einen Sektor zugeschnittene Regel, aber sie kann sich für den Wirtschaftszweig, der Direktmarketing unterstützt, als besonders nützlich erweisen). Artikel 21 Abs. 2 DSGVO sieht für Direktwerbung sodann ein abstraktes Widerspruchsrecht vor. 25 Auch das E-DSG-CH ist grundsätzlich industrie-neutral, aber greift im Einzelfall besondere Aufgabenstellungen heraus (wie bereits das geltende Datenschutzgesetz, so z. B. für den Umgang mit Bonitätsdaten, Art. 27 Abs. 2 lit. c E-DSG-CH). Der schweizerische Gesetzesentwurf unterscheidet sich diesbezüglich also nicht von der DSGVO. 26 Eine generelle, kritische Anmerkung zur Datenschutzpraxis sei an dieser Stelle erlaubt, außerhalb der hier verfolgten Aufgabenstellung (Vergleichssicht): Datenschutzrecht gleitet in der Umsetzungspraxis manchmal in die Bereiche des Konsumenten- und Arbeitnehmerschutzes ab19, da es mit diesen Rechtsgebieten den Schutz der betroffenen Privatperson 19 Dies lässt sich in der Umsetzungspraxis allerdings gleichermaßen für die Schweiz wie für die EU feststellen, wobei in der Schweiz das Betriebsverfassungsrecht keine Bezüge zum Datenschutz aufweist (anders als in Deutschland oder Österreich).
294
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
als gemeinsamen Nenner hat. Konsumenten- und Arbeitnehmerschutz orientieren sich am effektiven Unterschied der Verhandlungsmacht und Vertragsstärke der involvierten Parteien. Information Governance sollte grundsätzlich nicht mit Konsumenten- oder Arbeitnehmerschutz vermischt werden, weil sonst unvermittelt Betriebsräte und dergleichen zu Akteuren werden, die eher sachfremde Themen in die eigentliche Aufgabenstellung der Information Governance einbringen. Ich halte diese Tendenzen (Konsumenten-/Arbeitnehmerschutz) im 27 Datenschutzrecht für störend, obwohl das Datenschutzrecht durchaus als Instrument eines lenkenden Staats verstanden werden kann. Es sollte allerdings der Systemschutzgedanke in den Vordergrund gestellt werden, wenn die Schwäche des Einzelnen thematisiert wird, und weniger der arbeitnehmer- oder konsumentenschützerische Gedanke, was mitunter untergeht. Der gedankliche Unterbau für den Systemschutz ergibt sich z. B. aus 28 den Überlegungen von Helmut Willke20: Genau gleich wie ein Staat, der sich zu einer modernen Marktwirtschaft bekennt, aus guten Gründen dafür sorgen will, seine Bürgerinnen und Bürger vor unverschuldeter Armut zu schützen, sollte sich ein Staat in der immer komplexer werden Informationsgesellschaft auch dafür einsetzen, seine Bürgerinnen und Bürger vor unverschuldetem Unwissen zu schützen – „Unwissen“ verstanden als gefühlte Kapitulation vor der technischen Komplexität der Informationssysteme, die heute unseren Alltag prägen. Den Anspruch, nachvollziehen zu wollen, was „im Internet“ abläuft, erreicht der Bevölkerungsdurchschnitt längst nicht mehr. Unsere Gesellschaft beruht immer weitergehend auf wissensbasierten Systemen. Helmut Willke stellt das Problem des unverschuldeten Unwissens (im Sinne von „uninformiert“) auf dieselbe Stufe wie illegitime Gewalt und unverschuldete Armut, vor denen der moderne Staat seine Bürgerinnen und Bürger zu bewahren hat. Zum Schutz vor Gewalt wurden in der westlichen Welt seit dem 18. Jahrhundert machtbasierte staatliche Infrastrukturen aufgebaut, und ab Ende des 19. Jahrhunderts geldbasierte Infrastrukturen gegen Armut („Sozialwerke“ wie Altersvorsorge und Unterstützung bei Invalidität, Arbeitslosigkeit etc.). Um die Bürgerinnen und Bürger vor unverschuldetem Unwissen zu schützen, postuliert Willke analog dazu den Aufbau einer wissensbasierten Infrastruktur als neue Staatsaufgabe für das 21. Jahrhundert.21 Die Transparenzgrundsätze nach Artikel 13
20 Helmut Willke, S. 685-711. 21 Helmut Willke, S. 685-711.
295
Christian Laux
und 14 DSGVO sind Teil einer solchen Infrastruktur22. Insofern markiert die DSGVO durchaus ein Signal, das mit dem Aufbau der Sozialwerke zu Beginn des 20. Jahrhunderts verglichen werden kann: Man muss etwas tun, Laissez-faire greift zu kurz. Die DSGVO verfolgt dieses Ziel und insofern ist sie systemkonform23. 3. Vergleich der Themenauswahl 29 Der allgemeine Compliance-Katalog nach dem schweizerischen Gesetzesentwurf entspricht im Wesentlichen jenem der DSGVO: –
Schutz durch Technikgestaltung (Artikel 6 Abs. 1 und Abs. 2)
–
Schutz durch datenschutzfreundliche Voreinstellungen (Artikel 6 Abs. 3)
–
Datensicherheit (Artikel 7)
–
Verarbeitung durch Auftragsverarbeiter nur nach Maßgabe von besonderen Bestimmungen (diese decken sich materiell im Wesentlichen mit jenen der DSGVO) (Artikel 8)
–
Bestellung eines Datenschutzberaters (ein schwaches Äquivalent im Vergleich zum Datenschutzbeauftragten nach z. B. deutscher Konzeption), wenn der Verantwortliche gesetzliche Privilegierungen, die in gewissem Umfang im Gesetz angeboten werden (Artikel 21 Abs. 4), nutzen will
–
Möglichkeit zur Schaffung von Verhaltenskodizes (Artikel 10)
–
Verzeichnis der Verarbeitungstätigkeiten (Artikel 11)
–
Möglichkeit, Privilegierungen dank Datenschutzzertifizierungen zu erhalten (Artikel 12)
–
grenzüberschreitender Datentransfer nur nach Einhaltung der gesetzlichen Bedingungen (Artikel 13 – 15)
–
Einhaltung von Informationspflichten (Artikel 17 – 19)
22 Willke geht es in seinen Ausführungen allerdings um noch mehr als um Konzepte einer systematischen Gesetzgebung. 23 Lesenswert insofern auch der Beitrag von Norman Stürtz auf https://www.linkedin.com/pulse/all-who-worked-gdpr-norman-stuertz (besucht am: 14.7.2019), der die DSGVO in eine Reihe stellt mit großen Errungenschaften wie der Magna Charta Libertatum, Habeas Corpus etc. Diese Meilensteine der Freiheitsrechte hatten ihre Wurzel und ihren Zweck darin, eine asymmetrische Machtbeziehung zwischen jenen, die an der Macht waren, und jenen, die von den derart Mächtigen regiert wurden, zu überwinden (https://bit.ly/2MaAxUe; besucht am 14.7.2019). Dies gilt gleichermaßen für die DSGVO.
296
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
–
Einhaltung der Pflichten bei Vorliegen von automatisierten Einzelfallentscheidungen (Artikel 20 – 21)
–
Einhaltung der Pflichten bei Auftreten von Verletzungen der Datensicherheit (Artikel 22)
–
Einhaltung der Pflichten, wenn eine betroffene Person ihr Auskunftsrecht geltend macht (Artikel 23 – 25)
Die folgende übersichtsartige Darstellung der Compliance-Pflichten 30 nach der DSGVO zeigt, dass der E-DSG-CH grundsätzlich dieselben Themen aufgreift wie die DSGVO:
4. Vergleich des Schutzkonzepts Für den Vergleich der DSGVO und des schweizerischen Gesetzesent- 31 wurfs ist wesentlich, die allgemeine Schutzkonzeption nach schweizerischer Rechtstradition zu beurteilen. Diese besteht schon seit über 25 Jahren und die EU-Kommission hat sie im Jahr 2000 auch bereits als angemessen für den Schutz von Personendaten anerkannt (damals war das heute geltende Datenschutzgesetz der Schweiz bereits in Kraft). Einleitend wird das Schutzkonzept der DSGVO in Erinnerung gerufen. Das Schutzkonzept der DSGVO ist bekannt als Verbot mit Erlaubnisvor- 32 behalt (Artikel 6 Abs. 1 DSGVO). Die Verarbeitung personenbezogener Daten ist verboten, sofern sie nicht ausnahmsweise erlaubt ist:
297
Christian Laux
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: [..] 33 Die DSGVO schützt das Individuum: Bezweckt wird allgemein die Datenminimierung sowohl bei Speicherung, Verarbeitung und Transfer. Als zentrales Schutzprinzip greifen allgemeine Grundsätze, namentlich die Grundsätze der Zweckbindung und Erforderlichkeit (Artikel 5 Abs. 1 DSGVO). Zweckbindung bedeutet, dass personenbezogene Daten nur für eindeutige, festgelegte und legitime Zwecke erhoben und nur für diese dann auch verarbeitet werden dürfen. Erforderlichkeit heißt, dass personenbezogene Daten nur für so lange in einer Form gespeichert werden dürfen, wie es für die jeweiligen Zwecke erforderlich ist. Konstant ist bei jedem Vorgang im Data Life Cycle (Erhebung, Speicherung, Verarbeitung, Aufbewahrung und Löschung) für angemessene Sicherheit der personenbezogenen Daten zu sorgen. Es muss sichergestellt sein, dass detailliert Rechenschaft über die Einhaltung der DSGVO abgelegt werden kann (Artikel 5 Abs. 2 DSGVO). Dies soll letztlich Personen schützen, wie Artikel 1 Absatz 2 DSGVO es festhält: Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. 34 Auch der E-DSG-CH schützt das Individuum: Der Duktus nach dem E-DSG-CHG zielt ebenso direkt auf den Schutz von Personen ab. Artikel 1 des E-DSG-CH liest sich wie folgt: Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von natürlichen Personen, über die Personendaten bearbeitet werden. Im allgemeinen Schutzzweck deckt sich der schweizerische Entwurf somit mit der DSGVO24. Und auch der schweizerische Entwurf enthält in Artikel 5 Grundsätze, die im Wesentlichen jenen der DSGVO entsprechen. Bis hierhin besteht Kongruenz zwischen der schweizerischen Rechtstradition und der DSGVO. An dieser Stelle wird die Parallelität zur DSGVO jedoch unterbrochen. Nach Schilderung der allgemein einzuhaltenden Grundsätze legt der schweizerische Gesetzesentwurf in grundsätzlich gleicher Weise wie die DSGVO den gesamten Compliance-Katalog dar (s. Rz. 29), es geht dabei um dieselben Themen wie in der DSGVO (zu diesem Katalog Rz. 30). Wovon man bisher jedoch nichts 24 Unter dem DSG-CH sind bislang demgegenüber juristische Personen direkt berechtigt, datenschutzrechtliche Ansprüche geltend zu machen. Dies soll mit dem E-DSG-CH aufgehoben werden.
298
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
gelesen hat: Verbot mit Erlaubnisvorbehalt. Und dazu wird man im E-DSG-CH auch nicht fündig (und wurde es noch nie im schweizerische Datenschutzrecht). Die Schweiz hat ein gänzlich anderes Schutz- bzw. Rechtfertigungsmodell – und zwar immer schon gehabt. Dieses wird in der Folge dargestellt. Nach dem E-DSG-CH ist kein Verbot mit Erlaubnisvorbehalt vorgese- 35 hen. In der Schweiz gilt das Gegenteil: Erlaubnis mit Verbotsvorbehalt. Die Bearbeitung von Personendaten ist grundsätzlich zulässig. Ein dem Immaterialgüterrecht nachgebildeter, absolut-rechtlicher Di- 36 rektanspruch gegenüber jedermann ist auch im schweizerischen Modell umgesetzt, und damit ist die schweizerische Rechtsordnung auf jeden Fall ein Kandidat für eine Angemessenheitsentscheidung der EU-Kommission, s. Rz. 119e). Nach dem schweizerischen Modell muss erst eine mehrstufige Kas- 37 kadenordnung durchlaufen werden, bevor eine Einschätzung über die Datenverarbeitung getroffen werden kann. Dies liegt daran, dass der Gesetzesentwurf (mit demselben, schon seit rund 25 Jahren bestehenden Wortlaut) festhält, dass die Persönlichkeit einer betroffenen Person im Rahmen einer Verarbeitung von Personendaten nicht widerrechtlich verletzt werden darf. Mit anderen Worten: Verletzungen sind erlaubt, bis deren Widerrechtlichkeit nachgewiesen ist. In der Schweiz lautet die Einstiegsfrage nicht, auf welche Rechtsgrundlage sich eine Bearbeitung stützt. Es geht nach dem schweizerischen Recht im Privatbereich (wie schon nach dem DSG-CH) nur darum, ob im konkreten Fall Rechtfertigungsbedarf besteht (Artikel 26 E-DSG). Ein solcher liegt vor, wenn namentlich: –
Personendaten entgegen den allgemeinen Grundsätzen des Gesetzesentwurfs verarbeitet werden (zu diesen s. Rz. 29 f.)
–
Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden (Artikel 26 Abs. 2 lit. b E-DSGCH)25
Wenn ein Rechtfertigungsbedarf besteht, muss ein Rechtfertigungsgrund vorliegen (Artikel 27 E-DSG). Erst in der zweiten Geländekammer der Prüfung geht es also um die „Widerrechtlichkeit“.
25 Diese Formulierung stellt eine Verschärfung dar im Verhältnis zum DSG-CH, da Artikel 12 Abs. 2 lit. b DSG-CH bislang den Vorbehalt einer möglichen Rechtfertigung vorsah: „ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten“.
299
Christian Laux
38 Dies ist nicht unwesentlich und bedeutet, dass auch ohne Einwilligung der betroffenen Person dann Personendaten verarbeitet werden dürfen, wenn die betroffene Person sich nicht ausdrücklich widersetzt hat, dies jedenfalls dann, solange der allgemeine Compliance-Katalog „abgefrühstückt“ wurde. Oder formeller gesprochen: Solange der in Rz. 29 zusammengefasste Katalog an Compliance-Pflichten nicht verletzt wurde. Die Pflicht, immer dann um Einwilligung bei der betroffenen Person nachzufragen, wenn nicht ausnahmsweise ein Rechtfertigungsgrund greift, sucht man vergebens. Dies ist nichts anderes als eine Umkehr der Beweislast. In der Schweiz sind Verarbeitungstätigkeiten sehr häufig auch ohne die Zustimmung der betroffenen Person zulässig. 39 Tabellarisch übersetzt sich der Unterschied im Schutzkonzept wie folgt:
40 Diese Analyse greift identisch auch in Bezug auf besonders schützenswerte Personendaten, wobei nach dem Gesetzesentwurf in Bezug auf diese eine Verletzung immer dann vorliegt, wenn besonders schützenswerte Personendaten Dritten bekannt gegeben werden (im Sinne eines Controller-to-Controller-Transfers). 41 Die DSGVO ist strenger in Bezug auf besondere Kategorien von personenbezogenen Daten. Tabellarisch sieht der Vergleich für besonders schützenswerte Personendaten wie folgt aus:
300
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
5. Vergleich des Sanktionenkonzepts Der wohl auffälligste Unterschied zwischen der DSGVO und dem 42 schweizerischen Gesetzesentwurf besteht im unterschiedlichen Sanktionenkonzept. Jenes der DSGVO (v. a. die Möglichkeit der Aufsichtsbehörden, nach Artikel 83 DSGVO Geldbußen von bis zu 20 Mio. EUR zu verhängen) ist berüchtigt und gilt als eigentlicher Implementierungsanreiz26 für jene, die der DSGVO unterstehen. Der schweizerische Gesetzesentwurf sieht keine Verwaltungsstrafen 43 vor, sondern bleibt wie bisher bei der persönlichen Strafbarkeit des Einzelnen. Der schweizerische Bundesrat begründete dies in der sog. Botschaft zum schweizerischen Gesetzgebungsentwurf (Erläuterungstext zu dem von ihm vorgelegten Gesetzgebungsentwurf) wie folgt27: [Der Bundesrat] ist der Ansicht, dass die Einführung solcher Sanktionen im DSG nicht angemessen ist, denn Verwaltungsstrafen, die Sanktionscharakter haben, müssen die Ausnahme und auf Sektoren beschränkt bleiben, in denen die Zielgruppe beschränkt ist (namentlich Kartelle, Geldspiele). Mangels spezifisch auf solche Sanktionen anwendbarer Verfahrensgrundsätze besteht die Gefahr, dass die Verfahrensgarantien zum Schutz der fehlbaren Personen verletzt werden. Demgegenüber sieht der schweizerische Gesetzgebungsentwurf die per- 44 sönliche Strafbarkeit der im Unternehmen handelnden Personen vor (s. Rz. 29 zur Übersicht über die hinten referenzierten Bestimmungen): Art. 54 Verletzung von Informations-, Auskunfts- und Mitwirkungspflichten 1 Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft: a. die ihre Pflichten nach den Artikeln 17, 19 und 23–25 verletzen, indem sie vorsätzlich eine falsche oder unvollständige Auskunft erteilen; b. die es vorsätzlich unterlassen: 1. die betroffene Person nach den Artikeln 17 Absatz 1 und 19 Absatz 1 zu informieren, oder 2. ihr die Angaben nach Artikel 17 Absatz 2 zu liefern.
26 Wenn Beratungsunternehmen, externe Datenschutzverantwortliche und Rechtsanwaltskanzleien die eigentlichen Umsetzungsmotoren der DSGVO sind, ist Artikel 83 DSGVO gleichsam das Benzin, das diesen „Motoren“ Schwung gibt. 27 Botschaft, Ziffer 1.4.2.5, S. 6974 (6973 – 6975).
301
Christian Laux 2
Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die unter Verstoss gegen Artikel 43 Absatz 3 dem Beauftragten im Rahmen einer Untersuchung vorsätzlich falsche Auskünfte erteilen oder vorsätzlich die Mitwirkung verweigern. Art. 55 Verletzung von Sorgfaltspflichten Mit Busse bis zu 250 000 Franken werden private Personen auf Antrag bestraft, die vorsätzlich: a. unter Verstoss gegen Artikel 13 Absätze 1 und 2 und ohne dass die Voraussetzungen nach Artikel 14 erfüllt sind, Personendaten ins Ausland bekanntgeben; b. die Datenbearbeitung einem Auftragsbearbeiter übergeben, ohne dass die Voraussetzungen nach Artikel 8 Absätze 1 und 2 erfüllt sind; c. die Mindestanforderungen an die Datensicherheit, die der Bundesrat nach Artikel 7 Absatz 3 erlassen hat, nicht einhalten.
Art. 56 Verletzung der beruflichen Schweigepflicht Wer geheime Personendaten vorsätzlich offenbart, von denen sie oder er bei der Ausübung ihres oder seines Berufes, der die Kenntnis solcher Daten erfordert, Kenntnis erlangt hat, wird auf Antrag mit Busse bis zu 250 000 Franken bestraft. 2 Gleich wird bestraft, wer vorsätzlich geheime Personendaten offenbart, von denen sie oder er bei der Tätigkeit für eine geheimhaltungspflichtige Person oder während der Ausbildung bei dieser Kenntnis erlangt hat. 3 Das Offenbaren geheimer Personendaten ist auch nach Beendigung der Berufsausübung oder der Ausbildung strafbar. 1
Art. 57 Missachten von Verfügungen Mit Busse bis zu 250 000 Franken werden private Personen bestraft, die einer vom Beauftragten unter Hinweis auf die Strafdrohung dieses Artikels ergangenen Verfügung oder einem Entscheid der Rechtsmittelinstanzen vorsätzlich nicht Folge leisten. Art. 58 Widerhandlungen in Geschäftsbetrieben Für Widerhandlungen in Geschäftsbetrieben sind die Artikel 6 und 7 des Bundesgesetzes vom 22. März 1974 über das Verwaltungsstrafrecht (VStrR)28 anwendbar.
1
28 Die Bestimmungen des VStR lauten wie folgt: Art. 6 Widerhandlungen in Geschäftsbetrieben, durch Beauftragte u. dgl. / 1. Regel 1 Wird eine Widerhandlung beim Besorgen der Angelegenheiten einer juristischen Person, Kollektiv- oder Kommanditgesellschaft, Einzelfirma oder Personengesamtheit ohne Rechtspersönlichkeit oder sonst in Ausübung ge-
302
Nachvollzug des europäischen Datenschutzrechts in der Schweiz 2
Fällt eine Busse von höchstens 50 000 Franken in Betracht und würde die Ermittlung der nach Artikel 6 VStrR strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann die Behörde von einer Verfolgung dieser Personen absehen und an ihrer Stelle den Geschäftsbetrieb (Art. 7 VStrR) zur Bezahlung der Busse verurteilen.
Art. 59 Zuständigkeit Die Verfolgung und die Beurteilung strafbarer Handlungen obliegen den Kantonen. 2 Der Beauftragte kann bei der zuständigen Strafverfolgungsbehörde Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen. 1
Art. 60 Verfolgungsverjährung Die Strafverfolgung verjährt nach fünf Jahren. Das Sanktionenkonzept des E-DSG-CH kennt nur die persönliche Straf- 45 barkeit der handelnden Personen. Er folgt damit der bisherigen Regelung im geltenden DSG-CH. Freilich verschärft der E-DSG-CH das Strafmaß signifikant (von der Maximalbuße CHF 10‘000 um den Faktor 25 auf CHF 250‘000). Die bisherige Regelung lautete wie folgt: schäftlicher oder dienstlicher Verrichtungen für einen andern begangen, so sind die Strafbestimmungen auf diejenigen natürlichen Personen anwendbar, welche die Tat verübt haben. 2 Der Geschäftsherr, Arbeitgeber, Auftraggeber oder Vertretene, der es vorsätzlich oder fahrlässig in Verletzung einer Rechtspflicht unterlässt, eine Widerhandlung des Untergebenen, Beauftragten oder Vertreters abzuwenden oder in ihren Wirkungen aufzuheben, untersteht den Strafbestimmungen, die für den entsprechend handelnden Täter gelten. 3 Ist der Geschäftsherr, Arbeitgeber, Auftraggeber oder Vertretene eine juristische Person, Kollektiv- oder Kommanditgesellschaft, Einzelfirma oder Personengesamtheit ohne Rechtspersönlichkeit, so wird Absatz 2 auf die schuldigen Organe, Organmitglieder, geschäftsführenden Gesellschafter, tatsächlich leitenden Personen oder Liquidatoren angewendet. Art. 7 2. Widerhandlungen in Geschäftsbetrieben, durch Beauftragte u. dgl. / Sonderordnung bei Bussen bis zu 5000 Franken 1 Fällt eine Busse von höchstens 5000 Franken in Betracht und würde die Ermittlung der nach Artikel 6 strafbaren Personen Untersuchungsmassnahmen bedingen, die im Hinblick auf die verwirkte Strafe unverhältnismässig wären, so kann von einer Verfolgung dieser Personen Umgang genommen und an ihrer Stelle die juristische Person, die Kollektiv- oder Kommanditgesellschaft oder die Einzelfirma zur Bezahlung der Busse verurteilt werden. 2 Für Personengesamtheiten ohne Rechtspersönlichkeit gilt Absatz 1 sinngemäss.
303
Christian Laux
Art. 34 Datenschutzgesetz (Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten) 1 Mit Busse werden private Personen auf Antrag bestraft: a. die ihre Pflichten nach den Artikeln 8-10 und 14 verletzen, indem sie vorsätzlich eine falsche oder eine unvollständige Auskunft erteilen; b. die es vorsätzlich unterlassen: 1. die betroffene Person nach Artikel 14 Absatz 1 zu informieren, oder 2. ihr die Angaben nach Artikel 14 Absatz 2 zu liefern. 2 Mit Busse werden private Personen bestraft, die vorsätzlich: a. die Information nach Artikel 6 Absatz 3 oder die Meldung nach Artikel 11a unterlassen oder dabei vorsätzlich falsche Angaben machen; b. dem Beauftragten bei der Abklärung eines Sachverhaltes (Art. 29) falsche Auskünfte erteilen oder die Mitwirkung verweigern. Art. 106 Strafgesetzbuch (Busse) 1 Bestimmt es das Gesetz nicht anders, so ist der Höchstbetrag der Busse 10 000 Franken. 2 Der Richter spricht im Urteil für den Fall, dass die Busse schuldhaft nicht bezahlt wird, eine Ersatzfreiheitsstrafe von mindestens einem Tag und höchstens drei Monaten aus. 3 Das Gericht bemisst Busse und Ersatzfreiheitsstrafe je nach den Verhältnissen des Täters so, dass dieser die Strafe erleidet, die seinem Verschulden angemessen ist. 4 Die Ersatzfreiheitsstrafe entfällt, soweit die Busse nachträglich bezahlt wird. 5 Auf den Vollzug und die Umwandlung sind die Artikel 35 und 36 Absätze 2-5 sinngemäss anwendbar. 46 Der bundesrätliche Vorschlag für das E-DSG-CH ist zwar insofern nachvollziehbar, als man sich in der Schweiz offenbar nicht dem Vorwurf aussetzen will, man nehme es mit dem Datenschutz nicht ernst (weswegen der Bundesrat eben auch die Sanktionsdrohung verschärfen will). Inhaltlich ist der bundesrätliche Vorschlag gleichwohl in mehrfacher Hinsicht zu kritisieren: –
Erstens liegt im bundesrätlichen Konzept ein Verstoß gegen das Verursacherprinzip. Es ist daran zu erinnern, dass die DSGVO nach ihrer Stoßrichtung von datenverarbeitenden Unternehmen verlangt, dass sie sich in einer der Informationsgesellschaft entsprechenden Weise um Personendaten kümmern, die sie verarbeiten. Es geht also
304
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
um eine organisatorische Aufgabe der Unternehmensführung. Wer beim Datenschutz spart, spart am notwendigerweise anfallenden Geschäftsführungsaufwand („cost of doing business“). Ungeachtet dessen, ob eine sanktionswürdige Unterlassung in Sachen Datenschutz kalkuliert erfolgt oder nicht: Es erscheint auf den ersten Blick folgerichtig, die Unternehmensrechnung mit einer – das Unternehmen treffenden – Verwaltungssanktion (Buße) zu belasten. Datenschutz ist heutzutage ein Wettbewerbsfaktor29. Verletzungen sollten auch auf dieser Ebene greifen30. Die konkret strafrechtlich verfolgte Person ist am Einsparungsgewinn, zu dem moderate oder zu laxe Datenschutzvorkehrungen führen können, ja nicht direkt beteiligt (wenn es sich um Arbeitnehmende handelt; und wenn es sich um Einzelunternehmen handelt, spielt die Unterscheidung keine Rolle, weil dann ohnehin die Einzelperson als Unternehmensträgerin sanktioniert wird). Konkret widerspricht das schweizerische Sanktionenmodell dem Verursacherprinzip. –
Zweitens löst die Regel Angst und Schrecken bei Mitarbeitenden aus, mindestens jedoch Unsicherheit. Es geht um persönliche Strafbarkeit, und zwar in erheblichem Umfang. Die Folge davon wird sein, dass Mitarbeitende sich sorgenvoll an die Unternehmensleitung wenden und auf Einhaltung der Datenschutzbestimmungen drängen werden, aus Angst, im Falle eines Data Breaches oder eines sonstigen Ver-
29 S. die Stellungnahmen des EDÖB in seinem Rechenschaftsbericht 2019: „Diese, von der Totalrevision unmittelbar betroffenen Unternehmen wollen auch ihrer Schweizer Kundschaft einen den erneuerten europäischen Standards entsprechenden Schutz bieten. Sie wissen auch, dass sich Datenbearbeitungsprojekte in der digitalen Realität nur unter Anwendung zeitgemässer Instrumente wie der Datenschutz-Folgenabschätzung risikogerecht abwickeln und gegenüber der Kundschaft kommunizieren lassen. Und entsprechend lange werden ihre kleinen, mittleren und grossen Konkurrenten in den Staaten der EU und des EWR ihren diesbezüglichen Wettbewerbsvorteil zu nutzen wissen.“ (S. 7), dort auch mit Hinweis auf den Facebook-Entscheid des deutschen Bundeskartellamts (S. 7). 30 In diesem Kontext ist auch interessant, dass in den USA Verstöße gegen Datenschutzbedingungen seit jeher von Federal Trade Commission (FTC) geahndet werden können. Im Jahr 2012 ahndete die FTC Google mit einer Buße von 22.5 Mio USD für eine fehlerhafte Information (s. den Eintrag vom 9.8.2012 auf https://www.ftc.gov, „Google Will Pay $22.5 Million to Settle FTC Charges it Misrepresented Privacy Assurances to Users of Apple‘s Safari Internet Browser“). Am 24.7.2019 einigte sich die FTC mit Facebook über eine Buße in Höhe von 5 Milliarden USD (s. den Eintrag vom 24.7.2019 auf https://www.ftc.gov, „FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook“).
305
Christian Laux
letzungsfalls persönlich ins Visier der Strafverfolgungsbehörden zu kommen. Dies bedeutet, dass die Unternehmensführung sich intern mit Anfragen von Mitarbeitenden auseinanderzusetzen hat, ob die datenschutzrechtlichen Maßnahmen ausreichend sind. Dies führt zu innerbetrieblicher Unruhe und Ineffizienzen und verwässert letztlich auch Verantwortlichkeiten – das Management ist zur Unternehmensführung bestellt (wozu auch die Wahl geeigneter Datenschutzmaßnahmen gehören). Das Management hat dafür auch die Verantwortung zu tragen, und nicht die einzelnen Mitarbeitenden. Unter dem Stichwort Ineffizienzen ist daran zu denken, dass das Management dadurch gehalten sein könnte, dokumentierte Maßnahmen zum Datenschutz zu treffen. Dies ist inhaltlich zwar erwünscht. Sofern das Management aber in erster Linie allfälliges Misstrauen gegenüber Mitarbeitenden aus dem Weg räumen muss, werden v. a. Papierdokumente – sog. Compliance-Dokumentation – erstellt werden. Gefordert ist jedoch echter und wirksamer Datenschutz, es braucht keine formellen „Compliance-Übungen“. Kurz: Es werden Anreize oder Bedürfnisse geschaffen, die dem Ziel der Information Governance nicht helfen. Einzig der Beratungsbedarf für Dienstleister, welche derartige Dokumentationen erstellen, würde erhöht. –
Drittens werden mit dem bundesrätlichen Vorschlag Großkonzerne begünstigt – rein faktisch, weil diese wohl besser organisiert sind. Das Risiko, dass die zahlreichen schweizerischen (kleineren) KMU ihre Mitarbeitenden nicht ausreichend versichern, ist ja greifbar. Jedenfalls steckt darin ein Stolperstein für Startups, die sich aus dem Ausland in der Schweiz ansiedeln wollen und mit der schweizerischen Rechtsordnung womöglich zu wenig vertraut sind. Aus Sicht des Startup-Standorts Schweiz ist eine solche Strafbarkeitsregelung also nicht erwünscht.
–
Viertens kann es zu doppelter Bestrafung kommen. Weil der Bundesrat ein anderes Sanktionenmodell vorsieht, als es nach der DSGVO gilt, kann sich für in der Schweiz ansässige Unternehmen eine Schlechterstellung in Form einer doppelten Bestrafung ergeben (zu den diesbezüglichen Überlegungen die ergänzenden Ausführungen Rz. 53).
47 Der Bundesrat hat sich zu diesen Befürchtungen wie folgt geäußert31: Es besteht kein Grund zur Befürchtung, dass jede Angestellte oder jeder Angestellte eines Unternehmens, das Personendaten bearbeitet, bestraft werden könnte. Die Mehrheit der strafbaren Verhaltensweisen be31 Botschaft, Ziffer 1.4.2.5, S. 6974 (6973 – 6975).
306
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
treffen den Verantwortlichen. Handelt es sich dabei um eine juristische Person, wird die Straftat gemäss Artikel 29 StGB der Vertreterin oder dem Vertreter des Geschäftsorgans zugerechnet. Artikel 29 des Schweizerischen Strafgesetzbuches (StGB) lautet wie folgt: 48 Art. 29 Strafgesetzbuch (Vertretungsverhältnisse) Eine besondere Pflicht, deren Verletzung die Strafbarkeit begründet oder erhöht, und die nur der juristischen Person, der Gesellschaft oder der Einzelfirma32 obliegt, wird einer natürlichen Person zugerechnet, wenn diese handelt: a. als Organ oder als Mitglied eines Organs einer juristischen Person; b. als Gesellschafter; c. als Mitarbeiter mit selbständigen Entscheidungsbefugnissen in seinem Tätigkeitsbereich einer juristischen Person, einer Gesellschaft oder einer Einzelfirma33; oder d. ohne Organ, Mitglied eines Organs, Gesellschafter oder Mitarbeiter zu sein, als tatsächlicher Leiter. Dem sind wahrscheinliche Probleme in der Praxis entgegen zu halten. 49 Artikel 29 StGB wird in der Praxis regelmäßig zu Abgrenzungsproblemen führen. Es wird unklar sein, welche Person im Management konkret der persönlichen Strafbarkeit unterliegt und welche nicht34. Unklar ist z. B. (1) ob nur „höheres Kader“ erfasst ist und (2) wo die Grenze verläuft zum „mittleren oder sonstigen Kader“. Auch die systematischen Bedenken des Bundesrats gegen die Einführung 50 einer neuen Verwaltungssanktion verfangen nicht. Sie sind inhaltlich nicht überzeugend, wenn man z. B. nur schon die Botschaft zum Fernmelderechtsgesetz (FMG) konsultiert, wo solche Verwaltungsstrafen ins schweizerische Gesetz eingeführt wurden. Beim FMG handelt es sich – wie beim Datenschutzgesetz auch – ebenfalls nicht um ein auf einen einzigen Sektor beschränktes Gesetz. In der Botschaft zum FMG hat der Bundesrat Folgendes geschrieben: Die Sanktion soll für das fehlbare Unternehmen spürbar sein. Strafrechtliche Bussen gegen natürliche Personen bemessen sich nach deren wirtschaftlichen Verhältnissen und fallen daher bezogen auf das Wirt32 Heute: dem Einzelunternehmen. 33 Heute: einem Einzelunternehmen. 34 Im Basler Kommentar zum schweizerischen Strafgesetzbuch (Philippe Weissenberger, Basler Kommentar, Strafrecht I, 2. Aufl., StGB 29 N 14) steht dazu: „Die Tragweite der Kategorie verantwortlicher Mitarbeitenden ist schwer zu fassen“.
307
Christian Laux
schaftsleben meist eher marginal aus. [..] Zudem ist davon auszugehen, dass Bussen gegen verantwortliche Manager in aller Regel von der Unternehmung zur Bezahlung übernommen werden. Sie werden damit zum kalkulierbaren Aufwandposten, womit die präventive Wirkung entfällt. 51 Identisches gilt wohl auch für das Datenschutzrecht, jedenfalls wenn man in demselben Maß wie die EU Datenschutzrecht über Sanktionen verstärken will. Man mag das von der EU gewählte Maß (Umsatzbuße bis zu EUR 20‘000‘000) zwar als sehr streng ansehen. Aber immerhin ist das Konzept konsequent. Und die Sanktionen sind auf jeden Fall präventiv wirksam: Die Unternehmen reagieren und machen jetzt ihre Hausaufgaben. 52 Die Verletzung des DSG-CH kann zugleich auch die DSGVO verletzen. Ergänzend, und zwar zur oben an vierter Stelle genannten Kritik (Rz. 47), sei deswegen Folgendes angemerkt: Soweit der in der Schweiz ansässige Verantwortliche auch die DSGVO verletzt und diese Anwendung findet, ist für ein schweizerisches Unternehmen denkbar, sowohl nach Maßgabe des schweizerischen Rechts als auch nach Maßgabe der DSGVO sanktioniert zu werden. Der Schweizerische Bundesrat meint dazu: Der Grundsatz ne bis in idem (Verbot der doppelten Strafverfolgung) könnte jedoch zur Anwendung kommen, wenn Geldbussen der EU und strafrechtliche Sanktionen der Schweizer Strafverfolgungsbehörden zusammentreffen. Mit anderen Worten hat der Bundesrat die Erwartung jedenfalls an die schweizerischen Strafverfolgungsbehörden, in einem Fall, wo eine europäische Datenschutzaufsichtsbehörde bereits eine Sanktion gegen ein schweizerisches Unternehmen ausgefällt hat, auf eine Sanktionierung von Mitarbeitenden desselben Unternehmens zu verzichten. Formell-rechtlich dürfte dieses Anliegen nicht aufgehen, zumal der ins Visier der Strafjustiz kommende Mitarbeitende ja in der EU gerade nicht mit einer Sanktion belastet würde. Entsprechend kann er sich auf den ihn schützenden Grundsatz „ne bis in idem“ nicht berufen. 53 Insgesamt: Das Sanktionenmodell des E-DSG-CH sollte kritisch geprüft werden. Naheliegend wäre, dass das Parlament auf das Sanktionenmodell der EU einschwenkt35. Alternativ könnte darauf verzichtet werden 35 Diesbezüglich hat die staatspolitische Kommission des Nationalrats Mitte August 2019 Handlungsbedarf ausgemacht. Sie hat einen Prüfauftrag beim Bundesrat platziert. Darin soll der Bundesrat die Einführung von pekuniären Verwaltungssanktionen im Schweizer Recht generell prüfen. Nach dem Willen der Staatspolitischen Kommission soll eine solche generelle Gesamtrege-
308
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
– zumal ein vollständiger Nachvollzug für das Bejahen der Angemessenheit gerade nicht gefordert ist (dazu Rz. 119 und Rz. 132); stattdessen könnte man ebenso gut – wenn nicht besser – den Personalbestand des EDÖB aufstocken (dazu Rz. 137 ff.). Man darf auf die parlamentarischen Beratungen dazu gespannt sein. Zusammenfassend lassen sich die beiden Sanktionenkonzepte (DSGVO 54 v. schweizerischer Gesetzesentwurf) wie folgt tabellarisch gegenüberstellen:
6. Gegenüberstellung im Einzelnen a) Im Resultat ohne Abweichung: Auftragsdatenverarbeitung Eine effiziente Regelung der Auftragsdatenverarbeitung ist wichtig. Die 55 Welt ist arbeitsteilig geworden und externe Ressourcen zur Arbeitserledigung beiziehen zu können, ist von großer Bedeutung. Es sind mehrere Konstellationen denkbar: –
Szenario A: der Auftragnehmer führt eine komplett „datenferne“ Tätigkeit aus (Transport eines einzelnen Möbels von Büro A zu Büro B)
–
Szenario B: der Auftragnehmer führt eine Tätigkeit aus, die nicht auf die Verarbeitung von Daten abzielt, aber in deren Rahmen eine gewisse Datennähe entsteht
–
Szenario C: der Auftragnehmer führt eine Tätigkeit aus, die auf die Verarbeitung von Daten abzielt (die Verarbeitung der Personendaten ist geradezu der Hauptzweck der Tätigkeit für den Auftraggeber)
–
Szenario D: Schließlich gibt es noch Konstellationen, wo Dritte Per- 56 sonendaten erhalten, ohne Auftragsverarbeiter zu sein (Beispiel: Eine Lieferantin nennt einer Kundin den für Debitoren zuständigen Mit-
lung – sofern sie dann überhaupt ins schweizerische Recht eingeführt wird – erst später ins schweizerische Datenschutzgesetz überführt werden.
309
Christian Laux
arbeitenden, damit sich die Kundin direkt mit der zuständigen Person über eine falsch ausgestellte Rechnung unterhalten kann; die Kundin ihrerseits kündigt an, welche Mitarbeitende ihrer Kreditorenbuchhaltung sich beim Mitarbeitenden auf der anderen Seite melde werde). 57 Nicht immer kommt es zur Offenlegung von Klartextangaben über Personendaten, welche dem Auftraggeber (als Verantwortlichem) anvertraut wurden, wenn der Auftraggeber Dritte beizieht. Zum Beispiel weist das Szenario B eine Vielzahl von Spielarten auf, und diese sind heute bei weitem noch nicht abschließend erfasst und beschrieben: –
Das Möbelpackunternehmen ist beauftragt, im Rahmen des Büroumzugs Ordner (die beschrifteten Ordnerrücken zeigen Personendaten) von A nach B zu zügeln.
–
Ein Cloud-Dienstleister bietet einen rein serverbasierten Dienst an, während des Normalbetriebs kommt es zu keinen Klartextzugriffen36 seiner Mitarbeitenden auf Personendaten (ungeachtet dessen, wie sie gespeichert sind). Variante: Im Rahmen des Angriffsschutzes überprüft eine Maschine den eingehenden Datenverkehr auf Verdachtsmomente, aber es nehmen keine Menschen inhaltliche Angaben wahr.
58 Es ist nicht abschließend geklärt, was überhaupt eine Auftragsdatenverarbeitung darstellt (welches der Szenarien), und zwar weder nach der Praxis in der EU noch nach der schweizerischen Praxis. Bei Szenario C ist dies wohl klar der Fall, in den Szenarien A und D klar nicht und für Szenario B ist die Situation zumindest umstritten. Noch immer gehen viele Unternehmen zu Unrecht davon aus, dass jeder Service-Provider und jede beauftragte Person, der Zugang zu Daten des Unternehmens gewährt wird, automatisch ein Auftragsbearbeiter ist. Beim geschilderten Beispiel betreffend den Cloud-Anbieter geht man für Szenario B reflexartig davon aus, dass Auftragsdatenverarbeitung vorliege. Aber dies könnte man auch anders sehen (ebenso für das Beispiel mit dem Möbelpackunternehmen, wo bloße Geheimhaltungsvereinbarungen ausreichen könnten). 59 Nach diesem Vorspann: Die Auftragsdatenverarbeitung ist im schweizerischen Gesetzesentwurf zwar knapper, aber inhaltlich im Wesentlichen deckungsgleich wie in der DSGVO umgesetzt:
36 Zum Begriff des Klartextzugriffs s. das unter https://www.swissbanking.org/ library/richtlinien/rechtsgutachten gespeicherte Rechtsgutachten betreffend Cloud-Nutzung im Bankenumfeld.
310
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
b) Etwas anders: Einwilligung Aus der Praktikersicht ist die Einwilligung als Erfordernis für die Recht- 60 mäßigkeit einer Datenverarbeitung trotz des eigentlich doch ziemlich anderen Regelungskonzepts in der EU und in der Schweiz (s. Rz. 31 ff.) am Ende gar nicht so unterschiedlich. Faktisch ist das Bedürfnis, auf die Einwilligung der betroffenen Personen abzustellen, in der Schweiz eher etwas seltener als in der EU. Hier wie dort lassen sich erfahrungsgemäß aber viele Projekte ganz ohne Einwilligung umsetzen – vorausgesetzt natürlich, die Verantwortlichen versuchen keine Datenauswertung, die keinem objektiv legitimierbaren Bedürfnis folgt. Bei besonders schützenswerten Personendaten ist die schweizerische Rechtslage etwas liberaler, solange solche Daten nicht an Verantwortliche weitergeleitet werden (Artikel 26 Abs. 2 lit. c E-DSG, s. Rz. 42). Obwohl die Einwilligung im schweizerischen Entwurf gewissermaßen 61 ein Schattendasein fristet, widmet sich auch hier ein Absatz den Modalitäten der Einwilligung (Artikel 5 Abs. 6 E-DSG-CH). Die Bestimmung greift (nur) dort, wo nach dem Entwurf eine Einwilligung erforderlich ist. Artikel 5 Abs. 6 E-DSG-CH legt fest, welche Rahmenbedingungen eingehalten sein müssen, damit eine Einwilligung gültig ist. Mit Blick darauf, dass die Einwilligung im schweizerischen Recht eher eine geringere Rolle spielt, überrascht, dass die Anforderungen an die Einwilligung eher erhöht wurden. Anders als nach der DSGVO muss die Einwilligung nach dem schweizerischen Gesetzesentwurf zusätzlich auch eindeutig sein, was in der DSGVO nicht vorkommt. Außerdem wird Ausdrücklichkeit der Einwilligung verlangt bei besonderen Kategorien von personenbezogenen Daten, beim Profiling und bei automatisierten Einzelfallentscheiden (AEFE).
311
Christian Laux
c) Etwas anders: Informationspflicht und Anhörung bei AEFE 62 Eines der wesentlichsten Instrumente des Datenschutzrechts ist Transparenz. Information an die betroffene Person ist das Instrument zur Schaffung von Transparenz. Wenn Daten nicht insgeheim verarbeitet werden und die betroffenen Personen zur Reaktion bereit sind, kann das immaterialgüterrechtsähnliche System des Datenschutzrechts (Rz. 37) wirken. 63 Nach der DSGVO bestehen Informationspflichten in Bezug auf: –
die Erhebung von personenbezogenen Daten, differenziert danach, ob diese direkt bei der betroffenen Person erhoben werden oder bei Dritten
–
die Verwendung der personenbezogenen Daten insofern, als bereits bei der Erhebung auch der Zweck und die Rechtsgrundlagen der Datenverwendung bekanntzugeben sind (auch diese Vorgabe findet sich im schweizerischen Gesetzesentwurf)
–
gewisse besondere Modalitäten der Datenverwendung wie automatisierte Einzelfallentscheidung und Profiling (Art. 19 E-DSG-CH)
–
und weitere Aspekte, die erforderlich sein könnten für die betroffene Person, um den Vorgang der Datenübermittlung von personenbezogenen Daten an einen Verantwortlichen beurteilen zu können.
64 Der schweizerische Gesetzesentwurf zeichnet sich aus durch eine schlankere Regelung als sie sich in Artikel 13 und 14 DSGVO findet. Während die DSGVO diesbezüglich detaillierte Regelungen bereithält, stellt der schweizerische Gesetzesentwurf nur eine Generalklausel bereit: „Er teilt der betroffenen Person bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte nach diesem Gesetz geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist“ (Artikel 17 Abs. 2 E-DSG-CH); nur die Identität des Verantwortlichen, 312
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
der Verarbeitungszweck und die Kategorien von Empfängerinnen sind in jedem Fall zu nennen (Artikel 17 Abs. 2 E-DSG-CH). Dies liest sich eleganter, die checklistenartige Aufzählung der DSGVO führt diesbezüglich aber wohl zu mehr Rechtssicherheit. Anders als nach Artikel 14 Abs. 2 lit. f DSGVO ist nach dem schweize- 65 rischen Gesetzesentwurf für Daten, die nicht bei der betroffenen Person erhoben werden, d. h. für Daten, die der Verantwortliche von einem Dritten erhalten hat, die Herkunft nur auf Anfrage der betroffenen Person zu nennen. Ursächlich hierfür dürfte die vereinfachte Gesetzgebungssprache sein. Die Notwendigkeit, die Herkunft zu nennen, fiel wahrscheinlich bei Verfassung des Entwurfs schlicht unter den Tisch oder man glaubte, solche Angaben würden unter die Generalklausel fallen (frei nach Artikel 17 Abs. 2 E-DSG-CH: „alles was erforderlich ist, damit die betroffene Person ihre Rechte wahrnehmen kann“). Ansonsten ergeben sich im schweizerischen Entwurf leichte Differenzie- 66 rungen bei der Information und Anhörung betreffend die Automatisierte Einzelfallentscheidung (AEFE), die sich im Resultat bzw. bezüglich der Stoßrichtung im Vergleich zur DSGVO kaum unterscheiden. Nur stellt sich die Frage, warum der schweizerische Entwurf hier unbedingt eine Differenzierung vornehmen musste. Dem Praktiker macht dies die Sache sicher nicht leichter. In diesem Text stecken insofern also versteckte Kosten, welche die Volkswirtschaft Schweiz belasten. Tabellarisch sieht die Situation zu Informationspflicht und Anhörung 67 wie folgt aus:
d) Deutlich anders: Herausgaberechte In Bezug auf die Datenherausgabe soll das schweizerische Recht wenig 68 bieten. Das Recht, Daten vom Verantwortlichen herauszuverlangen, ist deutlich anders ausgestaltet als nach der DSGVO. Es geht hierbei v. a. um Artikel 15 und Artikel 20 DSGVO. Man muss bei derartigen „Pull-An313
Christian Laux
fragen“ der betroffenen Person unterscheiden danach, welche „Lieferobjekte“ die betroffene Person vom Verantwortlichen erhalten will bzw. einfordern kann: –
What-Do-You-Know-Angaben: es geht zunächst darum, dass die betroffene Person generelle Angaben darüber erhältlich machen kann, welche Angaben der Verantwortliche über sie speichert. Der Verantwortliche liefert diesbezüglich Angaben zu gewissen Datenkategorien und weiteren eher generellen Punkten (Artikel 15 Abs. 1 DSGVO).
–
Datenherausgabe ohne Formatanforderung: Sodann könnte die betroffene Person konkret erkennen wollen, welche Angaben der Verantwortliche unter den einzelnen Datenkategorien konkret gespeichert hat; insofern ist die Herausgabe der gespeicherten Angaben abgefragt (Artikel 15 Abs. 3 DSGVO, nach welcher Bestimmung aber ein besonderes Speicherformat nicht gefordert ist und Herausgaben im PDF-Format zulässig sind). Die DSGVO spricht in diesem Zusammenhang von „Kopie“.
–
Datenherausgabe mit Formatanforderung: Die DSGVO hat mit Artikel 20 (Datenportabilität) auch ein innovatives Instrument bereitgestellt, mit dem die betroffene Person Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format herausverlangen darf (Übermittlung an die betroffene Person direkt oder an einen neuen, von ihr bezeichneten Verantwortlichen). Der bisherige Verantwortliche darf die Weiternutzung der so bereitzustellenden Daten nicht behindern.
Der schweizerische Gesetzesentwurf bleibt diesbezüglich weit hinter der DSGVO zurück. Im bundesrätlichen Entwurf ist nicht einmal das Recht auf Kopie (zweiter Punkt) enthalten, und schon gar nicht die Datenportabilität (dritter Punkt). Die betroffene Person kann, wenn es nach dem Willen des Bundesrats geht, nur generelle Angaben erhältlich machen (der Gesetzesentwurf sieht über die Generalklausel hinaus eine Aufzählung vor). Das ist mager37. Wenn es dabei bleibt, droht die Schweiz Chancen zu verpassen. Diesfalls wäre die Privatwirtschaft gefordert, selbständig nach Lösungen und Standards zu suchen, um solche Maßnahmen von sich aus bereitzustellen (ohne gesetzlich dazu verpflichtet zu sein).
37 Die Neuregelung geht somit über den Status Quo, wie er nach dem heutigen DSG-CH besteht, nicht hinaus. In der Praxis erhält man allerdings bereits heute von Verantwortlichen eine Darstellung der Angaben, die der Verantwortliche konkret über die betroffene Person gespeichert hat. Erst wenn der Verantwortliche sich weigert, solche konkreten Angaben zu machen, wird es für die betroffene Person schwierig.
314
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Andernfalls droht sie, den Anschluss an diese zukunftsweisenden Regelungen der DSGVO zu verlieren. Tabellarisch dargestellt sieht dies wie folgt aus:
69
Mit Beschluss vom 16. August 2019 hat die staatspolitische Kommission 70 des Nationalrats die Datenportabilität ausformuliert und legt die Formulierung nun dem Parlament vor. Gemäß Vorschlag der Kommission soll sich das Recht auf Datenportabilität in Übereinstimmung mit Art. 20 DSGVO nur auf jene Personendaten beziehen, welche die betroffene Person selber dem Verantwortlichen bekanntgegeben hat. Es darf mit Spannung erwartet werden, was das Parlament aus dem Vorschlag macht. e) Mal mehr, mal weniger Abweichungen: Betroffenenrechte In Bezug auf viele Betroffenenrechte besteht Gleichlauf mit der DSGVO. 71 Der schweizerische Gesetzesentwurf kennt das Recht der betroffenen Person, den Verantwortlichen zur Berichtigung (Artikel 28 Abs. 1 E-DSGCH) oder zur Löschung (Artikel 28 Abs. 2 lit. c E-DSG-CH) von Einträgen zu veranlassen oder von ihm zu verlangen, die Datenverarbeitung zu beschränken (Artikel 2 Abs. 2 lit. a E-DSG-CH). Nicht vorgesehen ist das Recht auf Vergessen, jedenfalls nicht in demselben Ausmaß, wie die DSGVO dies in Artikel 15 Abs. 2 vorsieht:
315
Christian Laux
72 Für das Widerspruchsrecht geht der E-DSG-CH über die DSGVO hinaus: Das Widerspruchsrecht kommt in den Artikeln 13-21 DSGVO wiederholt vor. Im Kontext von Artikel 21 (automatisierte Entscheidungsfindung im Einzelfall, AEFE, Profiling) sieht die DSGVO ein abstraktes Widerspruchsrecht in Bezug auf Direktmarketing vor, ansonsten kann von einer Interessenabwägung und dem Vorliegen weiterer Rechtfertigungsgründe abhängig sein, ob eine betroffene Person sich erfolgreich gegen Verarbeitungen durch einen Verantwortlichen wehren kann. Nach dem schweizerischen Gesetzesentwurf entfällt eine solche Differenzierung. Damit kennt der schweizerische Gesetzesentwurf ein abstraktes Widerspruchsrecht, das nicht nur im Kontext von AEFE und Profiling zum Tragen kommt, sondern generell. 73 In Bezug auf den Themenbereich der automatisierten Einzelfallentscheidungen (AEFE) ist der Regelungsansatz nach der DSGVO und dem schweizerischen Gesetzesentwurf auf den ersten Blick zwar unterschiedlich. Die DSGVO liest sich diesbezüglich wie eine Verbotsregelung. Faktisch jedoch dürfte die DSGVO automatisierte Einzelfallentscheidungen weitgehend zulassen, solange die Voraussetzungen (Sicherheit, Anhörung der betroffenen Person) umgesetzt sind, und dies ist im Resultat identisch auch für den schweizerischen Gesetzesentwurf:
f) Abseits der DSGVO: Daten von verstorbenen Personen 74 Mit dem Tod endet die Persönlichkeit einer Person. Die Schweiz kennt kein eigentliches postmortales Persönlichkeitsrecht, das die verstorbene Person auch dann schützt, wenn sie zu Lebzeiten keine entsprechenden Wünsche geäußert hat oder keine Angehörigen vorhanden sind, die sich für ihren Schutz einsetzen. Der Bundesrat wollte sich dem Problemkreis der Daten von Verstorbenen annehmen. Er hat mit diesem Vorschlag eine entsprechende Anregung aus dem Parlament aufgenommen (sog. Postulat Schwaab38).
38 Postulat 14.3782 Schwaab „Richtlinien für den ‹digitalen Tod›“.
316
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Die DSGVO enthält diesbezüglich keine Vorschriften, weswegen ich 75 mich hier darauf beschränke, die im schweizerischen Gesetzesentwurf vorgesehene Neuregelung abzubilden und anschließend nur ganz knapp zu kommentieren: Art. 16 1
Der Verantwortliche gewährt kostenlos Einsicht in die Daten einer verstorbenen Person, wenn:
a. ein schutzwürdiges Interesse an der Einsicht vorliegt oder die Person, die Einsicht verlangt, mit der verstorbenen Person in gerader Linie verwandt ist, mit ihr bis zum Zeitpunkt des Todes verheiratet war, in eingetragener Partnerschaft lebte oder eine faktische Lebensgemeinschaft führte oder wenn sie ihr Willensvollstrecker ist; b. der Einsicht weder eine ausdrückliche Erklärung noch ein besonderes Schutzbedürfnis der verstorbenen Person entgegenstehen; und c. keine überwiegenden Interessen des Verantwortlichen oder von Dritten der Einsicht entgegenstehen. 2 Verweigert er die Einsicht unter Hinweis auf ein Amts- oder Berufsgeheimnis, so können die nach Absatz 1 Buchstabe a berechtigten Personen die zuständige Behörde nach den Artikeln 320 und 321 des Strafgesetzbuches um Entbindung des Verantwortlichen von seiner Geheimhaltungspflicht ersuchen. 3 Die Erben oder der Willensvollstrecker können verlangen, dass der Verantwortliche Personendaten des Erblassers löscht oder vernichtet, es sei denn:
a. der Erblasser hat dies zu Lebzeiten ausdrücklich untersagt; b. der Löschung oder Vernichtung stehen überwiegende Interessen des Erblassers, des Verantwortlichen oder von Dritten entgegen; oder c. der Löschung oder Vernichtung steht ein überwiegendes öffentliches Interesse entgegen. Nach dem E-DSG-CH soll jede Person selbst entscheiden und darüber 76 verfügen, ob und wer Einsicht in ihre Daten erhält, auch nach ihrem Tod. Die bundesrätliche Botschaft erläutert diese Bestimmung wie folgt: Denkbar ist, dass eine verstorbene Person die Einsicht pauschal untersagt oder beschränkt auf bestimmte Personen oder auf bestimmte Daten. Eine solche Erklärung hat wie in Artikel 26 Absatz 2 Buchstabe b E-DSG ausdrücklich zu erfolgen; dazu kann auf die Ausführungen bei diesem Artikel verwiesen werden. Angesichts des Ablebens der erklärenden Person hat eine solche Erklärung im Interesse der möglichst einfachen Beweisbarkeit sinnvollerweise in einer möglichst durch Text 317
Christian Laux
nachweisbaren Form zu erfolgen, beispielsweise im Rahmen einer Patientenverfügung oder in einer eindeutigen Mitteilung (schriftlich, aber z. B. auch elektronisch per E-Mail) direkt gegenüber dem Verantwortlichen. Ebenfalls möglich wäre eine entsprechende Erklärung in einem Testament. Auch ohne ausdrückliche Erklärung der verstorbenen Person kann der Einsicht ein besonderes Schutzbedürfnis der verstorbenen Person entgegenstehen, sodass die Einsicht zu verweigern ist, weil diese geradezu stossend erschiene. Von einem solchen besonderen Schutzbedürfnis ist etwa dann auszugehen, wenn es um spezifische (medizinische) Daten in einem Patientendossier oder in der Anwaltskorrespondenz geht, die nicht mehr zu den üblichen Angaben und Informationen zu zählen sind, wie beispielsweise Daten zu Sexualleben oder Geschlechtskrankheiten, zu (lasterhaftem) Lebenswandel oder bestimmten Rechtsgeschäften, bei denen im konkreten Fall davon auszugehen ist, dass sie die verstorbene Person nicht oder nicht gegenüber der Einsicht verlangenden Person preisgeben wollte. 77 Der Regelungsvorschlag stösst in der Schweiz auf breite Kritik, er sei unausgegoren39 und stehe am falschen Ort, es handle sich materiell um Erb- und nicht um Datenschutzrecht. Es ist sehr gut möglich, dass er in der definitiven Fassung des revidierten Gesetzes dann fallengelassen wird. Mitte August 2019 hat die staatspolitische Kommission des Nationalrats auch genau diese Richtung vorgespurt: Entgegen dem Entwurf des Bundesrats soll keine gesonderte Regelung für den Umgang mit den Daten verstorbener Personen eingeführt werden. g) Deutlich anders: „Datenschutzbeauftragter“ (DSGVO) bzw. „Datenschutzberater“ (CH) 78 Wenn man nach dem Äquivalent des Datenschutzbeauftragten (Artikel 37 ff. DSGVO) sucht, wird man im schweizerischen Gesetzesentwurf am ehesten fündig, wenn man die Bestimmungen in Artikel 9 E-DSGCH zum sog. „Datenschutzberater“ liest. Anders als nach der DSGVO soll es nach dem Willen des Bundesrats in der Schweiz keine Pflicht zur Bestellung eines Datenschutzberaters geben. Wenn ein Datenschutzberater bestellt wird, wirkt er lediglich beratend, d. h. er hat keine Befug39 David Rosenthal, Der Entwurf für ein neues Datenschutzgesetz, in: Jusletter 27.11.2017, 33, merkt zum Beispiel Folgendes an: „Anlass dieser Regelung war das Bedürfnis, einen Anspruch gegenüber den Betreibern sozialer Netzwerke zu schaffen, die Entfernung von Angaben über verstorbene Personen verlangen zu können. Ob die Regel ihr Ziel wirklich erfüllen wird, ist indes unklar, da beispielsweise eine entsprechende vertragliche Regelung zwischen betroffener Person und dem Verantwortlichen einer Löschung entgegenstehen würde.“
318
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
nisse, gegen unzulässige Datenbearbeitungen vorzugehen, ist für solche (in seiner Rolle) aber auch nicht verantwortlich. Der schweizerische Gesetzesentwurf beschränkt sich auf eine Anreiz- 79 regelung, wobei der Anreiz freilich relativ moderat ausgefallen ist: Wer einen Datenschutzberater bestellt, wird befreit, Datenschutzfolgeabschätzungen dem EDÖB zu melden, sofern diesbezüglich der eigene Datenschutzberater konsultiert wurde (Rechtsfolgenbefreiung). Übersichtsartig lässt sich also Folgendes zusammenfassen:
80
h) Etwas anders: Datenschutzfolgeabschätzung Die Datenschutzfolgeabschätzung (Privacy Impact Assessment) ist an 81 sich kein neues Instrument. Neu ist nach dem schweizerischen Gesetzesentwurf die Pflicht, eine solche durchzuführen (Artikel 20 E-DSGCH). Grundsätzlich lehnt sich der Entwurf an die Regelung der EU an. Wer eine Datenschutzfolgeabschätzung durchführt, hat sie dem EDÖB zu melden, damit dieser bei Bedarf reagieren kann (richtig wäre eine Vorlagepflicht, wenn die Datenschutzfolgeabschätzung zum Resultat kommt, dass ein hohes Risiko vorliegt). Der EDÖB genehmigt jedoch nichts. Als nennenswerter Unterschied zur EU-Regelung lässt sich anführen, dass der Bundesrat der Auffassung ist, ein Profiling führe – anders als nach der Regelung der DSGVO – immer zu einem hohen Risiko, was in dieser formal-abstrakten Form nicht zutreffend sein kann:
319
Christian Laux
i) Etwas anders: Meldung „Data Breach“ 82 Die in Anlehnung an das US-amerikanische Recht (und neu eben auch an die DSGVO) eingeführte Pflicht des Verantwortlichen, sog. „Verletzungen der Datensicherheit“ zu melden, ist für das schweizerische Recht neu. Der Anlassfall ist gemäß den Begriffsbestimmungen sehr weit gefasst (Artikel 4 lit. g E-DSG-CH – Verletzung der Datensicherheit): Verletzung der Datensicherheit: eine Verletzung der Sicherheit, die ungeachtet der Absicht oder der Widerrechtlichkeit dazu führt, dass Personendaten verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden 83 In der Umsetzung insgesamt Augenmaß walten zu lassen, dies scheint der Ansatz des schweizerischen Gesetzesentwurfs zu sein. Und doch gibt es zum Teil überraschende Regeln. Zum Beispiel ist die betroffene Person womöglich auch dann zu informieren, wenn eine Meldung an den EDÖB gar nicht erforderlich ist. Die Sicherheitsvorfälle sind nach der schweizerischen Regelung nicht noch zusätzlich zu protokollieren, was von der Regelung in Artikel 33 Abs. 5 DSGVO abweicht:
j) Etwas anders: Datenschutz und Technik 84 Im Informationsrecht gilt das folgende Mantra: „Die Antwort liegt oft mehr in der technischen Ausgestaltung einer Lösung als im Recht“. Und dies gilt auch im Bereich der Personendaten. Das Mantra will zum Ausdruck bringen, dass eine technisch kluge Ausgestaltung einer Lösung z. B. Datenschutzprobleme von Beginn an minimieren kann. Beispiel: Wenn ein Cloud-Anbieter sich technisch und organisatorisch sorgfältig aufstellt, kommt es im Normalbetrieb oft zu gar keinen Klartext-Zugriffen durch Personal des Cloud-Anbieters. Dies schließt zwar die Anwendung des Datenschutzrechts nicht aus, aber es resultiert in solcherart reifen Setups oft die Feststellung, dass die Cloud-Lösung aus datenschutzrecht320
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
licher Sicht als unproblematisch bezeichnet werden kann. Datenschutzrecht erschöpft sich nicht in technischer Sicherheit („IT Security“), aber Datenschutz ohne IT Security ist nicht denkbar. Entsprechend kann Artikel 32 DSGVO als Kernbestimmung der DSGVO 85 bezeichnet werden. Datensicherheit wird in der Schweiz deswegen ebenso verlangt wie unter der DSGVO. Die Regelung im schweizerischen Gesetzesentwurf ist offener formuliert und arbeitet mit einer offenen Zielvorstellung: Die Maßnahmen müssen ausreichend sein, damit Verletzungen der Datensicherheit vermieden werden können (Artikel 7 Abs. 2 E-DSG-CH). Insbesondere verzichtet der schweizerische Gesetzesentwurf in wohltuender Weise auf die Aufzählung in Artikel 32 Abs. 1 DSGVO, die oft dahingehend missverstanden wird, dass z. B. die Verschlüsselung von Daten „in der EU“ zwingend sei: Artikel 32(1)(a) DSGVO Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Massnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Massnahmen schliessen unter anderem Folgendes ein: a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten; Gleichermaßen kann eine kluge technische Lösung dafür sorgen, dass 86 sich gewisse Datenschutzprobleme gar nicht erst stellen: z. B. weil Klartextzugriffe bereits technisch nur sehr restriktiv erlaubt werden, weil z. B. algorithmische Big Data-Analysen nur auf logisch separierte Server zugreifen, auf denen nur Daten enthalten sind, die ein ausdrückliches vorgängiges „Rechte-Clearing“ mit Zustimmung der betroffenen Person durchlaufen haben, etc. Das Bedürfnis, technische Systeme datenschutzfreundlich aufzusetzen 87 („Privacy by Design“), ist somit evident und ergibt sich in der Schweiz ebenso wie in der EU. Nennenswerte Abweichungen zur DSGVO sind nicht zu erkennen. „Privacy by Default“: Sodann können Systeme und Abläufe so ausgestal- 88 tet werden, dass ein datenschutzrechtlich relevanter Eingriff nicht vorkommt, ohne dass eine betroffene Person sich aktiv damit einverstanden erklärt hat oder zumindest konkludente Handlungen vorgenommen hat, um die datenschutzfreundliche, einer Verwertung von Daten entgegen321
Christian Laux
stehende Voreinstellung zu überwinden. Man spricht von „Privacy by Default“. Auch dieses Prinzip ist im schweizerischen Gesetzgebungsentwurf nunmehr enthalten, es sind jedoch keine nennenswerten Abweichungen zur DSGVO zu kommentieren. 89 Damit ergibt sich zusammenfassend das Folgende:
III. Hat die Schweiz (nach wie vor) ein angemessenes Datenschutzniveau? 1. Warum interessiert uns Angemessenheit? 90 Grenzüberschreitende Datenflüsse erschließen in der digital vernetzten Welt neue Märkte und sind Motor für Innovation. Dass dies auch für die Wirtschaftsräume der europäischen Staaten und der Schweiz gilt, die mit Blick auf die vielfältigen bilateralen Beziehungen zwischen diesen ohnehin in sehr weit gehendem Umfang verflochten sind, liegt auf der Hand. 91 Angemessenheit als Begriff betrifft die Frage, ob grenzüberschreitend Daten z. B. aus einem Mitgliedstaat der EU in ein anderes Land übermittelt werden dürfen. Wenn das Zielland aus datenschutzrechtlicher Sicht ein „angemessenes“ Schutzniveau aufweist, dann ist der Datentransfer aus Sicht der DSGVO ohne weitere Schutzmaßnahmen (gemeint sich solche, die sich auf den Transfer als solche beziehen; technische Sicherheitsmaßnahmen im Sinne von Artikel 32 DSGVO sind immer erforderlich) zulässig. Es steckt viel Bewegung in diesem Thema. Und manchmal wird das Thema verpolitisiert. Fehlende Angemessenheit oder angeblich zu Unrecht ergangene Angemessenheitsbeschlüsse der Kommission haben die europäischen Gerichte bereits beschäftigt40.
40 S. dazu den Beitrag des Verfassers unter https://www.inside-it.ch/articles/ 52518: Lex Laux: Überwachung im Internet – das Superproblem unserer Zeit (Update).
322
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Natürlich darf man fragen, worin der Wert des Datenschutzrechts euro- 92 päischer Prägung besteht. Datenschutzrecht ähnelt in der Praxis häufig einer Dokumentationsübung mit hohen Kosten. Dies gilt auch unter der DSGVO, einem Instrument, das Information Governance erzwingen will (und damit am richtigen Punkt ansetzt). Man fragt sich zwar gelegentlich, ob die konkreten Umsetzungen (lange Datenschutzpolicies mit dem Hauptziel, sich gegen Abmahnungen vor Konkurrenten zu schützen) noch dem eigentlichen Ziel („Lasst uns die Freiheit unserer Gesellschaft bewahren!“) dienen. Aber im Kern setzt die DSGVO am richtigen Punkt an. Und das europäische Datenschutzrecht hat immerhin ein Problembewusstsein geschaffen. Dies muss man anerkennen. Es ist wichtig, die Fahne echt verstandenen Datenschutzes hochzuhalten.41 Entsprechend führt aus der Sicht eines modernen Staats kein Weg an griffigem Datenschutz vorbei. Die Schweiz will die negative Signalwirkung vermeiden, die entstünde, 93 wenn die EU ihr die datenschutzrechtliche Angemessenheit aberkennt. Die Schweiz sieht sich als Urstube der Demokratie und der persönlichen Freiheit. Sie ist ein Nährboden für individuelle Selbstentfaltung. Und dafür steht die Schweizer Flagge auch im Ausland. Datenschutzrechtliche Angemessenheit der schweizerischen Rechtsordnung ist somit nicht nur Teil des schweizerischen Selbstverständnisses, sondern gehört auch zum Kerngehalt dessen, wie die Marke „Schweiz“ im Ausland wirkt. Würde der Schweiz die datenschutzrechtliche Angemessenheit abgesprochen, wäre dies für die Schweiz schwer zu ertragen. In der Praxis würde bei nüchterner Praxis wohl nicht viel passieren: Das von der DSGVO in ihren Artikeln 44 ff. bereitgestellte System hält viele alternative Instrumente bereit. Schweizerische Dienstleister für europäische Kunden würden sich zu helfen wissen. Das soll aber nicht darüber hinwegtäuschen: Die Schweiz will die mit einer möglichen Aberkennung der datenschutzrechtlichen Angemessenheit verbundene negative Signalwirkung nicht. Es wäre ein Zeichen der Desintegration. Was die Schweiz seit Jahrzehnten so erfolgreich verkauft, wäre in Frage gestellt. Es geht um Werte. Und es geht um Gefühle. Das Thema wird hierzulande rasch emotional.
41 Ich halte dies hier bewusst fest. Denn was folgt mag den einen oder anderen erstaunen. Die Mechanismen des geregelten Datenschutzrechts sind ziemlich profan, im Vergleich zu dem „höheren gesellschaftlichen Anspruch“, den ich gerade an die Institution Datenschutzrecht formuliert habe.
323
Christian Laux
94 Aufrechterhaltung der datenschutzrechtlichen Angemessenheit muss also politisches Kernziel der Schweiz sein. Der Bundesrat hat das auch erkannt42: Die Beibehaltung des Angemessenheitsbeschlusses der EU ist für den Bundesrat ein vorrangiges Ziel. Namentlich aus diesem Grund hat er beschlossen, den Inhalt des E-DSG den Anforderungen des Entwurfs zur Revision des Übereinkommens SEV 108 und der DSGVO anzugleichen. 2. Angemessenheitsentscheidung der EU-Kommission vom 26. Juli 2000 95 Derzeit ist die Schweiz anerkannt als Rechtsordnung mit angemessenem Datenschutzniveau. Die entsprechende Angemessenheitsentscheidung der EU-Kommission datiert vom 26. Juli 200043. Sie erging noch unter der alten Richtlinie 95/46/EG. Diese wurde von der DSGVO am 25. Mai 2018 abgelöst. Damit stellt sich die Frage, ob sie heute noch Bestand hat, und für wie lange noch. 96 Eine einmal bestätigte Angemessenheit ist zeitlich nicht begrenzt, aber Angemessenheitsbeschlüsse müssen überwacht und im Fall von Entwicklungen mit Auswirkungen auf das für angemessen befundene Schutzniveau des Drittlandes angepasst oder sogar zurückgenommen werden. Üblicherweise überprüft die Kommission Angemessenheitsbeschlüsse für neu aufgenommene Rechtsordnungen zwei Jahre nach Annahme des Angemessenheitsbeschlusses ein erstes Mal und anschließend alle vier Jahre. Artikel 45 Abs. 3 DSGVO verlangt eine Überprüfung alle vier Jahre. 97 Die DSGVO klärt in Erwägungsgrund 171 in Bezug auf den Fortbestand von altrechtlichen Angemessenheitsentscheidungen Folgendes: Die Richtlinie 95/46/EG sollte durch diese Verordnung aufgehoben werden.. Auf der Richtlinie 95/46/EG beruhende Entscheidungen bzw. Beschlüsse der Kommission und Genehmigungen der Aufsichtsbehörden bleiben in Kraft, bis sie geändert, ersetzt oder aufgehoben werden.
42 Stellungnahme des Bundesrates vom 2.3.2018 zur Interpellation Fiala zum Thema „Umsetzungsfragen zur EU-Datenschutz-Grundverordnung“, https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20174088. 43 https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX: 32000D0518&from=EN.
324
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Ansonsten sieht Erwägungsgrund 171 der DSGVO vor, dass altrechtliche Sachverhalte grundsätzlich nach Ablauf einer Zweijahresfrist, d. h. bis Ende Mai 2020, neu evaluiert werden sollen: Verarbeitungen, die zum Zeitpunkt der Anwendung dieser Verordnung bereits begonnen haben, sollten innerhalb von zwei Jahren nach dem Inkrafttreten dieser Verordnung mit ihr in Einklang gebracht werden. 3. Neue Evaluation im Jahr 2020 Mit Blick auf Erwägungsgrund 171 positioniert sich die EU-Kommission 98 dazu derzeit wie folgt44: Zurzeit ist die Kommission daran, die Angemessenheit des Schweizer Datenschutzniveaus gestützt auf die in der DSGVO aufgelisteten Kriterien erneut zu evaluieren. Sie hat angekündigt, den Angemessenheitsentscheid im Mai 2020 in Berichtsform zu veröffentlichen. Die Mitwirkung der Schweiz an der Evaluation wird vom Bundesamt für Justiz koordiniert und vom EDÖB unterstützt, indem er erbetene Informationen bereitstellt. Autonomer Nachvollzug der DSGVO ist anerkanntermaßen keine con- 99 ditio sine qua non für Angemessenheit, wäre aber von Vorteil. Ratifizierung des revidierten Europaratsübereinkommens SEV 108 ist jedoch eine Voraussetzung. Der EDÖB erläutert, worauf es ankomme45: Vor dem Hintergrund der laufenden Evaluation wäre es für die Schweiz von Vorteil, wenn diese nicht mehr auf der Grundlage des aus dem Jahre 1992 stammenden, sondern des totalrevidierten DSG vorgenommen werden könnte, dessen Behandlung durch die Kommission des erstberatenden Nationalrats aber noch aussteht. Weiter wäre es von Vorteil, wenn der Bundesrat davon Gebrauch machen würde, dass das modernisierte Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Übereinkommen 108) des Europarates seit Oktober 2018 zur Unterzeichnung aufliegt, hat doch die Europäische Kommission wiederholt darauf hingewiesen, dass die Ratifizierung dieses modernisierten Übereinkommens ein entscheidendes Kriterium für den Angemessenheitsentscheid darstellt. Diese Analyse ist teilweise unscharf (s. Rz. 113), weswegen nachstehend darzulegen ist, worauf es ankommt, damit eine Rechtsordnung als angemessen anerkannt werden kann (dazu Abschnitt IV). Der Sache nach 44 Tätigkeitsbericht 2018/19 des EDÖB, S. 9. 45 Tätigkeitsbericht 2018/19 des EDÖB, S. 10.
325
Christian Laux
ist die Einschätzung dennoch zutreffend, greift sie doch den Hauptpunkt heraus, an dem die Schweiz Nachholbedarf hat, was die nachfolgende Analyse zeigen wird. IV. Angemessenheit als Rechtsthema und Aufgabenstellung 1. Wie funktioniert Angemessenheit? a) Verfahren 100 Ein Angemessenheitsbeschluss ist ein Beschluss der Europäischen Kommission, in dem sie festlegt, dass ein Drittland mit seinen inländischen Rechtsvorschriften und internationalen Verpflichtungen für personenbezogene Daten ein vergleichbares Schutzniveau bietet wie die Europäische Union. Als Folge des Beschlusses können personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) (d. h. den 28 EU-Mitgliedstaaten sowie Norwegen, Liechtenstein und Island) sicher in das betreffende Drittland übermittelt werden, ohne dass weitere Garantien oder Genehmigungen erforderlich wären. Der Angemessenheitsbeschluss ist eines von mehreren Instrumenten46, die in der DSGVO als Grundlage für die Übermittlung personenbezogener Daten aus der EU an Drittländer vorgesehen sind. 101 Im Rahmen der Angemessenheitsprüfung erfolgt eine umfassende Bewertung. Um angemessen zu sein, muss das Datenschutzsystem des Drittlandes nicht identisch mit dem der EU sein47. Notwendig ist ein „der Sache nach gleichwertiges“ Schutzniveau. Im Rahmen der Beurteilung wird der Datenschutzrahmen des betreffenden Landes sowohl im Hinblick auf den Schutz persönlicher Daten als auch auf die einschlägigen Aufsichts- und Abhilfeverfahren umfassend bewertet. Die europäischen Datenschutzbehörden haben mit WP 254 (rev.01) vom 28. November 2017 (revidiert am 6. Februar 2018)48 einen Katalog der Elemente
46 https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu_en. 47 WP254 (rev.01), S. 3, fasst dies wie folgt zusammen: „[T]he objective is not to mirror point by point the European legislation, but to establish the essential core requirements of that legislation.“, und zwar unter Hinweis auf die Rechtssache C-362/14, Maximilian Schrems v. Data Protection Commissioner, Entscheidung vom 6.10.2015 (§§ 73, 74). 48 WP 254 (rev.01) „Referenzgrundlage für Angemessenheit“ vom 28.11.2017 (revidiert am 6.2.2018), abrufbar unter https://ec.europa.eu/newsroom/article29/ item-detail.cfm?item_id=614108.
326
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
erstellt, die bei der Beurteilung der Angemessenheit des Datenschutzes eines anderen Landes zu berücksichtigen sind. Das Verfahren zur Inkraftsetzung eines Angemessenheitsbeschlusses 102 läuft wie folgt ab: Nach Abschluss einer Prüfung mit positivem Ergebnis leitet die EU-Kommission das Verfahren zur Annahme des Angemessenheitsbeschlusses gemäss der DSGVO ein. Hierzu muss sie eine Stellungnahme des Europäischen Datenschutzausschusses, in dem alle nationalen Datenschutzbehörden vertreten sind (Artikel 70 Abs. 1 lit. s DSGVO), sowie das grüne Licht eines Ausschusses von Vertretern der EU-Mitgliedstaaten im Sinne von Artikel 93 Abs. 3 DSGVO einholen. Sobald dieses Verfahren abgeschlossen ist, kann die Kommission den Angemessenheitsbeschluss annehmen. Das Verfahren zur Aufhebung oder Anpassung eines Angemessenheits- 103 beschlusses bestimmt sich nach Artikel 45 Abs. 5 DSGVO. Die Kommission kann, wenn dies nötig ist, einen entsprechenden Durchführungsrechtsakt erlassen. Wiederum konsultiert die Kommission den Europäischen Datenschutzausschuss (Artikel 70 Abs. 1 lit. s DSGVO) und den Ausschuss im Sinne von Artikel 93 Abs. 3 DSGVO. b) Schutzabsicht Es gibt mehrere Modelle, wie Angemessenheit erzielt werden kann. Die 104 inhaltliche Rechtfertigung für die Angemessenheitsprüfung ergibt sich aus den folgenden Überlegungen: Erstens, der Gesetzgeber tut, was er kann: Wir wollen Freiheit. Das lässt 105 sich in einem Gesetz aber nicht regeln (es ist schwer, mit Bezug auf Datenschutz ein Regel-Rechtsfolge-System für Freiheit zu formulieren). Deswegen verlangen die Datenschutzgesetze nach Maßnahmen, die Bewusstsein schaffen und hoffentlich dazu beitragen, dass sich das Verhalten der Gesellschaft und von Unternehmen zum Positiven hin verändert. Das schweizerische Datenschutzrecht wurde im Jahr 1992 erlassen, die jetzt von der DSGVO abgelöste europäische Datenschutzrichtlinie im Jahr 1995. Keines dieser Instrumente hat verhindern können, dass immense Datenpools gesammelt und verknüpft werden, wenn Privatpersonen Webseiten aufrufen (und am 12. September 2018 folgte die meines Wissens erste Beschwerde dazu unter der DSGVO). Aber immerhin: Wir haben ein mulmiges Bauchgefühl. Ich will das nicht ins Lächerliche ziehen, die Datenschutzgesetze haben ein Problembewusstsein geschaffen, und das ist schon mal gut. Aber man muss sehen: Die Datenschutzgesetze haben bis jetzt nur an der Oberfläche gewirkt, sie waren „Dokumentationsübungen“, haben aber das Problem im Wesentlichen nicht gelöst. 327
Christian Laux
106 Zweitens, der Gesetzgeber sieht einen synthetischen Schutz vor: Der Gesetzgeber knüpft Rechtsfolgen an Punkte an, die sich beurteilen lassen. Zum Beispiel: Wurde informiert? Wurde dokumentiert? Liegt ein organisierter Zustand vor? Es handelt sich um synthetischen Schutz. Ob diese Maßnahmen die Welt verbessern? Nur indirekt, „synthetisch“ eben. 107 Drittens, der Gesetzgeber verzichtet nicht auf Staatsschutz: Kein Gesetzgeber dieser Erde hat ein Datenschutzrecht erlassen, das dem Staatsschutz vorgeht. Der Staatsschutz in der Schweiz, in Deutschland, im restlichen Europa und in den USA darf aus Sicherheitsgründen auf Personendaten zugreifen. 108 Viertens, der Gesetzgeber kann nur seine eigene Rechtsordnung regeln: Staaten sind souverän, was bedeutet, dass man seinem Nachbarn nicht ins Handwerk pfuschen darf. Man kann mittels internationalen Vereinbarungen Abhilfe schaffen. Solche gibt es aber im Bereich des Datenschutzes nicht. Deswegen wurde das System geschaffen, dass grenzüberschreitende Datentransfers nur unter Voraussetzungen in Ordnung sind. Das Kriterium ist Angemessenheit. Wenn eine andere Rechtsordnung mit Blick auf den Datenschutz als gleichwertig gilt, dann darf man auch Personendaten anderer Leute in solche Länder exportieren. Der Export als solcher ist dann voraussetzungslos möglich. Gilt eine andere Rechtsordnung nicht als gleichwertig, wird sie oft auch als „unsicheres Ausland“ bezeichnet. Dies ist allerdings ein Begriff, der missverstanden werden kann (er hat die Konnotation „Schurkenstaat“ oder dergleichen). 109 Fünftens, Angemessenheit lässt sich wiederum synthetisch erzielen: Datenexporte ins unsichere Ausland sind möglich, sofern Angemessenheit anders hergestellt wird. Und es zeigt sich: Angemessenheit lässt sich in der Praxis relativ einfach bewerkstelligen, selbst wenn die EU-Kommission der betreffenden Rechtsordnung keine Angemessenheit attestiert hat. Dem Praktiker stehen außerhalb eines generellen Angemessenheitsentscheids in Bezug auf eine ganze Rechtsordnung im Wesentlichen drei Instrumente zur Verfügung: –
Standarddatenschutzklauseln (Modell 1, Artikel 46 Abs. 2 DSGVO): Der Empfänger im „unsicheren“ Zielland verpflichtet sich rein vertraglich zur Einhaltung des Datenschutzniveaus im Land des Absenders. Es gibt hierfür Standardvertragsklauseln. Zentraler Pfeiler solcher Standardvertragsklauseln ist der direkte Anspruch der betroffenen Person gegenüber demjenigen, der die personenbezogenen Daten erhält (Empfänger). So wird vertraglich bewirkt, was die Rechtsordnung im Ausland nicht realisiert hat (Direktanspruch der betroffenen Person).
328
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
–
Verbindliche interne Datenschutzvorschriften (Modell 2, Artikel 47 DSGVO, sog. „Binding Corporate Rules“). Wiederum muss den betroffenen Personen ein Direktanspruch auf Einhaltung des Datenschutzrechts gegen jede Gesellschaft der Unternehmensgruppe eingeräumt werden (Artikel 47 Abs. 1 lit. b DSGVO).
–
Sektorielle Angemessenheit (Modell 3, wie sie z. B. nach dem Privacy Shield vorgesehen ist).
Solange diese Alternativen nicht nur vorgeschoben sind und im Notfall 110 gerichtlich durchgesetzt werden können, gelten sie als wirksame Maßnahmen, um im unwirtlichen Gelände des „unsicheren Auslands“ einen synthetischen Schutz zu bekommen, wie er im Herkunftsland galt (das ja seinerseits auch nicht vollkommen ist, s. Punkt 1, Rz. 105, und Punkt 3, Rz. 107). Diese Modelle führen gleichsam zu „Wassersäulen in der Wüste“ des 111 unsicheren Auslands, wenn man sich das bildhaft vorstellt: Der beabsichtigte Datenempfänger errichtet in der „Wüste“ des „unsicheren Auslands“ eine Wassersäule, die genauso hoch ist wie der Wasserstandspegel im Herkunftsland (die Wassersäule deckt aber nur sein Empfängerunternehmen ab). Der Wasserstandspegel symbolisiert das Maß an Datenschutz (gleiche Höhe = Gleichwertigkeit). Derzeit stehen in den USA zum Beispiel etwa 4‘000 „Wassersäulen“ gemäss dem Modell 3 „Privacy Shield“ und eine wohl x-fach höhere Anzahl Wassersäulen nach dem Modell 1 „Vertragsklausel“. Soviel zum System, das die europäischen Staaten (und auch die Schweiz) 112 zum grenzüberschreitenden Austausch von Personendaten aufgestellt haben. 2. Was sagt die DSGVO zur Angemessenheit? Artikel 45 Abs. 2 DSGVO ist die Grundlage für einen sog. Angemessen- 113 heitsentscheid. Nach dieser Bestimmung berücksichtigt die EU-Kommission (a) die Rechtsstaatlichkeit der Schweiz (institutionelle Festigung der schweizerischen Institutionen ebenso wie die Menschenrechtssituation in der Schweiz) sowie den weiteren geltenden Rechtsrahmen in der Schweiz (geschriebenes Recht ebenso wie dessen Umsetzung in Anwendung und Rechtsprechung), (b) ob es eine Aufsichtsbehörde gibt, die diesen Namen verdient (es geht, wie die DSGVO es fordert, um die „wirksame Funktionsweise“ der Aufsichtsbehörde, und zwar auch in Bezug auf Durchsetzungsbefugnisse) und (c) ob die Schweiz in das bestehende System internationaler Vereinbarungen zum Datenschutz eingebunden ist.
329
Christian Laux
114 In der Angemessenheitsentscheidung aus dem Jahr 2000 hielt die EU-Kommission zur Schweiz Folgendes fest, und zwar: Zum Punkt (a) in Bezug auf den geltenden Rechtsrahmen: Die in der Schweiz geltenden Rechtsvorschriften berücksichtigen alle Grundsätze, die notwendig sind, damit ein ausreichender Schutz für natürliche Personen gegeben ist, obwohl sie auch Ausnahmen und Einschränkungen zur Wahrung wichtiger öffentlicher Interessen vorsehen. Um die Anwendung dieser Vorschriften zu garantieren, stehen Rechtsbehelfe zur Verfügung (..). Im Übrigen sind die Bestimmungen des schweizerischen Rechts über die zivilrechtliche Haftung anzuwenden, wenn durch die unerlaubte Verarbeitung ein Schaden verursacht wurde. Zum Punkt (b) in Bezug auf das Bestehen einer wirksamen Aufsichtsbehörde: [U]nabhängige Stellen, wie der mit Untersuchungs- und Eingriffskompetenzen ausgestattete eidgenössische Datenschutzbeauftragte, stellen die Überwachung sicher. Zum Punkt (c) Einbindung in das bestehende Staatsvertragssystem: Die Schweiz hat am 2. Oktober 1997 das Übereinkommen des Europarates zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)(3) ratifiziert, mit dem der Schutz personenbezogener Daten gestärkt und der freie Verkehr zwischen den Vertragsparteien, vorbehaltlich der Ausnahmen, die diese vorsehen können, sichergestellt werden soll. Das Übereinkommen ist zwar nicht direkt anwendbar, enthält jedoch internationale Verpflichtungen für den Bund und die Kantone. Diese Verpflichtungen betreffen sowohl die Grundsätze des Datenschutzes, die jede Vertragspartei in ihrem innerstaatlichen Recht zu verwirklichen hat, als auch Vorkehrungen zur Zusammenarbeit zwischen den Vertragsparteien. Insbesondere müssen die schweizerischen Behörden den Behörden der übrigen Vertragsparteien auf Ersuchen Auskünfte über Recht und Verwaltungspraxis im Bereich des Datenschutzes sowie Sachauskünfte über eine bestimmte automatische Verarbeitung erteilen. Zudem haben sie jede im Ausland wohnende Person bei der Ausübung der ihr zustehenden Rechte zu unterstützen, wenn diese Auskünfte darüber verlangt, ob personenbezogene Daten über sie verarbeitet werden, sich diese Daten mitteilen lassen und sie gegebenenfalls berichtigen oder löschen lassen will und wenn sie einen Rechtsbehelf einlegen will.
330
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Zum Punkt (a) in Bezug auf die Rechtsstaatlichkeit der Schweiz hat sich die Kommission nicht explizit geäußert. Im Rahmen dieses Beitrags erlaube ich mir die Annahme, dass die Schweiz diesbezüglich als „unverdächtig“ gelten dürfte. 3. Zum Kriterienkatalog nach WP 254 rev.01 Angemessenheit erfordert eine Analyse der inhaltlichen Regeln und von 115 deren Durchsetzung, wie es die Mitglieder des Vorgängergremiums zum Europäischen Datenschutzausschuss (Artikel 29-Arbeitsgruppe) in WP 254 rev.01 zusammenfassend festgehalten haben49. Außerdem müsse der Rechtsrahmen für den Behördenzugriff auf Daten im Rahmen der Überwachung von Einzelnen aus Gründen der nationalen Sicherheit in Erwägung gezogen werden50. Dies hat die Artikel 29-Arbeitsgruppe bereits in WP 237 vom 13. April 2016 festgehalten. Die Angemessenheitsvoraussetzungen werden in WP 254 rev.01 also an- 116 ders „geschnitten“, und zwar wie folgt: –
unter Punkt (a) „Rechtsstaatlichkeit“ und „geltender Rechtsrahmen“ sei zu prüfen: 1. Inhaltliche Grundsätze 2. Zusätzliche inhaltliche Grundsätze für bestimmte Arten der Verarbeitung 3. Verfahrens- und Durchsetzungsmechanismen 4. Wesentliche Garantien in Drittländern hinsichtlich der Rechtsdurchsetzung und hinsichtlich des Zugangs nationaler Sicherheitsbehörden zur Begrenzung des Eingriffs in Grundrechte
–
Punkt (b) „Aufsichtsbehörde“ wird nicht separat geprüft, da dieser Punkt bereits unter Punkt (a), Unterpunkt 3, geprüft werden könne.
–
Punkt (c) wird in WP 254 rev.01 nicht adressiert (wird aber von der Kommission dennoch berücksichtigt, worauf auch der EDÖB bereits hingewiesen hat, s. Rz. 99).
49 WP 254 rev.01, Seite 3: „It is therefore clear that any meaningful analysis of adequate protection must comprise the two basic elements: the content of the rules applicable and the means for ensuring their effective application.“. 50 WP 254 rev.01, Seite 3: “Attention must also be paid to the legal framework for the access of public authorities to personal data. Further guidance on this is provided in Working paper 237 (i.e. the Essential Guarantees document) on safeguards in the context of surveillance.”
331
Christian Laux
Es geht insgesamt also um fünf Prüfpunkte: 117 Erstens, in Bezug auf die inhaltlichen Punkte, hat die Artikel 29-Arbeitsgruppe in WP 254 rev.01 die folgenden Kriterien zusammengefasst: a) Begriffe wie „personenbezogene Daten“, „Verarbeitung personenbezogener Daten“, „Verantwortlicher“, „Auftragsverarbeiter“, „Empfänger“ und „sensible Daten“ sollten erkennbar machen, dass der Schutzgegenstand identisch ist. b) Rechtfertigungsgründe: Die legitimen Grundlagen, nach denen die rechtmäßige, faire und legitime Verarbeitung personenbezogener Daten zulässig ist, sollten ausreichend klar dargelegt werden (Bestimmungen nach nationalem Recht, die Einwilligung der betroffenen Person, die Erfüllung eines Vertrags oder das berechtigte Interesse des Verantwortlichen oder eines Dritten, solange die Interessen der betroffenen Person vorrangig bleiben). c) Grundsatz der Zweckbindung: Die Daten sollten für einen bestimmten Zweck erhoben und nur in zweckkonformer Weise verwendet werden. d) Grundsatz der Datenqualität: Daten sollten sachlich richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden. e) Grundsatz der Verhältnismäßigkeit: Die verarbeiteten Daten sollten angemessen, relevant und im Hinblick auf die Zwecke, für die sie verarbeitet werden, nicht exzessiv sein. f) Grundsatz der Datenspeicherung: Daten sollten im Allgemeinen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. g) Grundsatz der Sicherheit und der Vertraulichkeit: Die Sicherheit der personenbezogenen Daten sollte durch technische und organisatorische Maßnahmen gewährleistet sein. h) Grundsatz der Transparenz: Die betroffenen Personen sollten in einer klaren, leicht zugänglichen, präzisen, transparenten und verständlichen Form über die wichtigsten Elemente der Verarbeitung ihrer personenbezogenen Daten informiert werden. i) Recht auf Auskunft zu personenbezogenen Daten (Betroffenenrecht): Die betroffene Person sollte ein Recht auf Auskunft darüber haben, ob sie betreffende Daten verarbeitet werden oder nicht, sowie zum Zugang zu ihren Daten berechtigt sein, was auch das Recht miteinschließt, eine Kopie aller sie betreffenden verarbeiteten Daten zu erhalten.
332
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
j)
Berichtigung personenbezogener Daten (Betroffenenrecht): Unter bestimmten Umständen sollte die betroffene Person das Recht auf Berichtigung ihrer Daten haben.
k) Löschung personenbezogener Daten (Betroffenenrecht): Die betroffene Person sollte berechtigt sein, die Löschung ihrer Daten zu verlangen, wenn deren Verarbeitung zum Beispiel nicht mehr erforderlich oder unrechtmäßig ist. l) Recht auf Widerspruch (Betroffenenrecht): Die betroffene Person sollte berechtigt sein, aus zwingenden berechtigten Gründen in Verbindung mit ihrer Situation der Verarbeitung ihrer Daten jederzeit zu widersprechen. m) Einschränkungen bei der Weiterleitung von Daten: Im Kontext der Weiterleitung51 (es können die Weiterleitung an einen neuen Verantwortlichen, an einen Auftragsverarbeiter und generell, für beide Szenarien, in eine neue Rechtsordnung unterschieden werden) darf das Schutzniveau der betroffenen Person nicht untergraben werden. Zweitens, in Bezug auf die weiteren inhaltlichen Grundsätze, geht es um 118 einen Vergleich auf Ebene des Folgenden: a) Besondere Kategorien personenbezogener Daten (sensitive Daten): Diesbezüglich sollten besondere Garantien bestehen. Dieser Schutz sollte durch die Anwendung anspruchsvollerer Anforderungen an die Datenverarbeitung gewährleistet werden, wie etwa die Forderung, dass die betroffene Person ausdrücklich in die Verarbeitung einwilligt, oder durch zusätzliche Sicherheitsmaßnahmen52. b) Direktwerbung: Werden Daten verarbeitet, um Direktwerbung zu betreiben, sollte es für die betroffene Person jederzeit möglich sein, kostenlos Widerspruch gegen die Verarbeitung ihrer Daten zu diesen Zwecken einzulegen.
51 Die Darstellung in WP 254 rev.01 ist in diesem Punkt wenig klar. 52 Bei den sensitiven Daten handelt es sich um eine besondere Kategorie. Es geht um Angaben, die entweder untrennbar mit einem Menschen verbunden sind (Hautfarbe, Fingerabdrücke, Irisstruktur, Venenmuster), Eigenschaften oder Vorlieben, deretwegen Menschen schon einmal umgebracht wurden (religiöse Anschauungen, sexuelle Orientierung) oder Ansichten, die ebenfalls zu Benachteiligung oder Diskriminierung führen können (gewerkschaftliche Anschauungen). Es muss darum gehen, dass Menschen oder Regimes mit bösen Absichten solche Angaben nicht missbrauchen. Die Schutzbehelfe des Datenschutzrechts scheinen bis heute zu wenig griffig. Insbesondere wird die Risikobetrachtung in der Langzeitperspektive zu wenig beachtet. Das Datenschutzrecht kratzt diesbezüglich an der Oberfläche.
333
Christian Laux
c) Automatisierte Entscheidungen und Profiling: Entscheidungen, die allein auf der Grundlage der automatisierten Verarbeitung (automatisierte Entscheidungen im Einzelfall) einschließlich Profiling beruhen, die eine rechtliche Wirkung für die betroffene Person entfalten oder sie erheblich beeinträchtigen, sind nur unter bestimmten Bedingungen zulässig, die im Rechtsrahmen des Drittlands festzulegen sind. 119 Drittens, in Bezug auf die Verfahrens- und Durchsetzungsmechanismen, ist Folgendes zu prüfen: a) Sicherstellung eines hohen Compliance-Levels: Das System eines Drittlands sollte ein hohes Maß an Rechenschaftspflicht und Bewusstsein seitens der Verantwortlichen und derjenigen, die in ihrem Namen personenbezogene Daten verarbeiten, über deren Pflichten, Aufgaben und Verantwortlichkeiten sowie seitens der betroffenen Personen über deren Rechte und Mittel zu deren Ausübung sicherstellen. Das Bestehen wirksamer und abschreckender Sanktionen kann eine wichtige Rolle dabei spielen, die Einhaltung von Vorschriften sicherzustellen, was natürlich auch durch unmittelbare Überprüfungen durch Behörden, Prüfer oder unabhängige Datenschutzbeauftragte erreicht werden kann. b) Rechenschaftspflicht: Der Datenschutzrahmen eines Drittlands sollte die Verantwortlichen und/oder diejenigen, die in ihrem Namen personenbezogene Daten verarbeiten, zu dessen Einhaltung und dazu verpflichten, diese Einhaltung insbesondere gegenüber der zuständigen Aufsichtsbehörde nachzuweisen. Solche Maßnahmen können beispielsweise Datenschutz-Folgenabschätzungen, das Führen von Aufzeichnungen oder Protokolldateien der Datenverarbeitungstätigkeiten für einen angemessenen Zeitraum, die Benennung eines Datenschutzbeauftragten oder Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen umfassen. c) Zuständige unabhängige Aufsichtsbehörden: Es sollte eine oder mehrere unabhängige Aufsichtsbehörden geben, die mit der Überwachung, Sicherstellung und Durchsetzung der Einhaltung von Datenschutzund Bestimmungen zum Schutz der Privatsphäre im Drittland beauftragt sind. Die Aufsichtsbehörde hat bei der Erfüllung ihrer Pflichten und Ausübung ihrer Befugnisse völlig unabhängig zu handeln und darf dabei weder Anweisungen einholen noch entgegennehmen. In diesem Zusammenhang sollte die Aufsichtsbehörde über alle erforderlichen und verfügbaren Befugnisse und Aufträge verfügen, um die Achtung der Datenschutzrechte sicherzustellen und für ein größeres Bewusstsein zu sorgen. Darüber hinaus sind auch das Personal und 334
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
der Haushalt der Aufsichtsbehörde zu beachten. Ferner sollte die Aufsichtsbehörde in der Lage sein, auf eigene Initiative Untersuchungen durchzuführen. d) Unterstützung und Hilfe: Das Datenschutzsystem muss betroffenen Einzelpersonen bei der Ausübung ihrer Rechte Unterstützung und Hilfe bieten. e) Angemessene Rechtsschutzverfahren: Die betroffene Person sollte in der Lage sein, zur Durchsetzung ihrer Rechte sowie zur Sicherstellung der Einhaltung der Vorschriften schnell und wirksam sowie ohne prohibitive Kosten Rechtsbehelfe in Anspruch zu nehmen. Dazu sind Überwachungsmechanismen erforderlich, die eine unabhängige Untersuchung von Beschwerden ermöglichen und dafür sorgen, dass Verletzungen des Rechts auf Datenschutz und auf die Achtung der Privatsphäre identifiziert und praktisch bestraft werden. Bei mangelnder Einhaltung von Vorschriften sollten der betroffenen Person auch wirksame administrative und gerichtliche Abhilfen zur Verfügung stehen, einschließlich zur Forderung von Schadensersatz wegen unrechtmäßiger Verarbeitung ihrer personenbezogenen Daten. Es handelt sich dabei um ein Schlüsselelement, bei dem zwingend ein System der unabhängigen Entscheidungsfindung oder ein System unabhängiger Schiedsverfahren vorzusehen ist, in dem gegebenenfalls die Zahlung von Schadensersatz sowie die Auferlegung von Sanktionen möglich sind. Viertens geht es darum, die geltenden einschlägigen Rechtsvorschriften 120 in Bezug auf öffentliche Sicherheit, Verteidigung, nationale Sicherheit und Strafrecht sowie Zugang der Behörden zu personenbezogenen Daten, sowie die Anwendung dieser Rechtsvorschriften zu prüfen. Hintergrund ist, dass der verfassungsmäßige Schutz, den die EU-Charta dafür vorsieht, durch eine Entscheidung der EU-Kommission, welche Datenübermittlungen ins Ausland begünstigt, nicht beeinträchtigt werden soll. Soweit die EU-Kommission eine solche Prüfung unterlässt, hebt der EUGH den Angemessenheitsbeschluss auf53. Fünftens ist die Einbindung in das bestehende Staatsvertragssystem zu 121 prüfen. Zumindest alle in der Europaratskonvention 108 enthaltenen Mindestanforderungen sind für die betreffende Rechtsordnung umzusetzen.
53 So zum Beispiel geschehen in der Rechtssache C-362/14 – Schrems v. 6.10.2015.
335
Christian Laux
4. Zur Erläuterung: Warum keine Angemessenheit für den „Use Case USA“? a) Im US-Datenschutzrecht fehlen umfassende Direktansprüche 122 Warum wurden eigentlich die USA nicht als Land mit angemessenem Datenschutz anerkannt? Nachdem die Voraussetzungen zum Erlass eines Angemessenheitsbeschlusses dargestellt wurden, kann man sich dieser Frage widmen. 123 Und man muss hier mit einer falschen Wahrnehmung aufräumen. Ursache dafür, dass die USA als sog. unsicheres Ausland gelten, ist nicht der Umstand, dass in den USA PRISM und ähnliche Überwachungsprogramme ruchbar geworden sind. Ursächlich dafür ist etwas ganz anderes: Die US-amerikanische Rechtsordnung kennt per se keinen Direktanspruch der betroffenen Person. Damit fehlt ihr eine zentrale Voraussetzung, ohne die es keine Angemessenheit geben kann (s. Rz. 119 lit. e): „Schlüsselelement“). 124 Die Begründung hierfür erschließt sich aus einem Vergleich der Datenschutzkonzepte in der Schweiz und in der EU und in den USA: –
Zum Datenschutzkonzept in der Schweiz und in der EU: Die europäischen Staaten haben den Schutz von Personendaten ähnlich geregelt wie andere Immaterialgüterrechte (Urheberrechte, Patentrechte, Markenrechte etc.). Gleich wie das Urheberrecht besonders gestaltete Information (Literatur, Bilder, Musik, Skulpturen, etc.) vor unbefugtem Zugang und Verwertung schützt (ebenso Patentrecht, etc.), schützen die Länder der EU und die Schweiz Informationen mit Personenzug durch das Datenschutzrecht vor unbefugtem Zugang und Verwertung. Der Anspruch aus dem Gesetz steht der einzelnen Person zu und richtet sich gegen jedermann – wie im Immaterialgüterrecht.
–
Zum Datenschutzkonzept in den USA: Die USA verfolgen keinen solchen Ansatz. Der Schutz von Personendaten ist dort, wie ich es bezeichne, „transaktional“ geregelt. Geschützt ist der Einzelne vor unbefugtem Zugriff auf seine Information, zum Beispiel über das Strafrecht oder die Verfassung, soweit es um behördlichen Zugriff geht. Macht er die Daten aber einem anderen zugänglich, gilt das informationsrechtliche Grundprinzip, dass jeder das nutzen darf, worauf er Zugriff hat. Die Gliedstaaten kennen besondere Zusatzregeln und auch auf Bundesebene gibt es in Einzelfällen Sonderregeln. Beispielsweise ist es einer Videothek strafrechtlich verboten, darüber zu informieren, welche Videos eine Person ausleiht. Eine heute eher historisch anmutende Bestimmung, da der Geltungsbereich im
336
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Online-Bereich unklar ist. Diese Sonderregeln geben dem US-amerikanischen System oft auch das Prädikat „sektorielles Schutzsystem“. Ansonsten gilt informationsrechtlich „anything goes“. Das ist etwas polemisch formuliert: Die informationsrechtliche Freiheit gilt – nur, aber immerhin – dort nicht, wo sie eingeschränkt wurde, zum Beispiel über einen Vertrag, eine Privacy Policy oder eines der Sondergesetze. Die meisten Gesetze der Gliedstaaten verlangen genau aus diesem Grund, dass Online-Geschäfte eine Privacy Policy verwenden. Das Online-Business kann die Spielregeln innerhalb der Grenzen der Sondergesetze nach Belieben in die Privacy Policy schreiben, solange klar gesagt wird, was gilt. Wer in der Privacy Policy „A“ schreibt und dann „B“ tut, kann von der Federal Trade Commission nach den Grundsätzen des Unlauteren Wettbewerbs zu Millionenbußen verurteilt werden54. Schon seit Jahrzehnten. Die USA haben der EU insoweit datenschutzrechtlich sogar einiges Voraus … (übrigens wurde auch das Konzept des „Data Breach“ in den USA erfunden – die EU hat dies in die DSGVO hineinkopiert). Die USA gelten als sog. „unsicheres Drittland“ – zumindest aus daten- 125 schutzrechtlicher Sicht. Hintergrund ist die Gegenüberstellung der Punkte 1 (Rz. 105) und 2 (Rz. 106). Die datenschutzrechtliche Bewertung als „unsicheres Drittland“ hat jedoch nichts damit zu tun, dass auch in den USA das Datenschutzrecht nachrichtendienstlicher Sicherheit nicht im Wege steht (s. Punkt 3, Rz. 107). Das sieht man daran, dass die EU-Kommission dem Privacy Shield (Modell 3, welches das Kriterium des Direktanspruchs realisiert) sektorielle Angemessenheit attestiert und ein Vorgehen nach Modell 1 (Standardvertragsklauseln) auch bei Transfers in die USA zulässt55. Das US-amerikanische System lässt sich als transaktionales Schutz- 126 modell bezeichnen: Wer Zugang zu Daten hat, darf sie benutzen, außer es steht im Einzelfall ein Gesetz oder ein Vertrag entgegen. Einzelstaaten haben Datenschutzgesetze, die solche Verbote aufstellen. Es gibt auch sektoriell wirkende gesetzliche Verbote auf Bundesebene (z. B.
54 S. z.B. die Sanktionierungspraxis der FTC, referenziert in Fn. 28. 55 Beide Modelle, Modell 1 Standardvertragsklauseln und Modell 3 Privacy Shield sind jedoch unter Beschuss geraten. In Bezug auf beide Modelle sind Klagen bzw. Vorlagefragen bei den europäischen Gerichten eingegangen. Dazu die Übersicht bei Laux, Lex Laux: Überwachung im Internet – das Superproblem unserer Zeit, vom 12.10.2018, mit Update vom 11.6.2019, https://www. inside-it.ch/articles/52518.
337
Christian Laux
HIPAA56, COPPA57), weswegen man das US-amerikanische System auch als sektorielles Schutzsystem bezeichnet. Nutzungsverbote, die sich aus dem einen Datentransfer58 begleitenden Vertrag ergeben, sind ebenfalls zu beachten. Ein solcher Vertrag kann auf Basis der Privacy Policy59, die im Umfeld der Transaktion zum Tragen kommt60, begründet werden. 127 Die Bezeichnung der USA als unsicheres Drittland klingt harsch, aber im Grunde genommen ist die Einschätzung richtig: Das System der USA auferlegt dem Einzelnen ein großes Maß an Selbstverantwortung, die Privacy Policy von Unternehmen zu lesen. Diese Verantwortung wird der betroffenen Person in der EU abgenommen. Die europäischen Staaten sind insofern tatsächlich sicherer für den Einzelnen als die USA. 128 „Unsicheres Drittland“ bedeutet aber nach dem Prüfkonzept (dazu Rz. 113 und Rz. 115) nicht, dass –
es sich bei den USA um einen „Schurkenstaat“ im datenschutzrechtlichen Sinne handelt;
–
dass die USA Personendaten nicht schützen würden; sie haben einfach ein anderes Schutzkonzept gewählt, durchaus zufällig;
–
dass die Geheimdienste in den USA ein besonders invasives Prüfverhalten pflegen61.
56 Health Insurance Portability And Accountability Act; mit einer lesbaren Zusammenfassung bzw. einer Übersicht unter: https://en.wikipedia.org/wiki/ Health_Insurance_Portability_and_Accountability_Act. 57 Children’s Online Privacy Protection Act, https://en.wikipedia.org/wiki/Children%27s_Online_Privacy_Protection_Act. 58 Gemeint ist der Datentransfer z.B. von der betroffenen Person an den Controller. 59 Die meisten einzelstaatlichen Gesetze verlangen deswegen von Online Businesses, dass sie eine Privacy Policy haben (z.B. California Online Privacy Protection Act, “Cal OPPA”, Cal. Bus. & Prof. Code §§ 22575-22579, wonach eine App auf einem Mobiltelefon, die personenbezogene Information sammelt, an prominenter Stelle eine Privacy Policy publizieren muss), machen jedoch kaum inhaltliche Vorgaben an den Inhalt der Privacy Policy, abgesehen von einzelnen, konkreten Bestimmungen, die z.B. die Verwendung von Daten über Minderjährige betreffen. 60 Der Controller, der den auf Basis der Privacy Policy zu Stande gekommenen Vertrag verletzt, kann von der Federal Trade Commission wegen unlauteren Wettbewerbs oder je nach Gliedstaat vom dortigen Staatsanwalt („Attorney General“) wegen Verletzung eines lokalen Gesetzes sanktioniert werden. 61 Hier kann nicht der Beweis geführt werden, ob die US-amerikanischen Geheimdienste dies tun oder nicht. Ich vertrete die Meinung, dass „unsicher“
338
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Man darf hier nicht auf die harsch gewählten Begrifflichkeiten hereinfallen. b) Exkurs: Warum Datenübermittlungen gestützt auf den Privacy Shield und Standardvertragsklauseln dennoch möglich bleiben Zufällige Abweichungen lassen sich synthetisch lösen: Nachdem die 129 Abweichungen im Datenschutzrecht der USA gleichsam zufällig sind, wird auch verständlich, warum es aus der Optik des europäischen Datenschutzrechtes völlig in Ordnung ist, dass eine bloße „Wassersäule in der Wüste“ (Punkt 5, Rz. 109) eine gute Maßnahme sein soll. Die Antwort lautet: Weil es um nichts anderes geht, als darum, der betroffenen Person einen institutionellen Schutz zu geben (Zur-Verfügung-Stellen eines Direktanspruchs, Rz. 119 lit. e)) und ihr Selbstverantwortung abzunehmen. Sobald sich das US-amerikanische Zielunternehmen bereit erklärt, sich dem institutionellen Schutz der EU zu unterwerfen, ist das Thema erledigt. Vorbehalten sind die Punkte 1 – 3 (Rz. 105 – 107), aber die gelten ja wie erwähnt auch schon für die europäischen Staaten. 5. Prüfung des „Use Case Schweiz“: Warum Angemessenheit? a) Analyse im Allgemeinen Die Analyse der Datenschutzsituation für die Schweiz auf Basis der be- 130 zeichneten fünf Prüfpunkte (Rz. 116 – 121) fällt wie folgt aus: –
Zunächst ist festzuhalten, dass die Schweiz der betroffenen Person einen Direktanspruch zur Durchsetzung ihrer Datenschutzansprüche vermittelt. Die Schweiz erfüllt somit das eigentliche Kernkriterium („Direktanspruch“, s. Rz. 119 lit. e), a. E.).
–
Die in Rz. 117 bezeichneten inhaltlichen Ansprüche erfüllt die Schweiz bereits heute, mit einer Ausnahme: Das Recht auf Kopie fehlt im heute geltenden DSG-CH. Die Inkraftsetzung des schweizerischen Gesetzesentwurfs würde die Situation diesbezüglich freilich nicht verbessern, ist doch auch nach diesem ein solches Recht nicht vorgesehen (s. Rz. 30 sowie Rz. 69 – 70).
–
Die in Rz. 118 genannten weiteren inhaltlichen Ansprüche erfüllt die Schweiz heute nur teilweise: (i) im Privatbereich werden besonders
nicht so sehr eine Aussage über die Geheimdiensttätigkeit, sondern darüber ist, ob die betroffene Person in der betreffenden Rechtsordnung über einen Direktanspruch in Bezug auf die wesentlichen Themen geniesst, für die sie auch unter der DSGVO Schutz bekommt.
339
Christian Laux
schützenswerte Personendaten nur in geringem Umfang besonders behandelt, und im schweizerischen Gesetzesentwurf wird eine besonders restriktive Handhabung nur noch in Bezug auf die Weiterleitung von besonders schützenswerten Personendaten an Dritte gelten; (ii) eine Sonderbehandlung der Direktwerbung findet sich weder im heute geltenden schweizerischen Gesetz noch nach dem schweizerischen Gesetzesentwurf, da Artikel 26 Abs. 2 lit. b E-DSG-CH jedoch die Datenverarbeitung verbietet, wenn die betroffene Person Widerspruch eingelegt hat (welche Bestimmung freilich nicht auf das Szenario des Direktmarketings beschränkt ist), würde der schweizerische Gesetzesentwurf in diesem Punkt eine Verbesserung herbeiführen; (iii) automatisierte Einzelfallentscheidung (AEFE) und Profiling sind im bestehenden DSG-CH nicht besonders thematisiert, ein abstraktes Widerspruchsrecht für diese ist aber nach dem E-DSG-CH möglich (wiederum gestützt auf Artikel 26 Abs. 2 lit. b E-DSG-CH). –
Zu den in Rz. 119 genannten Aspekten zu Verfahrensmechanismen ist Folgendes zu sagen: (i) das Datenschutzbewusstsein in der Schweiz erachte ich als hoch, bereits unter dem geltenden Datenschutzgesetz, was ich allgemein unter Hinweis auf die generell hohe Rechtstreue in der Schweiz begründe62; man kann zwar sagen, dass die Sanktionen in der Schweiz derzeit – gerade im Vergleich zum Niveau, das die DSGVO begründet hat – nicht übermäßig hoch sind (Buße von nicht mehr als CHF 10‘000), gleichwohl sind diese Sanktionen in der Praxis angemessen wirksam; auch die Artikel 29-Arbeitsgruppe hat anerkannt, dass hohe Sanktionen nicht zwingend sind, um als Rechtsordnung mit angemessenem Datenschutzniveau anerkannt zu werden63, und auch der EuGH hat in allgemeiner Form Entsprechendes festgehalten64; der schweizerische Gesetzesentwurf würde diesbezüglich Verschärfungen mit sich bringen und würde unter diesem Aspekt zweifelsohne noch wirksamer zu Buch schlagen (freilich zum Preis eines fehlgeleiteten Sanktionenkonzepts65), zwingend wäre
62 Anerkanntermaßen handelt es sich hier um eine bloße Behauptung und die Beweisführung hierzu ist in diesem Beitrag nicht erbracht. Sofern dies in Frage gezogen würde, müsste dieser Aspekt in einem Folgebeitrag erörtert werden. 63 WP 254 rev.01 anerkennt ausdrücklich, dass dies „natürlich auch durch unmittelbare Überprüfungen durch Behörden, Prüfer oder unabhängige Datenschutzbeauftragte erreicht werden kann“. 64 „[D]ie Mittel, auf die das Drittland insoweit zurückgreift, um ein solches Schutzniveau zu gewährleisten, [können sich] von denen unterscheiden..., die in der Union herangezogen werden“, Rechtssache C-362/14, Maximilian Schrems/Data Protection Commissioner v. 6.10.2015 (Rz. 73 und 74). 65 S. Rz. 43 ff., v.a. Rz. 47.
340
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
dies jedoch nicht. Der revidierte Gesetzesentwurf würde auch von Auftragsverarbeitern das Führen eines Verarbeitungsverzeichnisses verlangen (relevant unter dem Kriterium „Rechenschaftspflicht“, s. Rz. 119 lit. b)), was durchaus relevant sein könnte, um Angemessenheit zu beurteilen, und es handelt sich dabei um eine Leistung, welche das bestehende DSG-CH nicht erfüllt; es ist jedoch fraglich, ob dies allein dazu führt, Angemessenheit zum heutigen Stand zu verweigern, solange die Kontrolle über Auftragsverarbeiter anderweitig als wirksam bezeichnet werden kann. Insgesamt erscheint also auch unter diesem Punkt in der Schweiz bereits heute durchaus Angemessenheit (nach wie vor) vorzuliegen. –
Zu den in Rz. 119 genannten Durchsetzungsmechanismen kann die Rechtslage in der Schweiz wie folgt charakterisiert werden: Der EDÖB ist eine unabhängige (dazu Rz. 119 lit. c)) Aufsichtsbehörde mit der Aufgabe, Private zu beraten (dazu Rz. 119 lit. d)), der gestützt auf Art. 29 DSG-CH bereits stark wirksame und abschreckende Untersuchungen durchführen kann, die alsdann in gerichtlichen Verboten münden können. Zudem können Strafverfolgungsbehörden Bußgelder aussprechen und tun dies auch, wenn Verletzungen zur Anzeige gebracht werden. Sodann können Private bei Gerichten beantragen, rechtswidriges Verhalten zu verbieten. Ob der EDÖB mit genügend Personal ausgestattet ist, darf allerdings kritisch hinterfragt werden (s. Rz. 138 ff.) – auch dies ein Kriterium, das in die Beurteilung einzufließen hat66.
–
Der Nachweis darüber, ob die Schweiz unter den Aspekten der polizeilichen Sicherheit den Datenschutz in angemessener Weise achtet (dazu Rz. 120), kann in dieser Publikation nicht weitergeführt werden. Es muss hier der Hinweis genügen, dass die Schweiz mit dem SDSG (dazu Rz. 9) die Anforderungen der entsprechenden Richtlinie bereits auf den 1. März 2019 in Kraft gesetzt hat. Auch insofern kann der Schweiz somit wohl Angemessenheit bereits heute bestätigt werden.
–
In Bezug auf die Einbindung der Schweiz in das aktuelle, datenschutzbezogene Staatsvertragssystem (Rz. 121) kann festgestellt werden, dass die Schweiz das Zusatzprotokoll zur Datenschutzkonvention 108 des Europarats67 noch nicht ratifiziert hat. Dies wird notwendig
66 S. Rz. 119 lit. c): „Darüber hinaus sind auch das Personal und der Haushalt der Aufsichtsbehörde zu beachten“. 67 https://www.coe.int/de/web/portal/-/enhancing-data-protection-globally-council-of-europe-updates-its-landmark-convention.
341
Christian Laux
sein, damit die Schweiz Angemessenheit behalten kann, worauf auch der EDÖB bereits hingewiesen hat (Rz. 99, am Ende). Damit die Schweiz die revidierte Datenschutzkonvention des Europarats ratifizieren kann, muss sie mindestens Folgendes einführen: (i) die Verpflichtung, Datenschutzverstöße zu melden (Data Breach Notifications); (ii) Einführung der Pflicht von Verantwortlichen (und Auftragsbearbeitern, für Letztere aber eher nicht nach der Konvention 108), ein Verarbeitungsverzeichnis zu führen; (iii) Pflicht, Privacy by Design und Privacy by Default zu wahren; (iv) Pflichten in Bezug auf Automatisierte Einzelfallentscheidungen und Widerspruchsrecht. Die von der Konvention ebenfalls verlangte Stärkung der Grundsätze der Verhältnismäßigkeit und Datenminimierung sind in der Schweiz m. E. bereits genügend umgesetzt. Mit dem schweizerischen Gesetzesentwurf würde diesbezüglich auf jeden Fall Angemessenheit erzielt. 131 Innerhalb der Schweiz hat sich die Situation seit Anerkennung der Angemessenheit durch die EU-Kommission im Jahr 2000 jedenfalls nicht nach unten verändert. Es sind damit jedenfalls keine Verschlechterungen eingetreten. Man kann nicht sagen, dass die Schweiz ein Hort für Unternehmen und Private wäre, die sich um das Datenschutzrecht foutieren würden. Information Governance ist auch in der schweizerischen Datenschutzrechtspraxis das zentrale Leitmotiv. Man kann also zum Schluss kommen, dass es aus schweizerischer Sicht keinen zwingenden Handlungsbedarf gäbe, das eigene Datenschutzrecht anzupassen, ausgenommen was den unter Rz. 130 (letzter Aufzählungspunkt) identifizierten Verbesserungsbedarf angeht. b) Zum Thema der Sanktionen insbesondere 132 Zwar häufen sich Berichte aus der EU über Sanktionsverfahren mit erklecklichen Bußgeldern im Fall von Datenschutzverletzungen. Solche Bußgeldsanktionen sieht das schweizerische Recht nicht vor. Nur: Nach dem Wortlaut von Artikel 45 DSGVO ist es kein hartes Erfordernis, dass die als gleichwertig bezeichnete Rechtsordnung ebenfalls mit hohen Bußgeldsanktionen droht. Gefordert ist nach der DSGVO einzig, dass die Datenschutzrechtsordnung nicht nur auf dem Papier besteht, sondern wirksam ist. 133 Im Jahr 2000 hat die EU-Kommission die Auffassung vertreten, Wirksamkeit sei in der Schweiz gegeben. Und da sich „innerhalb der Schweiz“ nichts zum Schlechten hin verändert hat, muss dies immer noch der Fall sein.
342
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Jetzt könnte man sagen, dass die Rechtsentwicklung in der EU mit der 134 DSGVO einen neuen, fundamentalen Wandel erfahren habe und das Datenschutzrecht in der EU neue Sphären erreicht habe. Nur ist dies nicht ganz richtig. Die fundamentale Neuerung der DSGVO besteht darin, dass sie innerhalb der EU zu einem einheitlichen Rechtsrahmen geworden ist (Verordnung statt Richtlinie). Aus der Distanz betrachtet, hat die DSGVO das materielle Datenschutzrecht per se nicht komplett neu geschrieben, wenngleich im Einzelnen durchaus Verschärfungen eingetreten sein mögen (insbesondere wird diese Einschätzung sicherlich nicht in jedem Mitgliedsland gleichermaßen ausfallen, da ja eben durchaus unterschiedliche Umsetzungsgrade in den einzelnen Mitgliedsländern „ruchbar“ wurden). Entsprechend wäre es durchaus folgerichtig, wenn die EU-Kommission sich auf den Standpunkt stellte, es bestehe kein Anlass dafür, den Angemessenheitsbeschluss aus dem Jahr 2000 anzufassen. Umgekehrt kann man auch aus einer nochmals gänzlich anderen Optik 135 über das Instrument der Bußgelder nachdenken. Die Tatsache, dass in einer Rechtsordnung Bußgelder verhängt werden, ist bei bewusst naiver Betrachtung kein Nachweis für ein wirksames Datenschutzrecht, eher im Gegenteil beweist das Bußgeld, dass eben ein Anlass dazu bestand (dass eben das gebüßte Unternehmen das erforderliche Datenschutzniveau gerade nicht umgesetzt hat). Bußgelder haben aber natürlich faktisch eine Disziplinierungswirkung, die ohne sie nicht bestünde. Bußgelder ermöglichen zudem statistische Aussagen über Entwicklungen (Anzahl, Bußgeldhöhe), was aus der planenden Sicht selbstverständlich eine nicht zu unterschätzende Wirkung haben kann. Insgesamt bleibt es aber dennoch bei der Feststellung, dass das Daten- 136 schutzniveau der Schweiz nicht allein deswegen als nicht angemessen zu qualifizieren wäre, weil ein der DSGVO nachgebildetes Sanktionenmodell mit Verwaltungsstrafen fehlt. V. Rechtstatsächliches In der Schweiz sorgt der EDÖB für die Einhaltung des Datenschutzes 137 im Privatbereich. Der EDÖB ist die Aufsichtsbehörde, die schweizweit Untersuchungen von Privaten durchführen kann. Daneben unterhält jeder der 26 Kantone der Schweiz einen Datenschutzbeauftragten (s. Rz. 22). Diese und ihr Personal sind jedoch nur für den Bereich der jeweiligen kantonalen Verwaltungen zuständig. Für die Aufsicht über die Bundesverwaltung – also über den Behördenverkehr bzw. das Auftreten von Behörden gegenüber Privaten – ist wiederum der EDÖB zuständig. 343
Christian Laux
138 Die Personalausstattung der Datenschutzbehörden in der Schweiz ist eher gering. Ich schätze, dass sich weniger als 100 Vollzeitstellen um die Durchsetzung des Datenschutzes in der Schweiz kümmern (bei ca. 8 Mio. Einwohnern und ca. 12’000 großen und mittelgroßen Unternehmen in der Schweiz)68. Im Jahr 2018 verfügte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) über 24 Vollzeitstellen im Zusammenhang mit dem DSG. Davon werden im Jahr 2019 14.1 %, das heißt etwas mehr als drei Vollzeitstellen, für die datenschutzrechtliche Aufsicht über sämtliche Bundesorgane und die gesamte schweizerische Privatwirtschaft eingesetzt. Der EDÖB kann jährlich etwa ein Dutzend Unternehmen untersuchen. Es fragt sich, ob der EDÖB mit genügend Personal ausgestattet ist, um aus Sicht der Rechtsdurchsetzungsaspekte leistungsfähig genug zu sein. Im Allgemeinen wird die Personalausstattung des EDÖB als eher zu gering angesehen69, und der EDÖB kommentiert dies in seinem aktuellen Rechenschaftsbericht zurückhaltend wie folgt: Gemäss Kontrollplan für das Jahr 2019 werden mit diesen Mitteln noch zwölf umfassendere Kontrollen bestritten. Im Vergleich zu der Anzahl von rund 12 000 grossen und mittleren Unternehmen in der Schweiz erweist sich die aktuelle Kontrolldichte nach wie vor als tief. Für den Beauftragten bleibt es schwierig, seine ressourcenbedingte Zurückhaltung bei der Eröffnung formeller Sachverhaltsabklärungen gegenüber Medien und Konsumentenschutzorganisationen zu vermitteln. Mit Erlass des SDSG (in Kraft auf den 1. März 2019)70 wird der zeitliche und personelle Aufwand des EDÖB zur Überwachung der Tätigkeiten des fedpol71 sicherlich an Bedeutung zunehmen.72 68 Ca. 25 Vollzeitstellen auf Bundesebene und ca. 60 Vollzeitstellen in den Kantonen, s. https://www.nzz.ch/schweiz/die-kantone-gefaehrden-sensible-datenihrer-buerger-ld.1397272. Mittelgroße Kantone sehen für den Datenschutz rund 3 Vollzeitstellen vor (als Beispiel der Kanton Freiburg mit 3.5 Vollzeitstellen, Rieder/Schwenkel/Kettiger/Knubel, S. 36), kleinere Kantone weniger als 1 Vollzeitstelle. 69 Bericht des Bundesrates über die Evaluation des Bundesgesetzes über den Datenschutz vom 9.12.2011, welche zum Schluss kommt, dass der EDÖB (nur) im Rahmen seiner Möglichkeiten eine hohe Wirksamkeit erziele (S. 343), ausserdem sei die Breitenwirkung seiner Aufsicht nicht gesichert (S. 344). Rieder/Schwenkel/Kettiger/Knubel, S. 10, lesen den Bericht des Bundesrats von 2011 wie folgt: „Die Evaluation des DSG kommt zum Schluss, dass der EDÖB mit ungenügenden Ressourcen ausgestattet ist.“. 70 Dazu Rz. 9. 71 Fedpol = Bundesamt für Polizei, https://www.fedpol.admin.ch. 72 Nachdem unsere Behörde durch dieses Gesetz bezüglich der besonders sensiblen Bearbeitung von Personendaten im Polizeibereich mit zusätzlichen Auf-
344
Nachvollzug des europäischen Datenschutzrechts in der Schweiz
Eine zu geringe Personalausstattung der Datenschutzbehörden kann den 139 Angemessenheitsentscheid der Kommission negativ beeinflussen. An dieser Stelle ist die folgende, von der Artikel 29-Datenschutzgruppe angestellte Überlegung herauszugreifen73: „Darüber hinaus sind auch das Personal und der Haushalt der Aufsichtsbehörde zu beachten“. Die geringe Personalausstattung bei den Aufsichtsbehörden zeigt Hand- 140 lungsbedarf auf. Man kann sogar noch weiter gehen: Es ist wohl vordringlich, dem EDÖB und wohl auch den kantonalen Datenschutzbehörden mehr Personal zu geben. Persönlich halte ich solche Maßnahmen für viel wichtiger als ein Sanktionensystem einzuführen, das ohnehin wegen seiner stoßenden Fehlkonzeption74 und der daraus resultierenden Ungerechtigkeit Umsetzungsprobleme haben wird und womöglich kaum zu Verurteilungen führen wird. VI. Abschließende Würdigung Der schweizerische Gesetzesentwurf ist teilweise fast kongruent mit 141 der DSGVO, und zwar in Bezug auf: die Datenschutzgrundsätze; die Verpflichtung auf Privacy by Design/by Default; Konzept, Voraussetzungen und Rechtsfolgen der Auftragsdatenverarbeitung; die meisten Betroffenenrechte (außer der Datenherausgabe), so namentlich Berichtigung, Einschränkung der Verarbeitung und Löschung; sowie in Bezug auf Automatisierte Einzelfallentscheidungen (AEFE), namentlich die Information und Anhörung bei solchen. Große Unterschiede weist der Gesetzesentwurf auf in Bezug auf das 142 Sanktionenkonzept; Herausgabeansprüche (es fehlt nicht nur das Institut der Datenportabilität, sondern auch der niederschwellige Anspruch, Daten in einem nicht portierfähigen Format zu erhalten) und den Datenschutzberater („DSB“), der nach dem schweizerischen Gesetzesentwurf fakultativ ist. Sodann führt der schweizerische Gesetzesentwurf Regelungen über die Rechte „von verstorbenen Personen“ auf ihre Daten ein. Sodann bestehen in vielen Teilbestimmungen kleinere Abweichungen 143 zur DSGVO, welche schweizerischen und ausländischen Unternehmen gaben und Befugnissen betraut wurde, wird sie namentlich bei der Kontrolle der Datenbearbeitung durch das Bundesamt für Polizei, fedpol, einen Schwerpunkt setzen müssen. 73 Rz. 119 lit. c). 74 Rz. 43 ff.
345
Christian Laux
die Aufgabe, Compliance herzustellen, unnötig erschweren dürften – auf jeden Fall werden die Arbeiten aufgrund dieses Umstands verteuert. Insgesamt tut sich die Schweiz und ihren Unternehmen mit dem vorgelegten Gesetzgebungsentwurf keinen Gefallen. 144 Wo besteht Handlungsbedarf? Sollten die Arbeiten an einem umfassend revidierten Datenschutzgesetz für die Schweiz weiterhin auf sich warten lassen, sollten die dafür zuständigen Stellen in der Schweiz zwischenzeitlich die Budgets für den EDÖB ausweiten, um ihm zu ermöglichen, mehr Personalressourcen einzusetzen. Dies wäre wohl das schnellste und wirksamste Mittel, Angemessenheit im Sinne von Artikel 45 DSGVO herzustellen. 145 Wenn das vom Bundesrat im Herbst 2017 vorgelegte Revisionsvorhaben weiterhin stockt, sollte das Parlament sich dazu durchringen, nur die Minimallösung zu realisieren – mit anderen Worten jenen Umfang, der zwingend erforderlich ist, um die Datenschutzkonvention 108 des Europarats zu ratifizieren. Es handelt sich um die folgenden Punkte, die ins bestehende Gesetz mindestens einzuführen wären: (i) die Verpflichtung, Datenschutzverstöße zu melden (Data Breach Notifications); (ii) Einführung der Pflicht von Verantwortlichen (und Auftragsverarbeitern, für Letztere aber eher nicht nach der Konvention 108), ein Verarbeitungsverzeichnis zu führen; (iii) Pflicht, Privacy by Design und Privacy by Default zu wahren; (iv) Pflichten in Bezug auf Automatisierte Einzelfallentscheidungen und (v) Widerspruchsrecht. Wenn festgestellt werden sollte, dass die Schweiz Wettbewerbsnachteile erfährt, weil die in der Schweiz ansässigen Unternehmen im internationalen Vergleich als datenschutzmäßig unterentwickelt gelten, kann das Parlament das Datenschutzrecht später immer noch umfassend anpassen, und dannzumal dafür wirksamer.
346
Die Richtlinie über den (Online-)Warenkauf Quincy C. Lobach* I. Einleitung II. Vom optionalen Instrument zur Vollharmonisierung III. Anwendungsbereich 1. Persönlicher Anwendungsbereich 2. Sachlicher Anwendungsbereich IV. 1. 2. 3.
Systematische Einordnung Verhältnis der WK-RL zur DI-RL Verhältnis zur VRR-RL Verhältnis zur Rom I-VO
V. Vertragsmäßigkeit 1. Beschaffenheitsbegriff a) Vereinbarte Beschaffenheit b) Objektive Anforderungen c) Verhältnis der objektiven zur subjektiven Beschaffenheit und negative Beschaffenheitsvereinbarung 2. Maßgeblicher Zeitpunkt für die Beurteilung der Vertragsmäßigkeit
3. Haftungszeitraum 4. Beweisvermutung VI. Rechtsbehelfe bei Vertragswidrigkeit 1. Nacherfüllung a) Wahlrecht des Verbrauchers zwischen Nachbesserung und Ersatzlieferung b) Ersatzlieferung 2. Preisminderung und Beendigung a) Preisminderung b) Beendigung 3. Ausschluss der Rechtsbehelfe a) Rügeobliegenheit b) Mitverschulden des Verbrauchers beim Entstehen der Vertragswidrigkeit 4. Sonstiges VII. Schlussbetrachtung
Literaturübersicht: Adolphsen, Die negative Beschaffenheitsvereinbarung im Kaufrecht, in: FS Schapp, 2010, S. 1; Artz/Gsell (Hrsg.), Verbrauchervertragsrecht und digitaler Binnenmarkt, 2018; Augenhöfer, Der Nacherfüllungsort beim Verbrauchsgüterkauf, NJW 2019, 1988; Bach, Neue Richtlinien zum Verbrauchsgüterkauf und zu Verbraucherverträgen über digitale Inhalte, NJW 2019, 1705; Beale, Scope of application and general approach of the new rules for contracts in the digital environment, Working-Paper for the JURI-Committee of the European Parliament, 2016, www. epgencms.europarl.europa.eu/../pe_536.493_print.pdf; Druschel/Lehmann, Ein digitaler Binnenmarkt für digitale Güter, CR 2016, 244; Faust, Leistungsstörungsrecht, in: Remien/Herrler/Limmer (Hrsg.), Gemeinsames Europäisches Kaufrecht für
*
Quincy C. Lobach, LL.M. mult., Wissenschaftlicher Mitarbeiter am Institut für ausländisches und internationales Privat- und Wirtschaftsrecht, Universität Heidelberg. Eine frühere Fassung des vorliegenden Beitrags wurde mit dem diesjährigen Absolventenpreis der Deutschen Stiftung für Recht und Informatik (DSRI) ausgezeichnet. Mein besonderer Dank für die Empfehlung der ursprünglichen Arbeit an die DSRI gilt Prof. Dr. Dr. h.c. Thomas Pfeiffer.
347
Quincy C. Lobach die EU? Analyse des Vorschlags der Europäischen Kommission für ein optionales Europäisches Vertragsrecht vom 11. Oktober 2011, 2012, S. 161; Feldmann, Ort der Nacherfüllung, Kostenvorschuss und Inhalt des Nacherfüllungsverlangen, EuZW 2019, 601; Föhlisch, Brauchen wir ein harmonisiertes Gewährleistungsrecht für den Online-Warenhandel?, VuR 2016, 201; Grünberger, Verträge über digitale Inhalte – Überblick und Auswirkungen auf das Urheberrecht, ZUM 2018, 73; Gsell, Rechtsbehelfe bei Vertragswidrigkeit in den Richtlinienvorschlägen zum Fernabsatz von Waren und zur Bereitstellung digitaler Inhalte, in: Artz/Gsell (Hrsg.), Verbrauchervertragsrecht und digitaler Binnenmarkt, 2018; Gsell, Der europäische Richtlinienvorschlag zu bestimmten vertragsrechtlichen Aspekte der Bereitstellung digitaler Inhalte, ZUM 2018, 75; Gsell, Fehlerbegriff und (negative) Beschaffenheitsvereinbarungen im Vorschlag für ein Gemeinsames Europäisches Kaufrecht, in: Schulte-Nölke/Zoll/Jansen/Schulze (Hrsg.), Der Entwurf für ein optionales europäisches Kaufrecht, 2012, S. 229; Grundmann/Bianca (Hrsg.), EU-Kaufrechts-Richtlinie, Kommentar, 2002; A. Huber, Der digitale Binnenmarkt – eine Bestandsaufnahme, MMR 2017, 141; Kaiser, Gesetzgeber gefordert: Aus- und Einbaupflicht des Verkäufers, JZ 7/2013, 346; Langhanke, Daten als Leistung, 2018; Langhanke/SchmidtKessel, Consumer Data as Consideration, EuCML 2015, 218; Lehmann, Binnenkohärenz des europäischen Verbrauchervertragsrechts, in: Artz/Gsell (Hrsg.), Verbrauchervertragsrecht und digitaler Binnenmarkt, 2018, S. 19; Loos/Helberger/Guibault/ C. Mak, The Regulation of Digital Content Contracts in the Optional Instrument of Contract Law, ERPL 6/2011, 729; Lorenz, Sachmangel und Beweislastumkehr im Verbrauchsgüterkauf – Zur Reichweite der Vermutungsregelung in § 476 BGB, NJW 2004, 3020; Lorenz, Ein- und Ausbauverpflichtungen des Verkäufers bei der kaufrechtlichen Nacherfüllung, Ein Paukenschlag aus Luxemburg und seine Folge, NJW 2011, 2241; Mackenrodt, Technologie statt Vertrag?, 2015; V. Mak, The new proposal for harmonised rules on certain aspects concerning contracts for the supply of digital content, Working-Paper for the JURI-Committee of the European Parliament, 2016, www.epgencms.europarl.europa.eu/../pe__536.494_en.pdf; Maultzsch, Der Entwurf für eine EU-Richtlinie über den Online-Warenhandel und andere Formen des Fernabsatzes von Waren, JZ 5/2016, 236; Maultzsch, Zukunftsfähiger Rechtsrahmen für die Herausforderungen des digitalen Binnenmarktes?, ZRP 2016, 154; Münchener Kommentar zum BGB, hrsg. v. Säcker u. a., Bd. I (8. Aufl., 2018), Bd. II (7. Aufl., 2016), Bd. III (7. Aufl., 2016); Münchener Kommentar zum HGB, hrsg. v. K. Schmidt, Bd. V (4. Aufl., 2018); Nomos Kommentar zum BGB, hrsg. v. Dauner-Lieb/Langen, Bd. II/1 (3. Aufl., 2016); Ostendorf, Geplanter neuer Rechtsrahmen für Online-Warenhandel und Bereitstellung digitaler Inhalte im Europäischen Binnenmarkt, ZRP 2016, 69; Palandt, Kommentar zum BGB, bearb. v. Brudermüller u. a., 77. Aufl., 2018; Pfeiffer, Der Verbraucherbegriff als zentrales Merkmal im europäischen Privatrecht, in: Schulte-Nölke/Schulze (Hrsg.), Europäische Rechtsangleichung und nationale Privatrechte, 1999, S. 21; Purnhagen, Zur Auslegung der Nacherfüllungsverpflichtungen – Ein Paukenschlag aus Luxemburg, EuZW 2011, 626; Riehm, Regelungsbereich und Harmonisierungsintensität des Richtlinienentwurfs zum Waren-Fernabsatz, in: Artz/Gsell (Hrsg.), Verbrauchervertragsrecht und digitaler Binnenmarkt, 2018, S. 73; Riehm/Abold, Mängelgewährleistungspflichten des Anbieters digitaler Inhalte, ZUM 2018, 82; Schlechtriem/Schwenzer (Hrsg.), Commentary on the CISG, 4. Aufl., 2016; Schmidt-Kessel (Hrsg.), Der Entwurf für ein Gemeinsames Europäisches Kaufrecht, Kommentar, 2014; Schmidt-Kessel, Verträge über digitale Inhalte – Einordnung und Verbraucherschutz, K&R 2014, 475; Schmidt-Kessel/Erler/ Grimm/Kramme, Die Richtlinienvorschläge der Kommission zu Digitalen Inhalten und Online-Warenhandel – Teil 1, GPR 1/2016, 2-8; dies., Die Richtlinienvorschlä-
348
Die Richtlinie über den (Online-)Warenkauf ge der Kommission zu Digitalen Inhalten und Online-Warenhandel – Teil 2, GPR 2/2016, 54-70; Schroeter/v. Göler, Der Richtlinienvorschlag der EU-Kommission zum Vertragsrecht des Online-Warenhandels, DB 13/2016, 754; Schulte-Nölke, Anforderungen an haftungseinschränkende Beschaffenheitsvereinbarungen beim Verbrauchsgüterkauf, ZGS 2003, 184; Schulte-Nölke/Twigg-Flesner/Ebers (Hrsg.), EC Consumer Law Compendium, The Consumer Acquis and its transposition in the Member States, 2008; Schulze/Staudenmayer/Lohsse (Hrsg.), Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, 2017; Smits, New European Proposals for Distance Sales and Digital Contents Contracts: Fit for Purpose?, ZEuP 3/2016, 319; Smits, The new proposal for harmonised rules for the online sales of tangible goods: conformity, lack of conformity and remedies, Working-Paper for the JURI-Committee of the European Parliament, 2016, www.epgencms.europarl.europa.eu/../pe_536.492_en_print.pdf; Soergel, Kommentar zum BGB, hrsg. v. Siebert, Bd. IIa, (13. Aufl., 2002); Spindler, Verträge über digitale Inhalte – Anwendungsbereich und Ansätze – Vorschlag der EU-Kommission zu einer Richtlinie über Verträge zur Bereitstellung digitaler Inhalte, MMR 2016, 147; Spindler, Verträge über digitale Inhalte – Haftung, Gewährleistung und Portabilität – Vorschlag der EU-Kommission zu einer Richtlinie über Verträge zur Bereitstellung digitaler Inhalte, MMR 2016, 219; Spindler/Sein, Die endgültige Richtlinie über Verträge über digitale Inhalte und Dienstleistungen, MMR 2019, 415; Staudenmayer, Verträge über digitalen Inhalt – Der Richtlinienvorschlag der Europäischen Kommission, NJW 2016, 2719; Staudenmayer, Digitale Verträge – Die Richtlinienvorschläge der Europäischen Kommission, ZEuP 2016, 801; Stiegler/Wawryka, Umbruch der Gewährleistungsrechte beim Fernabsatzverkehr? – Der Richtlinienvorschlag über vertragliche Aspekte des Online-Warenhandels, BB 2016, 903; Wendehorst, Sale of goods and supply of digital content – two worlds apart?, Working-Paper for the JURI-Committee of the European Parliament, 2016, www.europarl.europa.eu/../pe%20556 %20928 %20 EN_final.pdf; Wendehorst/Zöchling-Jud (Hrsg.), Ein neues Vertragsrecht für den digitalen Binnenmarkt – Zu den Richtlinienvorschlägen der Europäischen Kommission vom Dezember 2015, 2016; Wendland, GEK 2.0? Ein europäischer Rechtsrahmen für den Digitalen Binnenmarkt: Der Kommissionsvorschlag einer Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte (Digitalgüter-Richtlinie), GPR 1/2016, 8; Wendland, Ein neues europäisches Vertragsrecht für den Online-Handel? Die Richtlinienvorschläge der Kommission zu vertragsrechtlichen Aspekten der Bereitstellung digitaler Inhalte und des Online-Warenhandels, EuZW 2016, 126; Zinner, Was vom CESL übrigblieb – Neues Verbrauchervertragsrecht mit digitalem Einschlag, VuR 2019, 241; Zoll, The Remedies in the Proposals of the Online Sales Directive and the Directive on the Supply of Digital Content, EuCML 2016, 250.
I. Einleitung In Dezember 2015 hatte die EU-Kommission zwei Richtlinienvorschläge 1 vorgestellt. Mit dem ersten Entwurf sollten vertragliche Aspekte der Bereitstellung digitaler Inhalte1 normiert werden, während sich die zweite 1
Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte, KOM (2015) 634 endg.
349
Quincy C. Lobach
vorgeschlagene Richtlinie mit vertraglichen Aspekten des Online-Warenhandels (hiernach: OWH-RL)2 beschäftigte. Die beiden Richtlinienvorschläge ersetzten den 2014 beim Antreten der Kommission Juncker zurückgezogenen3 Vorschlag für ein Gemeinsames Europäisches Kaufrecht (hiernach: GEKR)4 und waren Teil der Strategie für einen digitalen Binnenmarkt für Europa, im Rahmen derer die Kommission eine Reihe von auch über das Verbrauchervertragsrecht hinausgehenden5 Maßnahmen zur Förderung des digitalen Binnenmarkts angekündigt hatte.6
2
3
4
5
6
Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte des Online-Warenhandels und anderer Formen des Fernabsatzes von Waren, KOM (2015) 635 endg. Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Arbeitsprogramm der Kommission für 2015, Ein neuer Start, KOM (2014) 910 endg., Anhang II, Nr. 60. Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über ein Gemeinsames Europäisches Kaufrecht, KOM (2011) 635 endg.; Mitteilung der Kommission an das Europäische Parlament, den Rat und den Europäischen Wirtschafts- und Sozialausschuss, Ein modernes Vertragsrecht für Europa, Das Potenzial des elektronischen Handels freisetzen, KOM (2015) 633 endg., S. 7. So sollte auch ein System hochwertiger grenzüberschreitender Paketzustelldienste geschaffen, ungerechtfertigtes Geoblocking verhindert, ein Teil des europäischen Urheberrechts harmonisiert und mehrwertsteuer-bedingter Verwaltungsaufwand vermindert werden. Zum Teil sind zu diesen Themen bereits Rechtsakte erlassen worden, bspw. Verordnung (EU) 2017/2454 des Rates v. 5.12.2017 zur Änderung der Verordnung (EU) Nr. 904/2010 des Rates über die Zusammenarbeit der Verwaltungsbehörden und die Betrugsbekämpfung auf dem Gebiet der Mehrwertsteuer, ABl. EU L 348 v. 29.12.2017, S. 1 ff. sowie Richtlinie (EU) 2017/2455 des Rates v. 5.12.2017 zur Änderung der Richtlinie 2006/112/EG und der Richtlinie 2009/132/EG in Bezug auf bestimmte mehrwertsteuerliche Pflichten für die Erbringung von Dienstleistungen und für Fernverkäufe von Gegenständen, ABl. EU L 348 v. 29.12.2017, S. 7 ff.; Verordnung (EU) 2018/302 des Europäischen Parlaments und des Rates v. 28.2.2018 über Maßnahmen gegen ungerechtfertigtes Geoblocking und andere Formen der Diskriminierung aufgrund der Staatsangehörigkeit, des Wohnsitzes oder des Ortes der Niederlassung des Kunden innerhalb des Binnenmarkts und zur Änderung der Verordnungen (EG) Nr. 2006/2004 und (EU) 2017/2394 sowie der Richtlinie 2009/22/EG, ABl. EU LI 60 v. 2.3.2018, S. 1 ff.; Verordnung (EU) 2018/644 des Europäischen Parlaments und des Rates v. 18.4.2018 über grenzüberschreitende Paketzustelldienste, ABl. EU L 112 v. 2.5.2018, S. 19 ff. Siehe im Überblick ferner A. Huber, MMR 2017, 141 m.w.N. Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen, Strategie für einen digitalen Binnenmarkt für Europa, KOM (2015) 192 endg.
350
Die Richtlinie über den (Online-)Warenkauf
Nach Diskussionen in Politik und Wissenschaft sind die beiden Richt- 2 linienvorschläge im europäischen Rechtsetzungsverfahren mehrfach überarbeitet worden. Der ursprünglich nur für den Online-Warenhandel gedachte Richtlinienvorschlag, dessen Anwendungsbereich durch einen geänderten Entwurf der EU-Kommission7 auf das gesamte Verbraucherkaufrecht, also unabhängig vom Vertriebskanal, erweitert wurde und der die Verbrauchsgüterkaufrichtlinie8 (hiernach: VGK-RL) ersetzen sollte, wurde zunächst in erster Lesung durch das Europäische Parlament und im Anschluss erneut im Rahmen der Behandlungen im Rat9 geändert. Die europäische Legislative hatte die Modernisierung des Verbraucherrechts im digitalen Bereich Ende 2017 zur Priorität erklärt10 und sich zum Ziel gesetzt, die beiden Vorschläge bis zum Ende der Legislaturperiode zu verabschieden11. In der Tat wurde sowohl die Richtlinie zu den digitalen Inhalten (hiernach: DI-RL)12 als auch die Richtlinie zum Warenkauf (hiernach: WK-RL)13 in Mai 2019 verabschiedet. Im akademischen Diskurs erfreute sich vor allem die DI-RL großer Auf- 3 merksamkeit.14 Vielfach thematisiert wurde insb. die Anerkennung der 7 Geänderter Vorschlag für eine Richtlinie des Europäischen Parlaments und des Rates über bestimmte vertragsrechtliche Aspekte des Warenhandels, zur Änderung der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates und der Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates, KOM (2017) 637 endg. 8 Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates v. 25.5.1999 zu bestimmten Aspekten des Verbrauchsgüterkaufs und der Garantien für Verbrauchsgüter, ABl. EG L 171 v. 7.7.1999, S. 12 ff. 9 Siehe etwa Ratsdokument Nr. 14951/18 v. 3.12.2018, Interinstitutionelles Dossier 2015/288 (COD). 10 Joint Declaration on the EU’s legislative priorities for 2018-19. 11 Working document for the Joint Declaration on the EU’s legislative priorities for 2018-19, Nr. 19. 12 Richtlinie (EU) 2017/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistung, ABl. EU L 136 v. 22.5.2019, S. 1 ff. 13 Richtlinie (EU) 2019/771 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte des Warenkaufs, zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie 2009/22/EG sowie zur Aufhebung der Richtlinie 1999/44/EG, ABl. EU L 136 v. 22.5.2019, S. 28 ff. 14 Siehe etwa Artz/Gsell (Hrsg.), Verbrauchervertragsrecht und digitaler Binnenmarkt; Grünberger, ZUM 2018, 73; Gsell, ZUM 2018, 75; Riehm/Abold, ZUM 2018, 82; Schmidt-Kessel, K&R 2014, 475; Schulze/Staudenmayer/Lohsse (Hrsg.), Contracts for the Supply of Digital Content: Regulatory Challenges and Gaps, 2017; Smits, ZEuP 3/2016, 319; Spindler, MMR 2016, 147; ders., MMR 2016, 219; ders./Sein, MMR 2019, 415; Staudenmayer, NJW 2016, 2719; ders.,
351
Quincy C. Lobach
Möglichkeit einer sog. Zahlung mit personenbezogenen Daten für die Zwecke des Vertragsrechts.15 Gerade durch die Erweiterung des Anwendungsbereichs hat die WK-RL allerdings nochmal erheblich an praktischer Relevanz gewonnen. II. Vom optionalen Instrument zur Vollharmonisierung 4 Den Ansatz der Rechtsvereinheitlichung mittels eines optionalen Instruments hat die Kommission mit dem Scheitern des GEKR endgültig hinter sich gelassen.16 Stattdessen sollte nun das Verbraucherrecht wiederum mittels Richtlinien – eines traditionellen Instruments, das sich im europäischen Verbraucherrecht durchaus bewährt hat – harmonisiert werden. 5 Bemerkenswert ist allerdings, dass mit der WK-RL nunmehr eine Strategie der Vollharmonisierung verfolgt wird (Art. 4 WK-RL). Die hinsichtlich des Regelungsgegenstands ähnliche VGK-RL hingegen ging noch von Mindestharmonisierung aus (Art. 8 Abs. 2 VGK-RL).17 Gerade diese Mindestharmonisierung, die zu einer den Binnenmarkt hindernden Fragmentierung der nationalen Vertragsrechte geführt habe, greift die Kommission in dieser gesetzgeberischen Initiative zur Rechtfertigung der Notwendigkeit vollharmonisierender Maßnahmen auf.18 6 Der Vollharmonisierungsansatz wird allerdings nicht konsequent eingehalten.19 Ausweislich der ErwGr. und verschiedener Vorschriften dürfen Mitgliedstaaten in bestimmten Bereichen weiterhin gesetzgeberisch tätig werden und über die Richtlinie hinausgehende Vorschriften erlassen. Beispielhaft sei an dieser Stelle bereits die Vermutung einer Vertragswidrigkeit zum maßgeblichen Zeitpunkt für solche Mängel, die sich innerhalb eines Jahres nach der Lieferung offenbaren (Art. 11 Abs. 1 WK-RL),
15
16 17 18
19
ZEuP 2016, 801; Wendehorst/Zöchling-Jud (Hrsg.), Ein neues Vertragsrecht für den digitalen Binnenmarkt; Wendland, GPR 1/2016, 8; ders., EuZW 2016, 126. Siehe dazu, neben den soeben zitierten Autoren, insb. Langhanke, Daten als Leistung; dies./Schmidt-Kessel, EuCML 2015, 218; Schmidt-Kessel/Erler/ Grimm/Kramme, GPR 2/2016, 54 (57 f.). Vgl. Maultzsch, JZ 5/2016, 236 (237); Schmidt-Kessel/Erler/Grimm/Kramme, GPR 1/2016, 2 (3). Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 1 Rz. 3. Vgl. ErwGr. 6 ff. WK-RL; siehe auch Schmidt-Kessel/Erler/Grimm/Kramme, GPR 1/2016, 2 (4); Schroeter/v. Göler, DB 13/2016, 754. Kritisch Lehmann in: Artz/Gsell, S. 19 (38 f.). So auch Bach, NJW 2019, 1705; Zinner, VuR 2019, 241 f.
352
Die Richtlinie über den (Online-)Warenkauf
erwähnt; den Mitgliedstaaten ist es gestattet, eine Frist von bis zu zwei Jahren vorzusehen (Art. 11 Abs. 2 WK-RL, dazu ausführlich Rz. 36 ff.). Die Richtlinie stellt im Übrigen noch einmal klar, dass der Verkäufer 7 nicht daran gehindert ist, dem Verbraucher über das von der Richtlinie festgelegte Verbraucherschutzniveau hinausgehende Vertragskonditionen anzubieten (Art. 21 Abs. 2 WK-RL). Dies entspricht in einigen Geschäftszweigen bereits der gängigen Praxis. III. Anwendungsbereich 1. Persönlicher Anwendungsbereich Die WK-RL ist in persönlicher Hinsicht auf sog. B2C-Verträge, also sol- 8 che zwischen einem Unternehmer – für die Zwecke dieser Richtlinie: dem Verkäufer – und einem Verbraucher anwendbar (Art. 1 und 3 Abs. 1 WK-RL). Die legaldefinierten Begriffe des Verbrauchers (Art. 2 Nr. 2 WKRL) und des Verkäufers (Art. 2 Nr. 3 WK-RL) sind in der mittlerweile im europäischen Verbraucherrecht üblich gewordenen,20 dennoch nicht ganz unproblematischen21 und teilweise divergenten22 Weise zu verstehen. 2. Sachlicher Anwendungsbereich Die OWH-RL war zuvor, wie bereits eingangs erwähnt, auf ohne gleich- 9 zeitige körperliche Anwesenheit der Parteien geschlossene Kaufverträge über bewegliche körperliche Gegenstände anwendbar (vgl. Art. 1 Abs. 1, Art. 2 lit. a, d und e OWH-RL) und umfasste deshalb lediglich den Fernabsatz.23 Die VGK-RL regelt derzeit allerdings sämtliche Formen von 20 Die Legaldefinitionen des vorliegenden Richtlinienvorschlags decken sich weitgehend mit den Begriffsbestimmungen des Art. 1 Abs. 2 lit. a VGK-RL und Art. 2 Nr. 1 VRR-RL. Siehe für einen Überblick von Definitionen in anderen Richtlinien Soergel/Pfeiffer, BGB, § 13 Rz. 4; NK-BGB/Pfeiffer (2016), VGK-RL, Art. 1 Rz. 18 ff. 21 Erwähnt sind an dieser Stelle nur die Dual Use-Problematik und die Behandlung kleiner gemeinnützigen Organisationen o.Ä. Siehe dazu Soergel/Pfeiffer, BGB, § 13 Rz. 38 bzw. 48; ders. in: Schulte-Nölke/Schulze, Europäische Rechtsangleichung und nationales Privatrecht, S. 37 ff.; NK-BGB/Pfeiffer (2016), VGK-RL, Art. 1 Rz. 21 ff. 22 So ist innerhalb des Mehrebenensystems zu beachten, dass das nationale Verständnis des Verbraucherbegriffs nicht notwendigerweise mit dem des europäischen Verbraucherrechts deckungsgleich ist. Vgl. MüKoBGB/Micklitz (2018), § 13 Rz. 4 ff. m.w.N.; Soergel/Pfeiffer, BGB, § 13 Rz. 48 ff. 23 Irreführend war insoweit die Bezeichnung als Richtlinienentwurf für den Online-Warenhandel. Vgl. Riehm, in: Artz/Gsell, S. 73 (74).
353
Quincy C. Lobach
Verbraucherkaufverträgen, d. h. unabhängig davon, ob diese im Wege des Fernabsatzes oder in Geschäftsräumen geschlossen werden. Ursprünglich wollte die OWH-RL dies dahingehend ändern, dass Fernabsatzverträge aus dem Anwendungsbereich der VGK-RL ausgeschlossen worden wären (vgl. Art. 19 OWH-RL).24 Damit hätte sich insgesamt eine äußerst unübersichtliche und kaum sachlich gerechtfertigte (verbraucher-)kaufrechtliche Landschaft ergeben, in der für den stationären Einzelhandel und den Online-Handel unterschiedliche Verbraucherschutzstandards gegolten hätten. Aufgrund des divergierenden Harmonisierungsgrades (vgl. Art. 3 OWH-RL; Art. 8 Abs. 2 VGK-RL) wäre es zudem in manchen Mitgliedstaaten zu einer Senkung25 bzw. Steigerung des Verbraucherschutzniveaus für den Online-Handel gekommen. Eine solche Fragmentierung des Verbraucherkaufrechts nach Vertriebsmodalitäten, die insb. für multi-modale Vertriebsformen problematisch gewesen wäre26, ist in der Literatur vielfach und zu Recht kritisiert worden.27 10 Die WK-RL löst diese Problematik dadurch, dass diese auf sämtliche Verbraucherkaufverträge anwendbar ist (Art. 1, 3 Abs. 1 WK-RL) und die VGK-RL vollständig ersetzt (Art. 23 WK-RL).28 Denn in Anbetracht des im Rahmen des REFIT-Programms durchgeführten Fitness Checks des Verbraucherrechts29 war die EU-Kommission zum Ergebnis gekommen, Unternehmen sollen sich auf einen einheitlichen Rechtsrahmen verlassen können.30
24 Vgl. ErwGr 38 OWH-RL; Maultzsch, JZ 5/2016, 236 (238). 25 Dies wäre insb. im Vereinigten Königreich im Hinblick auf das sog. short-term right to reject (vgl. Sections 19, 20 und 22 Consumer Rights Act 2015) der Fall gewesen. Dazu Beale, Working-Paper, S. 6 und 18 ff. Vgl. nunmehr auch ErwGr. 19 WK-RL, der die Beibehaltung eines solchen Rechts weiterhin zulässt. 26 Vgl. Föhlisch, VuR 2016, 201 (202). 27 Vgl. Föhlisch, VuR 2016, 201 (202); Lehmann in: Artz/Gsell, S. 19 (29 ff.); Maultzsch, JZ 5/2016, 236 (238); Riehm, in: Artz/Gsell, S. 73 (76 f.); Schmidt-Kessel/Erler/Grimm/Kramme, GPR 1/2016, 2 (6); Smits, ZEuP 3/2016, 319 (323 f.); Zoll, EuCML 2016, 250 ff.; aA Druschel/Lehmann, CR 2016, 244 (251); „keine überraschenden Neuigkeiten“ und ein Vorschlag, der „auf breite und schnelle Zustimmung stoßen“ sollte. 28 Die Bemerkung der Kommission im Vorschlag der OWH-RL, es können „die entsprechenden Schlussfolgerungen“ gezogen werden, sofern „eine Initiative der Kommission zum klassischen Einzelhandel erforderlich ist“ (KOM (2015) 635 endg., S. 3) ließ bereits auf eine solche Absicht schließen. Schroeter/v. Göler, DB 13/2016, 754 (755) hatten die OWH-RL bereits als „Trojanisches Pferd“ bezeichnet, mit der das ganze Verbraucherkaufrecht vollharmonisiert werden sollte. 29 Report of the Fitness Check, SWD (2017) 209 final. 30 Vgl. KOM (2017) 637 endg., S. 2 ff., ErwGr. 9.
354
Die Richtlinie über den (Online-)Warenkauf
Der Kaufvertrag, dessen Legaldefinition den unterschiedlichen nationalen 11 sachenrechtlichen Konzeptionen des Eigentumsübergangs Rechnung trägt (vgl. Art. 2 Nr. 1 WK-RL), kann sowohl eine bereits existierende als auch eine noch herzustellende (vgl. Art. 3 Abs. 2 WK-RL) Ware als Vertragsobjekt haben. Darunter sind grundsätzlich bewegliche körperliche Gegenstände zu verstehen (Art. 2 Nr. 5 lit. a WK-RL). Erfasst sind allerdings ebenfalls sog. smart objects oder – in der Terminologie der Richtlinie – Waren mit digitalen Elementen (Art. 2 Nr. 5 lit. b WK-RL) (dazu gleich Rz. 16). IV. Systematische Einordnung 1. Verhältnis der WK-RL zur DI-RL Obwohl die beiden Vorschläge zunächst als ein „Paket mit gemeinsa- 12 men Zielen“ konzipiert waren,31 war das Verhältnis beider Richtlinien zueinander von Anfang an undeutlich32 und Gegenstand politischer Diskussion.33 Grundsätzlich stellt die (Un-)Körperlichkeit des Vertragsgegenstands das 13 Abgrenzungsmerkmal für die Anwendbarkeit der einen oder anderen Richtlinie dar. Hat der Vertrag digitale Inhalte oder digitale Dienstleistungen (vgl. Art. 2 Nr. 6 und 7 WK-RL) zum Gegenstand, so kommt die DI-RL und nicht die WK-RL (vgl. Art. 3 Abs. 3 S. 1 WK-RL) zur Anwendung. Bei Waren ist hingegen die WK-RL anzuwenden (siehe Rz. 10). Bezieht sich der Kaufvertrag auf materielle Datenträger, die ausschließ- 14 lich der Übermittlung digitaler Inhalte dienen (bspw. CDs oder DVDs)34, so ist in Abweichung vom Grundsatz und trotz deren Körperlichkeit die WK-RL nicht anwendbar (Art. 3 Abs. 4 lit. a WK-RL). Politisch umstritten war insb. die Frage, in welcher Weise regulatorisch 15 mit der zunehmenden Digitalisierung ursprünglich analoger Produkte, insb. im Hinblick auf das Internet der Dinge und die smart objects, zu verfahren ist.35 Die ursprünglichen Richtlinienentwürfe hatten diese Themen mit einer durchaus kryptischen Formulierung, die auf eine 31 KOM (2015) 635 endg., S. 1. 32 Ebenso V. Mak, Working-Paper, S. 8 f.; Maultzsch, ZRP 2016, 154 (155); Schmidt-Kessel/Erler/Grimm/Kramme, GPR 1/2016, 2 (4 f.); Spindler, MMR 2016, 147 (148); Wendehorst, Working-Paper, S. 6 ff. 33 Vgl. Ratsdokument Nr. 14951/18 v. 3.12.2018, Interinstitutionelles Dossier 2015/288 (COD), S. 3 ff. 34 Vgl. ErwGr. 13 WK-RL. 35 Vgl. Ratsdokument Nr. 14951/18 v. 3.12.2018, S. 4 ff., Interinstitutionelles Dossier 2015/288 (COD).
355
Quincy C. Lobach
Unterordnung der Funktion der digitalen Inhalte im Verhältnis zu den Hauptfunktionen der Waren abstellte36, aus dem Anwendungsbereich der DI-RL ausgenommen und in die OWH-RL überführt. Diese Lösung war allerdings zu Recht kritisiert worden.37 16 Die Richtlinie gilt nunmehr ebenfalls für Waren mit digitalen Elementen, d. h. „bewegliche körperliche Gegenstände, die in einer Weise digitale Inhalte oder digitale Dienstleistungen enthalten oder mit ihnen verbunden sind, dass die Waren ihre Funktionen ohne die digitalen Inhalte oder digitalen Dienstleistungen nicht erfüllen könnten“ (Art. 2 Nr. 5 lit. b WK-RL). Dies gilt allerdings nur insoweit, als diese digitalen Elemente Teil des Kaufvertrags sind, wobei unerheblich ist, ob diese vom Verkäufer oder von einem Dritten bereitgestellt werden (Art. 3 Abs. 3 S. 2 WK-RL). Dass bei Waren mit digitalen Elementen die digitalen Inhalte oder Dienstleistungen Teil des Kaufvertrags sind, wird im Zweifel vermutet (Art. 3 Abs. 3 S. 3 WK-RL).38 2. Verhältnis zur VRR-RL 17 Im Verhältnis zur Verbraucherrechte-RL (hiernach: VRR-RL)39 ergeben sich aufgrund der unterschiedlichen Regelungsgegenstände vergleichsweise wenige Überschneidungen,40 denn diese normiert hauptsächlich vorvertragliche Informationspflichten des Verkäufers (vgl. Art. 5 ff. VRRRL) sowie das Widerrufsrecht des Verbrauchers (vgl. Art. 9 ff. VRR-RL). Berührungspunkte können sich dennoch bei vorvertraglichen Informationspflichten (Art. 6 VRR-RL) und der Bestimmung der Vertragsmäßigkeit ergeben (dazu Rz. 23).41
36 37 38 39
Vgl. ErwGr. 13 OWH-RL. Vgl. Wendehorst, Working-Paper, passim. Vgl. ErwGr. 14 ff. WK-RL. Richtlinie 2011/83/EU des Europäischen Parlaments und des Rates v. 25.10.2011 über die Rechte der Verbraucher, zur Abänderung der Richtlinie 93/13/EWG des Rates und der Richtlinie 1999/44/EG des Europäischen Parlaments und des Rates sowie zur Aufhebung der Richtlinie 85/577/EWG des Rates und der Richtlinie 97/7/EG des Europäischen Parlaments und des Rates, ABl.EU L 304 v. 22.11.2011, S. 64 ff. 40 Ebenso Schmidt-Kessel/Erler/Grimm/Kramme, GPR 1/2016, 2 (6). 41 Siehe auch ErwGr. 11 und 26 WK-RL.
356
Die Richtlinie über den (Online-)Warenkauf
3. Verhältnis zur Rom I-VO Innerhalb des vollharmonisierten Anwendungsbereichs der WK-RL wür- 18 de insb. Art. 6 Abs. 2 Rom I-VO42, gemäß welcher Vorschrift der Verbraucher im Falle einer Rechtswahl (Art. 3 Rom I-VO) nicht den ihm durch das Recht seines gewöhnlichen Aufenthaltsorts gewährten Schutz verlieren darf (Günstigkeitsprinzip),43 an Bedeutung verlieren, da in allen Mitgliedsstaaten dasselbe Verbraucherschutzniveau vorgesehen wäre. Im Übrigen, d. h. in den Bereichen, in denen die Mitgliedstaaten über die WK-RL hinausgehende Vorschriften erlassen dürfen (dazu oben Rz. 6 sowie unten etwa Rz. 35, 53 f. und 55) oder die nicht von der Richtlinie erfasst werden, behält die Vorschrift ihre Relevanz. V. Vertragsmäßigkeit Die Vertragsmäßigkeit der Waren ist geregelt in Art. 5 ff. WK-RL. Die 19 Richtlinie enthält allgemeine Vorschriften für die Beurteilung der Vertragsmäßigkeit und geht dabei von einem gemischten Beschaffenheitsbegriff aus, der sich sowohl aus subjektiven als auch aus objektiven Kriterien zusammensetzt (Art. 6 bzw. 7 WK-RL)44, sowie zwei Sondernormen zur unsachgemäßen Montage (Art. 8 WK-RL) und zu Rechtsmängeln (Art. 9 WK-RL). 1. Beschaffenheitsbegriff a) Vereinbarte Beschaffenheit Die Waren müssen zunächst „hinsichtlich der Beschreibung, der Art, 20 der Menge und der Qualität, der Funktionalität, der Kompatibilität, der Interoperabilität und sonstiger Merkmale“ den vertraglich vereinbarten Anforderungen entsprechen (Art. 6 lit. a WK-RL). Die Begriffe der Funktionalität, Kompatibilität und Interoperabilität sind legaldefiniert (Art. 2 Nr. 8-10 WK-RL). Die letzten beiden Merkmale beschreiben kurzweg die Fähigkeiten der Ware, mit irgendeiner Soft- oder Hardware zu interagieren.
42 Verordnung (EG) Nr. 593/2008 des Europäischen Parlaments und des Rates v. 17.6.2008 über das auf vertragliche Schuldverhältnisse anzuwendende Recht (Rom I), ABl. EU L 177 v. 4.7.2008, S. 6 ff. 43 Vgl. Staudinger/Magnus (2016), Rom I-VO, Art. 6 Rz. 4; MüKoBGB/Martiny (2018), Art. 6 Rom I-VO Rz. 58 ff. 44 Siehe zur ähnlichen Zusammensetzung des Beschaffenheitsbegriffs in der OWH-RL Maultzsch, JZ 5/2016, 236 (239).
357
Quincy C. Lobach
21 Strebt der Verbraucher mit den Waren einen bestimmten Zweck an, den er dem Verkäufer beim Vertragsschluss mitgeteilt und welchem der Verkäufer zugestimmt hat, so müssen sich die Waren für diesen Zweck eignen (Art. 6 lit. b WK-RL). Die Zweckvereinbarung des jetzigen Art. 6 lit. b WK-RL ist in der Literatur lebhaft diskutiert worden.45 Art. 100 lit. a GEKR ließ für eine wirksame Zweckvereinbarung ausreichen, dass der Zweck dem Verkäufer zur Kenntnis gebracht wurde.46 Eine sehr ähnliche Regelung findet sich in Art. 35 Abs. 2 lit. b UN-Kaufrecht.47 Dem hingegen verlangt die vorliegende Vorschrift, wie auch Art. 2 Abs. 2 lit. b VGK-RL,48 nicht nur, dass der Zweck dem Verkäufer zur Kenntnis gebracht wurde, sondern auch dessen Zustimmung zu dieser Zweckbestimmung.49 Obwohl eine solche Zustimmung durch den Verkäufer im Hinblick auf die Privatautonomie in der Tat geboten scheint,50 stellt diese zugleich eine hohe Hürde für den Verbraucher dar, auf den Inhalt des Vertrags Einfluss zu nehmen. Der Verbraucher wird im Massenverkehr und insb. beim Online-Handel freilich selten mit dem Verkäufer über derartige Zwecke verhandeln.51 Paradoxal ist gleichwohl, dass das UN-Kaufrecht, das eine Mitteilung des Zweckes genügen lässt, insofern eine verbraucherfreundlichere Lösung (vgl. jedoch Art. 2 lit. a UN-Kaufrecht) als das europäische Verbraucherrecht erreichen würde. 22 Entsprechend etwaiger vertraglicher Vereinbarungen müssen die Waren zudem mit Zubehör und Anleitungen geliefert (Art. 6 lit. c WK-RL) und aktualisiert werden (Art. 6 lit. d WK-RL). 23 Die OWH-RL enthielt in Art. 4 Abs. 1 lit. c zudem eine nunmehr gestrichene Klarstellung, dass die Waren diejenigen Eigenschaften besitzen müssen, die aufgrund einer vorvertraglichen Informationspflicht Teil des Vertrags geworden sind (Art. 4 Abs. 1 lit. c OWH-RL). Ausweislich der ErwGr. stellt sich die WK-RL vielmehr auf den zutreffenden Standpunkt, dass eine Vielzahl vorvertraglicher Erklärungen gemäß Art. 6 Abs. 1 lit. a-t iVm. Art. 6 Abs. 5 VRR-RL ohnehin zum Vertragsbestandteil wird,
45 Siehe etwa Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2/2016, 54 (67 f.); Wendland, GPR 1/2016, 8 (15); Faust in: Remien/Herrler/Limmer, S. 161 (164 f.). 46 Vgl. Schmidt-Kessel/Remien, GEKR, Art. 100 Rz. 2 m.w.N. 47 Vgl. Schlechtriehm/Schwenzer/Schwenzer, CISG, Art. 35 Rz. 20 ff. 48 Siehe relativierend zur Bedeutung des Zustimmungserfordernisses allerdings Grundmann/Bianca/Grundmann (2002), VGK-RL, Art. 2 Rz. 24 ff. 49 Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 2 Rz. 17. 50 So etwa Wendland, GPR 1/2016, 8 (15); ähnlich Spindler, MMR 2016, 147 (151). 51 Vgl. Loos/Helberger/Guibault/C. Mak, ERPL 6/2011, 729 (735).
358
Die Richtlinie über den (Online-)Warenkauf
sodass diese auch ohne weitere ausdrückliche Anordnung für die Beurteilung der Vertragsmäßigkeit von Bedeutung sind.52 b) Objektive Anforderungen Die Waren müssen sich für die Zwecke von Waren gleicher Art eignen 24 (Art. 7 Abs. 1 lit. a WK-RL) und mit Zubehör, Montageanleitungen und ähnlichem geliefert werden, sofern der Verbraucher deren Erhalt vernünftigerweise erwarten kann (Art. 7 Abs. 1 lit. c WK-RL). Hat der Verkäufer dem Verbraucher vor Vertragsschluss eine Probe oder ein Muster gezeigt, so muss die Ware dieser bzw. diesem entsprechen (Art. 7 Abs. 1 lit. b WKRL). Schließlich kommt es bei der Beurteilung der Vertragsmäßigkeit der Waren auf die berechtigten Verbrauchererwartungen an, denn die Ware muss diejenigen Merkmale besitzen, die bei Waren gleicher Art üblich sind und die der Verbraucher in Anbetracht der Beschaffenheit der Ware vernünftigerweise erwarten kann (Art. 7 Abs. 1 lit. d WK-RL). Dabei sind die durch den Verkäufer, in dessen Auftrag oder durch den Hersteller abgegebenen öffentlichen Erklärungen zu berücksichtigen (Art. 7 Abs. 1 lit. d WK-RL). Derartige Erklärungen bleiben ausnahmsweise außer Betracht, wenn der Verkäufer beweist, dass er diese weder kannte noch kennen musste, diese zum Zeitpunkt des Vertragsschlusses berichtigt waren oder diese die Kaufentscheidung nicht beeinflusst haben (Art. 7 Abs. 2 lit. a-c WK-RL; ähnlich bereits Art. 2 Abs. 4 VGK-RL).53 Die Richtlinie sieht darüber hinaus für Waren mit digitalen Elementen 25 ein Recht auf Aktualisierungen vor, soweit diese für die Aufrechterhaltung der Konformität notwendig sind (Art. 7 Abs. 3 WK-RL). Im Falle einer einmaligen Bereitstellung obliegt dem Verkäufer diese Pflicht während eines Zeitraums, den der Verbraucher vernünftigerweise erwarten kann (Art. 7 Abs. 3 lit. a WK-RL). Liegt hingegen ein Dauerschuldverhältnis vor, ist nach der Dauer des Vertrags zu unterscheiden (Art. 7 Abs. 3 lit. b iVm. Art. 10 Abs. 2 und 5 WK-RL) (siehe näher Rz. 32). Unterlässt der Verbraucher die Installation der vom Verkäufer bereitgestellten Aktualisierungen, so haftet der Verkäufer nicht, sofern dieser den Verbraucher über die Folgen eines dahingehenden Unterlassens unterrichtet hat und das Fehlschlagen der Installation nicht auf eine fehlerhafte Anleitung zurückgeführt werden kann (Art. 7 Abs. 4 lit. a und b WK-RL).
52 Vgl. ErwGr. 26 WK-RL. Siehe für die OWH-RL bereits Maultzsch, JZ 5/2016, 236 (239); Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2/2016, 54 (65); aA Stiegler/Wawryka, BB 2016, 903 (905 f.). 53 Siehe für die OWH-RL Maultzsch, JZ 5/2016, 236 (240); Schmidt-Kessel/Erler/ Grimm/Kramme, GPR 2/2016, 54 (65 f.).
359
Quincy C. Lobach
26 Begründet eine unsachgemäße Montage oder Installierung eine Vertragswidrigkeit, so ist diese ferner als eine Vertragswidrigkeit der Waren anzusehen, sofern die mangelhafte Montage oder Installierung vom Verkäufer oder unter dessen Verantwortung durchgeführt wurde (Art. 8 lit. a WK-RL) oder durch einen Fehler in der Anleitung entstand (Art. 8 lit. b WK-RL). 27 Im Falle einer Einschränkung der Nutzungsmöglichkeiten der Waren aufgrund Rechte Dritter stehen dem Verbraucher grundsätzlich sämtliche, in Art. 13 ff. WK-RL erwähnte Abhilfen zu (Art. 9 WK-RL, dazu Rz. 39 ff.). Während die VGK-RL noch lediglich Sachmängel normierte, wären nunmehr auch Rechtsmängel vom europäischen Verbraucherkaufrecht erfasst, sodass auch dieser Bereich künftig in letzter Instanz durch den EuGH auszulegen wäre.54 c) Verhältnis der objektiven zur subjektiven Beschaffenheit und negative Beschaffenheitsvereinbarung 28 Bei der Beurteilung der Vertragsmäßigkeit der Waren kommt es nicht nur auf die vertraglichen Vereinbarungen der Parteien an, sondern darüber hinaus müssen die Waren objektiven Anforderungen genügen (Art. 7 Abs. 1 WK-RL).55 29 Die objektiven Beschaffenheitskriterien stellen grundsätzlich, wie die Richtlinie insgesamt, zwingendes Recht dar, denn grundsätzlich kann von sämtlichen Vorschriften vor der Anzeige einer Vertragswidrigkeit nicht zum Nachteil des Verbrauchers abgewichen werden (Art. 21 Abs. 1 WK-RL). Der Verkäufer haftet deshalb nach der WK-RL auch dann für eine Vertragswidrigkeit, wenn der Verbraucher diese kannte oder kennen müsste.56 In Art. 2 Abs. 3 VGK-RL wird die Haftung des Verkäufers in diesem Fall noch ausgeschlossen. Insb. das Kennenmüssen der Vertragswidrigkeit – bei positiver Kenntnis eines Mangels lässt sich diese Problematik häufig bereits mithilfe der subjektiven Vertragsmäßigkeit lösen57 – war bereits im Rahmen der VGK-RL umstritten,58 sodass diese den Verbraucher belastende Norm nun gestrichen wurde.59
54 Vgl. Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2/2016, 54 (66). 55 Siehe zur OWH-RL Ostendorf, ZRP 2016 69 (70). 56 Vgl. Maultzsch, JZ 5/2016, 236 (240 f.); Schmidt-Kessel/Erler/Grimm/ Kramme, GPR 2/2016, 54 (66). 57 Vgl. Grundmann/Bianca/Grundmann (2002), VGK-RL, Art. 2 Rz. 49. 58 Vgl. Grundmann/Bianca/Grundmann (2002), VGK-RL, Art. 2 Rz. 51 f. m.w.N. zum gesetzgeberischen Prozess. 59 Kritisch Maultzsch, JZ 5/2016, 236 (240 f.)
360
Die Richtlinie über den (Online-)Warenkauf
Eine Herabstufung der Vertragsmäßigkeit hat somit im Wege einer ne- 30 gativen Beschaffenheitsvereinbarung zu erfolgen. Diese ist nur dann zulässig, wenn der Verbraucher beim Vertragsschluss über die Abweichung eines bestimmten Merkmals der Waren von den im Vertrag vorgesehenen Anforderungen an die Vertragsmäßigkeit in Kenntnis gesetzt wurde und diese Abweichung „ausdrücklich und gesondert akzeptiert hat“ (Art. 7 Abs. 5 WK-RL).60 Ein Pendant dieser Norm findet sich nicht in der VGK-RL. Dies hat zu Abgrenzungsschwierigkeiten zwischen grundsätzlich zulässigen negativen Beschaffenheitsvereinbarungen und durch Art. 7 Abs. 1 VGK-RL (vgl. § 475 Abs. 1 BGB) verbotenen Haftungsausschlüssen geführt.61 2. Maßgeblicher Zeitpunkt für die Beurteilung der Vertragsmäßigkeit Für die Beurteilung der Vertragsmäßigkeit kommt es grundsätzlich auf 31 den Zeitpunkt der Lieferung der Ware an (Art. 10 Abs. 1 S. 1 WK-RL).62 Art. 8 Abs. 1 und 2 OWH-RL sahen zudem noch einige besondere Vorschriften für den Versendungskauf63, der dem Grunde nach bereits in Art. 20 VRR-RL (vgl. § 475 Abs. 2 BGB) geregelt ist64, und den Kauf mit anschließender Montage durch den Verkäufer (dann Abschluss der Montage) oder den Verbraucher (dann Abschluss der Montage innerhalb angemessener Zeit, spätestens nach 30 Tagen) vor. Letztere zeitliche Verschiebung findet sich weder in der VGK-RL noch im deutschen Recht65.66 Diese Regelung, die dem Verkäufer das Risiko für sämtliche während des Montage- und Installationszeitfensters entstehenden Schäden an den Waren aufbürdete, selbst wenn deren Ursachen aus der Risikosphäre des
60 In ähnlicher Form bereits in Art. 99 Abs. 3 GEKR; siehe dazu Gsell in: Schulte-Nölke/Zoll/Jansen/Schulze, S. 229 (237 ff.). 61 Vgl. Bach, NJW 2019, 1705 (1708); Maultzsch, JZ 5/2016, 236 (239). Siehe zur Abgrenzung Grundmann/Bianca/Stijns/Van Gerven (2002), VGK-RL, Art. 7 Rz. 24 ff.; für das deutsche Recht Adolphsen in: FS Schapp, S. 1 ff.; MüKoBGB/ Lorenz (2016), § 475 Rz. 9 ff.; Mackenrodt, Technologie statt Vertrag?, S. 58 ff. m.w.N.; Schinkels, ZGS 2003, 310; Schulte-Nölke, ZGS 2003, 184. 62 Vgl. ErwGr. 37. 63 Vgl. Maultzsch, JZ 5/2016, 236 (241). 64 Vgl. ErwGr. 38 WK-RL. 65 Nach deutschem Recht muss die Kaufsache zum Zeitpunkt des Gefahrübergangs frei von Sachmängeln sein (§ 434 Abs. 1 S. 1 BGB). Die Gefahr geht in der Regel mit der Übergabe der Sache auf den Käufer über (§ 446 S. 1 BGB). Im Falle eines Versendungskaufs gilt grundsätzlich eine Sonderregelung (§ 447 BGB), die auf den Verbrauchsgüterkauf allerdings nicht anwendbar ist (§ 475 Abs. 2 BGB). Vgl. MüKoBGB/Westermann (2016), § 434 Rz. 50. 66 Vgl. Schroeter/v. Göler, DB 13/2016, 754 (756).
361
Quincy C. Lobach
Verbrauchers stammten67, war verfehlt und wurde deshalb zu Recht gestrichen. 32 Für Waren mit digitalen Elementen enthalten Art. 10 Abs. 1 und 2 iVm. Art. 7 Abs. 3 lit. a und b WH-RL zudem zwei Sondernormen, die zunächst nach der Dauer der geschuldeten Bereitstellung dieser Elemente differenzieren. Im Falle eines punktuellen Austauschvertrags („einmalige Bereitstellung“) haftet der Verkäufer zum einen in einem Zeitraum von zwei Jahren ebenfalls für eine durch die Nicht-Zurverfügungstellung von Aktualisierungen verursachte Vertragswidrigkeit (Art. 10 Abs. 1 S. 2 iVm Art. 7 Abs. 3 lit. a WK-RL). Bei Dauerschuldverhältnissen („fortlaufende Bereitstellung“) ist zum anderen erneut zu unterscheiden. Beträgt die Dauer der geschuldeten Bereitstellung weniger als zwei Jahre, so haftet der Verkäufer über den vereinbarten Zeitraum hinaus bis zu zwei Jahren nach der Lieferung der Ware ebenfalls für eine die digitalen Elemente betreffende Vertragswidrigkeit (Art. 10 Abs. 2 S. 1 WK-RL). Bei einem Zeitraum von mehr als zwei Jahren haftet der Verkäufer hingegen lediglich für die vereinbarte Dauer (Art. 10 Abs. 2 S. 2 WK-RL). 3. Haftungszeitraum 33 Der Verkäufer haftet dem Verbraucher gegenüber grundsätzlich für Vertragswidrigkeiten der Waren, die sich innerhalb von zwei Jahren nach dem für die Beurteilung der Vertragsmäßigkeit maßgeblichen Zeitpunkt offenbaren (Art. 10 Abs. 1 WH-RL). Diese Frist kann im nationalen Recht allerdings verlängert werden (Art. 10 Abs. 3 WK-RL). Im Rahmen der VGK-RL, die eine ähnliche Regelung kennt, wurde vielfach darauf hingewiesen, dass die Vorschrift nicht so zu verstehen ist, dass die Waren während der gesamten zweijährigen Frist vertragsgemäß bleiben müssen.68 Im Grundsatz ist dies zwar auch für die WK-RL zutreffend, allerdings könnte die Norm uU in Zusammenhang mit der Beweisvermutung de facto zu einem derartigen Ergebnis führen. 34 Für Waren mit digitalen Elementen ist der Haftungszeitraum an die Fristen des soeben besprochenen Art. 7 Abs. 3 WK-RL gekoppelt (Art. 10 Abs. 1 und 2 WK-RL). 35 Anders als in der VGK-RL69 sollte es den Mitgliedstaaten in der OWH-RL nicht länger gestattet sein, dem Verkäufer von Gebrauchtwaren eine Ver67 Vgl. Maultzsch, JZ 5/2016, 236 (241). 68 Vgl. Grundmann/Bianca/Hondius (2002), VGK-RL, Art. 5 Rz. 6; NK-BGB/ Pfeiffer (2016), VGK-RL, Art. 5 Rz. 2; Staudenmayer, ERPL 2000, 547 (566). 69 Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 7 Rz. 5 ff.
362
Die Richtlinie über den (Online-)Warenkauf
kürzung der Frist für die kaufrechtliche Gewährleistung von 2 Jahren auf ein Jahr zu erlauben (vgl. Art. 7 Abs. 2 iVm. Art. 5 Abs. 1 VGK-RL).70 Das Streichen dieser Vorschrift ließ sich allerdings schlecht mit der Erwägung des europäischen Rechtssetzers in Einklang bringen, das Gewährleistungsrecht diene zumindest als Nebenziel der „Förderung nachhaltigerer Verbrauchsmuster“71. Vor diesem Hintergrund sieht Art. 10 Abs. 6 WK-RL zu Recht wieder die Möglichkeit einer solchen Verkürzung auf ein Jahr vor. 4. Beweisvermutung Obwohl eine Beweisvermutung zugunsten des Verbrauchers aus ver- 36 schiedenen Gründen der Sache nach grundsätzlich gerechtfertigt scheint, war und ist ihre Länge juristisch und politisch höchst umstritten. Insb. das zeitliche Merkmal schützt nämlich den Verkäufer, der sich durch Zeitverlauf häufig mit einer erschwerten Beweisbarkeit der Vertragsmäßigkeit konfrontiert sieht und darauf vertrauen können muss, nach Ablauf der Frist nicht in eine solche prekäre Beweislage zu geraten. Bereits die jetzige Beweislastumkehr von 6 Monaten läuft de facto häufig auf eine Garantiehaftung des Verkäufers hinaus und kann leicht zu opportunistischem Verbraucherverhalten führen.72 Erwähnenswert ist ferner, dass sich die Reichweite der Beweisvermutung aufgrund der EuGH-Rechtsprechung – zumindest aus deutscher Sicht – maßgeblich vergrößert hat. Während die Beweisvermutung in der deutschen Rechtsprechung73 zu § 477 BGB, trotz Kritik im Schrifttum,74 lediglich zeitlich verstanden wurde – das Vorliegen eines Sachmangels selbst also nicht von ihr umfasst war75 – hat der EuGH im Faber-Urteil76 klargestellt, dass Art. 5 Abs. 3 VGK-RL nicht nur einen zeitlichen, sondern auch einen inhaltlichen Charakter hat. Während Art. 5 Abs. 3 VGK-RL derzeit noch eine Beweislastumkehr für 37 einen Zeitraum von 6 Monaten festlegt77, sah Art. 8 Abs. 3 OWH-RL eine erhebliche Verbesserung der Stellung des Verbrauchers durch eine 70 Vgl. Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2/2016, 54 (66). 71 ErwGr. 23 OWH-RL; ErwGr. 32 WK-RL. 72 Ebenso Maultzsch, JZ 5/2016, 236 (242); Smits, Working-Paper, S. 10; ders., ZEuP 3/2016, 319 (320). 73 Vgl. BGH v. 2.6.2004 – VIII ZR 329/03, NJW 2004, 2299 (2300); BGH v. 23.11.2005 – VIII ZR 43/05, NJW 2006, 434 (436); BGH v. 15.1.2014 – VIII ZR 70/13, NJW 2014, 1086. 74 Vgl. etwa Lorenz, NJW 2004, 3020 (3021). 75 Vgl. etwa MüKoBGB/Lorenz (2016), § 476 Rz. 4 m.w.N. 76 EuGH v. 4.6.2015 – C-497/13 (Faber/Hazet Ochten), Rz. 68 ff. 77 Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 5 Rz. 5 ff.
363
Quincy C. Lobach
Verlängerung dieses Zeitraums auf 2 Jahre vor78. Vor dem soeben geschilderten Hintergrund war diese Erweiterung nicht zu begrüßen. 38 Die WK-RL kodifiziert dem Grunde nach die Faber-Rechtsprechung79 und wählt in zeitlicher Hinsicht nunmehr einen Mittelweg. Offenbart sich eine Vertragswidrigkeit innerhalb eines Jahres nach der Lieferung, so wird vermutet, dass diese bereits zu diesem maßgeblichen Zeitpunkt bestand (Art. 11 Abs. 1 WK-RL). Die Beweisvermutung gilt nicht, wenn diese mit der Art der Waren oder der Art der Vertragswidrigkeit unvereinbar wäre (Art. 11 Abs. 1 WH-RL). Im nationalen Recht kann die Beweislastumkehr allerdings auf zwei Jahre erweitert werden (Art. 11 Abs. 2 WH-RL), sodass von einer unionsweit einheitlichen Regelung bedauerlicherweise nicht die Rede sein wird.80 VI. Rechtsbehelfe bei Vertragswidrigkeit 39 Im Falle einer Vertragswidrigkeit hat der Verbraucher gemäß Art. 13 WK-RL, der gewissermaßen die Grundnorm des Abhilferegimes darstellt, einen Anspruch auf Nacherfüllung, Preisminderung oder Vertragsbeendigung, für die jeweils unterschiedliche, zum Teil in Art. 14 ff. WK-RL enthaltene Voraussetzungen gelten. 1. Nacherfüllung 40 Liegt ein Mangel vor, so hat der Verbraucher zunächst einen Anspruch auf Nacherfüllung („Herstellung des vertragsgemäßen Zustands“, Art. 13 Abs. 2 WK-RL). Die Nacherfüllung hat unentgeltlich, innerhalb einer angemessenen Frist und ohne erhebliche Unannehmlichkeiten für den Verbraucher zu erfolgen. Bei letzterem Merkmal sind die Art der Waren und deren Zweck, für den der Verbraucher diese benötigt, zu berücksichtigen (Art. 14 Abs. 1 lit. a-c WK-RL). a) Wahlrecht des Verbrauchers zwischen Nachbesserung und Ersatzlieferung 41 Der Anspruch des Verbrauchers auf Nacherfüllung bezieht sich, wie nach jetzigem Recht (vgl. Art. 3 Abs. 3 VGK-RL81; § 439 Abs. 1 BGB82), grundsätzlich wahlweise auf Nachbesserung oder Ersatzlieferung (Art. 13 78 79 80 81 82
Kritisch auch Schroeter/v. Göler, DB 13/2016, 754 (757). Vgl. ErwGr. 45 WK-RL. So auch Bach, NJW 2019, 1705 (1708). Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 3 Rz. 6 m.w.N. Vgl. MüKoBGB/Westermann (2016), § 439 Rz. 4 f.
364
Die Richtlinie über den (Online-)Warenkauf
Abs. 2 WK-RL). Ein Wahlrecht des Verbrauchers besteht ausnahmsweise nicht, wenn eine der beiden Varianten unmöglich ist oder für den Verkäufer im Vergleich zur Alternative mit unverhältnismäßigen Kosten einhergehen würde (Art. 13 Abs. 2 WK-RL). Ist dies der Fall, so bezieht sich der Anspruch des Verbrauchers auf die andere Form der Nacherfüllung.83 Bei dieser relativen Unverhältnismäßigkeit84 sind insb. der Wert der Waren in vertragsgemäßem Zustand, die Bedeutung der Vertragswidrigkeit sowie das relative Maß an für den Verbraucher entstehenden Unannehmlichkeiten (Art. 13 Abs. 2 lit. a-c WK-RL) zu berücksichtigen. Eine Neuigkeit findet sich allerdings in Art. 13 Abs. 3 WK-RL, nach dem 42 der Verkäufer die Naturalerfüllung insgesamt verweigern kann, wenn ihm sowohl Nachbesserung als auch Ersatzlieferung unter Berücksichtigung aller Umstände, darunter die soeben erwähnten Gesichtspunkte, unmöglich oder nur mit unverhältnismäßigen Kosten möglich wäre (absolute Unverhältnismäßigkeit).85 b) Ersatzlieferung Art. 14 WK-RL kodifiziert weitgehend die Quelle- und Weber und 43 Putz-Rechtsprechung des EuGH.86 Bei einer Ersatzlieferung trägt der Verkäufer grundsätzlich die mit der Rücknahme der zu ersetzenden Waren verbundenen Kosten (Art. 14 Abs. 2 S. 2 WK-RL). Abweichende Vereinbarungen sind, anders als noch in Art. 10 Abs. 1 OWH-RL, nicht zugelassen. Der Verbraucher hat im Falle der Ersatzlieferung keinen Wert- oder Nutzungsersatz für den normalen Gebrauch der Waren zu leisten (Art. 14 Abs. 4 WK-RL).87 Hat der Verbraucher die Waren bestimmungemäß installiert oder mon- 44 tiert, bevor sich die Vertragswidrigkeit offenbarte, so hat der Verkäufer sowohl den Ausbau der zu ersetzenden oder nachzubessernden, als auch den Einbau der neuen bzw. reparierten Waren vorzunehmen oder die damit einhergehenden Kosten zu übernehmen (Art. 14 Abs. 3 WK-RL).88 83 84 85 86
Vgl. Maultzsch, JZ 5/2016, 236 (243). Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 3 Rz. 9 ff. Vgl. ErwGr. 49 WK-RL. EuGH v. 17.4.2008 – C-404/06 (Quelle); EuGH v. 16.6.2011 – C-65/09 und C-87/09 (Gebr. Weber und Putz); vgl. Gsell in: Artz/Gsell, S. 143 (147 f.); Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2/2016, 54 (66 f.). 87 Vgl. EuGH v. 17.4.2008 – C-404/06 (Quelle), Rz. 43. 88 Vgl. EuGH v. 16.6.2011 – C-65/09 und C-87/09 (Gebr. Weber und Putz), Rz. 62; dies gilt aus deutscher Sicht nur für den Verbrauchsgüterkauf, vgl. BGH v. 17.10.2012 – VIII ZR 226/11, NJW 2013, 220; BGH v. 2.4.2014 – VIII ZR 46/13, NJW 2014, 2183.
365
Quincy C. Lobach
Anders als aus der Judikatur des EuGH hervorgeht,89 bezieht sich die Einund Ausbaupflicht des Verkäufers nicht nur auf die Ersatzlieferung, sondern auch auf die Nachbesserung. In der Tat ist ebenfalls vorstellbar, dass die Reparatur einer Ware deren Aus- und Wiedereinbau erfordert (bspw. eine Geschirrspülmaschine in einer Küche). Die Erweiterung scheint deshalb sachgerecht. 45 Trotz umfangreicher Diskussionen in der (hauptsächlich kritischen) Literatur anlässlich des Weber und Putz-Urteils,90 klärt die WK-RL nicht abschließend die Frage, ob dem Verbraucher wahlweise Aus- und Einbau oder Kostenersatz zusteht.91 Die Formulierung des Art. 14 Abs. 2 S. 1 WK-RL, der dem Verbraucher die Obliegenheit auferlegt, dem Verkäufer die Waren zur Verfügung zu stellen, lässt dem Wortlaut nach die Schlussfolgerung zu, der Verkäufer hätte das Wahlrecht, zwingend geht dies aus der Vorschrift allerdings nicht hervor.92 Der für die effektive Geltendmachung der Ansprüche des Verbrauchers sehr bedeutsame Ort der Nacherfüllung war im europäischen Verbraucherrecht umstritten, soll allerdings (weiterhin) nach nationalem Recht bestimmt werden.93 2. Preisminderung und Beendigung 46 Die Ansprüche des Verbrauchers auf Minderung und Beendigung sind im Verhältnis zur Nacherfüllung entsprechend der VGK-RL94 subsidiären
89 Vgl. EuGH v. 16.6.2011 – C-65/09 und C-87/09 (Gebr. Weber und Putz). 90 Vgl. insb. Kaiser, JZ 7/2013, 346; Lorenz, NJW 2011, 2241; siehe auch MüKoBGB/Westermann (2016), § 439 Rz. 15 f. m.w.N. 91 Vgl. Maultzsch, JZ 5/2016, 236 (244). 92 Für die OWH-RL geht Zoll, EuCML 2016, 250 (253) noch davon aus, der Käufer habe das Wahlrecht. 93 Vgl. ErwGr. 56 WK-RL. Siehe BGH v. 13.4.2011 – VIII ZR 220/10, NJW 2011, 2278, Rz. 29 ff.; mangels anderweitiger Vereinbarung bestimmt sich der Nacherfüllungsort insb. nach der Natur des Schuldverhältnisses und im Zweifel nach den allgemeinen Regeln, sodass die Nacherfüllung häufig am Sitz des Schuldners zu erfolgen hat (§ 269 Abs. 1 und 2 BGB); ebenso Palandt/ Grüneberg (2018), BGB, § 269 Rz. 15 m.w.N. Einer anderen Meinung zufolge ist der Belegenheitsort der Kaufsache als Nacherfüllungsort anzusehen; so etwa MüKoBGB/Westermann (2016), § 439 Rz. 7 m.w.N.; in die Richtung auch EuGH v. 16.6.2011 – C-65/09 und C-87/09 (Gebr. Weber und Putz), Rz. 51; dazu NK-BGB/Pfeiffer (2016), VGK-RL, Art. 3 Rz. 4. Kritisch über die Verletzung der Vorlagepflicht des BGH Purnhagen, EuZW 2011, 626 (630). Siehe ausführlich zu dieser Problematik Augenhöfer, NJW 2019, 1988; Feldmann, EuZW 2019, 601; Staudinger/Matusche-Beckmann (2013), BGB, § 439 Rz. 21 ff. m.w.N. 94 Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 3 Rz. 16.
366
Die Richtlinie über den (Online-)Warenkauf
Charakters und kommen deshalb grundsätzlich nur dann in Betracht, wenn die Naturalerfüllung fehlgeschlagen ist.95 Erforderlich ist nämlich, dass a) der Verkäufer die Nacherfüllung nicht oder zumindest nicht ordnungsgemäß durchgeführt oder verweigert hat, b) dieser zwar einen Versuch unternommen, aber den Mangel nicht beseitigt hat, c) die Vertragswidrigkeit besonders schwerwiegend ist oder d) der Verkäufer zu erkennen gegeben hat, den vertragsmäßigen Zustand nicht bzw. nicht fristgerecht oder ohne erhebliche Unannehmlichkeiten herzustellen (Art. 13 Abs. 4 lit. a-d WK-RL). a) Preisminderung Anders als die VGK-RL, die diesbezüglich – abgesehen davon, dass eine 47 Minderung angemessen sein muss – keine Vorgaben enthält,96 stellt die WK-RL klar, in welcher Weise die Preisminderung zu berechnen ist. Sie beläuft sich auf die Differenz zwischen dem Wert der mangelhaften Waren und dem Wert der Waren in vertragsgemäßem Zustand (Art. 15 WK-RL). Problematisch ist, dass die Norm keinen für die Ermittlung des Wertes maßgeblichen Zeitpunkt festlegt. Das deutsche Recht kennt ebenfalls eine proportionale Berechnungsmethode und stellt dabei auf den Zeitpunkt des Vertragsschlusses ab (§ 441 Abs. 3 S. 1 BGB).97 b) Beendigung Das Recht auf Beendigung des Vertrags – nach deutschem Verständnis 48 also der Rücktritt vom Vertrag (vgl. § 323 BGB) – ist im Verhältnis zur Nacherfüllung ebenfalls nachgelagert, steht allerdings auf gleicher Ebene wie die Minderung (vgl. Art. 13 Abs. 4 WK-RL). Die OWH-RL enthielt zur Vertragsauflösung eine sehr umfassende Re- 49 gelung. So sah der ursprüngliche Entwurf vor, dass der Verkäufer dem Verbraucher den Kaufpreis spätestens innerhalb von 14 Tagen rückerstattete und die mit der Rückgabe einhergehenden Kosten trug (Art. 13 Abs. 3 lit. a und b OWH-RL). Darüber hinaus wollte die OWH-RL die in der Quelle-Rechtsprechung für die Nacherfüllung entwickelten Grund-
95 Vgl. ErwGr. 50 WK-RL. 96 Vgl. NK-BGB/Pfeiffer (2016), VGK-RL, Art. 3 Rz. 19; aA Grundmann/Bianca/ Bianca (2002), VGK-RL, Art. 3 Rz. 39, der eine proportionale Berechnungsmethode bereits aus dem Wortlaut ableitet. 97 Vgl. Palandt/Weidenkaff (2018), BGB, § 441 Rz. 12 ff.; MüKoBGB/Westermann (2016), § 441 Rz. 12 ff.
367
Quincy C. Lobach
sätze zum Wertersatz98 auf die Vertragsbeendigung übertragen;99 beim Rücktritt wäre der Verbraucher dem Verkäufer gegenüber ebenfalls für Wertverluste wegen normaler Verwendung der Waren entlastet worden (Art. 13 Abs. 3 lit. d OWH-RL). Diese Vorschriften finden sich allerdings bedauerlicherweise überwiegend nicht in der WK-RL wieder. 50 Aus Art. 16 Abs. 1 und 3 WK-RL geht lediglich noch hervor, dass die Rücktrittserklärung formfrei abgegeben werden kann und der Verkäufer und Verbraucher daraufhin jeweils die erhaltene Leistung herausgeben, also den Kaufpreis zu erstatten und die Kaufsache zurückzugeben haben. Letzteres erfolgt auf Kosten des Verkäufers. 51 Eine Regelung zum Teilrücktritt enthält die WK-RL allerdings weiterhin. Ist ein Teil der geschuldeten Waren mangelhaft, so kann der Verbraucher den Vertrag im Grundsatz lediglich für ebendiesen Teil beenden. Anders als Art. 13 OWH-RL, der eine sehr undifferenzierte Regelung vorsah,100 kommt nunmehr ebenfalls ein Gesamtrücktritt in Betracht und zwar dann, wenn vom Verbraucher ein Behalten der vertragskonformen Waren vernünftigerweise nicht erwartet werden kann (Art. 16 Abs. 2 WK-RL). Diese Regelung stimmt im Wesentlichen mit der des § 323 Abs. 5 S. 1 BGB überein, in dem es für die Zulässigkeit des Gesamtrücktritts auf das (nicht vorhandene) Interesse des Gläubigers am Erhalt der Teilleistung ankommt.101 52 Wie nach jetzigem Recht bleibt dem Verbraucher ein Rücktrittsrecht bei geringfügigen Vertragswidrigkeiten (Art. 3 Abs. 6 VGK-RL102; Art. 13 Abs. 5 S. 1 WK-RL103) bzw. bei unerheblichen Mängeln (§ 437 Nr. 1 Fall 1 iVm § 323 Abs. 5 S. 2 BGB)104 verwehrt. In der OWH-RL war die Erheblichkeitsschwelle, die auf dem Gedanken beruht, dass der Gläubiger, der bis auf den geringfügen Mangel befriedigt wird, mit einer Vertragsbeendigung keine Rücksicht auf die berechtigten Interessen des Schuld-
98 Vgl. EuGH v. 17.4.2008 – C-404/06 (Quelle), Rz. 34 ff. 99 Siehe zu Recht zustimmend Maultzsch, JZ 5/2016, 236 (244). 100 Kritisch zur Regelung der OWH-RL auch Gsell in: Artz/Gsell, S. 143 (151); Maultzsch, JZ 5/2016, 236 (244); Schroeter/v. Göler, DB 13/2016, 754 (757). 101 Vgl. Palandt/Grüneberg (2018), BGB, § 323 Rz. 24 ff.; Staudinger/Schwarze (2015), BGB, § 323 Rz. B130 ff. 102 Vgl. Grundmann/Bianca/Bianca (2002), VGK-RL, Art. 3 Rz. 40 ff.; NK-BGB/ Pfeiffer (2016), VGK-RL, Art. 3 Rz. 25. 103 Vgl. ErwGr. 253 WK-RL. 104 Vgl. MüKoBGB/Ernst (2016), § 323 Rz. 247 ff.; MüKoBGB/Westermann (2016), § 437 Rz. 12 ff.
368
Die Richtlinie über den (Online-)Warenkauf
ners nehmen würde und deshalb gegen Treu und Glauben verstieße105, zunächst zu Unrecht gestrichen worden.106 3. Ausschluss der Rechtsbehelfe a) Rügeobliegenheit Die Möglichkeit der Mitgliedstaaten, vorzusehen, dass der Verbraucher 53 den Verkäufer innerhalb von 2 Monaten über eine Vertragswidrigkeit zu unterrichten hat (Art. 5 Abs. 2 S. 1 VGK-RL),107 fand sich in der OWHRL nicht wieder.108 Die Rügeobliegenheit war bereits beim Zustandekommen der VGK-RL sehr umstritten,109 sodass dies auf den ersten Blick nicht verwundert hat. Nach der VGK-RL ist eine Unterrichtungsobliegenheit des nationalen 54 Rechts zwar zulässig, eine Untersuchungs- oder Prüfungsobliegenheit hingegen unzulässig („festgestellt hat“, Art. 5 Abs. 2 S. 1 VGK-RL). Da der deutsche Gesetzgeber keine dahingehende Norm erlassen hat (vgl. im Handelsrecht allerdings die Untersuchungs- und Rügeobliegenheit des § 377 HGB110; vgl. auch Art. 39 UN-Kaufrecht111), wäre das Entfallen der Meldeobliegenheit für das deutsche Recht zwar ohne Folgen geblieben,112 in der Mehrheit der Mitgliedstaaten113 hätte dieses die Stellung des Verbrauchers jedoch erheblich verbessert.114 Im Rat war diese Lösung allerdings wohl nicht mehrheitsfähig, sodass Art. 12 WK-RL wiederum fakultativ eine Rügeobliegenheit vorsieht, die mit der des Art. 5 Abs. 2 VGK-RL nahezu wortgleich ist.
105 Vgl. für die VGK-RL etwa Grundmann/Bianca/Bianca (2002), VGK-RL, Art. 3 Rz. 45. 106 Kritisch auch Gsell in: Artz/Gsell, S. 143 (150 f.); Ostendorf, ZRP 2016, 69 (70); Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2/2016, 54 (67); Schroeter/ v. Göler, DB 13/2016, 754 (757 f.); Zoll, EuCML 2016, 250 (254). 107 Vgl. Grundmann/Bianca/Hondius (2002), VGK-RL, Art. 5 Rz. 10 ff. 108 Vgl. Maultzsch, JZ 5/2016, 236 (245); Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2/2016, 54 (66). 109 Vgl. zum gesetzgeberischen Prozess Staudenmayer, ERPL 2000, 547 (557 f.). 110 Siehe dazu MüKoHGB/Grünewald (2018), § 377 Rz. 3 ff. 111 Siehe dazu Schlechtriem/Schwenzer/Schwenzer, CISG, Art. 39 Rz. 6 ff. 112 Vgl. Schroeter/v. Göler, DB 13/2016, 754 (756). 113 Vgl. KOM (2015) 635 endg., S. 7; Schulte-Nölke/Twigg-Flesner/Ebers, EC Consumer Law Compendium, S. 432. 114 Vgl. Smits, Working-Paper, S. 15.
369
Quincy C. Lobach
b) Mitverschulden des Verbrauchers beim Entstehen der Vertragswidrigkeit 55 Im mitgliedstaatlichen Recht kann geregelt werden, ob und inwiefern ein Beitrag des Verbrauchers zur Vertragswidrigkeit dessen Ansprüche beeinträchtigt (Art. 13 Abs. 7 WK-RL). Die äußerst undifferenzierte Regelung des Art. 9 Abs. 5 OWH-RL ließ für den Verlust sämtlicher Ansprüche des Verbrauchers bereits ausreichen, dass dieser selbst (in irgendeiner Weise) zur Entstehung des Mangels beigetragen hatte.115 Diese Vorschrift war kaum sachgerecht (vgl. bspw. das gegenständlich auf den Rücktritt beschränkte Kriterium des § 437 Nr. 2 Fall 1 iVm § 323 Abs. 6 Fall 1, „allein oder weit überwiegend verantwortlich“)116, und ist deshalb zu Recht gestrichen worden. 4. Sonstiges 56 Art. 17 WK-RL enthält verschiedene Vorschriften zu gewerblichen Garantien, deren Inhalt sich nach der Garantieerklärung sowie einschlägiger Werbung bestimmt (Art. 17 Abs. 1 WK-RL). Für die Garantieerklärung gilt, anders als im jetzigen Recht (vgl. Art. 6 Abs. 3 VGK-RL)117, zwingend die Textform sowie eine Reihe inhaltlicher Vorgaben (Art. 17 Abs. 2 WK-RL). Die Nichteinhaltung dieser Vorschriften lässt die Gültigkeit der Garantie, die sich gerade zugunsten des Verbrauchers auswirken sollte, unberührt (Art. 17 Abs. 3 WK-RL). 57 In Art. 18 WK-RL wird dem Verkäufer ein Regressrecht gegen solche Personen eingeräumt, aufgrund deren Handelns im Vorfeld des Vertragsschlusses er dem Verbraucher gegenüber wegen einer Vertragswidrigkeit haftet. 58 Die Verbraucherschutz- und Berufsverbände sowie öffentliche Einrichtungen sind schließlich für die Einhaltung der Vorschriften der Richtlinie klageberechtigt (Art. 19 Abs. 2 iVm. Art. 22 WH-RL).118
115 Kritisch auch Gsell in: Artz/Gsell, S. 143 (151); Maultzsch, JZ 5/2016, 236 (245); Riehm in: Artz/Gsell, S. 73 (87 f.). 116 Vgl. Palandt/Grüneberg (2018), BGB, § 323 Rz. 29; MüKoBGB/Westermann (2016), § 437 Rz. 16 f. 117 Vgl. Grundmann/Bianca/Malinvaud (2002), VGK-RL, Art. 6 Rz. 18 f.; Staudenmayer, ERPL 2000, 547 (560). 118 Verordnung (EU) 2017/2394 des Europäischen Parlaments und des Rates v. 12.12.2017 über die Zusammenarbeit zwischen den für die Durchsetzung der Verbraucherschutzgesetze zuständigen nationalen Behörden und zur Aufhebung der Verordnung (EG) Nr. 2006/2004, ABl. EU L 345 v. 27.12.2017, S. 1 ff.; Richtlinie 2009/22/EG des Europäischen Parlaments und des Rates v.
370
Die Richtlinie über den (Online-)Warenkauf
VII. Schlussbetrachtung Die WK-RL folgt hinsichtlich des Regelungsgegenstands weitgehend der 59 VGK-RL, die aufgehoben und durch die vorliegende Richtlinie ersetzt wird. Bedauerlich ist allerdings, dass der Ansatz der Vollharmonisierung selbst in einigen grundlegenden Punkten wohl nicht konsequent eingehalten werden konnte. Damit stellt sich zumindest für die betroffenen Themengebiete die Frage nach dem Mehrwert der WK-RL.119 Die in der OWH-RL noch vorgesehene großzügige Anhebung der Verbrau- 60 cherschutzstandards hat sich in vielerlei Hinsicht als zu ambitioniert herausgestellt. Dies zeigt sich u. a. im Hinblick auf die Dauer der Beweisvermutung, die Regelung zu Gebrauchtwaren und zum Mitverschulden, die Erheblichkeitsschwelle für die Vertragsbeendigung sowie die Rügeobliegenheit. Obwohl es sich bei der Feststellung des Verbraucherschutzniveaus letztlich um eine rechtspolitische Frage handelt, konnte doch bezweifelt werden, dass die OWH-RL die Interessen des Verkäufers angemessen berücksichtigte und uU nicht opportunistischem Verbraucherverhalten in die Hände spielen würde. Überwiegend ist dieses Zurückweichen des europäischen Rechtssetzers deshalb zu begrüßen, denn in einigen Bereichen sieht die WK-RL sachgerechtere Lösungen vor, als dies im ersten Entwurf der Fall war. In der Tat wurde auch das systematische, sicherlich wesentlichste Problem der OWH-RL behoben, da die WK-RL für die Zwecke des Verbraucherrechts nicht länger zwischen verschieden Vertriebsformen unterscheidet. Die Umsetzung der WK-RL, die bis zum 1.7.2021 zu erfolgen hat (Art. 24 61 Abs. 1 UAbs. 1 S. 2 WK-RL)120, wird einige Änderungen des nationalen Rechts mit sich bringen.121 Diese betreffen in erster Linie die Verlängerung verschiedener Fristen, etwa der Beweisvermutung. Inhaltliche Neuerungen ergeben sich u. a. aus der Regelung zum Recht des Verbrauchers auf Aktualisierungen, zur negativen Beschaffenheitsvereinbarung (vgl. § 442 Abs. 1 BGB) sowie aus der Erweiterung der Ein- und Ausbaupflicht auf die Nachbesserung (vgl. § 439 Abs. 5 iVm § 475 Abs. 3 S. 1 BGB).
23.4.2009 über Unterlassungsklagen zum Schutz der Verbraucherinteressen, ABl. EU L 110 v. 1.5.2009, S. 30 ff. 119 Kritisch auch Bach, NJW 2019, 1705 (1711). 120 Anwendbar sollen die Umsetzungsvorschriften allerdings erst ab dem 1.1.2022 sein, vgl. Art. 24 Abs. 1 UAbs. 2 WK-RL. 121 Vgl. Bach, NJW 2019, 1705 (1711).
371
Quincy C. Lobach
62 Im Allgemeinen wird sich bei der Umsetzung der Vorschriften der WKRL (und ebenso der DI-RL) die hier nicht weiter zu vertiefende Frage stellen, ob diese im Wege einer ‚großen‘, für das gesamte Kaufrecht geltenden oder vielmehr mittels einer ‚kleinen‘, auf den Verbraucherkaufvertrag beschränkten, nationalen Regelung zu erfolgen hat.
372
Jahreschronik 2018 Veronika Fischer* I. 25. Drei-Länder-Treffen 2018, St. Gallen (21.-23.6.2018) II. DGRI-Jahrestagung, München (15.-17.11.2018) III. 19. DSRI-Herbstakademie, Ruhr-Universität Bochum (12.-15.9.2018) IV. Aktivitäten der Fachausschüsse 1. Fachausschuss Firmenjuristen 2. Fachausschuss Telekommunikations- und Medienrecht
VI. Schlichtungsstelle IT VII. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt VIII. Preise und Auszeichnungen IX. Wissenswertes aus der DGRI 1. Mitgliederentwicklung 2. Personalia 3. Geschäftsstelle
V. Publikationen 1. Stellungnahmen der DGRI 2. Journal of Intellectual Property, Information Technology and eCommerce Law (JIPITEC)
I. 25. Drei-Länder-Treffen 2018, St. Gallen (21.-23.6.2018) Das Drei-Länder-Treffen 2018 wurde im Kantonsratssaal in St. Gallen 1 abgehalten. Behandelt wurden die Themen E-Health und E-Government, Open Access sowie die DSGVO, jeweils aus der Perspektive Österreichs, Deutschlands und der Schweiz. Den Auftakt am Freitag bildete der Themenblock zu aktuellen Entwick- 2 lungen in E-Health und E-Government unter Moderation von Prof. Dr. Dirk Heckmann, TU München. Zunächst unternahm Reto Schegg, CEO healthbank innovation AG, Baar, eine Standortbestimmung einschließlich eines Best Practice-Berichts zu E-Health. Anschließend gab RA Prof. Dr. Wilfried Bernhardt, Staatssekretär a. D., Berlin, einen Überblick über E-Government in Deutschland und Europa. Dr. Christian Geiger, Chief Digital Officer der Stadt St. Gallen, veranschaulichte anhand zahlreicher Praxisbeispiele die Initiativen des Kantons von E-Government zu Smart City. Mag. Gernot Silvestri, Bundesrechenzentrum GmbH, Wien, berich*
RAin Dr. Veronika Fischer, Geschäftsführung der DGRI, Karlsruhe.
373
Veronika Fischer
tete über den Stand und die Perspektiven der Digitalisierung von Verwaltungsleistungen in Österreich. 3 Im zweiten Themenblock, moderiert von RA Dr. Robert G. Briner, Zürich, wurden die aktuellen Entwicklungen in Gesetzgebung und Rechtsprechung in den Ländern vorgestellt. Es referierten: RA Prof. Dr. Rupert Vogel, Karlsruhe (D), Univ.-Prof. Ing. Dr. Clemens Appl, Donau-Universität Krems (AU) und RAin Clara-Ann Gordon, Zürich (CH). 4 Im Anschluss moderierte Prof. Dr. Dr. Walter Blocher, Universität Kassel, eine Podiumsdiskussion mit Impulsreferaten zum Thema Open Access. Es diskutierten: Ass.-Prof. Dr. Daniel Hürlimann, Universität St. Gallen, RA Ulrich Gasper, Verlag Dr. Otto Schmidt, Köln, und Dr. Wolfgang Pichler, MANZ GmbH, Wien. Prof. Hürlimann wies aus der Sicht des Herausgebers (sui generis) auf die Vorteile des Open Access-Publizierens hin. Ulrich Gasper erläuterte die verschiedenen Open Access-Modelle, Finanzierungsformen von Wissenschaftspublikationen und verdeutlichte die Aufgaben und Leistungen eines wissenschaftlichen Fachverlags im Publikationsprozess. Wolfgang Pichler kritisierte, dass Open Access-Zeitschriften zu stark der Systematik von Printmedien verhaftet seien und wies auf die Problematik der Langzeitspeicherung hin. Im Publikum kristallisierte sich der Konsens heraus, dass jedenfalls in den Rechtswissenschaften die Bedürfnisse der Autoren hinreichend abgedeckt werden und eine friedliche Ko-Existienz beider Publikationsformen möglich ist. Den Abschluss des Tages bildete das festliche Abendessen im Gourmet-Restaurant Jägerhof. 5 Der Samstag war den ersten Erfahrungen in den Ländern unter der Geltung der DSGVO gewidmet. Prof. Dr. Nikolaus Forgó, Universität Wien, thematisierte einleitend Einheit und Vielfalt bei der Umsetzung der DSGVO. Es folgte ein detail- und kenntnisreicher Überblick über das schweizerische Datenschutzgesetz und die DSGVO. Er wurde von RA Dr. Christian Laux, Zürich, beigesteuert, der sich sehr kurzfristig bereit erklärt hatte, den Vortrag für den verhinderten Referenten zu übernehmen. Prof. Dr. Dietmar Jahnel, Universität Salzburg, schilderte unter Berücksichtigung der Entstehungsgeschichte des österreichischen Durchführungsgesetzes (DSG) ausgewählte Auslegungsprobleme und Defizite. Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht, Ansbach, erläuterte die Sichtweise einer Datenschutzaufsichtsbehörde in Deutschland. Der Vortrag lieferte wertvolle Einblicke in die Organisation einer Aufsichtsbehörde und trug zum besseren Verständnis des Umgangs mit den Neuerungen durch DSGVO bei. 374
Jahreschronik 2018
Den Ausklang des Drei-Länder-Treffens bildete ein Altstadtrundgang 6 mit Besichtigung von Kathedrale und Stiftsbibliothek. Für die organisatorische Unterstützung vor Ort bedanken wir uns bei Ass.-Prof. Dr. Daniel Hürlimann, Forschungsstelle für Informationsrecht der Universität St. Gallen. Weitere Einzelheiten sind dem Tagungsbericht von Franziska Brinkmann, CR 8/2018, R92 f., zu entnehmen. II. DGRI-Jahrestagung, München (15.-17.11.2018) Die DGRI-Jahrestagung 2018 stand unter dem Oberthema „Mensch 7 Maschine Recht“ und fand im Münchner Künstlerhaus am Lenbachplatz statt. Am 18. Juli 2018 hatte die Bundesregierung ein EckpunktePapier veröffentlicht, aufgrund dessen eine Strategie Künstliche Intelligenz (KI) erarbeitet und auf dem Digitalgipfel am 3./4. Dezember 2018 in Nürnberg vorgestellt werden sollte. Tatsächlich entwickelt sich KI zum Treiber der Digitalisierung und autonomer Systeme in allen Lebensbereichen. Dies wirft auch zahlreiche Fragen vom Datenschutz über IT-Sicherheit bis zur Vertragsgestaltung auf, denen sich die DGRI-Jahrestagung widmete. Neben den rechtlichen wurden auch technische, ökonomische, politische und ethische Perspektiven beleuchtet. Am Vorabend hatten die Teilnehmer zunächst beim Begrüßungsabend 8 auf Einladung der Münchener IT-Rechts-Kanzleien die Gelegenheit zum Austausch und Networking. Der Freitag war dem Oberthema der Tagung „Maschine > Mensch?“ 9 gewidmet. Moderiert wurde der erste Themenblock von Prof. Dr. iur. Dipl.-Biol. Herbert Zech, Humboldt-Universität Berlin. Die Keynote zu künstlicher Intelligenz und Robotik, den Schlüsseltechnologien unseres Jahrhunderts, hielt Prof. Dr. Sami Haddadin, Direktor der Munich School of Robotics and Machine Intelligence, TU München. Er stellte Anwendungsbeispiele vor, mit denen u. a. Pflegeberufe entlastet werden können und welche aufgrund verbesserter Trainingsmodelle weniger datengetrieben agieren. Markus Beckedahl, netzpolitik.org, steuerte Überlegungen zum verantwortungsvollen Umgang mit künstlicher Intelligenz bei. Christin Schäfer, acs plus GmbH, Berlin, befasste sich aus ökonomischer Perspektive („Mensch Maschine Wirtschaft“) mit der Wertschöpfung durch künstliche Intelligenz. Daran schloss sich ein Plädoyer von Prof. Dr. Dominik Herrmann, Otto-Friedrich-Universität Bamberg, für Datenschutz durch Technikgestaltung an, dessen konzeptionelle Umsetzung er durch zahlreiche praktische Beispiele verdeutlichte. Prof. Dr. Thomas
375
Veronika Fischer
Riehm, Universität Passau, rundete den Themenblock mit einer fundierten Analyse wesentlicher Aspekte und Herausforderungen, welche künstliche Intelligenz für die Zivilrechtsdogmatik mit sich bringt, ab. 10 Es folgten die parallelen Sitzungen, die sich mit dem Vertrags- und Datenschutzrecht befassten. In dem von RA Prof. Dr. Peter Bräutigam, München, moderierten Block widmete sich Dr. Anke Nestler (ö.b.u.v. Sachverständige), VALNES GmbH, Frankfurt/M., der finanziellen Bewertung von Knowhow („Data as Assets“). RAin Dr. Anne Förster, Düsseldorf, und RA Dr. Christian Frank, München, erläuterten die rechtskonforme Umsetzung agiler Projekte. Dem Vortrag lag die Gesetzesreform des Arbeitnehmerüberlassungsgesetzes (AÜG) im Jahr 2016 zugrunde, wodurch der Fremdpersonaleinsatz in den Fokus rückte. Prof. Dr. Benjamin Raue, Universität Trier, stellte Überlegungen zur Haftung für unsichere Software an. 11 Der zweite Block wurde von RAin Prof. Dr. Sibylle Gierschmann, München, moderiert und war dem Datenschutz und Datenmanagement gewidmet. 175 Tage nach Geltungsbeginn der DSGVO berichtete Prof. Dr. Thomas Petri, der Bayerische Landesbeauftragte für den Datenschutz, von ersten Erfahrungen aus der Praxis. RAin Dr. Christiane Bierekoven, Köln, untersuchte die Auswirkungen des nunmehr in der DSGVO verankerten Grundsatzes des Datenschutzes durch datenschutzfreundliche Voreinstellungen auf die Vertragsgestaltung. RA Matthias Pruns, BonnBad Godesberg referierte aus der anwaltlichen Beratungspraxis zum digitalen Nachlass und dem privaten Datenmanagement. 12 Nach der Sitzung wurde die jährliche Mitgliederversammlung abgehalten. Den kulturellen Rahmen für das festliche Abendessen bildete eine Museumsführung durch die Kunsthalle der Hypo-Kulturstiftung. Beim festlichen Abendessen wurden auch der DSRI-Wissenschafts- und der Absolventenpreis (siehe dazu VIII., Rz. 27) durch die Vorsitzende des DSRI-Stiftungsrates, RAin Dr. Ursula Widmer, Bern, übergeben. 13 Am Samstag referierten unter Moderation von Dr. Matthias Baumgärtel, EWE TEL GmbH, Oldenburg, zunächst Frank Hartmann und RA Matthias Prinz, beide TU Darmstadt. Ihr Vortrag zum immaterialgüterrechtlichen Schutz von Systemen künstlicher Intelligenz bei der DSRI-Herbstakademie 2018 wurde mit dem Best Speech Award für Nachwuchswissenschaftler ausgezeichnet. 14 Der darauffolgende Themenblock befasste sich mit der digitalen Transformation und den Grundrechten. Prof. Dr. Nikolaus Marsch, D.I.A.P. (ENA), Universität des Saarlandes, verband den Themenkomplex der Grundrechte mit dem Oberthema der Tagung, die ganz im Zeichen der 376
Jahreschronik 2018
künstlichen Intelligenz stand. In einer fundierten Untersuchung des europäischen Datenschutzgrundrechts zeigte er Spielräume für technologische Innovation und innovativen Schutz beim Einsatz künstlicher Intelligenz auf. Prof. Dr. Wolfgang Schulz, Direktor des Hans-Bredow-Instituts für Medienforschung, Hamburg, betrachtete die Kommunikationsgrundrechte im Umfeld von Plattformen und anderen Informationsintermediären sowie die Auswirkungen der DSGVO auf das Äußerungsrecht. Abgerundet wurde der Grundrechtskanon durch einen Werkstattbericht von Prof. Dr. Dirk Heckmann, TU München, und Ninja Marnau, Helmholtz-Institut i. G., CISPA, Saarbrücken, zum neuen IT-Sicherheitsgesetz. Bezüglich weiterer Einzelheiten wird auf die Tagungsberichte von Janßen/Mysegades/Templin, CR 12/2018, R141 f. sowie Pittau/Michel/ Tannen, K&R 2/2019, VI verwiesen. III. 19. DSRI-Herbstakademie, Ruhr-Universität Bochum (12.-15.9.2018) Die Herbstakademie bietet Nachwuchswissenschaftlern und -praktikern 15 ein Forum zur Diskussion der aktuellen Entwicklungen des Informationstechnologierechts. Unter dem Oberthema „Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht“ wurden bei der 19. DSRI-Herbstakademie an der Ruhr-Universität Bochum Vorträge auf den Gebieten des Immaterialgüterrechts, des Telekommunikationsrechts, des Fernabsatz-, Datenschutz- und Strafrechts sowie der Rechtsinformatik abgehalten. Vertieft wurden die einzelnen Themenblöcke durch „Updates“ von Experten zur Rechtsentwicklung der vergangenen 12 Monate. Die Vorträge sind in einem Tagungsband veröffentlicht und können als Podcast unter www.dsri.de abgerufen werden. IV. Aktivitäten der Fachausschüsse Die DGRI-Fachausschüsse trafen sich im Berichtsjahr zu insgesamt drei 16 Sitzungen. 1. Fachausschuss Firmenjuristen Die Firmenjuristen kamen am 13.4.2018 bei der Deutsche Leasing AG in 17 Bad Homburg v. d. Höhe zusammen. Auf der Agenda standen die ePrivacyVerordnung – Stand des Gesetzgebungsverfahrens und Auswirkungen 377
Veronika Fischer
für Internetwirtschaft und Softwareindustrie (RA Dr. Olaf Koglin, Axel Springer SE, Berlin), Pleiten, Pech und Pannen – quo vadis elektronisches Anwaltspostfach (RA Kai Recke, eyeo GmbH), die DGRI-Schlichtung: Erfahrungen und Perspektiven (Prof. Dr. Axel Metzger, Humboldt-Universität zu Berlin) und ein Praxisbericht zum Softwareleasing (RAin Angelika Zöller, DAL Deutsche Anlagen-Leasing GmbH & Co KG, Mainz). 18 Das zweite Jahrestreffen der Firmenjuristen wurde am 9.11.2018 bei der Citrix Systems GmbH, München, abgehalten. Zunächst stellte der Gastgeber der Sitzung, RA Oliver Kirchner, die Produkte und Services von Citrix inklusive rechtlicher Aspekte im Zusammenhang mit BYOD, Mobility, Mobile Workspaces und „Anyness“ vor. Anschließend referierte RA Tobias Haar, OWNR Group, Hamburg, zum Geheimnisschutzgesetz. RA und SRA Dr. Gregor Rutow, Allianz SE, München, nahm die Auswirkungen von Legal Tech auf Inhouse-Juristen in den Blick. Die Sitzung schloss mit einem Erfahrungsaustausch zur DSGVO nach (knapp) 6 Monaten. Hierzu referierte RA und Dipl.-Kfm. Dr. Sebastian Kraska, IITR Datenschutz GmbH, München. 19 2. Fachausschuss Telekommunikations- und Medienrecht Der Fachausschuss Telekommunikations- und Medienrecht befasste sich am 29.6.2018 in Frankfurt/M. mit den Herausforderungen durch die neue ePrivacy-Verordnung. Die ePrivacy-Richtlinie datiert bereits aus dem Jahr 2002 und hält mit den digitalen Entwicklungen nicht mehr Schritt. Daher will die EU-Kommission die ePrivacy-Richtlinie durch eine ePrivacy-Verordnung ersetzen. Die Veranstaltung beleuchtete den aktuellen Stand des Gesetzgebungsverfahrens (Axel Voss, MdEP und Berichterstatter zur ePrivacy-Verordnung), ging auf mögliche Änderungen im deutschen TKG und TMG ein (Rolf Bender, Bundesministerium für Wirtschaft und Energie) und stellte ausgewählte Herausforderungen für die Praxis heraus (RA Dr. Holger Lutz, Frankfurt/M.). V. Publikationen 20 1. Stellungnahmen der DGRI Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat am 11.9.2018 den Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs vorgelegt. Er bezweckt die Verhinderung von missbräuchlichen Abmahnungen sowie die Verbesserung der Transparenz bei urheberrechtlichen Abmahnungen und enthält im Wesentlichen Änderungen des Ge378
Jahreschronik 2018
setzes gegen den unlauteren Wettbewerb (UWG), des Unterlassungsklagengesetzes (UKlaG) und des Gerichtskostengesetzes (GKG). Der Fachausschuss Datenschutz der Deutschen Gesellschaft für Recht 21 und Informatik e. V. (DGRI) hat sich mit dem Entwurf befasst und im Rahmen der vom Bundesministerium der Justiz und für Verbraucherschutz durchgeführten Verbändeanhörung eine Stellungnahme erstellt. Die Stellungnahme befasst sich insbesondere mit datenschutzrechtlichen Fragen und konzentriert sich auf den seit langem umstritten Aspekt, ob Datenschutzregelungen zugleich Marktverhaltensregelungen sind – und (nur) dann über das UWG abmahnbar wären. Sie nimmt Bezug auf eine in der Gesetzesbegründung enthaltene Formulierung, die diesbezüglich Präjudizien schaffen kann, so dass deren Streichung oder besser sogar noch eine zusätzliche Klarstellung, dass die Regelungen der DSGVO gerade keine Marktverhaltensregelungen sind, gefordert wurde. Die Stellungnahme ist in diesem Band abgedruckt und abrufbar unter www.dgri.de. 2. Journal of Intellectual Property, Information Technology and eCommerce Law (JIPITEC) Die Kooperation mit der JIPITEC als Forum für die Analyse des europäi- 22 schen Rechts wurde im Berichtsjahr weiter fortgesetzt. In 2018 wurden insgesamt 30.141 (2017: 29.030) Zugriffe verzeichnet, davon entfielen 10.311 (2017: 13.300) Seitenabrufe auf Europa. Unter den außereuropäischen Ländern verzeichnen die USA mit 13.961 (2017: 13.457) die meisten Besucher. Die Beiträge des Journals sind bei HeinOnline im Volltext gelistet und abrufbar unter www.jipitec.eu. Zudem werden sie demnächst bei SCOPUS, der weltweit größten Abstract- und Zitationsdatenbank für peer-reviewte wissenschaftliche Literatur, gelistet sein. VI. Schlichtungsstelle IT Die Schlichtungsstelle ist Ansprechpartner in allen Fragen bezüglich des 23 von der DGRI bereitgestellten Instruments zur Beilegung von Streitigkeiten mit informations- und kommunikationstechnischem Bezug und beantwortet regelmäßig Anfragen zum Ablauf des Schlichtungsverfahrens. Neben der Betreuung der laufenden Verfahren obliegt der Schlichtungsstelle IT die Pflege der Schlichterdatenbank und der Erfahrungsaustausch mit den Schlichtungsteams. Im Berichtsjahr stellte Prof. Dr. Axel
379
Veronika Fischer
Metzger die Erfahrungen mit und Perspektiven der DGRI-Schlichtung im Kreis der DGRI-Firmenjuristen (siehe unter IV.1, Rz. 18) vor. VII. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt 24 Die gemeinsame Veranstaltungsreihe mit dem Verlag Dr. Otto Schmidt wurde 2018 mit den Kölner Tagen zum IT-Recht sowie den Kölner Tagen Datenschutzrecht fortgesetzt. 25 –
Unter der Tagungsleitung von RA Dr. Malte Grützmacher und Prof. Dr. Fabian Schuster widmeten sich die Kölner Tage IT-Recht am 15./16.3.2018 den Herausforderungen und Risiken beim Handling von IT und Daten im Unternehmen. Zu den Themen zählten: Projektmanagement; Dauerschuldverhältnisse; Haftung; Interfaces, Vendor-lock-in & IT-Lösungen; Robotic Automation; Datenhaltung & Datenhandel.
–
Die Kölner Tage Datenschutzrecht am 18./19.6.2018 wurden von Prof. Niko Härting und RA Dr. Flemming Moos geleitet und befassten sich mit ersten Praxiserfahrungen und Streitfällen zu den Kernbegriffen der DSGVO, der Anwendung des neuen Rechts durch die Aufsichtsbehörden, der Umsetzung in Europa sowie einer amerikanischen Perspektive.
VIII. Preise und Auszeichnungen 26 Der Wissenschaftspreis der Deutschen Stiftung für Recht und Informatik (DSRI) wurde an Prof. Dr. Nikolaus Marsch, D.I.A.P. (ENA) für seine Habilitation mit dem Titel „Das europäische Datenschutzgrundrecht. Grundlagen – Dimensionen – Verflechtungen“ vergeben. Mit dem Absolventenpreis für eine herausragende Abschlussarbeit wurde Quincy C. Lobach ausgezeichnet. Die Arbeit setzt sich u. a. mit dem europäischen Richtlinienvorschlag zum Online-Warenhandel auseinander. Der Beitrag ist in diesem Band abgedruckt. Der Wissenschaftspreis ist mit 2.000 EUR und der Absolventenpreis mit 500 EUR dotiert. Beide Preise werden im Rahmen der Jahrestagung der DGRI übergeben, die auch das Preisgeld zur Verfügung stellt.
380
Jahreschronik 2018
IX. Wissenswertes aus der DGRI 1. Mitgliederentwicklung Per 31.12.2018 belief sich die Zahl der Mitglieder auf 823, davon 32 Fir- 27 men- und 791 Einzelmitgliedschaften. 2. Personalia Die Vorstandsmitglieder Prof. Dr. Dirk Heckmann (Vorsitzender), Dr.- 28 Ing. Peter J. Hoppen (stellv. Vorsitzender) sowie Prof. Dr. Dr. Walter Blocher, RA Dr. Robert Briner und RA Dr. Axel Funk (letztere als Beisitzer) wurden von der Mitgliederversammlung für eine weitere Amtsperiode wiedergewählt. Nach Erweiterung des Vorstands per Satzungsänderung vom 16.11.2018 wurde Prof. Dr. Louisa Specht-Riemenschneider (Universität Bonn) von der Mitgliederversammlung als Neumitglied in den Vorstand gewählt. Als Mitglied des Beirats wurde RA Dr. Anselm Brandi-Dohrn erstmals durch den Vorstand bestellt. Kassenprüfer sind für ein weiteres Jahr Prof. Dr. Stefan Ernst und Jan Spoenle. 3. Geschäftsstelle In der Geschäftsstelle wurden federführend die DGRI-Jahrestagung und 29 das Drei-Länder-Treffen organisiert und die Stellungnahmen der Gesellschaft koordiniert. Die Geschäftsstelle ist Ansprechpartner für Mitglieder, Kooperationspartner und Sponsoren und kümmert sich um die Buchhaltung und den Jahresabschluss. Daneben wurde im Berichtsjahr der Relaunch der DGRI-Webseite betreut.
381
DGRI-Stellungnahme zum Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs Warum Regelungen der DSGVO keine Marktverhaltensregelungen sein können Dirk Heckmann/Sibylle Gierschmann/Robert Selk* I. Begrenzung einer etwaigen Klagebefugnis im UKlaG 1. Öffnungsklausel der DGSVO 2. Wahrung der Interessen Betroffener 3. Ausschluss von Konkurrentenklagen
3. Datenschutzrechtliche Regelungen traditionell keine Marktverhaltensregeln 4. „Hüter des Datenschutzes“ III. Vorschlag der DGRI
II. DSGVO ist keine Marktverhaltensregelung 1. Datenschutzrechtlicher Verstoß UWG-Verstoß 2. Schutzziele der DSGVO
Das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) hat Anfang September 2018 den Entwurf eines Gesetzes zur Stärkung des fairen Wettbewerbs vorgelegt. Er bezweckt die Verhinderung von missbräuchlichen Abmahnungen sowie die Verbesserung der Transparenz bei urheberrechtlichen Abmahnungen und enthält im Wesentlichen Änderungen des Gesetzes gegen den unlauteren Wettbewerb (UWG), des Unterlassungsklagengesetzes (UKlaG) und des Gerichtskostengesetzes (GKG). Der Fachausschuss Datenschutz der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI) hat sich mit dem Entwurf befasst. Der nachfolgende Text gibt die von der DGRI im Rahmen der vom BMJV durchgeführten Verbändeanhörung erstellte Stellungnahme wieder. Die Stellungnahme befasst sich insbesondere mit datenschutzrechtlichen Fragen und konzentriert sich auf den seit langem umstrittenen Aspekt,
*
Prof. Dr. Dirk Heckmann/RAin Prof. Dr. Sibylle Gierschmann, LL.M./RA Dr. Robert Selk, LL.M. Die Stellungnahme ist im Original abrufbar unter: www. dgri.de, dort in der Rubrik Stellungnahmen.
383
Anhang
ob Datenschutzregelungen zugleich Marktverhaltensregelungen sind – und (nur) dann über das UWG abmahnbar wären. Die Gesetzesbegründung enthält eine Formulierung, die diesbezüglich Präjudizien schaffen kann, so dass deren Streichung oder besser sogar noch eine zusätzliche Klarstellung gefordert wird, dass die Regelungen der DSGVO gerade keine Marktverhaltensregelungen sind. Dies wird wie folgt begründet: I. Begrenzung einer etwaigen Klagebefugnis im UKlaG 1 Der Referentenentwurf sieht zwar in Art. 2 Änderungen des Unterlassungsklagegesetzes vor, die auf das BDSG bezogene Regelung des Art. 2 Abs. 1 Satz 3 i. V. m. § 2 Abs. 2 Nr. 11 UKlaG wird aber nicht angepasst. Hier wäre im Interesse der Rechtssicherheit dringend eine Anpassung geboten. Zum einen muss die Klagebefugnis auf wirklich berechtigte Verbände begrenzt werden, zum anderen ist die Beauftragung der Verbände durch die betroffene Person zu regeln. Sofern es darüber hinaus eine eigene Klagebefugnis der Verbände geben sollte, wäre diese auf die Durchsetzung von Transparenzregelungen in Fällen nicht lediglich unwesentlicher Abweichungen zu begrenzen. Auch könnte überlegt werden, dass eine erstmalige Abmahnung bei kleinen und mittleren Unternehmen im Sinne der DSGVO kostenfrei ist. Wichtig ist zudem, dass die Grenzen der Öffnungsklausel von Art. 80 Abs. 2 DSGVO nicht überschritten und kein europarechtswidriger deutscher Sonderweg beschritten wird. Im Einzelnen: 1. Öffnungsklausel der DGSVO 2 Nach Art. 80 Abs. 2 DSGVO können Mitgliedstaaten vorsehen, dass Einrichtungen, Organisationen oder Vereinigungen i. S. v. Art. 80 Abs. 1 DSGVO unabhängig vom Auftrag der betroffenen Person Verstöße gegen die Verordnung geltend machen können. 2. Wahrung der Interessen Betroffener 3 Von dieser Öffnungsklausel sollte nur vorsichtig Gebrauch gemacht werden, da andernfalls die Gefahr besteht, dass Betroffenenrechte auch gegen die Interessen Betroffener geltend gemacht werden. Beispielsweise wäre zu vermeiden, dass ein Verbraucherschutzverband einen Anspruch auf Löschen abstrakt-generell für eine Vielzahl von Fällen geltend machen kann. Dies muss nämlich nicht im Interesse der betroffenen Person sein. Dagegen kann es sinnvoll sein, dass ein Verstoß gegen Transparenzrege-
384
Stellungnahmen
lungen (sofern er nicht marginal ist) auch von Verbänden eingeklagt werden kann, da davon in der Regel eine Vielzahl von Personen betroffen ist. 3. Ausschluss von Konkurrentenklagen Bei einer Überarbeitung des UKlaG im Lichte des Art. 80 Abs. 2 DSGVO 4 wäre ferner zu beachten, dass ein Klagerecht gem. Art. 80 Abs. 1 DSGVO nur solchen Verbänden zusteht, die ohne Gewinnerzielungsabsicht agieren und deren satzungsmäßige Ziele im öffentlichen Interesse liegen und die im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz personenbezogener Daten tätig sind. Damit sind Konkurrentenklagen ausgeschlossen, d. h. Wirtschaftsverbände und Kammern wären von der Klagebefugnis explizit auszuschließen. II. DSGVO ist keine Marktverhaltensregelung Der Referentenentwurf enthält keine materiell-rechtlichen datenschutz- 5 rechtlichen Regelungen. Dies unterstützen wir, da solche in der Regel abschließend in der DSGVO enthalten sind und ansonsten – soweit noch Raum für nationale Regelungen besteht – das BDSG-neu der geeignete Ort wäre. 1. Datenschutzrechtlicher Verstoß UWG-Verstoß Allerdings findet sich in der Begründung zu § 13 Abs. 4 UWG-E, 2. Ab- 6 satz der folgende Satz: „Soweit die in den Artikeln 13 und 14 der Datenschutz-Grundverordnung enthaltenen Gebote als Marktverhaltensregelungen im Sinne von § 3a UWG bewertet werden, kann eine nur unerhebliche Beeinträchtigung im Einzelfall in Betracht kommen, wenn von den aufgelisteten Anforderungen nur geringfügig abgewichen wird.“ Dieser Satz ist zu streichen, da er den unzutreffenden Eindruck erweckt, 7 dass datenschutzrechtliche Verstöße als Marktverhaltensregelungen zugleich UWG-Verstöße sein können. Die Regelungen der DSGVO sind aber abschließend, eine diesbezügliche Öffnungsklausel besteht nicht. Insbesondere sind die Rechtsfolgen einer Verletzung datenschutzrechtlicher Anforderungen in Art. 77-84 DSGVO abschließend geregelt. Lediglich Art. 80 Abs. 2 DSGVO gestattet nationale Sonderregelungen, die allerdings begrenzt sind auf die Regelung des Umfangs der Klagebefugnis
385
Anhang
von Einrichtungen, Organisationen oder Vereinigungen, deren Ziel der Schutz der Rechte und Freiheiten der betroffenen Personen ist.1 2. Schutzziele der DSGVO 8 Dies entspricht dem einen Schutzziel der DSGVO, nach deren Art. 1 Abs. 2 DSGVO die Verordnung natürliche Personen bei der Verarbeitung personenbezogener Daten schützen soll. Der faire Wettbewerb ist von diesem Schutzziel nicht erfasst. Regelungen dazu wären auch von der primärrechtlichen Gesetzgebungskompetenz des Art. 16 AEUV nicht umfasst. Deshalb schließt Art. 80 Abs. 1 DSGVO Wettbewerbsverbände von der Klagebefugnis von vornherein aus. 9 Ebenso sei darauf hingewiesen, dass auch das andere Ziel der DSGVO, der Schutz des freien Verkehrs von personenbezogenen Daten gem. Art. 1 Abs. 3 DSGVO, zu keiner anderen Betrachtung führt. Denn damit ist allein gemeint, dass Regelungen zum Datenschutz nicht den freien Waren- und Dienstleistungsverkehr im Binnenmarkt behindern dürfen. Die Regelung von Marktverhalten im wettbewerbsrechtlichen Sinne ist damit nicht das Ziel der DSGVO. 3. Datenschutzrechtliche Regelungen traditionell keine Marktverhaltensregeln 10 Wir waren bereits nach alter Rechtslage der Auffassung, dass es sich bei den datenschutzrechtlichen Regelungen des BDSG nicht um Marktverhaltensregeln handelte, da diese den Schutz des Rechts auf informationelle Selbstbestimmung und nicht die Regelung des Markverhaltens zum Ziel hatten.2 Die gegenteilige Auffassung ist nunmehr vor dem Hintergrund der DSGVO und deren abschließenden Regelungen in den Art. 77-84 DSGVO nicht mehr haltbar. Sie wäre auch europarechtswidrig, da sie eine nationale Sonderregelung in einem vollharmonisierten Regelungsbereich schaffen würde. 4. „Hüter des Datenschutzes“ 11 Die DSGVO sieht zuvörderst die unabhängigen nationalen Aufsichtsbehörden als „Hüter des Datenschutzes“ an. Wir sehen bei diesen die Aufgabe, die Einhaltung der Datenschutzgesetze zu überwachen, rich1 2
S.a. Köhler in: Köhler/Bornkamm/Feddersen, UWG, 36. Aufl. 2018, § 3a Rz. 1.40a und 1.74a. So auch OLG München, ZD 2012, 330, Rz. 26 ff.; OLG Düsseldorf DuD 2004, 631 f.; OLG Frankfurt, NJW-RR 2005, 839 f.
386
Stellungnahmen
tig angesiedelt. Ein diesbezügliches Vorgehen durch Private – wie Verbände oder Wettbewerber – darf insofern nur erfolgen, soweit die DSGVO dies vorsieht – siehe dazu vorstehende Ausführungen. III. Vorschlag der DGRI Aus den vorgenannten Gründen schlagen wir daher vor, die vorstehend 12 zitierte Passage aus der Gesetzesbegründung ersatzlos zu streichen, um eine rein deutsche Interpretation der datenschutzrechtlich vollharmonisierten Normen zu vermeiden. Es könnte sogar, im Gegenteil, sinnvoll sein, wenn bei den geplanten Änderungen des UWG explizit klargestellt würde, dass die DSGVO und deren Vorgaben keine Marktverhaltensregelungen im wettbewerbsrechtlichen Sinne sind.
387