DGRI Jahrbuch 2019 9783504386900

Citation preview

Tiefe

Baumgärtel/Hoppen DGRI Jahrbuch 2019/2020

Tiefe

Informationstechnik und Recht Schriftenreihe der Deutschen Gesellschaft für Recht und Informatik e.V.

Band 29

Tiefe

DGRI Jahrbuch 2019/2020 Im Auftrag der Deutschen Gesellschaft für Recht und Informatik e.V.

herausgegeben von

Dr. Matthias Baumgärtel Oldenburg und

Dr.-Ing. Peter J. Hoppen Brühl

2021

Tiefe

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/9 37 38-01, Fax 02 21/9 37 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-67028-3 ©2021 by Verlag Dr. Otto Schmidt KG, Köln

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung nach einem Entwurf von: Jan P. Lichtenford Satz: Datagroup Int., Timisoara Druck und Verarbeitung: Stückle, Ettenheim Printed in Germany

Editorial Das DGRI Jahrbuch erscheint dieses Mal als Doppelband für die Jahre 2019 und 2020. In die Planung für das Jahrbuch 2019 fiel im Frühjahr der erste Lockdown aufgrund der Corona-Pandemie und den Herausgebern wurde schnell klar, dass das Jahr 2020 anders werden wird. Das Drei-Ländertreffen musste leider abgesagt werden, die Jahrestagung fand im neuen Format digital+ in einem reduzierten Umfang statt und auch die Fachausschüsse konnten viele Veranstaltungen nicht durchführen. Anfängliche Bedenken, nicht genügend Content für ein Jahrbuch zu haben, die sich letztlich als unbegründet herausstellten, führten zu der Idee dieses Doppelbandes, der Ihnen nun als 29. Band der Schriftenreihe der Deutschen Gesellschaft für Recht und Informatik e. V. vorliegt und die Entwicklungen des Informationsrechts 2019/2020 widerspiegelt. Die Jahrestagung 2019 in Berlin – die letzte große Präsenzveranstaltung der DGRI vor der Pandemie – stand unter dem Motto Daten – Freiheit – Sicherheit. Mit diesem an den Dreiklang der Französischen Revolution erinnernden Titel griff die Jahrestagung das Disruptive in der Digitalen Transformation auf und der traditionelle Gala-Abend fand am Vorabend des 30. Jahrestags des Berliner Mauerfalls statt. 1789 – 1989 – 2019: Rund 150 Teilnehmer diskutierten an 3 Tagen, ob die Digitalisierung den mühsam errungenen demokratischen Rechtsstaat mit seinen Grundrechten, Freiheiten und sicheren Lebensverhältnissen stärkt oder schwächt. Die Themen der Tagung reichten vom Social Credit System in China über die Datenethikkommission und die Kommission Wettbewerbsrecht 4.0 bis zu Cybersicherheit, Legal Tech, KI und Prozessrecht. In dem umfassenden Tagungsbericht von Etzkorn können Sie die Highlights der Tagung noch einmal Revue passieren lassen und sich einen schönen Eindruck von der Vielfalt der behandelten Themen sowie des attraktiven Begleitprogramms in den ehemals getrennten Stadthälften Berlins machen. Der einführende Beitrag von Wischmeyer befasst sich mit der Rechtsverwirklichung durch Technik im Rechtsstaat. Der Verfasser kommt nach umfassender Darlegung der rechtlichen und tatsächlichen Gegebenheiten zu dem Ergebnis, dass wir nicht nur bessere, differenziertere technische Lösungen, sondern auch klügere normative Gestaltungen benötigen. Dafür ist eine intensive Kommunikation zwischen der rechtswissenschaftlichen Grundlagenforschung und den Spezialistinnen und Spezialisten des IT- und Informationsrechts essentiell, einer Aufgabe, der sich die DGRI in ihren Fachausschüssen stellt. Der Beitrag von Botta, der als Gewinner des DSRI-Best Speech Award auf die Jahrestagung eingeladen worden ist, befasst sich mit dem California Consumer PrivaV

Editorial

cy Act (CCPA). In seinem lesenswerten Beitrag wird untersucht, ob es sich bei der DSGVO und dem CCPA um gleichwertige Regelungsregime handelt und welche Auswirkungen dies auf das datenschutzrechtliche Fundament des transatlantischen Datenverkehrs haben könnte. Der Bericht von Etzkorn/Vetter über den Legal Tech-Workshop gibt einen sehr anschaulichen Einblick in die Umsetzung in der juristischen Praxis und spiegelt die rechtspolitische Diskussion um die Digitalisierung von Rechtsdienstleistungen wider. Winzer stellt in seinem Beitrag fest, dass trotz der Nichtöffentlichkeit und Vertraulichkeit von Schiedsverfahren die Wahrung von Geschäftsgeheimnissen gegenüber dem Gegner oft schwierig ist. Er stellt dar, wie die Defizite des zivilprozessualen Geheimnisschutzes über Schiedsklauseln, die „richtige“ Schiedsverfahrensordnung und ergänzende Parteivereinbarung ausgeglichen werden können, sofern das Geschäftsgeheimnisgesetz nicht zur Anwendung kommt. Die Jahrestagung 2020 fand aufgrund der Corona-Pandemie nicht wie geplant in Hamburg statt, sondern als Digitalveranstaltung unter dem Motto Digitale Souveränität – Vision oder Trugbild? Die Digitale Souveränität und die Schaffung einer europäischen Dateninfrastruktur standen während der EU-Ratspräsidentschaft von Deutschland im zweiten Halbjahr 2020 ganz oben auf der Agenda der EU. Hierzu zählten ein „Rechtsakt für gemeinsame europäische Datenräume“ ebenso wie das Voranbringen der ePrivacy-Verordnung und der europäischen digitalen Identität. In Zeiten der COVID-19-Pandemie kann Digitalisierung einen wichtigen Beitrag zur Überwindung der Krise leisten. Die Jahrestagung der DGRI 2020 hat sich diesen Themenfeldern gewidmet und dabei den pandemiebedingten Kontaktbeschränkungen mit dem Konzept digital+ auf eigene Weise Tribut gezollt. Die Teilnehmerinnen und Teilnehmer nahmen in Kleinstgruppen oder alleine im Büro oder Wohnzimmer an der Veranstaltung teil, das Formal digital+ schuf trotz der Distanz zwischen den Teilnehmern Verbindungen, lud zum Verweilen in verschiedenen Coffee-Rooms ein und gab jeder und jedem Einzelnen die Souveränität, auf selbstgewählte, sichere Weise ein spannendes Programm zu erleben. Anstelle des traditionellen Gala-Dinners konnten die Teilnehmer am Freitagabend ihnen zugesandte Weine und Köstlichkeiten im Rahmen einer digitalen Weinprobe mit musikalischen Einlagen genießen. In ihrem spannenden Beitrag zum Verordnungsentwurf des Digital Service Act geht Weiden den Fragen nach, was die Freiheit im Internet ausmacht, wie viel Meinung das Netz verkraftet und wer die Inhalte im Netz verantwortet. In ihrem ausführlichen Beitrag zur Bekämpfung von Fake-Bewertungen im Internet geht Locher davon aus, dass bei Nutzerbewertungen in erster Linie das Lauterkeitsrecht betroffen ist und die Ent-

VI

Editorial

wicklung neuer Bewertungssysteme von Seiten der Plattformbetreiber erfolgen muss. In dem sehr anschaulichen Beitrag von Liesching wird die Bedeutung des NetzDG in der praktischen Anwendung unter Bezugnahme auf Transparenz- und Monitoring-Berichte sowie die Bußgeldpraxis dargestellt und mögliche Anhaltspunkte für ein durch das NetzDG möglicherweise mitverursachtes „Overblocking“ bei Sozialen Netzwerken untersucht. In den Veranstaltungen der DGRI wurden aber auch praxisbezogene Fragestellungen aus dem Unternehmensalltag thematisiert und sollen in diesem Jahrbuch Erwähnung finden. Deubert/Lewe arbeiten in ihrem Beitrag Kriterien heraus, unter welchen Umständen Aufwendungen für den Einsatz von Software – sei es die Lizenzierung, aber auch Kosten der Individualentwicklung, der Modifikation und des Customizings – zu aktivieren sind, wo es ein Wahlrecht gibt und wo ein Aktivierungsverbot besteht. Der Beitrag von Lehmann befasst sich mit alternativen Streitbeilegungsklauseln in internationalen Lizenzverträgen, einem wichtigen Instrument zur Vermeidung langwieriger und kostenintensiver Rechtsstreitigkeiten. Das traditionelle Drei-Länder-Treffen fand im Juni 2019 in Krems an der Donau statt und stand unter dem Motto „Innovation und Wettbewerb“ und behandelte länderübergreifend die Themen Smart Factory – Digitaler Zwilling – Datenschutz- und Wettbewerbsrecht und bot die bewährten Updates im Ländervergleich. In dem von Haag/Hubcheva verfassten Tagungsbericht werden nicht nur die Referate und diskutierten Themen sehr anschaulich beschrieben, sondern auch das schöne Rahmenprogramm gewürdigt. Der Länderbericht Schweiz von Gaul bietet einen hervorragenden Überblick über das dortige Geschehen im Informationsrecht. Der sehr umfassende Gemeinschaftsbeitrag zu Smart Factories von Ammann, Panic, Schroll und Wanderer befasst sich mit IT- und kartellrechtlichen Herausforderungen KI-gestützter Big Data-Auswertungen in Unternehmen aus deutscher und österreichischer Perspektive. Abgerundet wird der Beitrag mit einem Blick auf die kartellrechtlichen Anforderungen bei einem Unternehmenserwerb. In den Jahren 2019 und 2020 wurden drei DSRI-Preisträger für eine herausragende Habilitation bzw. Promotion ausgezeichnet. Die Übergabe der Preise erfolgte durch eine feierliche Laudatio der Stiftungsratsvorsitzenden Dr. Ursula Widmer während des Galadinners bzw. 2020 nach der digitalen Weinprobe. Die sehr lesenswerten Beiträge mit einer Kurzfassung ihrer Arbeiten der Preisträger PD Dr. Enrico Peuker über den Verfassungswandel durch Digitalisierung, Prof. Dr. Philipp Hacker zum

VII

Editorial

Datenprivatrecht und Dr. Lucia Sommerer über personenbezogenes Predictive Policing sind im Tagungsband abgedruckt. In der jahresübergreifenden Chronik berichtet die neue DGRI-Geschäftsführerin Romy Fiolka, geb. Richter über die wichtigsten Tagungen und Kooperationen der Jahre 2019 und 2020 sowie die Aktivitäten der Fachausschüsse und der seit 2015 an der Humboldt-Universität zu Berlin angesiedelten DGRI-Schlichtungsstelle IT. Nach der digitalen Jahrestagung 2020 ist unser langjähriges Vorstandsmitglied aus seinem Amt als Vorstandsvorsitzender ausgeschieden, das er seit 2014 innehatte. Die Danksagung und einen Überblick auf das Wirken von Prof. Dr. Dirk Heckmann hat Prof. Dr. Peter Bräutigam verfasst, der Beitrag beruht auf seiner auf der Jahrestagung gehaltenen Laudatio. Nach vielen Jahren und abgeschlossener Promotion hat auch unsere sehr beliebte und verdienstvolle Geschäftsführerin Dr. Veronika Fischer die Gesellschaft verlassen, um sich spannenden neuen beruflichen Perspektiven zu widmen. Weiterhin gibt es eine erfreulich große Zahl an Berichten aus den zahlreichen Fachausschüssen. Vervollständigt wird das Jahrbuch schließlich durch einen Abdruck der Stellungnahme zum neuen Telekommunikationsgesetz, die von der DGRI im Berichtszeitraum abgegeben wurde. Für die Herausgeber war das Zusammenstellen der einzelnen Beiträge eine sehr interessante und ehrenvolle Aufgabe. Wir sind allen Autoren für ihren Einsatz bei der Erstellung der qualitativ durchweg hervorragenden Beiträge sehr zu Dank verpflichtet. Wir danken den Autoren auch für Ihre Geduld, da die Beiträge aus 2019 durch die Ausgabe als Doppelband ein Jahr später erschienen sind. Daneben gilt unser Dank aber auch Ulrich Gasper, Redakteur im Verlag Dr. Otto Schmidt KG, sowie Claudia Bergmeier, Lektorin im Verlag Dr. Otto Schmidt KG, für ihre Geduld und vielfältige Unterstützung bei der Organisation und Erstellung dieses Jahrbuches. Der Doppelband für die Jahre 2019/20 belegt, dass die DGRI auch in Corona-Zeiten eine lebendige, anpassungsfähige Organisation ist, und die Beiträge offenbaren einen eindrucksvollen Einblick in eine immer mehr digitalisierte Gesellschaft. Wir wünschen viel Vergnügen beim Lesen. Köln/Oldenburg, im August 2021 Dr.-Ing. Peter Hoppen Dr. Matthias Baumgärtel VIII

Inhaltsübersicht * Editorial (Peter Hoppen/Matthias Baumgärtel) . . . . . . . . . . . . . . .

V

A. Jahrestagungen (2019, Berlin, 2020 Digital+) DGRI Jahrestagung 2019: „Daten Freiheit Sicherheit“ (Philipp Etzkorn) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

DGRI Jahrestagung 2020 digital+ „Digitale Souveränität – Vision oder Trugbild?“ (Romy Fiolka) . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat (Thomas Wischmeyer) . . . . . . . . . . . . . . . . . . . . . . . . .

9

Der California Consumer Privacy Act und die DSGVO: Ein Transatlantisches Zwillingspaar? (Jonas Botta) . . . . . . . . . . . .

29

Legal Tech – Anwalt 2025 Workshop im Rahmen der DGRI-Jahrestagung vom 7. bis 9.11.2019 in Berlin (Philipp Etzkorn/ Sven Vetter) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

45

Lizenzverträge und Immaterialgüterrechte in Schiedsgerichtsverfahren Vortrag vor dem Schlichtungsausschuss der DGRI, Berlin, 7.11.2019 (Michael Lehmann) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

55

Geschäftsgeheimnisse im Kontext von Gerichts- und Schiedsverfahren (Florian Winzer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

65

DSA-Verordnungsentwurf: Neue Grundregeln für die Digitalwirtschaft (Henrike Weiden) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

79

Bekämpfung von Fake-Bewertungen im Internet (Lieselotte Locher) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

101

Hass und Terror im Internet – Das NetzDG in der praktischen Anwendung (Marc Liesching) . . . . . . . . . . . . . . . . . . .

115

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB (Michael Deubert/Stefan Lewe) . . . . . . . . . . . . . . . . . . . . . . .

139

*

Ausführliche Inhaltsverzeichnisse jeweils zu Beginn der Beiträge.

IX

Inhaltsübersicht

B. Drei-Länder-Treffen (2019, Krems) Tagungsbericht: 26. Drei-Länder-Treffen 2019 (Matthias Haag/Mariya Hubcheva) . . . . . . . . . . . . . . . . . . . . . . . .

153

Länderbericht Schweiz (Caroline Gaul) . . . . . . . . . . . . . . . . . . . . .

157

SMART FACTORY Eine IT- und wettbewerbsrechtliche Annäherung aus deutscher und österreichischer Perspektive (Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer) . . . . .

169

C. Fachausschüsse und Schlichtungsstelle Bericht des Fachausschuss Firmenjurist(inn)en (Roland Bömer). . . . .

215

Bericht des Fachausschuss Outsourcing (Thomas Thalhofer/Lars Lensdorf) . . . . . . . . . . . . . . . . . . . . . . . . .

219

Bericht des Fachausschuss Softwareschutz (Malte Grützmacher) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

221

Bericht des Fachausschuss Internet und eCommerce (Holger Lutz/Thomas Wilmer) . . . . . . . . . . . . . . . . . . . . . . . . . . . .

225

Bericht des Fachausschuss Schlichtung (Jürgen W. Goebel) . . . . . . .

227

Bericht des Fachausschuss Telekommunikations- und Medienrecht (Gerd Kiparski) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

229

Bericht des Fachausschuss Datenschutz (Robert Selk/Sibylle Gierschmann) . . . . . . . . . . . . . . . . . . . . . . . .

231

Die Schlichtungsstelle IT der DGRI – Überblick über die Tätigkeit der Jahre 2019 und 2020 (Zora Witte) . . . . . . . . . . . . . . . . . . .

241

Art. 12 der neuen EU-P2B-Verordnung Die Benennung von Schlichtungsstellen als Mediatoren (Axel Metzger/Sven Vetter/Zora Witte) . . . . . . . . . . . . . . . . . . . . .

245

D. Preisträger der DSRI 2019/2020 Verfassungswandel durch Digitalisierung – Digitale Souveränität als verfassungsrechtliches Leitbild (Enrico Peuker) . . . . . . . . . . . .

257

Datenprivatrecht (Philipp Hacker) . . . . . . . . . . . . . . . . . . . . . . . . .

281

X

Inhaltsübersicht

Selbstauferlegte Gedankenlosigkeit algorithmenbasierter Kriminalitätskontrolle (Lucia Sommerer) . . . . . . . . . . . . . . . . . . . . . . . .

305

E. Aus der DGRI DGRI Jahreschronik 2019/2020 (Romy Richter) . . . . . . . . . . . . . .

323

Laudatio für Prof. Dr. Dirk Heckmann zum Abschied als Vorstandsvorsitzender der DGRI (Peter Bräutigam) . . . . . . . . . . .

335

F. Anhang Stellungnahme der DGRI zum Diskussionsentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz) (Joachim Scherer/Sven-Erik Heun/Gerd Kiparski) . . . . . . . . . . . . . . . . . . . .

343

XI

DGRI Jahrestagung 2019: „Daten Freiheit Sicherheit“ Philipp Etzkorn* Die Jahrestagung 2019 der Deutschen Gesellschaft für Recht und In- 1 formatik e.V. (DGRI) fand vom 7.-9.11.2019 in Berlin statt. Der Veranstaltungsort sowie das zeitliche Zusammenfallen mit dem 30-jährigen Mauerfall-Jubiläum waren dabei keineswegs dem Zufall geschuldet, wie Prof. Dr. Dirk Heckmann (TU München, Vorsitzender DGRI) in seiner Eröffnung erklärte. Vielmehr sollten Ort und Datum der Veranstaltung die große Bedeutung des Oberthemas 2019 „Daten Freiheit Sicherheit“ unterstreichen. Nach einem Begrüßungsabend im Politbüro des Soho House Berlin, das 2 seinerzeit dem DDR-Präsidenten als Arbeitsraum diente, wurde am Freitag der erste Themenblock „E-Mauern: Unfreiheit by design“ von Prof. Dr. Louisa Specht-Riemenschneider (Rheinische Friedrich-Wilhelms-Universität Bonn) moderiert. Den Einstieg bildete der Beitrag von Prof. em. Dr. Stein Ringen (University of Oxford; Visiting Professor, King’s College London) „The Perfect Dictatorship – China’s Social Credit System“. Er legte darin anhand diverser Beispiele eindrucksvoll dar, dass das Internet, Daten sowie der technische Fortschritt den Menschen nicht zwangsläufig Freiheit gewähren, sondern auch zu einem neuen, mächtigen Kontrollwerkzeug werden können. Darauf aufbauend zeigte Prof. Dr. Thomas Wischmeyer (Universität Bielefeld) in seinem Vortrag „(Un-) Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat“ auf, dass – in Abgrenzung zu China – auch in einem Rechtsstaat die bloße Rechtsverwirklichung durch Technik zu Unrecht führen kann. Anhand anschaulicher Alltagsbeispiele wurde deutlich, dass das Gesetz an vielen Stellen überschießend regelt und eine umfassende Ahndung von Verstößen nicht zwangsläufig im Sinne des Gesetzgebers ist. Vor dem Hintergrund der beiden Vorträge wurde intensiv über Freiheit, das Recht zum Rechtsbruch und das Drohen einer Kontrollgesellschaft diskutiert. Der zweite Themenblock „Daten und Sicherheit“ wurde von Heckmann 3 moderiert. In diesen leitete Dr. Gerhard Schabhüser (Bundesamt für Sicherheit in der Informatik, Vizepräsident) mit einem Vortrag zu „Strategien zur IT-Sicherheitsgewährleistung“ ein. Dabei verdeutlichte er, dass die Digitalisierung vor keinem Lebensbereich Halt mache, eine vollständige Sicherheit aber gleichzeitig nicht zu erreichen sei. Zu komplex seien *

Philipp Etzkorn, Marburg.

1

Philipp Etzkorn

die Systeme, zu groß die Netzwerke und zu international die Vorgänge. Diesen Ball, Sicherheitslücken in IT-Systemen, nahm der Vortrag „Grenzenlose Straftaten im Internet – begrenzte Ermittlungsmöglichkeiten?“ von Sigrid Hegmann (Bundesanwältin beim Bundesgerichtshof in Karlsruhe) spielend auf. Einleitend ging sie auf die zunehmende Bedeutung von cybercrime und crime as a service ein, bevor sie im Schwerpunkt einen überaus spannenden Praxisbericht zu Cyberspionage lieferte und dabei nicht nur behandelte, wie solche Angriffe ablaufen und wie etwaige Auftraggeber ermittelt werden können, sondern auch welche Fallstricke und rechtlichen Rahmenbedingungen bei den Ermittlungen zu beachten sind. 4 Hochkarätig war auch der dritte Themenblock „Datenrecht und Datenethik“ besetzt. Moderiert von Dr. Veronika Fischer (Geschäftsführung der DGRI, Karlsruhe) wurde zum einen der Bericht der Kommission Wettbewerbsrecht 4.01 von Prof. Dr. Heike Schweitzer, LL.M. (Humboldt-Universität Berlin) und zum anderen der Bericht der Datenethikkommission2 von Prof. Dr. Christiane Wendehorst, LL.M. (Universität Wien) vorgestellt. Als Co-Vorsitzende der jeweiligen Kommission konnten sie auch über die Hintergründe, Erwägungen und etwaige Strömungen berichten, die nicht den Weg in den Abschlussbericht fanden. Insbesondere der Aspekt des Eigentums an Daten wurde im Anschluss aus verschiedenen Perspektiven intensiv beleuchtet. Abgerundet wurde dieser Themenkomplex von Prof. Dr. Sibylle Gierschmann, LL.M. (Gierschmann Legal, Hamburg), die in ihrem Vortrag über „Datenverträge in der anwaltlichen Beratung“ einen ausführlichen Bericht über die Verantwortlichkeiten unter der DSGVO und die vertragsrechtlichen Implikationen bot. 5 Es folgten mit dem „Workshop Legal Tech – Anwalt 2025“ sowie dem Themenblock „Prozessrecht“ zwei parallele Sitzungen: 6 In Ersterem moderierte Prof. Dr. Peter Bräutigam (Noerr LLP, München) umgeben von den beiden ‚Women of Legal Tech 2018‘, Dr. Christina-Maria Leeb (Analyst Digital Business Development, HEUSSEN, München) und Zoë Andreae (Geschäftsführung, Lecare GmbH, Hamburg), sowie Julia Mergenthaler (Legal Tech Coordinator, CMS Hasche Sigle, Berlin) einen Ritt durch diverse Themenfelder innovativer Rechtsdienst-

1

2

2

Der Bericht ist online abrufbar: https://www.bmwi.de/Redaktion/DE/Publikationen/Wirtschaft/bericht-der-kommission-wettbewerbsrecht-4-0.pdf?__ blob=publicationFile&v=12, zuletzt aufgerufen am: 17.5.2021. Der Bericht ist online abrufbar: https://www.bmjv.de/SharedDocs/Downloads/DE/Themen/Fokusthemen/Gutachten_DEK_DE.pdf?__blob=publicationFile&v=3, zuletzt aufgerufen am: 17.5.2021.

DGRI Jahrestagung 2019: „Daten Freiheit Sicherheit“

leistungen. Im Fokus standen zum einen die möglichen Anwendungsfelder und Lösungen von Legal Tech, bevor zum anderen das Berufsrecht näher beleuchtet wurde. In der anschließenden lebhaften Diskussion wurden, angefangen bei allgemeinen Definitionen bis hin zu detaillierten Einzelfragen des Geschäftsmodells einzelner Produkte, die Perspektiven und Chancen für den Einsatz in der Praxis besprochen. Parallel dazu widmete sich das von Jörg Wimmers, LL.M. (Taylor Wes- 7 sing, Hamburg) moderierte Panel aktuellen prozessrechtlichen Fragen. Thorsten Feldmann, LL.M. (JBB Rechtsanwälte, Berlin) beleuchtete in seinem Vortrag zur „Waffengleichheit im Verfügungsverfahren“ zwei Beschlüsse des Bundesverfassungsgerichts vom 30.9.2018 (1 BvR 1783/17 und 1 BvR 2421/17). Ihnen lag ein presserechtlicher Sachverhalt zugrunde, sie haben jedoch unmittelbar auch Auswirkungen auf das Wettbewerbsrecht und den Gewerblichen Rechtsschutz und beschränken die weitverbreitete Praxis, einstweilige Verfügungen ohne mündliche Verhandlung zu erlassen. Erörtert wurden die Folgen für das Verfügungsverfahren, prozesstaktische Überlegungen und die Reaktionen der Gerichte anhand von Praxisbeispielen. Dr. Florian Winzer (Heuking Kühn Lüer Wojtek, Frankfurt/Main) adressierte den Konflikt zwischen effektivem Rechtsschutz und Geheimnisschutz im Zivilprozess. Die zivilprozessualen Möglichkeiten seien unzureichend, im Schiedsverfahren könnten sie über Schiedsklauseln, die Wahl der Verfahrensordnung und ergänzende Parteivereinbarungen aber jedenfalls teilweise ausgeglichen werden. Dr. Christian Frank (Taylor Wessing, München) befasste sich wiederum mit der Gewinnung von Informationen, etwa über den Umfang der tatsächlichen Nutzung von Software oder Verwertungsrechten. Er verglich Besichtigungsansprüche mit Auditklauseln und schilderte anhand seiner langjährigen Erfahrungswerte die Praxis der Durchsetzung. Abgerundet wurde der erste Veranstaltungstag, dessen Sitzungen im „al- 8 ten Westen“ stattfanden, mit einem festlichen Abendessen in wunderbarer Atmosphäre in der Wartehalle, einem ehemaligen Bahnhofsgebäude, im „alten Osten“ Berlins. Den Einstieg in den zweiten Veranstaltungstag machte der Preisträger 9 der „Best Speech DSRI Herbstakademie 2019“ Jonas Botta (Deutsches Forschungsinstitut für öffentliche Verwaltung) mit seinem Vortrag zum Thema „Der California Consumer Privacy Act und die DSGVO: Ein transatlantisches Zwillingspaar?“. Darin zeigte er vor dem Hintergrund eines etwaigen Angemessenheitsbeschlusses (Art. 45 DSGVO) Parallelen und Unterschiede zwischen den Regelungssystemen auf, die im Anschluss unter der Leitung von Dr. Matthias Baumgärtel (EWE TEL

3

Philipp Etzkorn

GmbH) – insbesondere vor politischem Hintergrund – rege diskutiert wurden. 10 Der letzte Themenblock stand unter dem Motto „Freiheit trotz KI“, in den Prof. Dr. Dr. Walter Blocher (Universität Kassel) mit einer Präsentation verschiedener Einsatzmöglichkeiten künstlicher Intelligenz (KI) und ihrer Schwächen einleitete. Dies aufnehmend hielt Dr. Aljoscha Burchardt (Deutsches Forschungszentrum für Künstliche Intelligenz, Berlin) eine herausragende Keynote zum Thema „KI und Maschinelles Lernen – Auf dem Boden der Tatsachen“. Dabei wurden die zentralen Begrifflichkeiten wie starke und schwache KI eingeordnet und die Potentiale algorithmenbasierter Entscheidungs- und Expertensysteme sowie des maschinellen Lernens nebst möglicher Fehlerquellen erklärt. Zudem legte Burchardt seine Ansätze für die Mitarbeit in der Enquete-Kommission Künstliche Intelligenz des Deutschen Bundestages dar. Er plädiert für einen „regulatorischen Sandkasten“, der Freiräume belässt, um neue Anwendungen in der Praxis zu testen. Dies bot dem Publikum ein technisches Fundament für die anschließenden Vorträge von Dr. Malte Grützmacher, LL.M (CMS Hasche Sigle, Hamburg) einerseits, der kritisch hinterfragte, ob es eines neuen Haftungsregimes für autonome Systeme bedürfe,3 und von Prof. Dr. iur. Dipl.-Biol. Herbert Zech (Humboldt-Universität Berlin) zu „KI-Risiken“ andererseits. Beide Vorträge behandelten insbesondere Fragen im Bereich der außervertraglichen Haftung, die durch den Einsatz von KI aufkommen. Besonders spannend war, dass sich aus dem Vortrag von Zech erste Tendenzen für sein Gutachten anlässlich des Deutschen Juristentags 2020 in Hamburg ergaben. Abschließend stellte Isabell Conrad (SSW Schneider Schiffer Weihermüller) den Einsatz von KI und die damit verbundenen Probleme im Personalwesen in ihrem Vortrag „Arbeitnehmerdatenschutz und KI“ vor. Insbesondere die Felder der Antidiskriminierung sowie des Datenschutzes seien dabei betroffen und wurden entsprechend beleuchtet. 11 In seinem Schlusswort wies Heckmann auf die kommenden Veranstaltungen der DGRI für das Jahr 2020 hin und lud insbesondere zum Drei-Länder-Treffen in Freiburg (i. Br.) vom 25. bis zum 27.6.2020 und zur nächsten DGRI-Jahrestagung in Hamburg vom 12. bis zum 14.11.2020 ein.

3

4

In Form eines Aufsatzes nachzulesen unter: Grützmacher, Die deliktische Haftung für autonome Systeme – Industrie 4.0 als Herausforderung für das bestehende Recht?, CR 2016, 695–698.

DGRI Jahrestagung 2020 digital+ „Digitale Souveränität – Vision oder Trugbild?“ Romy Fiolka* Die Jahrestagung 2020 der Deutschen Gesellschaft für Recht und Infor- 1 matik (DGRI) e.V. fand vom 12. bis 13.11.2020 statt und stand auf Grund der Covid19-Pandemie unter dem zentralen Zusatz digital+. Sie ist die erste Tagung der DGRI, die ausschließlich digital stattfand und damit den Kontaktbeschränkungen Tribut zollte. Die Tagung stand unter dem Titel „Digitale Souveränität – Vision oder 2 Trugbild?“. Nach der Eröffnungsansprache durch den Vorsitzenden der DGRI Prof. Dr. Dirk Heckmann (Technische Universität München), begrüßte die österreichische Bundesministerin für Digitalisierung und Wirtschaft Margarete Schramböck die Teilnehmer der Tagung mit einer Videobotschaft. Sie verdeutlichte in ihrer Botschaft vor allem die aktuelle Bedeutung der Digitalisierung in Europa und weltweit. Danach begann der erste Themenblock der Jahrestagung, der sich zwei 3 Themenkomplexen widmete. Zum einen der Souveränität des Staates im Zuge der Digitalisierung zum anderen die Souveränität des Einzelnen im digitalen Raum. Durch diesen führte Dr. Anne Paschke (Technische Universität München) als Moderatorin. Den Beginn in diesen Themenblock machte Prof. Dr. Henrike Weiden von der Hochschule München. Sie referierte über den Digital Services Act Package und dessen mögliche Inhalte und gab einen Ausblick auf mögliche Folgen, die sich daraus zukünftig ergeben könnten. Anschließend fokussierte sich Paul Nemitz, Mitglied der Europäischen 4 Kommission, auf die Souveränität des Einzelnen in der vernetzten Gesellschaft. Er gab insbesondere einen Einblick in die Abwägungen, die zwischen den Grundrechten des Einzelnen und der Notwendigkeit der Einschränkungen beachtet werden müssen. Ministerialrat im Bundesministerium der Justiz und für Verbraucher- 5 schutz Matthias Schmid führte sodann in die Plattformregulierung und Haftung im Zuge der Umsetzung von Art. 17 DSM-RL ein. Hier gewannen die Teilnehmer einen Einblick in die Hintergründe, die bei der Entwicklung der Umsetzungsrichtlinie des Artikels erarbeitet wurde, sowie in den eigentlichen Entwurf der Umsetzung. *

Ass. iur. Romy Fiolka, geb. Richer, Geschäftsführerin der DGRI.

5

Romy Fiolka

6 Im Anschluss an die Vorträge beantworteten die Referenten die zahlreich gestellten Fragen der Teilnehmer und so entstanden interaktive, angeregte Diskussionen. 7 Den krönenden Abschluss des Tages machte dann die Digital-Gala am Abend. Hier folgte ein Highlight auf das nächste. Zunächst wurden die diesjährigen Gewinner des DSRI-Wissenschaftspreises ausgezeichnet. Dr. Ursula Widmer (Dr. Widmer & Partner), als Vorsitzende des Stiftungsrates der DSRI, hielt auf die Gewinner Dr. Lucia Sommerer und Prof. Dr. Philipp Hacker eine wunderbare Laudatio. 8 Neben diesem Highlight wurde die Digital-Gala von dem musikalischen Duo „Days of Wine and Roses“, einer Online-Weinverkostung, sowie einem Digital-Quiz begleitet und stand so einer Vor-Ort-Veranstaltung in nichts nach. 9 Der zweite Tag der Jahrestagung begann mit dem zweiten Themenblock der Tagung unter dem Titel „Enforcement vs. Meinungsfreiheit“. Moderiert wurde dieses Panel von Rechtsanwältin Prof. Dr. Sybille Gierschmann (Gierschmann Legal), die sich aus Hamburg live einschaltete. Den Anfang machte Dr. Lieselotte Locher (Bundeskartellamt). Sie erläuterte die durchgeführte Sektoruntersuchung von Nutzerbewertungen bzw. sogenannten Fake-Bewertungen im Zuge des Wettbewerbsrechts. Hier spielte die Differenzierung von Meinungsfreiheit und irreführender Werbung eine zentrale Rolle. 10 Der zweite Vortrag in diesem Themenblock wurde von Prof. Dr. Marc Liesching von der HTWK Leipzig gehalten. Er setzte sich mit Hass und Terror im Internet und der Neufassung des NetzDG in der praktischen Anwendung auseinander. Insbesondere gab Prof. Dr. Liesching einen Überblick über die Änderungen in der Novellierung, machte auf die daraus resultierende Möglichkeit des „Overblocking“ aufmerksam und setzte sich mit der Novellierung sowie deren mögliche Folgen kritisch auseinander. 11 Der letzte Themenblock der diesjährigen Jahrestagung stand unter dem Thema des Softwarerechts und wurde von Prof. Dr. Herbert Zech (Humboldt-Universität zu Berlin) moderiert. 12 Das Team mit Michael Deubert und Dr. Stefan Lewe (PwC Deutschland) referierte über die Bilanzierung von Software-Lizenzen und Cloud-Diensten unter Anwendung des HGB. Das Team konzentrierte sich in dem Vortrag zum einen auf den Fall, dass die Softwarelizenz unmittelbar in der Verfügungsmacht des Bilanzierenden liegt und zum anderen auf den Fall, dass ein Dritter dem Anwender die Software zur Nutzung überlässt. 6

DGRI Jahrestagung 2020 digital+

Den letzten Vortrag der diesjährigen Jahrestagung hielt Prof. Dr. Georg 13 Picht von der Universität Zürich über Software als Sicherungsgegenstand. Er gab eine Einführung in die wachsende Bedeutung des immateriellen Unternehmensvermögens, dessen Sicherungsszenarien sowie einen Einblick in das Ende der Sicherungsphase. Zum Ende der Tagung hielt Prof. Dr. Peter Bräutigam (Noerr) noch eine 14 flammende Laudatio auf den ausscheidenden Vorsitzenden der DGRI – Prof. Dr. Dirk Heckmann. Nach 13 Jahren im DGRI-Vorstand, davon 6 als Vorstandsvorsitzender hat Prof. Dr. Dirk Heckmann seinen Vorstandsposten abgegeben.

7

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat Thomas Wischmeyer* I. Einführung

1

II. Vom Rechtsstaat zur „Herrschaft der Algorithmen“? 3 III. Was heißt: Rechtsverwirklichung durch Technik? 6 1. Instrumentenperspektive 7 2. Rechtsdurchsetzungsperspektive 9 3. Die Perspektive auf das Recht als Rechtsverwirklichungszusammenhang 12 IV. Nebenfolgen der Rechtsverwirklichung durch Technik 13 1. Vereinbarkeit mit (verfassungs-) rechtlichen Vorgaben 15

2. Qualität und Flexibilität der Technik 19 3. Privatisierung der Rechtsverwirklichung 24 4. Glaubwürdigkeitsverluste des Rechts 25 5. Sklerose der Gesellschaftsordnung und Erosion des Rechtsbefolgungswillens 27 6. Die Grenzen des Normativen 30 V. Wie sollen Recht und Rechtswissenschaft der zunehmenden Technisierung begegnen? 33

Literatur: Bull, Über die rechtliche Einbindung der Technik. Juristische Antworten auf Fragen der Technikentwicklung, Der Staat 58 (2019), 57; Cottier/Estermann/ Wrase (Hrsg.), Wie wirkt Recht?, 2010; Datenethikkommission, Gutachten, 2019; Dreier, Zur „Eigenständigkeit“ der Verwaltung, Die Verwaltung 25 (1992), 137; Floridi (Hrsg.), The Onlife Manifesto, 2015; Forsthoff, Lehrbuch des Verwaltungsrechts, 1950; Fries/Paal (Hrsg.), Smart Contracts, 2019; Funke, Gleichbehandlungsgrundsatz und Verwaltungsverfahren. Die Rechtsprechung des Bundesverfassungsgerichts zu strukturell bedingten Vollzugsdefiziten, AöR 132 (2007), 168; Hentschel/ Krumm, Fahrerlaubnis, Alkohol, Drogen, 7. Aufl. 2018; Hofmann, Kontrolle oder nachlaufender Rechtsschutz – wohin bewegt sich das Urheberrecht? GRUR 2018, 21; Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts, Bd. 2, 2. Aufl. 2012 (zitiert als GVwR II); Jestaedt, Grundrechtsentfaltung im Gesetz, 1999; Kaulartz/Heckmann, Smart Contracts – Anwendungen der Blockchain-Technologie, CR 2016, 618; Kulick/Goldhammer (Hrsg.), Terrorist als Feind, 2019; Luhmann, Das Recht der Gesellschaft, 1993; Paulus/Matzke, Digitalisierung und private Rechtsdurchsetzung, CR 2017, 769; Podlech, Verfassungsrecht-

*

Prof. Dr. Thomas Wischmeyer, Lehrstuhl für Öffentliches Recht und Recht der Digitalisierung an der Universität Bielefeld. Der Beitrag basiert auf Wischmeyer, Die Technik des Staates, unveröffent. Manuskript 2020. Die Vortragsfassung wurde weitgehend beibehalten. Nachweise wurden nur punktuell ergänzt.

9

Thomas Wischmeyer liche Probleme öffentlicher Informationssysteme, Datenverarbeitung im Recht (DVR) 1 (1972/1973), 155; Popitz, Soziale Normen, 2006; Rademacher, Wenn neue Technologien altes Recht durchsetzen: Dürfen wir es unmöglich machen, rechtswidrig zu handeln?, JZ 2019, 702; Rademacher, Predictive Policing im deutschen Polizeirecht, AöR 142 (2017), 366; Rich, Should we make crime impossible?, Harvard Journal of Law and Public Policy 36 (2013), 795; Ringen, The Perfect Dictatorship: China in the 21st Century, 2016; Schlink, Die Amtshilfe. Ein Beitrag zu einer Lehre von der Gewaltenteilung in der Verwaltung, 1982; Schmidt-Aßmann, Das allgemeine Verwaltungsrecht als Ordnungsidee, 2. Aufl. 2006; Siehr, „Objektivität“ in der Gesetzgebung? Symbolische Gesetzgebung zwischen Rationalitätsanspruch des Gesetzes und demokratischem Mehrheitsprinzip, ARSP 91 (2005), 535; Spielkamp (Hrsg.), Automating Society, 2019; Voßkuhle, Beteiligung Privater an der Wahrnehmung öffentlicher Aufgaben und staatliche Verantwortung, VVDStRL 62 (2003), 266; Voßkuhle/Wischmeyer, Die Verfassung der Mitte, 2016; Wischmeyer, Regulierung intelligenter Systeme, AöR 143 (2018), 1.

I. Einführung 1 Technische Entwicklungen sind immer in einen kulturellen, politischen und rechtlichen Kontext eingebettet. Wenn Staaten neue Technologien zur Festigung ihrer Herrschaft einsetzen, hat dies daher unterschiedliche Auswirkungen. Autoritäre Regime werden die Technik nutzen, um die Freiheit ihrer Bürgerinnen und Bürger noch effektiver als zuvor einzuschränken. Stein Ringen hat dies eindrucksvoll am Beispiel von Chinas „perfekter Diktatur“ beschrieben.1 Im demokratischen Rechtsstaat zeigt sich hingegen ein anderes Bild. Die staatliche Nutzung von Technik zur Rechtsdurchsetzung und Rechtsverwirklichung ist hier weniger Problem als Lösung. Denn demokratisches Recht zielt auf die Verwirklichung sozialer Zwecke in der Lebenswelt.2 Wird es nicht oder defizitär vollzogen, gefährdet dies die Legitimität der demokratischen Ordnung.3 Verbessern technische Systeme die Rechtsverwirklichung, stabilisieren sie also zunächst einmal Demokratie und Rechtsstaatlichkeit.4 Was sollte vor die1 2

3

4

10

Ringen, The Perfect Dictatorship. Siehe nur Schmidt-Aßmann, Ordnungsidee, Kap. 1 Rz. 33 und Kap. 2 Rz. 20 ff.; Hoffmann-Riem in GVwR II, § 33 Rz. 16 ff. Das Unionsrecht erhebt den Grundsatz der praktischen Wirksamkeit (effet utile) sogar zum Auslegungsziel. Absehbare Vollzugsdefizite können sogar zur Verfassungswidrigkeit einer Norm führen, vgl. BVerfG, Urteil des Zweiten Senats v. 27.6.1991 – 2 BvR 1493/89, BVerfGE 84, 239; BVerfG, Urteil des Zweiten Senats v. 9.3.2004 – 2 BvL 17/02, BVerfGE 110, 94; dazu weiter Funke, AöR 132 (2007), 168 ff. Dass es nicht sinnvoll ist, Überwachungstechniken ohne Kontextualisierung länderübergreifend nebeneinander zu stellen, betont auch Bull, Der Staat 58 (2019), 57, 61.

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

sem Hintergrund dagegen einzuwenden sein, dass wir im Rechtsstaat alle technischen Möglichkeiten ausschöpfen, um demokratisch gesetztes Recht möglichst umfassend durchzusetzen? Doch wir wissen: Nicht nur das Zuwenig, auch das Zuviel kann schädlich sein, zumal in einer Verfassungsordnung wie der deutschen, deren DNA nicht Perfektionierung, sondern Vermittlung und Ausgleich ist.5 Wenn technische Lösungen versprechen, die Effektivität der Durchsetzung demokratisch gesetzten Rechts zu steigern, ja gegebenenfalls rechtswidriges Verhalten zu verunmöglichen, dann bedarf es der Prüfung, ob hierdurch nicht ihrerseits kollidierende (verfassungs-)rechtliche Vorgaben verletzt werden. Der Beitrag nähert sich dieser Problematik in vier Schritten: Erstens soll 2 die Frage nach der Rechtsverwirklichung durch Technik abgegrenzt werden von der oft damit in eins gesetzten Debatte um eine „Herrschaft der Algorithmen“ (II., Rz. 3 ff.). Zweitens muss präzisiert werden, in welcher Form technische Mittel überhaupt zur „Rechtsverwirklichung“ beitragen können (III., Rz. 6 ff.). Erst dann können wir uns der eigentlichen Frage widmen, nämlich unter welchen Umständen eine Verbesserung der Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat an rechtliche Grenzen stößt. Aus dieser Analyse ergeben sich zugleich wichtige Anhaltspunkte dafür, welche Maßnahmen solche technischen Realisierungen des Rechts begleiten müssen, um nicht-intendierte Nebenfolgen einzuhegen oder zu kompensieren (IV., Rz. 13 ff.). Abschließend soll diskutiert werden, wie Recht und Rechtswissenschaft der Rechtsverwirklichung durch Technik in Zukunft begegnen sollen (V., Rz. 33 ff.). Vorab noch der Hinweis, dass sich die folgenden Ausführungen der Thematik in erster Linie aus Sicht des öffentlichen Rechts widmen. II. Vom Rechtsstaat zur „Herrschaft der Algorithmen“? Digitalisierungskritik ist derzeit en vogue. Allenthalben wird vor einer 3 Gesellschaft gewarnt, in der das Individuum zum Objekt eines von Algorithmen optimierten Systems wird. Die These von einer künftigen „Herrschaft der Algorithmen“ verbindet sich vielfach mit einer Kritik an unserer digitalen Gegenwart. Prominente Autorinnen und Autoren wie die Rechtsphilosophin Mireille Hildebrandt, der Publizist Evgeny Morozov oder die Ökonomin Shoshana Zuboff haben die emanzipatorischen Ideen der digitalen Revolution für gescheitert erklärt. Demnach werde nicht nur in Ländern wie China, sondern auch hierzulande unser Handeln und Kommunizieren umfassend überwacht, um daraus Muster und

5

Dazu umfassend Voßkuhle/Wischmeyer, Die Verfassung der Mitte.

11

Thomas Wischmeyer

Persönlichkeitsprofile zu generieren, mit deren Hilfe wir konditioniert und manipuliert werden könnten. Private IT-Unternehmen und staatliche Akteure wirkten dabei in einer Art digitalem Spätkapitalismus eng zusammen. Das Abgleiten in einen technologisch formierten Präventivstaat gehe einher mit dem Aufstieg immer mächtigerer, weil technisch noch kompetenterer Privater. Die Folge sei eine Kontrollgesellschaft, in der – und das ist der springende Punkt – der Rechtsstaat allmählich durch die „Herrschaft der Algorithmen“ ersetzt werde. 4 Primärer Gegenstand dieser Debatte ist nicht die uns interessierende Frage, wie sich die Verbesserung der Rechtsdurchsetzung durch Technik auswirkt, sondern die tatsächliche oder vermeintliche Delegitimierung des demokratisch gesetzten staatlichen Rechts als Steuerungsinstanz der Gesellschaft. Nüchternen Juristen und Juristinnen mag diese Sorge aktuell übertrieben erscheinen. Doch muss die Debatte wohl in erster Linie als Versuch verstanden werden, den schwindelerregend schnellen technischen Wandel zu begreifen und ihm gegenüber eine kritische Haltung zu entwickeln, auch wenn sich seine Folgen noch nicht im Detail greifen lassen. Versachlichend lässt sich festhalten, dass das Krisennarrativ auf überaus optimistischen Annahmen beruht, was die Leistungsfähigkeit der Technik betrifft. Zudem erleben wir gegenwärtig durchaus ernsthafte Bemühungen, diese Entwicklung rechtlich einzuhegen und umzukehren. Dennoch lässt sich nicht leugnen, dass im Digitalbereich aktuell nur ein geringes Maß an Vertrauen in die Integrität staatlicher Institutionen und in die Leistungsfähigkeit rechtlicher Interventionen besteht. Dies wird auch zugestehen, wer sonst im Allgemeinen von der Stabilität des politischen Systems und der Rechtsordnung überzeugt ist. Es ist eine große politische Herausforderung, den grassierenden Rechts- und Steuerungspessimismus einzufangen, der eine solche „Herrschaft der Algorithmen“ überhaupt erst denkbar macht. Im demokratischen Verfassungsstaat ist dies letztlich nur durch kluge und gegenüber den Interessen der Bevölkerung responsive Rechtsetzung möglich. 5 Auch wenn die Debatte zur „Herrschaft der Algorithmen“ also an unserem Thema vorbeiführt, schärft die Kritik unsere Problemstellung in dem Sinne, dass wir bei unserer Untersuchung im Blick behalten müssen, ob die Nutzung technischer Systeme zur Rechtsverwirklichung eher dazu beiträgt, verloren gegangenes Vertrauen in den Rechtsstaat wiederaufzubauen, oder ob sie im Gegenteil die Entfremdung vergrößert. Hierzu muss freilich zunächst einmal geklärt werden, in welcher Form Technik überhaupt zur Rechtsverwirklichung beitragen kann.

12

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

III. Was heißt: Rechtsverwirklichung durch Technik? „Wie wirkt Recht?“ haben vor einigen Jahren die deutschsprachigen 6 Rechtssoziologie-Vereinigungen ihre Jahrestagung überschrieben. Die Antworten fielen überaus vielfältig aus.6 Konsentiert war freilich, dass wir keine schlichten Kausalmodelle an das Recht herantragen dürfen. Die Vorstellung, dass der Gesetzgeber gewissermaßen auf Knopfdruck gesellschaftliche Veränderungen bewirken kann, ist bestenfalls naiv. Um uns dem Problem anzunähern, sollen hier drei Perspektiven auf das Phänomen Rechtsverwirklichung unterschieden werden, die mit unterschiedlichen Formen der Einbindung technischer Systeme in das Rechtssystem einhergehen. 1. Instrumentenperspektive Um menschliches Verhalten zu steuern, hat die Rechtsordnung zahlrei- 7 che Instrumente zur Verfügung. So lassen sich regulatorische Ziele unter anderem durch die Einräumung von subjektiven Rechten, durch die Schaffung neuer behördlicher Befugnisse oder eben durch die Verpflichtung Privater auf die Implementierung bestimmter technischer Vorgaben erreichen. Ein Beispiel für letzteres ist die Verpflichtung auf Datenschutz „by design“ (vgl. Art. 25 DSGVO). Je umfassender nun unser heutiges „Onlife“ technisch geprägt ist, desto einfacher und attraktiver wird es, in dieser Form auf Technik als Instrument zu setzen.7 Denn da die digitale Technik vergleichsweise plastisch ist und das Verhalten der Nutzerinnen und Nutzer sehr präzise in vordefinierte Bahnen lenken kann, sind die Kosten für die Implementation sowie für eventuelle Adaptionen des regulatorischen Programms vergleichsweise gering. Dies macht die Designsteuerung effizient und ökonomisch. Zeigen lässt sich diese Entwicklung im Mobilitätssektor: In einer vordi- 8 gitalen Welt mussten sich Designlösungen auf vergleichsweise einfache Vorgaben, etwa zur serienmäßigen Abriegelung von Kraftfahrzeugen bei einem bestimmten Tempo, beschränken. Mit zunehmender digitaler Erfassung des Fahrverhaltens und der Umgebung kann nunmehr auch die Einhaltung komplexerer Normen der StVO durch technische Lösungen erleichtert oder erzwungen werden. So können Autohersteller etwa verpflichtet werden, durch den Einbau von technischen Maßnahmen sicherzustellen, dass eine Person, die Alkohol oder andere Drogen konsumiert hat, ihr Fahrzeug nicht starten kann (sog. Alkoholzündschlosssperre). 6 7

Siehe Cottier/Estermann/Wrase (Hrsg.), Wie wirkt Recht? (vgl. darin insbesondere Rottleuthner/Rottleuthner-Lutter, Recht und Kausalität, S. 17 ff.). Dazu Floridi, The Onlife Manifesto.

13

Thomas Wischmeyer

Änderungen der Rechtslage lassen sich durch Updates realisieren. In einem umfassend digitalisierten und automatisierten Verkehrssystem existieren dann gegebenenfalls auf der unmittelbaren Betroffenenebene gar keine menschlichen Akteure mehr, die durch Rechtsnormen angesprochen werden könnten. Um weiterhin Wirkung zu erlangen, müsste der Normenkatalog der StVO im Computer-Code repliziert werden.8 Spätestens hier muss unsere Aufmerksamkeit dann nicht mehr nur den rechtlichen Normen selbst, sondern vor allem auch den Modalitäten ihrer technischen Realisierung gelten. 2. Rechtsdurchsetzungsperspektive 9 Der Begriff Rechtsverwirklichung verweist aber nicht nur allgemein auf den Instrumentenkasten des Staates, sondern auch auf eine ganz spezifische Schicht von Rechtsregeln, die die Durchsetzung der Rechtsnormen regelt. Denn auch wenn rechtliche Regelungen in den allermeisten Fällen freiwillig befolgt werden, muss das Recht im Zweifelsfall gegen Widerstand durchgesetzt werden. Aufgerufen ist damit insbesondere das Zivil- und Verwaltungsvollstreckungsrecht, aber auch das Ordnungswidrigkeiten-, das Gefahrenabwehr- und das Strafrecht samt des Strafprozessrechts. 10 Digitale Technik kann nun auf ganz unterschiedliche Art und Weise die Überwachung, Verfolgung und Sanktionierung von Rechtsverstößen erleichtern. Im vorliegenden Kontext geht es nicht um den Computer in der Amtsstube oder um die E-Akte. Im Vordergrund der Debatte steht vielmehr die Automatisierung von rechtsdurchsetzungsrechtsbezogenen Entscheidungsprozessen, die traditionell den Einsatz menschlichen Personals aus Verwaltung und Justiz verlangt haben. Vielzitiert wird hierzu der vergleichsweise harmlose Fall der „intelligenten“ Ampel. Diese ist mit Kameras und intelligenter Videoanalysetechnik ausgestattet, die es ihr ermöglicht, jeden Verkehrssünder und jede Verkehrssünderin eindeutig zu identifizieren und automatisiert Sanktionen auszulösen. Hier werden verschiedene Schritte des klassischen Überwachungs- und Rechtsdurchsetzungsverfahrens vom Menschen auf die Maschine ver-

8

14

Die digitale Überformung einer Materie lässt sich dabei schematisch als Kontinuum denken: Am einen Ende steht der vollends technisch mediatisierte Raum, am anderen die digital unberührte Lebenswelt, in der menschliche Akteure selbständig auf ein normatives Programm reagieren. Dazwischen existieren zahlreiche Zwischenformen, in denen Verhaltensgebote in unterschiedlichem Maße technisch verwirklichbar sind.

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

lagert.9 Technische Systeme können dabei unterschiedlich tief in den Rechtsdurchsetzungsvorgang integriert werden. Das Spektrum reicht von bloßen Unterstützungssystemen für staatliche Stellen, die etwa eine erleichterte Dokumentenauswertung ermöglichen, über Analyse-, Prognose- und Entscheidungssysteme für Verwaltung und Justiz (sog. Legal Tech) bis hin zur denkbaren Vollautomatisierung der Vollstreckung. Auch hier gilt: Je stärker das tägliche Leben von digitaler Technologie 11 durchdrungen wird, desto eher bietet es sich an, diese Technologien im Rechtsdurchsetzungsrecht zu nutzen. Zugleich sollte uns aber bewusst sein: Die traditionelle Ausdifferenzierung des Rechtsdurchsetzungsrechts, also die Trennung von Primär- und Sekundärebene, weist darauf hin, dass das Problem der Rechtsdurchsetzung im Rechtsstaat keine mechanische Betrachtung erfährt, sondern Gegenstand komplexer Wertungen ist. Auf diesen Punkt werde ich noch zurückkommen (dazu Rz. 19 ff.). 3. Die Perspektive auf das Recht als Rechtsverwirklichungszusammenhang In der rechtswissenschaftlichen Literatur wird der Begriff der Rechtsver- 12 wirklichung noch in einem dritten Sinne genutzt, nämlich um die unterkomplexe „Schein-Alternativität“ von Rechtsetzung und Rechtsanwendung zu kritisieren.10 Diese traditionelle Unterscheidung vernachlässige zum einen das schöpferisch-setzende Moment auch der richterlichen und der administrativen Tätigkeit. Zum anderen lasse sie die zentrale Rolle der Adressaten des Rechts bei der Verwirklichung der rechtlichen Vorgaben außer Acht. Aus dieser Sicht ist das Gesetz nur „Beginn und Anstoß des arbeitsteiligen Vorganges sozialgestaltender Rechtsverwirklichung“, in dem viele weitere Instanzen „aktiv mitgestaltend tätig werden“, wie Horst Dreier formuliert hat.11 Alle Akteure des Rechtssystems sind daher als Teile eines umfassenden Rechtserzeugungs- und -verwirklichungsprozesses zu verstehen. Diese Perspektive verweist nun nicht auf spezifische Automatisierungsmöglichkeiten. Sie erinnert allerdings daran, dass beim Einsatz von Technik zum Zwecke der Rechtsverwirkli9 Hierzu näher Rademacher, JZ 2019, 702 ff. Polen setzt bereits entsprechende Blitzgeräte ein, die mit einer Kennzeichen-Analyse-Software ausgestattet sind und automatisiert Bußgeldbescheide versenden können, vgl. Tarkowski, Poland, in Spielkamp, Automating Society, S. 103, 108 m. w. N. Für weitere Beispiele aus dem Privatrecht, insbesondere aus dem Vertrags- und Mietrecht, siehe Kaulartz/Heckmann, CR 2016, 618 ff.; Paulus/Matzke, CR 2017, 769 ff. 10 Ausführlich dazu Jestaedt, Grundrechtsentfaltung, S. 307 ff. 11 Dreier, Die Verwaltung 25 (1992), 137, 151.

15

Thomas Wischmeyer

chung immer mitbedacht werden muss, welche Auswirkungen der Technikeinsatz auf ein Rechtssystem hat, das bisher zentral vom Gedanken der „aktiven Mitgestaltung“ des Rechts durch alle seine Akteure und Adressaten geprägt war. IV. Nebenfolgen der Rechtsverwirklichung durch Technik 13 Vor diesem Hintergrund will ich mich nun der Kernfrage zuwenden: Kann, was Recht ist, im Zuge seiner technischen Verwirklichung zu Unrecht werden?12 Oder etwas weniger pointiert: Welche rechtlich relevanten Folgen und Nebenfolgen hat die Nutzung technischer Modi der Rechtsverwirklichung? 14 In der stetig wachsenden Literatur zu dieser Frage wird vielfach zwischen dem Einsatz technischer Mittel, die Verstöße gegen die Rechtsordnung sanktionieren sollen, und dem Einsatz von Technik zur Verhinderung von Normverstößen unterschieden, d.h. zwischen Designvorgaben und Rechtsdurchsetzungsrecht. Timo Rademacher spricht plastisch auch von der Unterscheidung zwischen „perfekter Verhinderung“ und „perfekter Verfolgung“ von Normabweichungen.13 Sicherlich bringen die beiden Konstellationen je eigene Herausforderungen mit sich. Jedenfalls in der praktischen Umsetzung lassen sie sich jedoch oft nicht eindeutig unterscheiden. Auch hängt es primär von der Intensität der technischen Durchdringung eines Lebensbereichs ab, ob Technik als Mittel zur Verfolgung oder zur Verhinderung von Normverstößen eingesetzt wird bzw. werden kann. Im Folgenden werden die nicht-intendierten Nebenfolgen einer Technisierung daher nicht je einer dieser beiden Kategorien zugeordnet, sondern allgemein dargestellt.14 Dabei will ich die Herausforderungen, die wir aus rechtlicher Sicht bereits recht gut erfassen können, kurz abhandeln (1., Rz. 15 ff.). Im Vordergrund stehen jene Herausforde-

12 Die Vielfalt der Formen, in denen Technik die Rechtsverwirklichung unterstützen kann, führt dazu, dass wir es auf staatlicher Seite mit ganz verschiedenen Problemstellungen zu tun haben. Hier kann nur ein Ausschnitt der Problematik beleuchtet werden. Die Datenethikkommission der Bundesregierung hat sich ausführlich mit der Automatisierung von Gesetzgebung, Verwaltung und Justiz befasst. Ich verweise hierzu auf die entsprechenden Empfehlungen, die generell die legitimatorische Bedeutung menschlicher Entscheidungsbeteiligung hervorheben, vgl. Datenethikkommission, Gutachten, S. 212 ff. 13 Rademacher, JZ 2019, 702. 14 Die folgenden Ausführungen schließen teilweise wörtlich an Überlegungen bei Wischmeyer, Predictive Policing, in Kulick/Goldhammer, Terrorist als Feind, S. 193 ff., an, erweitern und verallgemeinern diese jedoch.

16

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

rungen, für die uns zumindest bislang noch teilweise die (verfassungs-) rechtlichen Kategorien fehlen (2. bis 6., Rz. 19 ff.). 1. Vereinbarkeit mit (verfassungs-)rechtlichen Vorgaben Selbstverständlich müssen auch solche technischen Systeme, die sich 15 die Verwirklichung der Rechtsordnung auf die Fahnen geschrieben haben, ihrerseits rechtmäßig sein. Die Automatisierung des hoheitlichen Handelns ändert nichts daran, dass der Staat bei der Verwirklichung der Rechtsordnung rechtliche Grenzen nicht überschreiten darf. Offene Flanke jeder Form der technischen Rechtsverwirklichung ist der 16 Datenschutz.15 Dies betrifft nicht nur jene Systeme, die das Verhalten von Menschen beobachten, um Normverstöße zu sanktionieren, sondern auch technische Verhinderungslösungen.16 In beiden Konstellationen ist es erforderlich, großflächig (potentiell) rechtswidrige Aktivitäten aufzuzeichnen und mit der erforderlichen Granularität Individuen zuzuordnen. Ein Beispiel hierfür ist die Fluggastdatenspeicherung.17 Nach § 4 Abs. 2 Fluggastdatengesetz (FlugDaG) gleicht die sog. Fluggastdatenzentralstelle alle von den Luftfahrtunternehmen übermittelten Fluggastdaten – betroffen sind also jedes Jahr potentiell etwa 180 Millionen Passagiere – mit dem polizeilichen Informationssystem (INPOL) und dem Schengen Informationssystem (SIS II) ab. Nach § 4 Abs. 3 und Abs. 4 FlugDaG soll zudem ein Abgleich dieser Daten mit KI-erstellten „Mustern“ erfolgen, um Terrorverdächtige und Fälle schwerer Kriminalität zu erkennen.18 Mit anderen Worten: Das technische System soll verhindern, dass Gefährder und Gefährderinnen überhaupt ein Flugzeug besteigen. Dass die Fluggastdatenspeicherung bisher nicht vollautomatisiert ist, sondern als technisches Assistenzsystem funktioniert, ändert an der Grundkonstellation nichts. Für derartige Systeme gelten bereits heute strenge Regeln. Das Bundes- 17 verfassungsgericht hat sich in der Entscheidung zur Rasterfahndung von 15 Potentiell ähnlich wichtige Grenzen wie der Datenschutz ziehen die (verfassungs-)rechtlichen Diskriminierungsverbote, die hier jedoch ausgeklammert werden. Vgl. für eine umfassendere Würdigung der rechtlichen Problematik Wischmeyer, AöR 143 (2018), 1, 20 ff. 16 Vgl. etwa die Warnung des BfDI vor den entsprechenden Risiken von Upload-Filtern: BfDI, Reform des Urheberrechts birgt auch datenschutzrechtliche Risiken, Pressemitteilung vom 26.2.2019, https://www.bfdi.bund.de/DE/ Infothek/Pressemitteilungen/2019/10_Uploadfilter.html (zuletzt abgerufen am 22.5.2021). 17 Zum Folgenden insbesondere Rademacher, AöR 142 (2017), 366, 403 ff. 18 Die Operationalisierung dieser Bestimmungen steht derzeit noch aus.

17

Thomas Wischmeyer

2006 und insbesondere in seinen beiden Entscheidungen zur elektronischen Kennzeichenerfassung von 2008 und 2018 mit derartigen regulatorischen Arrangements befasst.19 Wie auch der Europäische Gerichtshof, der sich in seinem Gutachten zum „Passenger Name Record“-Abkommen zwischen der Europäischen Union und Kanada speziell mit Fluggastdaten befasst hat, schließt das Bundesverfassungsgericht den Einsatz von Systemen, die in großem Umfang personenbezogene Daten erheben, um diese für eine umfassende Prävention oder Sanktionierung von Rechtsverstößen zu nutzen, nicht von vornherein aus, knüpft diesen aber an enge Voraussetzungen und verlangt insbesondere einen konkreten „Anlass“, etwa das als riskant eingestufte Passieren einer Grenze oder einer Sicherheitskontrolle im Flughafen.20 18 In Frage gestellt werden kann jedoch, ob die bestehenden rechtlichen Vorgaben für die Zukunft ausreichen. Je mehr sich Überwachungssysteme verbreiten, die aufgrund ihres flächendeckenden Zugriffs eine große Zahl von Nicht-Störern miterfassen, desto eher dürfte es notwendig werden, noch einmal vertieft über die sog. „Chilling Effects“ nachzudenken, also die abschreckende Wirkung, die Überwachung nicht nur gegenüber der potentiell das Recht brechenden Person, sondern auch gegenüber den Rechtstreuen entfaltet, die rechtmäßige Handlungsoptionen nicht ausschöpfen, sondern sich in Selbstbeschränkung oder Selbstzensur üben. Gleiches gilt für die Frage, mit welchen Maßnahmen einer Kontrollverdichtung durch Summierung unterschiedlicher, je für sich womöglich verfassungskonformer Überwachungsmaßnahmen begegnet werden kann. 2. Qualität und Flexibilität der Technik 19 Ein inhärentes Problem technischer Lösungen ist, dass sie vielfach nicht so gut funktionieren, wie die Ingenieurinnen und Ingenieure uns glauben machen wollen. Technisch Versierte können entsprechende Sicherungsmaßnahmen oftmals mit mehr oder weniger großem Aufwand umgehen. Gerade im digitalen Raum lässt sich bekanntlich auch das beste System

19 BVerfG, Beschluss des Ersten Senats v. 4.4.2006 – 1 BvR 518/02, BVerfGE 115, 320 – Rasterfahndung; BVerfG, Urteil des Ersten Senats v. 11.3.2008 – 1 BvR 2074/05, 1254/07, BVerfGE 120, 378 – KFZ-Kennzeichenkontrollen 1; BVerfG, Beschluss des Ersten Senats v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244 – KFZ-Kennzeichenkontrollen 2. 20 Ausführlich hierzu Wischmeyer, Predictive Policing, in Kulick/Goldhammer, Terrorist als Feind, S. 203 ff.

18

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

hacken.21 Auf diese Weise schaffen technische Lösungen, die eigentlich Vollzugsdefizite beseitigen sollen, neue Vollzugslücken. Diese potentiellen Qualitätsmängel technischer Lösungen werfen unter 20 verschiedenen Gesichtspunkten rechtsstaatliche Probleme auf. Zwei seien hier herausgegriffen: Da Menschen regelmäßig „automation bias“ unterliegen, also an die vermeintliche Unfehlbarkeit technischer Systeme glauben, suchen sie gegebenenfalls keinen Rechtsschutz gegen fehlerhafte Anwendungen. Hier helfen letztlich nur Aufklärungskampagnen über die Risiken der Technik sowie Anreize zur Entwicklung besserer Technik. Hinzu kommt: Wenn die Umgehung der technischen Vorgaben für viele Bürger und Bürgerinnen praktisch kaum denkbar, für einige technisch Versierte aber einfach möglich ist, kann darin ein Gleichheitsproblem liegen, das auf der Ebene der eingangs erwähnten Entscheidung des Bundesverfassungsgerichts zur Vermögenssteuer liegt, die eine Gleichheit des Vollzugs verlangt. Verwandt mit dem Qualitätsproblem ist das Flexibilitätsproblem tech- 21 nischer Lösungen und Designvorgaben. Nehmen wir noch einmal die Alkoholzündschlosssperren: Ausnahmen, wie sie die Rechtsprechung in Sonderfällen für das Verbot der Alkoholfahrt anerkennt, können solche Systeme schon mangels entsprechender Sensoren, die das Vorliegen einer Sonderkonstellation messen könnten, nicht verarbeiten. Nun mag in diesem speziellen Fall eine pauschale Vorgabe zu verschmerzen sein, da man lange in der Kommentarliteratur suchen muss, um überhaupt anerkannte Ausnahmen zu finden.22 Insbesondere dort, wo differenzierte Regelungsregime und kontextsensible Materien in das immer noch vergleichsweise starre algorithmische Korsett digitaler Technik eingebunden werden sollen, entstehen jedoch größere Reibungen. Eben dies ist ein Stein des Anstoßes bei den sog. Upload-Filtern, um deren Verwendung Plattformbetreiber nach der novellierten Urheberrechts-Richtlinie kaum herumkommen. Lassen sich die hier erforderlichen Abwägungen und Kontextualisierungen tatsächlich auf Maschinen übertragen? Gerade im Immaterialgüterrecht kommt hinzu, dass sich der Nachweis des Bestehens einer Rechtsposition wohl leichter technisch umsetzen lässt als die Prüfung des Vorliegens möglicherweise einschlägiger Schranken. 21 Der Ausdruck der „impossibility structures“, der sich im Anschluss an Rich, Harvard Journal of Law and Public Policy 36 (2013), 795 ff., für solche staatlichen bzw. staatlich mandatierten Designvorgaben, die ein von Rechts wegen unerwünschtes Verhalten physisch erschweren sollen, einzubürgern beginnt, ist daher irreführend; allenfalls handelt es sich um „relative“ Unmöglichkeit. 22 Vgl. dazu etwa Hentschel/Krumm, Fahrerlaubnis, Alkohol, Drogen, Rz. 382, 383.

19

Thomas Wischmeyer

22 In der Literatur wird nun darauf hingewiesen, dass sich dieses Problem mit der Zeit erledigen könnte: Je besser die Technologie darin wird, Kontexte von Aussagen oder Bildern zu erkennen, desto stärker wird die Erkennungsrate technischer Systeme mit derjenigen der menschlichen „Cleaner“, die gegenwärtig soziale Netzwerke nach illegalen Inhalten durchforsten, konvergieren, zumal Letztere natürlich ebenfalls nicht fehlerfrei handeln. Gleiches gilt für die Sensitivität bei der Erkennung zulässiger „Memes“ oder Ähnlichem. 23 Gegenwärtig ist die Technologie freilich noch nicht so weit. Vor diesem Hintergrund erscheint jedenfalls problematisch, wenn der Gesetzgeber den Einsatz entsprechender Filtersysteme vorschreibt. Bedenkt man allerdings, dass die Privaten auch ohne rechtliche Verpflichtung routinemäßig entsprechende Technologien einsetzen, schon weil sich die Masse der Informationen anders nicht ordnen lässt, aber auch um auf mögliche rechtliche Auseinandersetzungen vorbereitet zu sein – und dass dabei jedenfalls bestimmte soziale Netzwerke über eine Marktmacht verfügen, die nach Auffassung des Bundesverfassungsgerichts eine Aktivierung der mittelbaren Drittwirkung der Grundrechte nach sich ziehen kann23 –, dann ist weniger das staatliche Insistieren auf der Nutzung entsprechender Filtertechnologien das Problem. Vielmehr sind es die durch die hoheitliche Regulierung für die Unternehmen gegebenenfalls fehlenden oder falsch gesetzten Anreize, hinreichend sensible und responsive Technologien zu entwickeln und einzusetzen, die ein „Overblocking“ vermeiden können. Problematisch ist gleichfalls, wenn die Pflicht zur Verwendung von absehbar allzu schematischen technischen Lösungen nicht durch hinreichende Auffanglösungen kompensiert werden (Stichwort: „Put Back“). Auch muss der Gesetzgeber die exakte Funktionsweise der Filter nachvollziehen, sonst droht, was etwa im Bereich der Immaterialgüterrechte beschrieben wird, dass auf der Ebene der Technik ein die materielle Rechtslage zumindest dehnendes „bias“ zugunsten der Rechteinhaber und Rechteinhaberinnen in das Vollzugssystem integriert wird.24 All das ist bei der Beurteilung entsprechender Pflichten zur Implementation von technischen Unmöglichkeitsstrukturen zu berücksichtigen. Rechtsdogmatisch lässt sich dies alles als Frage der Verhältnismäßigkeit entsprechender Designvorgaben fassen.

23 BVerfG, Beschluss der 2. Kammer des Ersten Senats vom 22.5.2019 – 1 BvQ 42/19. 24 Hofmann, Smart contracts und Overenforcement, Analytische Überlegungen zum Verhältnis von Rechtszuweisung und Rechtsdurchsetzung, in Fries/Paal, Smart Contracts, S. 125, 132.

20

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

3. Privatisierung der Rechtsverwirklichung An den Filtersystemen sozialer Medien oder auch bei sog. Digital Rights 24 Management-Systemen zeigt sich ein drittes Problem. Typischerweise betreiben Private die technischen Systeme, deren Gestaltung genutzt werden soll, um Normverstöße zu verhindern. Insofern diese Technologie dann Dritte an möglicherweise rechtswidrigen Handlungen hindert, findet – zumindest aus Sicht der Betroffenen – eine Privatisierung des Rechts und der Rechtsdurchsetzung statt, selbst wenn die algorithmische „Kontrollausübung“ letztlich auf einem Anwendungsbefehl des demokratischen Rechts beruht. Nun ist die Beteiligung Privater an der Erfüllung öffentlicher Aufgaben und ihre Indienstnahme insbesondere auch für den Vollzug des Rechts ein Standardthema des deutschen Verwaltungsrechts. Für diese Vorgehensweise finden sich zahlreiche Anwendungsfälle vom Umwelt- über das Börsen- bis hin zum Sicherheitsund Steuerrecht. Jenseits des Funktionsvorbehalts des Art. 33 Abs. 4 GG zieht die Verfassung hier kaum absolute Grenzen. Wohl aber verlangen die Grundrechte und die rechtsstaatlichen Verfahrensgarantien nach einer umfassenden rechtlichen Absicherung und Einhegung privater Aktivitäten, die dem Vollzug des Rechts dienen sollen. Zu den „Bausteinen“ eines solchen „Gewährleistungsverwaltungsrechts“ gehören nach Andreas Voßkuhle insbesondere (1.) Regeln zur Ergebnissicherung, (2.) zur Qualifikation und Auswahl privater Akteure, (3.) zum Schutz der Rechte Dritter, insbesondere durch Mechanismen zum Primär- und Sekundärrechtsschutz (nota bene: Gegenrechte wie § 97a Abs. 4 UrhG sind daher wichtig), (4.) zu Lenkung und Kontrolle, (5.) zur Evaluation der Privaten sowie (6.) eine Infrastruktur, die die Rückholbarkeit einmal delegierter Aufgaben ermöglicht.25 Die Verlagerung der Rechtsdurchsetzung auf Private ermöglicht also nicht einfach einen Abbau staatlicher Aktivitäten, sondern fordert einen intelligenten Umbau von Staatlichkeit. All das ist in den Debatten um die Verpflichtung privater Akteure zur Nutzung technischer Systeme zur Optimierung der Rechtsdurchsetzung bisher nur in Ansätzen berücksichtigt worden. 4. Glaubwürdigkeitsverluste des Rechts Neben diesen rechtsdogmatisch schon ansatzweise fassbaren Problemen 25 treten weitere Schwierigkeiten einer zunehmend technisierten Verfolgung von Rechtsbrüchen, die auf einer noch grundsätzlicheren Ebene liegen. Die soziologische Forschung weist darauf hin, dass es unsere Rechtsordnung nur schwer ertragen würde, wenn sie das Ausmaß aller 25 Umfassend Voßkuhle, VVDStRL 62 (2003), 266 ff.

21

Thomas Wischmeyer

Normverstöße tatsächlich dokumentieren und Sanktionen durchsetzen würde. Das geht über die womöglich ebenfalls technisch zu lösende Frage hinaus, wie sich die durch einen Voll-Vollzug für das Sanktionswesen entstehende Organisationslast praktisch bewältigen lässt. Der Freiburger Soziologe Heinrich Popitz hat dazu prägnant formuliert: „Kein System sozialer Normen könnte einer perfekten Verhaltenstransparenz ausgesetzt werden, ohne sich zu Tode zu blamieren. Eine Gesellschaft, die jede Verhaltensabweichung aufdeckte, würde zugleich die Geltung ihrer Normen ruinieren.“26 Wäre bekannt, dass die Verhaltensabweichung die Regel und nicht die Ausnahme ist, verlöre die Norm – gerade in einem demokratischen Gemeinwesen – ihre gesellschaftliche Grundlage und die Sanktion büßte ihr Stigma ein. Gerade bei traditionell überwiegend nicht vollzogenen Normen wäre die Sanktionsbereitschaft der Bürgerinnen und Bürger zudem rasch überreizt, was zur Erosion des allgemeinen Normbefolgungswillens beitragen würde. Aus eben diesem Grund, so Popitz, differenzieren Normensysteme, insbesondere das Rechtssystem, zwischen der primären Verhaltensanordnung und der sekundären Durchsetzung dieser Anordnung im Wege des Vollzugs bzw. der Vollstreckung. Jene Differenzierung, die keineswegs schon immer da war, sondern sich etwa im Falle der Verwaltungsvollstreckung erst im 19. Jahrhundert ausgebildet hat, ist essentiell, um das Normsystem so zu flexibilisieren, dass es durch die dynamische Gesellschaftsentwicklung und die damit einhergehenden ständigen Normverstöße nicht überfordert wird. Das Sanktionssystem trägt damit entscheidend zur Entlastung der Rechtsordnung bei. Oder, so nochmal Popitz, „die Strafe kann ihre soziale Wirksamkeit nur bewahren, solange die Mehrheit nicht bekommt, was sie verdient“. Praktisch wird eine Überlastung des Sanktionensystems insbesondere dadurch verhindert, dass den Trägern und Trägerinnen des Sanktionssystems großflächig Verhaltensinformationen vorenthalten werden. Damit sind wir wieder beim Datenschutzrecht, dem auf diese Weise eine weitere, bisher kaum beachtete Funktion für die Stabilisierung des Rechtssystems zukommt. 26 Dieser Punkt lässt sich noch auf eine andere Weise fassen. Ernst Forsthoff hat bereits in der ersten Auflage seines Lehrbuchs zum Allgemeinen Verwaltungsrecht von 1950 formuliert: „Es gibt auch eine Trennung der Gewalten innerhalb der Verwaltung. Sie besagt ganz einfach dies: jedes Ressort hält im Rahmen seiner Verantwortung auf Recht und Ordnung. Wird dieser Grundsatz verlassen, macht jede Anstalt und jeder Dienstzweig ihr eigenes Verhalten gegenüber dem Einzelnen davon abhängig, wie sich der Einzelne anderen Ressorts und Anstalten gegenüber verhält, 26 Popitz, Soziale Normen, S. 164.

22

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

so tritt ein Zustand der Knechtschaft ein, gegen den die Aufhebung der als verfassungsrechtliches Prinzip verstandenen Gewaltenteilung ein Kinderspiel ist.“ Und noch konkreter: „Da die Verwaltung über die Daseinsvorsorge die vitalen Lebensbedingungen des Einzelnen kontrolliert, wäre die Zulassung eines Junctim zwischen an sich nicht zusammengehörigen Verwaltungsfunktionen und Verhaltensweisen notwendig die Legalisierung eines Knebelungssystems ohne geschichtliches Beispiel: wer das oder jenes nicht tut oder unterläßt, erhält keine Arbeit, kein Wasser und Gas, keine Elektrizität, hat kein Recht auf Inanspruchnahme des Wohnungsamtes, erhält keine Lebensmittelkarten usw.“27 Adalbert Podlech hat diesen Gedanken dann aufgenommen28 und Bernhard Schlink hat sich mit seiner 1982 erschienenen Schrift zur Amtshilfe über dieses Thema habilitiert29. Seither ist es in der Literatur eher still darum geworden, auch weil die Thematik durch das Datenschutzrecht subjektivrechtlich überformt worden ist. Doch könnte es an der Zeit sein, die Arbeit an objektiv-rechtlich begründeten Trennungs- und Differenzierungsgeboten in der Verwaltung wiederaufzunehmen. 5. Sklerose der Gesellschaftsordnung und Erosion des Rechtsbefolgungswillens Zu bedenken ist ferner, welchen Einfluss die perfekte Verfolgung auf ge- 27 sellschaftliche Lernprozesse hat. Gewiss: Zunächst ist es die effektive Rechtsdurchsetzung, die das Lernen kontrafaktischer Erwartungen erst möglich macht, indem sie diese auch gegenüber lernunwilligen Mitgliedern stabilisiert. Das ist der wesentliche Punkt der Theorie sozialer Normen bei Niklas Luhmann, in der die Norm als „enttäuschungsfeste“ Erwartung beschrieben wird.30 Es ist jedoch ein schmaler Grat zwischen produktivem Lernen und unproduktiver Konditionierung oder Abrichtung auf einen Zweck. Luhmann und andere haben daher immer wieder auch darauf hingewiesen, dass eine übermäßige Stabilisierung der Normen für dynamisch-offene Gesellschaften unangemessene Folgen haben kann. Erwarten wir zu monoton, kann dies à la longue zur Sklerose und zur Verdummung führen. Auch in einer dynamischen und pluralistischen Gesellschaft gibt es 28 natürlich einige Grundsätze, die so fundamental sind, dass wir sie im

27 Forsthoff, Lehrbuch des Verwaltungsrechts, S. 370. 28 Podlech, Verfassungsrechtliche Probleme öffentlicher Informationssysteme, DVR 1 (1972/73), 155 f. 29 Schlink, Die Amtshilfe. 30 Luhmann, Das Recht der Gesellschaft, S. 61 ff.

23

Thomas Wischmeyer

Zweifelsfall nicht wieder verlernen können sollten. In weiten Teilen der Rechtsordnung ist der erfolgreiche Normverstoß jedoch oft der Beginn eines gesellschaftlichen Lern- und Reformprozesses. Paradebeispiel hierfür sind Fälle, die ex post als ziviler Ungehorsam ausgezeichnet werden, ex ante jedoch mit dem Rechtswidrigkeitsstigma behaftet waren. 29 Dieser Punkt lässt sich noch einmal „rechtspsychologisch“ aus Bürgersicht reformulieren: Wer aus technischen Gründen nicht anders als rechtmäßig handeln kann, der oder die macht sich womöglich bald überhaupt nicht mehr bewusst, dass er oder sie rechtmäßig handeln will. Persönliche Lerneffekte im Umgang mit der Normenordnung unterbleiben. Der auf die Wünschbarkeit des von der Norm angestrebten Verhaltens bezogene Konsens der Bürgerinnen und Bürger als Autoren des Rechts verblasst und die intrinsische Motivation zur Rechtsbefolgung erodiert. Denkt man zurück an die oben beschriebene zentrale Rolle der Einzelnen im gesamtgesellschaftlich verstandenen Rechtsverwirklichungszusammenhang, in dem auch Privaten eine wichtige Funktion bei der Durchsetzung des Rechts zukommt, wird klar, welcher Umbruch hier droht.31 6. Die Grenzen des Normativen 30 Denkt man den Ansatz, „technische“ Lösungen für gesellschaftliche Steuerungsprobleme zu entwickeln, noch einen Schritt weiter, kommt schließlich der Punkt, an dem sich die Frage stellt, ob wir überhaupt noch über Recht reden. Eine Norm, gegen die man nicht verstoßen kann, verliert ihre Erkennbarkeit und ihre Funktion als Norm. „Kontrafaktizität“ bezeichnet nicht nur eine Existenzweise, sondern eine Existenzbedingung von Normen. 31 Natürlich lässt sich einwenden, dass sich die Kontrafaktizität in diesem Fall nur verlagert: Für den in Verantwortung genommenen Hersteller datenschutzrelevanter Produkte ist etwa die Verpflichtung, rechtskon31 Schon bei William M. Thackeray, einem der wichtigsten englischsprachigen Autoren des Viktorianischen Zeitalters, finden wir die Warnung (zitiert nach Popitz, Soziale Normen, S. 159 f.): „Stellen Sie sich einmal vor, daß jeder, der ein Unrecht begeht, entdeckt und entsprechend bestraft wird. Denken Sie an all die Buben in allen Schulen, die verbleut werden müßten; und darin die Lehrer und dann den Rektor (…). Die Hand erlahmt, entsetzt über die vielen Rohre, die sie schneiden und schwingen muß. (…) Möchten Sie, daß Ihre Frau und Ihre Kinder Sie so kennen, wie Sie sind, und Sie präzis nach ihrem Wert würdigen? Wenn ja – mein lieber Freund: Sie werden in einem tristen Hause wohnen. (…) Du bildest Dir doch nicht ein, daß Du so bist, wie Du ihnen erscheinst. Nicht doch, mein Guter! Gib diese monströse Einbildung auf, und sei dankbar, daß sie nicht Bescheid wissen.“

24

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

forme Produkte zu schaffen, stets mit der Möglichkeit verbunden, gegen diese Pflicht zu verstoßen. Und dass entsprechende Designvorgaben teilweise auch von Regelungen begleitet werden, die entsprechende Umgehungshandlungen kriminalisieren – man denke im Urheberrecht an die Vorgaben des Digital Millennium Copyright Act (DMCA) – zeigt, dass technischen Lösungen auch in dieser Hinsicht nicht zu viel tatsächliche Verhaltenslenkung zugetraut werden darf. Dennoch bleibt das Grundproblem bestehen: Nehmen wir noch einmal 32 die Inhaltsfilter. Hier werden die typischen Nutzer und Nutzerinnen schlicht mit einer „Architektur“ konfrontiert, die sie nicht überschauen können und für deren Kritik oder Umgehung ihnen alle Ressourcen fehlen. Auch das muss nicht kategorisch gegen den Einsatz technischer Systeme sprechen, verlangt aber erneut, technische Lösungen durch die Eröffnung neuer Foren der Kontestation und Infragestellung zu begleiten. Andernfalls droht die Fehldeutung des „Code is Law“, die letztlich zu der oben erwähnten (Selbst-)Delegitimierung des demokratischen Rechts beiträgt und einer „Governance by algorithms“ den Weg bereitet. V. Wie sollen Recht und Rechtswissenschaft der zunehmenden Technisierung begegnen? Insgesamt zeigt sich also ein differenziertes Bild. Zwar ist ein Einsatz 33 technischer Mittel, die die Effektivität des Rechts stärken, im demokratischen Rechtsstaat grundsätzlich normativ wünschenswert. Doch sind ihm die Kosten, die eine solche Technisierung auf der Ebene des Rechtssystems und in der Gesellschaft verursachen kann, gegenüberzustellen. Rechtsverwirklichung durch Technik ist daher auch im demokratischen Rechtsstaat nicht die Lösung aller Probleme, sondern erzeugt neue Spannungslagen, die wiederum durch entsprechende rechtliche Gestaltungen ausgeglichen werden müssen. Vor diesem Hintergrund ist einsichtig, weshalb eindimensionale Kon- 34 zepte wie das immer wieder mit Blick auf eine technische Optimierung der Rechtsdurchsetzung ins Spiel gebrachte „Recht auf Rechtsverstoß“ bzw. das Recht auf „Freiheit zur Nichtbefolgung von Normen“ allein keine Lösung darstellen. Stattdessen tut es Not, ein differenzierteres Bild sowohl von der Technik und ihrer Wirkung in der Gesellschaft als auch – und dies erscheint fast noch dringlicher – vom Recht und seinen Wirkungen zu entwickeln, bevor im größeren Umfang technische Mittel zur Rechtsdurchsetzung eingesetzt werden.

25

Thomas Wischmeyer

35 Für unser Thema hat dies zwei wesentliche Konsequenzen. Erstens ist immer dann, wenn man über die technischen Wirksamkeitssteigerungen des Rechts nachdenkt, das „materielle Normprogramm“ daraufhin zu überprüfen, ob es für diese Art der Umsetzung hinreichend geeignet ist. Regelmäßig werden wir hier auf Fälle stoßen, in denen diese „Primärebene“ nicht mit der Absicht einer umfassenden Durchsetzung gestaltet worden ist. Der bekannte Fall ist das „symbolische Gesetz“, das diverse Nebenzwecke, aber eben nicht seinen nominellen Hauptzweck verfolgt.32 Würden neue technologische Mittel ein solches symbolisches Gesetz voll vollziehbar machen, verkehrte dies die Regelungsintention des Gesetzgebers regelmäßig ins Gegenteil. Aber selbst bei einfachen und pragmatischen Normen wie der Geschwindigkeitsbegrenzung müssen wir noch einmal überlegen, ob ein „Voll-Vollzug“ geboten ist, etwa wenn die Verbreitung moderner Blitzeranlagen, die den Vollzug der Norm erheblich verbessern, aufgrund der Zahl der dann bei der Justiz landenden Einsprüche deren Funktionsfähigkeit ernsthaft zu gefährden beginnt. Auch die Unterscheidung zwischen öffentlichem und privatem Recht wird hier eine Rolle spielen. Wenn wir über die technische Durchsetzung von Normen nachdenken, müssen wir also insgesamt deutlich sensibler dafür werden, was mit einer Norm eigentlich erzielt werden soll. 36 Zweitens müssen wir wieder größere Sensibilität für den Eigenwert des Rechtsdurchsetzungsrechts entwickeln. Die Trennung von materiellem Recht und Vollstreckungsrecht ist eine der großen rechtskulturellen Leistungen der vergangenen Jahrhunderte, die nicht nur ihre inhärente Logik hat, sondern das Recht auch für die komplexen Bedürfnisse und Interessengegensätze einer modernen differenzierten Gesellschaftsordnung fit gemacht hat, indem sie eine weitere Ebene der Flexibilisierung und des Interessenausgleichs ins Recht eingebaut hat. Diese Einsicht darf im Zuge der Digitalisierung nicht verloren gehen. Die Technisierung der Rechtsdurchsetzung, die bei Fluggastrechten funktionieren mag und dort hilfreich sein kann, ist daher kein Vorbild für die Rechtsordnung im Ganzen. Franz Hofmann hat diesen Eigenwert der Rechtsdurchsetzung jüngst noch einmal explizit mit Blick auf das Immaterialgüterrecht herausgearbeitet.33 Im Verwaltungsrecht ist dieser Befund ganz selbstverständlich – vom Opportunitätsprinzip im Gefahrenabwehrrecht bis hin zum Vollstreckungsermessen – und kann durch die Technisierung nicht ernsthaft in Frage gestellt werden.

32 Dazu nur Siehr, ARSP 91 (2005), 535 ff. 33 Hofmann, GRUR 2018, 21, 22 f.

26

Rechtsverwirklichung durch Technik im demokratischen Rechtsstaat

Das Fazit, das ich ziehen kann, ist damit verhältnismäßig schlicht. Wie 37 regelmäßig bei technischen und rechtlichen Fragen liegt der Teufel im Detail. Die Herausforderung, vor der wir stehen, ist nicht die Tatsache, dass technische Systeme vermehrt zur Rechtsverwirklichung eingesetzt werden. Problematisch sind vielmehr allzu „simple“ Ansätze für eine Automatisierung des Vollzugs, die außer Acht lassen, dass sich infolge des Einsatzes technischer Mittel entsprechende „Nebenbedingungen“ hoheitlichen und privaten Handelns verändern. Um darauf angemessen reagieren zu können, brauchen wir nicht nur bessere, differenziertere technische Lösungen, sondern auch klügere normative Gestaltungen. Wie diese im Detail auszusehen haben, ist eine Frage des Einzelfalls. Hierfür konnte ich nur einige wenige Beispiele geben. Was sich insoweit allerdings festhalten lässt, ist, dass für dieses Detailgeschäft eine intensive Kommunikation zwischen der rechtswissenschaftlichen Grundlagenforschung, die sich schon lange mit den Wirkungsdimensionen des Rechts beschäftigt, und den Spezialistinnen und Spezialisten des IT- und Informationsrechts essentiell ist. Vor diesem Hintergrund sind Fachgesellschaften wie die DGRI, die Vertreterinnen und Vertreter ganz unterschiedlicher Rechtsgebiete zusammenführen und die auch das Gespräch über die Grenzen des Rechts hinaus suchen, für die Rechtsentwicklung heute vielleicht wichtiger als je zuvor.

27

Der California Consumer Privacy Act und die DSGVO: Ein transatlantisches Zwillingspaar? Jonas Botta* I. Datenschutzkonflikte zwischen der EU und den USA 1 II. Rechtsrahmen für den transatlantischen Datenverkehr 4 III. Kräfteringen mit dem Silicon Valley

7

IV. Rechtsvergleichende Analyse von CCPA und DSGVO 11 1. Räumlicher Anwendungsbereich: Lokal vs. Global? 13 5. Datenkommerzialisierung: Opt-Out vs. Opt-In? 28 6. Rechtsdurchsetzung: Minimal vs. Maximal? 34

2. Sachlicher Anwendungsbereich: Sektoral vs. Universal? 16 a) Geschützter Personenkreis 17 b) Adressatenkreis 18 c) Geschützte Daten 19 d) Verarbeitungsbegriff 22 e) Verhältnis zu anderen Datenschutzgesetzen 23 3. Datenlöschung: Recht auf vs. Pflicht zur? 25 4. Transparenzpflichten: Holschuld vs. Bringschuld? 26 a) Behördliche Sanktionen b) Individualrechtsschutz V. Fazit: (Noch) keine Gleichwertigkeit

35 38 40

Literatur: Botta, Eine Frage des Niveaus: Angemessenheit drittstaatlicher Datenschutzregime im Lichte der Schlussanträge in „Schrems II“, Der Prüfungsmaßstab der Gleichwertigkeit und seine Reichweite im Bereich der nationalen Sicherheit, CR 2020, 82; Botta, Zwischen Rechtsvereinheitlichung und Verantwortungsdiffusion: Die Prüfung grenzüberschreitender Datenübermittlungen nach „Schrems II“, CR 2020, 505; Determann, Kalifornisches Gesetz gegen Datenhandel, Geltung

*

Dr. Jonas Botta ist Forschungsreferent im „Programmbereich Digitalisierung“ am Deutschen Forschungsinstitut für öffentliche Verwaltung Speyer. Für den gleichnamigen Vortrag auf der 20. DSRI-Herbstakademie hat er den Best Speech Award 2019 der DGRI erhalten. Der Beitrag stellt eine modifizierte Fassung der Veröffentlichungen „Der California Consumer Privacy Act und die DSGVO: Ein transatlantisches Zwillingspaar?“, in: Taeger (Hrsg.), Die Macht der Daten und der Algorithmen – Regulierung von IT, IoT und KI, Tagungsband DSRI-Herbstakademie, 2019, 657 ff. sowie „Der California Consumer Privacy Act: Wegbereiter eines angemessenen Datenschutzniveaus im Silicon Valley?, Eine rechtsvergleichende Analyse des neuen kalifornischen Datenschutzgesetzes am Maßstab des Art. 45 DSGVO“, in: PinG 2019, 261 ff. dar. Die Gesetzesreform des CCPA durch den California Privacy Rights Act (CPRA) konnte vorliegend leider nicht mehr berücksichtigt werden. Alle Internetquellen wurden zuletzt am 10.5.2021 abgerufen.

29

Jonas Botta des California Consumer Privacy Act auch für deutsche Unternehmen, ZD 2018, 443; Hoeren/Pinelli, Das neue kalifornische Datenschutzrecht am Maßstab der DS-GVO, Auswirkungen des CCPA auf global agierende europäische Unternehmen, MMR 2018, 711; Klar/Kühling, Privatheit und Datenschutz in der EU und den USA – Kollision zweier Welten?, AöR 141 (2016), 165; Lejeune, California Consumer Privacy Act 2018 – erste Ansätze einer Annäherung zu Prinzipien der DSGVO in den USA, CR 2018, 569; Martini/Botta, Undurchsichtige Datentransfers – gläserne Studierende?, Datenschutzrechtliche Schranken der Datenübermittlung in die USA am Beispiel von Massive Open Online Courses (MOOCs), VerwArch 110 (2019), 235.

I. Datenschutzkonflikte zwischen der EU und den USA 1 In Kalifornien haben nicht nur Google & Co., sondern auch zahlreiche datenschutzrechtliche Errungenschaften ihren Ursprung. Jüngstes Beispiel hierfür ist der California Consumer Privacy Act (CCPA), der seit dem 1.1.2020 gilt. Die zeitliche Nähe seiner Entstehungsgeschichte zur DSGVO befeuerte nicht wenige Vergleiche zwischen den beiden Gesetzen. Davon ausgehend untersucht der nachfolgende Beitrag, ob es sich tatsächlich um gleichwertige Regelungsregime handelt und welche Auswirkungen dies auf das datenschutzrechtliche Fundament des transatlantischen Datenverkehrs haben könnte. 2 Beruhten die Datenschutzkonflikte zwischen der EU und den USA in der Vergangenheit doch nicht nur auf einem subjektiven Misstrauen der Europäer, sondern vor allem auf den objektiven Differenzen beider Rechtsregime. Denn die Saat für den modernen Persönlichkeitsschutz wurde zwar maßgeblich in den USA gesetzt1,2 ihre normativen Sprösslinge sind auf beiden Seiten des großen Teichs aber recht unterschiedlich gediehen. Während der europäische Gesetzgeber mit der DSGVO den nächsten Schritt zur vollständigen Harmonisierung des Datenschutzrechts in Europa gegangen ist, fehlt in den USA ein vergleichbares Gesetzeswerk.3 Stattdessen findet sich ein ganzer Strauß an sektoralen Regelungen auf Ebene des Bundes, aber auch der Einzelstaaten. 1

2

3

30

Wegweisend hierfür war der Aufsatz Warren/Brandeis, Harvard Law Review 4 (1890), 193 ff., in dem die beiden Autoren einen deliktsrechtlichen Anspruch gegen die aufkommende „Yellow Press“ entwickelten. von Lewinski, Zur Geschichte von Privatsphäre und Datenschutz – eine rechtshistorische Perspektive, in: Schmidt/Weichert (Hrsg.), Datenschutz, 2012, S. 23, 26 f. Dies resultiert einerseits daraus, dass es an einer ausdrücklichen Gesetzgebungskompetenz des Bundes fehlt, andererseits aber auch aus dem hohen Stellenwert der Meinungsfreiheit, die man traditionell durch zu strenge Datenschutzvorschriften gefährdet sieht. Vgl. Sorrell v. IMS Health Inc., 131 S.Ct.

Der California Consumer Privacy Act und die DSGVO

Auch in grundlegenden Fragen unterscheiden sich die beiden Systeme. 3 Gilt im unionalen Datenschutzrecht ein allgemeines Verbotsprinzip, das jegliche Verarbeitung personenbezogener Daten untersagt, solange keine Einwilligung des Betroffenen vorliegt oder ein gesetzlicher Erlaubnistatbestand erfüllt ist (vgl. Art. 8 Abs. 2 Satz 1 GRCh), ist diese Verarbeitung in den USA grundsätzlich zulässig.4 Ausländern ohne US-amerikanischen Wohnsitz kommt im dortigen Rechtssystem zudem nur ein verhältnismäßig eingeschränkter Privatheitsschutz zu.5 Unionsbürger geraten daher schnell ins Hintertreffen, wenn US-amerikanische Sicherheitsbehörden oder Unternehmen ihre personenbezogenen Daten verarbeiten. II. Rechtsrahmen für den transatlantischen Datenverkehr Angesichts der weltweiten Unterschiede im Datenschutzniveau setzt 4 das Unionsrecht voraus, dass bei Datenübermittlungen in Drittländer neben den allgemeinen auch besondere Zulässigkeitsvoraussetzungen (Art. 44 ff. DSGVO) erfüllt sein müssen, die garantieren sollen, dass außereuropäische Verarbeitungsvorgänge nicht hiesige Datenschutzstandards untergraben (Art. 44 Satz 2, ErwGr. 101 Satz 3 DSGVO). Zentrale Grundlage für internationale Datenströme sind danach Durchführungsbeschlüsse der Europäischen Kommission, mit denen sie das Datenschutzniveau in einem Sektor, einem Gebiet oder einem ganzen Drittstaat für angemessen erklärt (Art. 45 Abs. 3 DSGVO). 2015 hat der EuGH indes den sektoralen Angemessenheitsbeschluss 5 für Datentransfers aus der EU in die USA namens Safe Harbor für unwirksam befunden, da er kein angemessenes Schutzniveau garantierte.6 Seit diesem Urteil muss sich ein außereuropäisches Datenschutzregime ausdrücklich als „der Sache nach gleichwertig“ mit dem Unionsrecht

4

5

6

2653, 2659 f. (2011); Heberlein, Datenschutz im Social Web, 2017, S. 252 f.; Klar/Kühling, AöR 141 (2016), 165, 177 f. Heberlein, Datenschutz im Social Web, S. 253 f.; Klar/Kühling, AöR 141 (2016), 165, 178 f.; Schantz, in: Simitis/Hornung/Spiecker gen. Döhmann (Hrsg.), DSGVO, 2019, Art. 45 Rz. 42. Sie können sich weder auf den 4. Zusatzartikel zur US-Bundesverfassung, der den Privatheitsschutz in den USA verfassungsrechtlich absichert, berufen (United States v. Verdugo-Urquidez, 494 U.S. 259, 266 [1990]), noch auf zahlreiche einfachgesetzliche Datenschutzvorschriften hoffen. Beispielsweise erfahren sie grundsätzlich keinen Schutz durch den Privacy Act of 1974, der die US-Bundesbehörden bindet (5 U.S.C. § 552a [a] [2]). EuGH, Urt. v. 6.10.2015 – C-362/14 (Schrems), CR 2015, 633, 639 mit Rz. 98.

31

Jonas Botta

erweisen, um als angemessen zu gelten.7 Dies setzt einen umfassenden Vergleich der jeweiligen Rechtsordnungen voraus, insbesondere im Hinblick darauf, ob im Drittland ein ausreichender Individualrechtsschutz und eine unabhängige Aufsichtsstruktur gewährleistet sind. Der Unionsgesetzgeber hat diesen erhöhten Prüfungsmaßstab in die DSGVO übernommen (Art. 45 Abs. 2, ErwGr. 104 Satz 3 DSGVO).8 6 Am 16.7.2020 hat der EuGH den Nachfolgebeschluss von Safe Harbor, den EU-US Privacy Shield,9 ebenfalls für ungültig erklärt.10 Ein Urteil, das angesichts des mangelhaften Rechtsschutzes europäischer Bürger gegen die umfassenden Datenzugriffsrechte US-amerikanischer Sicherheitsbehörden wenig überraschen konnte.11 Auch der Generalanwalt Henrik Saugmandsgaard Øe hatte bereits erhebliche Zweifel an der Rechtmäßigkeit des Beschlusses geäußert.12 Für die Übermittlung personenbezogener Daten in die USA existiert damit nach derzeitigem Stand kein wirksamer Angemessenheitsbeschluss. III. Kräfteringen mit dem Silicon Valley 7 Dass auch jenseits des Atlantiks eine hohe Sensibilität für den Schutz der individuellen Datenhoheit besteht, haben indes Alastair Mactaggart, Rick Arney und Mary Stone Ross bewiesen. Sie setzten sich Ende 2017 das Ziel, in ihrem Heimatstaat Kalifornien mittels einer Volksabstimmung ein neues Datenschutzgesetz einzuführen.13 Ein Vorhaben, mit dem sie an eine Reihe bedeutender Rechtsetzungsprozesse aus den letzten Jahrzehnten anschlossen. Denn in Kalifornien hat der Privatheitsschutz eine lange Tradition. So kennt die Landesverfassung etwa im Unterschied zur

7 EuGH, Urt. v. 6.10.2015 – C-362/14 (Schrems), CR 2015, 633, 637 mit Rz. 73 ff. 8 Weiterführend Botta, CR 2020, 82, 82 ff. 9 Wie schon Safe Harbor ist der EU-US Privacy Shield ein sektoraler Angemessenheitsbeschluss für US-amerikanische Unternehmen gewesen, die sich gegenüber dem US-Handelsministerium dazu verpflichtet haben, seine Datenschutzgrundsätze zu achten. S. Europäische Kommission, Durchführungsbeschluss (EU) 2016/1250 v. 12.7.2016, ABl. 2016 L 207/1. 10 EuGH, Urt. v. 16.7.2020 – C-311/18 (Schrems II), CR 2020, 529, 541 mit Rz. 201; hierzu ausführlich Botta, CR 2020, 505, 505 ff. 11 Näher Martini/Botta, VerwArch 110 (2019), 235, 268 ff. 12 Schlussanträge des GA v. 19.12.2019 – C-311/18, ECLI:EU:C:2019:1145 – Schrems II, Rz. 187 ff.; dazu Botta, CR 2020, 82, 85 ff. 13 Ausführlich hierzu Confessore, The Unlikely Activists Who Took On Silicon Valley – and Won, The New York Times Magazine Online v. 14.8.2018.

32

Der California Consumer Privacy Act und die DSGVO

US-Bundesverfassung ein ausdrückliches Right to Privacy (Art. 1 § 1).14 Und auch das weltweit erste Gesetz zur Meldung von Datensicherheitsverletzungen stammt aus Sacramento.15 Gegen die Gesetzesinitiative des nicht ganz gewöhnlichen Trios – eines 8 Multimillionärs aus der Immobilienbranche, eines Finanzexperten und einer ehemaligen Nachrichtendienstmitarbeiterin – richtete sich jedoch schnell vehementer Widerstand aus dem Silicon Valley. Google, Facebook und die drei größten Internetanbieter Kaliforniens bildeten eine Allianz namens The Committee to Protect California Jobs, die auch Amazon, Microsoft und Uber unterstützten. An dieser geeinten Front der IT-Industrie war bereits die Consumer-Privacy Bill of Rights16 der Obama-Regierung gescheitert. Doch das Blatt wendete sich, als der Datenskandal um Cambridge Ana- 9 lytica publik wurde.17 In der Folge zog sich nicht nur Facebook aus der Gegenkampagne zurück, sondern zugleich nahm auch die öffentliche Unterstützung für die Volksabstimmung massiv zu. Das zuvor für unmöglich Gehaltene wurde real: Die Zivilgesellschaft setzte sich gegen die IT-Giganten durch. Letztendlich konnte die Datenschutzinitiative über 600.000 Stimmen für ihr geplantes Plebiszit einreichen. Daraufhin machte sie dem kalifornischen Gesetzgeber das Angebot, ihre Initiative zurückzuziehen, wenn er bis zum 28.6.2018 ein Datenschutzgesetz in ihrem Sinne verabschieden würde. Und tatsächlich kam so nach nur sieben Tagen im Parlament der CCPA18 zustande, der seit dem 1.1.2020 gilt.19 Die zum CCPA gehörigen Ausführungsvorschriften des kalifornischen 10 Attorney General20 sind nach einem mehrmonatigen Konsultations-

14 Dies war ebenfalls das Ergebnis einer Volksabstimmung. Weiterführend Kelso, Pepperdine Law Review 19 (1992), 327, 328 ff. 15 California Security Breach Information Act, SB-1386, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id= 200120020SB1386. 16 Einzusehen unter: https://obamawhitehouse.archives.gov/sites/default/files/ privacy-final.pdf. 17 Eine Übersicht über diesen Skandal findet sich unter: https://netzpolitik.org/ der-facebook-cambridge-analytica-datenskandal/. 18 California Civil Code §§ 1798.100 bis 1798.199, http://leginfo.legislature. ca.gov/faces/codes_displayText.xhtml?lawCode=CIV&division=3.&title= 1.81.5.&part=4.&chapter=&article=. 19 Goldman, An Introduction to the California Consumer Privacy Act (CCPA), https://ssrn.com/abstract= 3211013, S. 1; Hoeren/Pinelli, MMR 2018, 711, 712. 20 Der Attorney General ist mit einem deutschen Justizminister und Generalstaatsanwalt in Personalunion zu vergleichen. S. Hoeren/Pinelli, MMR 2018, 711, 712 mit Fn. 7.

33

Jonas Botta

prozess am 14.8.2020 in Kraft getreten.21 Sie sollen die Anwendung der Datenschutzvorgaben in der Praxis vereinfachen.22 Insbesondere dienen sie dazu, Begriffsdefinitionen aus dem Gesetzeswerk zu schärfen und die Umsetzungspflichten näher auszugestalten. IV. Rechtsvergleichende Analyse von CCPA und DSGVO 11 Wenn der Gesetzgeber in der Heimat von Google & Co. ein neues Datenschutzgesetz erlässt, dann wirkt das weit über die US-amerikanische Westküste hinaus. Schnell wurde der CCPA daher in seiner Bedeutung mit der DSGVO verglichen, die ebenfalls weltweit mit Spannung erwartet worden war. 12 Doch ähneln sich die beiden Gesetze nur hinsichtlich ihres zeithistorischen Kontextes oder kann der CCPA sogar ein mit dem Unionsrecht gleichwertiges Datenschutzniveau gewährleisten? Wenn ja, könnte das kalifornische Gesetz auch für den transatlantischen Datenverkehr von großer Relevanz sein. Denn der CCPA könnte eine gänzlich neue Perspektive eröffnen: einen eigenen Angemessenheitsbeschluss für Kalifornien, immerhin der fünftgrößten Volkswirtschaft der Welt23.24 Ein solcher kalifornischer Alleingang wäre zumindest eine partielle Alternative zum weggefallenen EU-US Privacy Shield. Dafür müsste der CCPA aber ein angemessenes Datenschutzniveau i. S. d. Art. 45 DSGVO gewährleisten, was der nachfolgende Rechtsvergleich ergründen soll. 1. Räumlicher Anwendungsbereich: Lokal vs. Global? 13 Der Unionsgesetzgeber hat mit der DSGVO das Ziel verfolgt, die Rechte europäischer Bürger auch in Zeiten globaler Datenströme zu schützen. Dies zeigt sich etwa am sogenannten Marktortprinzip, nach dem die DSGVO auch auf Unternehmen ohne europäische Niederlassung An-

21 Vollständig abrufbar unter: https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/oal-sub-final-text-of-regs.pdf?. 22 Weiterführend Spies, ZD-Aktuell 2020, 07004. 23 Fuller, The Pleasure and Pain of Being California, the World‘s 5th-Largest Economy, The New York Times Online v. 7.5.2018, https://www.nytimes. com/2018/05/07/us/california-economy-growth.html. 24 Gribakov, Road to Adequacy: Can California Apply Under the GDPR?, Lawfare Blog v. 5.6.2019, https://www.lawfareblog.com/road-adequacy-can-california-apply-under-gdpr; Peterson/de la Torre, Is California on its way to going for ‚adequacy‘?, The Privacy Advisor v. 6.4.2018, https://iapp.org/news/a/iscalifornia-on-its-way-to-going-for-adequacy/.

34

Der California Consumer Privacy Act und die DSGVO

wendung findet, solange sie ihre Waren und Dienstleistungen in der EU anbieten (Art. 3 Abs. 2 lit. a) DSGVO). Beim CCPA könnte man hingegen einen lokaleren Ansatz vermuten. 14 Tatsächlich gilt das Gesetz jedoch für alle Unternehmen, die in Kalifornien wirtschaftlich tätig sind („do[…] business“) und entweder einen jährlichen Bruttoumsatz von mindestens 25 Millionen US-Dollar haben, personenbezogene Daten von mindestens 50.000 kalifornischen Einwohnern, Geräten oder Haushalten sammeln oder ihre Einnahmen zu mindestens 50 % aus dem Verkauf von Daten kalifornischer Einwohner generieren (§ 1798.140 [c]). Der Begriff „do[…] business“ ist zudem relativ weit zu verstehen. Es ist bereits ausreichend, wenn das jeweilige Unternehmen in Kalifornien wirtschaftliche Interessen verfolgt (vgl. § 23101 [a] des California Revenue and Taxation Code).25 Auch für europäische Unternehmen bringt der CCPA daher neue Herausforderungen mit sich.26 Damit ist der Anwendungsbereich des kalifornischen Gesetzes zwar im 15 Vergleich zur DSGVO geographisch begrenzter, beschränkt sich aber ebenfalls nicht auf den Sitz des Verarbeitenden, sondern knüpft vornehmlich an die Betroffenen an. Im Gegensatz zum Unionsrecht (Art. 44 ff. DSGVO) fordert der CCPA indes keine Gleichwertigkeit ausländischer Datenschutzregime ein.27 Der Transfer personenbezogener Daten aus Kalifornien in die EU erfährt daher keine besonderen Anforderungen aus dem Gesetz. 2. Sachlicher Anwendungsbereich: Sektoral vs. Universal? Ein wesentlicher Unterschied zwischen dem kalifornischen und dem 16 unionalen Datenschutzrecht ist, dass der CCPA im Unterschied zur DSGVO nicht prinzipiell auf jegliche Verarbeitung personenbezogener Daten anwendbar ist, sondern dass er lediglich einen bestimmten Sektor erfasst, wie es für das US-amerikanische Datenschutzregime kennzeichnend ist. Im Einklang mit der dortigen Dogmatik bricht der CCPA auch nicht mit dem Prinzip, dass die Verarbeitung personenbezogener Daten grundsätzlich erlaubt ist.28 Dennoch ist der sachliche Anwendungsbe-

25 26 27 28

Determann, ZD 2018, 443, 444; Lejeune, CR 2018, 569, 571. Hoeren/Pinelli, MMR 2018, 711, 714. Determann, ZD 2018, 443, 447. de la Torre, GDPR matchup: The California Consumer Privacy Act 2018, The Privacy Tracker v. 31.7.2018, https://iapp.org/news/a/gdpr-matchup-california-consumer-privacy-act/.

35

Jonas Botta

reich des kalifornischen Gesetzes wesentlich weiter gefasst und damit der DSGVO näher, als es auf den ersten Blick erscheinen mag. a) Geschützter Personenkreis 17 Beide Gesetze schützen nur natürliche und keine juristischen Personen.29 Während im Zentrum der DSGVO jedoch der sogenannte Betroffene als subjektiver Rechtsträger steht (Art. 4 Nr. 1 DSGVO), spricht der CCPA, wie schon sein Gesetzestitel nahelegt, nur vom Verbraucher. Daraus ließe sich schließen, dass das kalifornische Gesetz dem Einzelnen nur zu Rechtsschutz verhilft, wenn er im konkreten Verarbeitungskontext als Verbraucher und nicht etwa als Arbeitnehmer oder Mieter handelt.30 Die Legaldefinition in § 1798.140 (g) CCPA dehnt den Verbraucherbegriff aber auf alle natürlichen Personen aus, die Einwohner Kaliforniens sind und sich gegenwärtig im Bundestaat aufhalten oder diesen nur kurzzeitig verlassen haben. Insoweit unterscheidet sich der CCPA gleichwohl vom Unionsrecht, denn dieses knüpft nicht an den Wohnsitz des Betroffenen an31.32 b) Adressatenkreis 18 Entscheidend für den Datenschutz ist indes nicht nur, wessen Daten zu schützen sind, sondern auch wem gegenüber. Adressat der DSGVO sind in erster Linie der sogenannte Verantwortliche und der Auftragsverarbeitende (Art. 4 Nr. 7 und 8 DSGVO), d. h. die datenverarbeitenden Stellen – unabhängig davon, ob es sich um Behörden, Unternehmen oder natürliche Personen handelt. Der CCPA gilt hingegen grundsätzlich nur für bestimmte Unternehmen und ihre Service Provider33 (siehe IV. 1. Rz. 13). Behörden sind nicht an den CCPA gebunden. c) Geschützte Daten 19 CCPA und DSGVO stimmen darin überein, dass sie nicht nur für Informationen gelten, die identifizierten Personen zuzuordnen sind, sondern auch solche, die sich nur identifizierbaren Personen zuschreiben las-

29 Art. 1 Abs. 1 DSGVO bzw. § 1798.140 (g) CCPA. 30 Hoeren/Pinelli, MMR 2018, 711, 712; vgl. auch Determann, ZD 2018, 443, 444. 31 Im Ausnahmefall aber an seinen momentanen Aufenthaltsort (vgl. Art. 3 Abs. 2 lit. a) DSGVO). 32 Marini et al., Comparing privacy laws: GDPR v. CCPA, 2018, S. 7. 33 Vergleichbar mit den Auftragsverarbeitenden i. S. d. DSGVO.

36

Der California Consumer Privacy Act und die DSGVO

sen34.35 Auch Cookies, IP-Adressen oder Pseudonyme sind daher grundsätzlich von ihrem Anwendungsbereich erfasst. Gemäß einem früheren Entwurf der Ausführungsvorschriften des Attor- 20 ney General sollten IP-Adressen zwar dann nicht als personenbezogene Daten gelten, wenn das datenverarbeitende Unternehmen sie weder konkreten Betroffenen zuordnet noch sie ihnen zuordnen kann (ehemals in § 999.302 geregelt).36 Diese Einschränkung wurde jedoch im weiteren Konsultationsprozess gestrichen. Das kalifornische Gesetz gilt indes abweichend vom Unionsrecht nicht 21 für allgemein zugängliche Daten, die sich bei staatlichen Stellen befinden (§ 1798.140 [o] [2]). Auch einen erhöhten Schutz für sensible Datenkategorien wie die politische Meinung oder sexuelle Orientierung des Einzelnen kennt der CCPA im Gegensatz zur DSGVO (Art. 9 Abs. 1 DSGVO) nicht. d) Verarbeitungsbegriff Von zentraler Bedeutung für den sachlichen Anwendungsbereich der bei- 22 den Gesetze ist zudem der Verarbeitungsbegriff. Der Unionsgesetzgeber hat bestimmt, dass unter einer Datenverarbeitung grundsätzlich jegliche Art von (nicht-)automatisierten Verarbeitungsvorgängen zu verstehen ist: von der Erhebung, Speicherung bis hin zur Löschung personenbezogener Daten (Art. 4 Nr. 2 DSGVO). Der CCPA reguliert demgegenüber vornehmlich nur den Verkauf und die Weitergabe sowie teilweise auch die Sammlung von Informationen.37 Damit kommt die mit dem kalifornischen Gesetz verfolgte Regelungsintention zum Ausdruck: den Datenhandel privatheitsschonend auszugestalten.38 Viele seiner Vorschriften finden mithin keine Anwendung, wenn ein Unternehmen die Daten ausschließlich selbst verarbeitet.

34 Zugleich gilt der CCPA ausdrücklich auch für solche Informationen, die sich nur auf einen Haushalt beziehen lassen (§ 1798.140 [o] [1]). In der Regel werden die häuslichen Daten wie etwa der Strom- oder Wasserverbrauch aber auch Rückschlusse auf eine natürliche Person geben. 35 Art. 4 Nr. 1 DSGVO bzw. § 1798.140 (o) (1) CCPA. 36 Office of the California Attorney General, Text of Modified Regulations, 10.2.2020, https://oag.ca.gov/sites/all/files/agweb/pdfs/privacy/ccpa-text-ofmod-clean-020720.pdf. 37 Marini et al., Comparing privacy laws: GDPR v. CCPA, 2018, S. 11. 38 Determann, ZD 2018, 443, 444.

37

Jonas Botta

e) Verhältnis zu anderen Datenschutzgesetzen 23 Der sachliche Anwendungsbereich des CCPA erfährt nicht nur darin eine Beschränkung, dass er sich allein auf Private erstreckt, sondern auch darin, dass das Gesetz in bestimmten Bereichen wie dem Gesundheitssektor39 generell nicht anwendbar ist.40 24 Die DSGVO ist hingegen grundsätzlich das vorrangig anwendbare Datenschutzrecht in der gesamten Union. Doch auch hiervon bestehen Ausnahmen. Beispielsweise das sogenannte Haushaltsprivileg (Art. 2 Abs. 2 lit. c) DSGVO), nach dem die Datenverarbeitung zu persönlichen oder familiären Zwecken grundsätzlich nicht der Verordnung unterfällt.41 Außerdem finden sich fast in der Hälfte all ihrer Vorschriften Öffnungsklauseln, d. h. mitgliedstaatliche Kompetenzgrundlagen dafür, nationale Sonderregelungen zu erlassen. So ist etwa der Beschäftigtendatenschutz in Deutschland weiterhin vornehmlich im Bundesdatenschutzgesetz (§ 26 BDSG) geregelt.42 Die DSGVO hat demnach den Datenschutz ebenfalls nicht abschließend i. S. einer wirklichen Vollharmonisierung geregelt.43 3. Datenlöschung: Recht auf vs. Pflicht zur? 25 Auch die Betroffenenrechte unterscheiden sich in ihrer Ausgestaltung dies- und jenseits des Atlantiks. In beiden Gesetzeswerken findet sich zwar ein Recht auf, aber nur in der DSGVO zugleich auch eine Pflicht zur Löschung der personenbezogenen Daten.44 Der CCPA beschränkt sein Löschungsrecht zudem auf Informationen, die die Unternehmen direkt beim Einzelnen erhoben haben und verpflichtet die Unternehmen nicht dazu, ausdrücklich auf das Betroffenenrecht hinzuweisen (vgl. § 1798.130 [a] CCPA). Dies begünstigt eine dauerhafte Speicherung der anfallenden Daten. Außerdem gehen die Ausnahmeregelungen des

39 Dort verdrängen der California Confidentiality of Medical Information Act und der U.S. Health Insurance Portability and Accountability Act of 1996 den CCPA (§ 1798.145 [c]). 40 Im Übrigen soll stets das Gesetz Anwendung finden, das dem Einzelnen im konkreten Fall am meisten Privatheitsschutz verspricht (vgl. § 1798.175 CCPA). 41 Weiterführend Kühling/Raab, in: Kühling/Buchner (Hrsg.), DSGVO/BDSG, 3. Aufl. 2020, Art. 2 Rz. 23 ff. 42 Martini/Botta, NZA 2018, 625, 628. 43 Kühling/Martini, EuZW 2016, 448, 449. 44 Vgl. Art. 17 Abs. 1 DSGVO bzw. § 1798.105 (a) bis (c) CCPA.

38

Der California Consumer Privacy Act und die DSGVO

§ 1798.105 (d) CCPA noch über die des Art. 17 Abs. 3 DSGVO hinaus.45 So erlauben sie beispielsweise eine großzügige Weiterverwendung der Daten zu unternehmensinternen Zwecken.46 4. Transparenzpflichten: Holschuld vs. Bringschuld? Sowohl die DSGVO als auch der CCPA begründen ein Auskunftsrecht 26 des Betroffenen.47 Danach ist der jeweilige Verantwortliche dazu verpflichtet, über die erhobenen Daten und Verarbeitungszwecke zu informieren, wenn der Betroffene dies beantragt (‚Holschuld‘)48. Nur die DSGVO schreibt dem Verantwortlichen aber grundsätzlich vor, auch von sich aus umfassend Informationen mit dem Betroffenen zu teilen (‚Bringschuld‘; Art. 13 und 14 DSGVO)49.50 Die Ausführungsvorschriften des Attorney General haben jedoch 27 auch das kalifornische Gesetz um eine „Notice at Collection“ ergänzt (§ 999.305). Der CCPA verpflichtet die Unternehmen darüber hinaus dazu, einen „Do Not Sell My Personal Information“-Link auf ihrer Website zu implementieren (§ 1798.135 [a]). Dies ermöglicht den Betroffenen, niedrigschwellig ihr „Right to opt out“ wahrzunehmen. 5. Datenkommerzialisierung: Opt-Out vs. Opt-In? Die beiden Gesetze unterscheiden sich auch darin, inwieweit sie die 28 Kommerzialisierung personenbezogener Daten zulassen bzw. wie sie zugleich versuchen, die Datenhoheit der Betroffenen zu sichern. Während in der DSGVO ein ‚Datenhandel‘ nicht ausdrücklich geregelt 29 ist51 und es zudem strittig ist, inwieweit ihr Kopplungsverbot (Art. 7 Abs. 4 DSGVO) einem solchen Geschäftsmodell generell entgegen45 Beide Betroffenenrechte privilegieren indes den Schutz der Meinungsfreiheit (Art. 17 Abs. 3 lit. a) DSGVO bzw. § 1798.105 [d] [4] CCPA). 46 Vgl. Goldman, An Introduction to the California Consumer Privacy Act (CCPA), https://ssrn.com/abstract= 3211013, S. 4. 47 Art. 15 DSGVO bzw. §§ 1798.100, 1798.110 und 1798.115 CCPA. 48 Veil, in: Gierschmann/Schlender/Stentzel et al. (Hrsg.), DSGVO, 2018, Art. 13 u. 14 Rz. 12. 49 Veil, in: Gierschmann/Schlender/Stentzel et al. (Hrsg.), DSGVO, 2018, Art. 13 u. 14 Rz. 12. 50 Hoeren/Pinelli, MMR 2018, 711, 714. Der Verantwortliche muss daher stets über seine Datenverarbeitung aufklären und darf nicht etwa auf ein fehlendes Interesse des Betroffenen hoffen. 51 Zumindest für nicht-personenbezogene Daten strebt die Europäische Kommission aber den Aufbau einer europäischen Datenwirtschaft an; s. ihre Mit-

39

Jonas Botta

steht,52 setzt der CCPA den Verkauf personenbezogener Daten als gegeben voraus, da er sein originärer Regelungsgegenstand ist.53 Um den Gefahren, die daraus für den Privatheitsschutz resultieren, zu begegnen, hat das kalifornische Gesetz ein „Right to opt out“ begründet. Danach kann der Betroffene der Datenweitergabe jederzeit nachträglich widersprechen (§ 1798.120 [a]). Diesem Betroffenenrecht müssen die Unternehmen gemäß den Ausführungsvorschriften des Attorney General innerhalb von 15 Geschäftstagen nachkommen (§ 999.315 [e]). 30 Eine vorherige Zustimmung ist hingegen grundsätzlich nicht erforderlich. Diese verlangt aber die DSGVO, wenn sich die Datenverarbeitung auf eine Einwilligung stützen soll (sogenanntes Opt-in; Art. 4 Nr. 11, Art. 6 Abs. 1 UAbs. 1 lit. a) DSGVO). Auch eine Einwilligung ist jederzeit unbegründet widerrufbar, womit die Datenverarbeitung grundsätzlich pro futuro unzulässig wird (Art. 7 Abs. 3 Sätze 1 und 2 DSGVO). 31 Dieses Widerrufsrecht führt in der Praxis dazu, dass sich Verantwortliche regelmäßig statt auf eine Einwilligung vorzugsweise auf den gesetzlichen Erlaubnistatbestand der Wahrung berechtigter Interessen (Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO) berufen, da er keine Zustimmung des Betroffenen verlangt. Letzterem verbleibt es dann nur, Widerspruch einzulegen (Art. 21 Abs. 1 DSGVO). Opt-out-Lösungen sind dem Unionsrecht mithin keineswegs unbekannt. Art. 6 Abs. 1 UAbs. 1 lit. f) DSGVO setzt gleichwohl voraus, dass die Interessen des Betroffenen nicht diejenigen des Verantwortlichen überwiegen. Wenn der Verantwortliche aber geschäftsmäßig personenbezogene Daten an Dritte weitergeben will, stellt dies zumeist einen so erheblichen Eingriff in die individuelle Datenhoheit des Betroffenen dar, dass die Interessen des Verantwortlichen diesen nicht rechtfertigen können.54 Stattdessen ist dann eine ausdrückliche Einwilligung erforderlich. 32 Auch die Einwohner Kaliforniens stehen jedoch mit ihrem „Right to opt out“ der „Take it or leave it“-Mentalität vieler IT-Giganten, nach der dem Einzelnen i. d. R. nur die Wahl bleibt, sich entweder auf die jeweilige Datenschutzpraxis einzulassen oder aber das Angebot gar nicht erst zu

teilung v. 10.1.2017, COM (2017) 9 final, https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=COM:2017:9:FIN. 52 S. hierzu etwa Golland, MMR 2018, 130 ff.; Krohm/Müller-Peltzer, ZD 2017, 551 ff. 53 de la Torre, GDPR matchup: The California Consumer Privacy Act 2018, The Privacy Tracker v. 31.7.2018, https://iapp.org/news/a/gdpr-matchup-california-consumer-privacy-act/. 54 Martini/Botta, VerwArch 110 (2019), 235, 257.

40

Der California Consumer Privacy Act und die DSGVO

nutzen, nicht mehr ohnmächtig gegenüber. Außerdem kennt das kalifornische Datenschutzrecht ebenfalls das Erfordernis einer aktiven Zustimmung des Einzelnen und zwar in dem Fall, dass er sein 16. Lebensjahr noch nicht vollendet hat (§ 1798.120 [c] und [d] CCPA). Einen weiteren Schutz erfahren Betroffene daraus, dass Unternehmen 33 sie nicht benachteiligen dürfen, wenn sie ihre Rechte geltend machen (§ 1798.125 [a] [1] CCPA). Das heißt, dass sie ihr Dienstleistungsangebot nicht etwa einschränken dürfen, wenn der Einzelne einer weiteren Datenverarbeitung widerspricht.55 Bei reinen „Service gegen Daten“-Geschäften müssen Unternehmen daher fortan fürchten, dass ihnen infolge eines Opt-out die Gegenleistung für ihr kostenfreies (Online-)Angebot wegfällt: die Verwertung der personenbezogenen Daten.56 6. Rechtsdurchsetzung: Minimal vs. Maximal? Ob ein außereuropäisches Datenschutzniveau als angemessen anzuse- 34 hen ist, hängt insbesondere von der Wirksamkeit seiner behördlichen und individuellen Durchsetzungsmechanismen ab (Art. 45 Abs. 2 lit. a) und b) DSGVO). a) Behördliche Sanktionen Eine eigenständige Datenschutzbehörde wird es in Kalifornien – im 35 Gegensatz zur Union, in der Aufsichtsstellen sowohl auf europäischer als auch auf mitgliedstaatlicher Ebene existieren – auch zukünftig nicht geben.57 Für die Rechtsdurchsetzung ist nach dem CCPA stattdessen grundsätzlich das Office of the California Attorney General zuständig. Nach einer sanktionsfreien Übergangsphase müssen Unternehmen seit 36 dem 1.7.2020 – trotz der anhaltenden COVID-19-Pandemie – mit Bußgeldern des Office für Verstöße gegen den CCPA bzw. seine Ausführungsvorschriften (vgl. § 999.300 [b]) rechnen.58 Pro Datenschutzverstoß kann es ein Bußgeld i. H. v. bis zu 7.500 US-Dollar gegen das jeweilige Unternehmen festsetzen, wenn dieses den Verstoß nicht binnen 30 Tage behoben hat (§ 1798.155 [a] und [b]). 20 % der Bußgeldsumme fließen dann

55 Hoeren/Pinelli, MMR 2018, 711, 716. 56 Determann, ZD 2018, 443, 445. 57 Auch betriebliche Datenschutzbeauftragte verlangt der CCPA nicht. S. Lejeune, CR 2018, 569, 575. 58 Duball, California attorney general‘s office: No delay on CCPA enforcement amid COVID-19, The Privacy Advisor v. 24.3.2020, https://iapp.org/news/a/ making-sense-of-calls-to-delay-ccpa-enforcement-amidst-covid-19/.

41

Jonas Botta

in den Consumer Privacy Fund (§ 1798.155 [c] [1] CCPA), der den Gesetzesvollzug gegenfinanzieren soll. Demgegenüber stehen die Sanktionsmöglichkeiten der europäischen Datenschutzbehörden, die Bußgelder i. H. v. bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängen können (Art. 83 DSGVO). 37 Ein Unterschied besteht auch in der Autonomie der Behörden: Während das Office of the California Attorney General Teil der Exekutive ist, müssen die europäischen Aufsichtsstellen institutionell „völlig unabhängig“ sein (Art. 52 Abs. 1 DSGVO).59 b) Individualrechtsschutz 38 War es zudem noch ein wesentliches Anliegen der Datenschutzinitiative um Mactaggart, Arney und Ross gewesen, den Individualrechtsschutz erheblich zu stärken, können Betroffene nach dem CCPA nur dann gegen ein Unternehmen direkt vorgehen, wenn dieses dabei versagt hat, personenbezogene Daten ausreichend vor unberechtigten Zugriffen zu schützen (§ 1798.150). Der Schadensersatz beläuft sich dann auf 100 bis 750 US-Dollar pro Datenschutzverstoß. Bei sogenannten Data Breaches mit Millionen von Betroffenen kann sich auch aus dieser relativ niedrig angesetzten Geldsumme gleichwohl ein ernstzunehmendes wirtschaftliches Risiko für den Verarbeitenden entwickeln. 39 Der Betroffene muss dem Unternehmen aber ebenfalls zunächst eine 30-Tagesfrist zur Lösung des Problems gewähren (§ 1798.150 [b] [1] CCPA). Und selbst dann kann der Anspruch ins Leere laufen, da das Office of the California Attorney General den Rechtsstreit durch eigene Ermittlungen oder durch ein Veto beenden kann (§ 1798.150 [b] [3] CCPA). Nach der DSGVO können Betroffene hingegen grundsätzlich gegen jede Rechtsverletzung gerichtlich vorgehen (Art. 79 ff. DSGVO) – und das, ohne den Eingriff einer Behörde fürchten zu müssen. Darüber hinaus kennt das Unionsrecht keine Höchstgrenze für datenschutzrechtliche Schadensersatzansprüche.60

59 Vgl. EuGH, Urt. v. 9.3.2010 – C-518/07 (Kommission/Deutschland), NJW 2010, 1265, 1268 mit Rz. 56. 60 Was in der Praxis jedoch nicht gleichbedeutend mit tatsächlich höheren Schadensersatzsummen sein muss. Vgl. Jacquemain, Der deliktische Schadensersatz im europäischen Datenschutzprivatrecht, 2017, S. 356.

42

Der California Consumer Privacy Act und die DSGVO

V. Fazit: (Noch) keine Gleichwertigkeit Der rechtliche und politische Kontext, in dem der CCPA und die DSGVO 40 entstanden sind, eint und unterscheidet sie zugleich. Einerseits ergingen beide Gesetze in Reaktion auf eine immer vernetztere Lebenswelt, in der ein effektiver Schutz der eigenen Daten so wesentlich wie noch nie zuvor für die Privatheitsentfaltung des Einzelnen geworden ist. Andererseits sind sie aber auch ein Ergebnis der jeweiligen Rechtskulturen diesund jenseits des Atlantiks. Daher verfolgen CCPA und DSGVO zwar im Grunde ähnliche Ansätze, um den Datenschutz zu stärken, deren jeweiliger Wirkungsgrad resultiert jedoch in zwei voneinander divergierenden Datenschutzniveaus. Denn während die DSGVO grundsätzlich für alle Verarbeitenden und 41 Verarbeitungsvorgänge gilt, beschränkt sich der CCPA weitestgehend auf den Datenverkauf durch bestimmte Unternehmen. Zudem stellt das kalifornische Gesetz diesen grundsätzlich eine Carte blanche für ihre Datengeschäfte aus. Werden die Betroffenen nicht selbst aktiv, können die Unternehmen ihre personenbezogenen Daten unbegrenzt speichern und weitergeben, ohne sie darüber informieren zu müssen. Deutliche Unterschiede finden sich auch in den Durchsetzungsmechanismen der beiden Gesetze. Denn die 30-tägige ‚Schonfrist‘ für Unternehmen, der begrenzte Schadensersatzanspruch für Betroffene und die fehlende Unabhängigkeit der Aufsichtsbehörde führen dazu, dass der Rechtsschutz unter dem CCPA eklatant hinter dem der DSGVO zurückbleibt. Im Gesamtvergleich erweist sich das kalifornische Datenschutzgesetz (in seiner Fassung bei Inkrafttreten) mithin als nicht mit dem Unionsrecht gleichwertig.61 Hoffnung auf eine andere Bewertungsgrundlage gibt indes der Califor- 42 nia Privacy Rights Act (CPRA), der im November 2020 per Volksabstimmung verabschiedet wurde.62 Er ergänzt den CCPA insbesondere um eine eigenständige Datenschutzbehörde (California Privacy Protection Agency). Mit der Gesetzesreform stellt sich die Frage nach der Gleichwertigkeit des kalifornischen Datenschutzniveaus demnach neu.

61 Ebenso Gribakov, Road to Adequacy: Can California Apply Under the GDPR?, Lawfare Blog v. 5.6.2019, https://www.lawfareblog.com/road-adequacy-can-california-apply-under-gdpr; wohl auch Peterson/de la Torre, Is California on its way to going for ‚adequacy‘?, The Privacy Advisor v. 6.4.2018, https://iapp.org/news/a/is-california-on-its-way-to-going-for-adequacy/. 62 Hierzu weiterführend Determann, ZD 2021, 69, 69 ff.; Lejeune, PinG 2021, 25, 25 ff.

43

Legal Tech – Anwalt 2025 Workshop im Rahmen der DGRI-Jahrestagung vom 7. bis 9.11.2019 in Berlin Philipp Etzkorn/Sven Vetter* I. Vortrag Zoë Andreae II. Vortrag Julia Mergenthaler

2 8

III. Vortrag Dr. Christina-Maria Leeb

19

IV. Abschlussdiskussion

26

Der Workshop „Legal Tech – Anwalt 2025“ war Teil des Programms der 1 DGRI-Jahrestagung 2019 zum Themenkomplex „Daten – Freiheit – Sicherheit“. Als interdisziplinäres Forum konzipiert, bot das Panel die Möglichkeit, neue Impulse in die rechtspolitische Diskussion um die Digitalisierung von Rechtsdienstleistungen einzubringen. Auf dem Podium saßen mit Zoë Andreae (Hamburg) und Dr. Christina-Maria Leeb (München) zwei der 26 „Women of Legal Tech 2018“.1 Julia Mergenthaler (Berlin) und Moderator Prof. Dr. Peter Bräutigam (München) vervollständigten die fachkundige Runde, die eine fundierte rechtswissenschaftliche Analyse, verknüpft mit praktischer Expertise, erwarten ließ. I. Vortrag Zoë Andreae Den ersten von insgesamt drei Impulsvorträgen lieferte Zoë Andreae, 2 Geschäftsführerin der Lecare GmbH. Bereits in den 1980er-Jahren hat die Lecare GmbH ihre erste Kanzleisoftware für Windows entwickelt, sodass das Unternehmen – im weitesten Sinne – bereits seit etwa 30 Jahren im Legal-Tech-Bereich tätig ist. Seit dem Verkauf dieses Produktes liegt der Fokus auf Software für Rechtsabteilungen. In ihren Vortrag leitete Andreae ein, indem sie das ihrer Meinung nach 3 beliebteste „Legal Tech Tool“ benannte: die Microsoft Office Suite, ins*

1

Philipp Etzkorn (Universität Hamburg) und Sven Vetter (Humboldt-Universität zu Berlin) möchten an dieser Stelle der DGRI für das Stipendium, das ihnen die Teilnahme an der Tagung ermöglichte, ihren herzlichen Dank aussprechen. Die Auszeichnung wurde von Hogan Lovells, BRYTER und dem Legal Tech Blog verliehen. Siehe den LTO-Bericht v. 14.9.2018, abrufbar unter www.lto. de/recht/zukunft-digitales/l/woman-of-legal-tech-liste-auszeichnung-hoganlovells-bryter-legal-tech-blog (zuletzt aufgerufen am 18.5.2021).

45

Philipp Etzkorn/Sven Vetter

besondere Microsoft Word sowie Microsoft Outlook. Damit allein sei jedoch noch kein digitalisiertes Büro zu erreichen. Diese Feststellung nahm die Referentin zum Anlass, etablierte Anbieter am Markt aufzuzeigen (unter anderen RA-Micro, STP, ReNoStar oder eben Lecare), die zu einer weiterführenden Digitalisierung beitrügen. Zudem seien in den letzten Jahren diverse Start-ups gegründet worden, deren langfristiger Erfolg sich aktuell noch nicht absehen ließe. 4 Sodann erfolgte, basierend auf dem Rechtsabteilungs-Report 2017/18 des Bundesverbands der Unternehmensjuristen e.V. (BUJ), eine Unterteilung des Begriffs „Legal Tech“ in die folgenden acht Kategorien: (1) Elektronische Aktenführung, Matter & Workflow Management; (2) Vertragsmanagement; (3) Dokumentenmanagement; (4) IT-Governance, Datenschutz, Risk & Compliance; (5) Legal Spend Management & eBilling; (6) Legal Document Automation & Extraction; (7) Kommunikation & Collaboration Tools; sowie (8) Juristische Verlagsinhalte und Datenbanken. Zusätzlich sei eine Differenzierung danach möglich, ob es sich um eine Plattform, wie etwa Geblitzt.de, Flightright oder juristische Datenbanken, oder um Hightech-Lösungen, beispielsweise unter Einsatz von Systemen künstlicher Intelligenz oder einer Blockchain, handele. 5 Darauf aufbauend legte Andreae ausführlich eine eigene Aufschlüsselung des Begriffs „Legal Tech“ dar. Unter „Enterprise Legal Management“, der ersten von insgesamt neun Überschriften, präsentierte sie zunächst Lösungen zur Dokumentenverwaltung. Sodann wurde die Kategorie „Contracting“ beleuchtet, unter die vertrags- und klauselspezifische Funktionen gefasst wurden. Zum einen unterfielen diesem Bereich also die Erstellung und Verhandlung sowie die Prüfung und Analyse von Verträgen und sogenannten Smart Contracts. Zum anderen wurde die Vertragsverwaltung, bestehend insbesondere aus Fristenmanagement und Kündigungen, in diese Kategorie gefasst. Den Oberbegriff „Legal Operations Mangement“ umschrieb Andreae bildlich mit dem Einzug der Betriebswirtschaftslehre in die Rechtswissenschaft. Unter diesen fielen beispielsweise Softwarelösungen zum Projekt-, Dienstleisterkostenoder Wissensmanagement. Die vierte, etwas speziellere Kategorie stellte „Online Dispute Resolution“ dar, wofür beispielhaft die Software Modria genannt wurde. Lösungen, die dieser Kategorie unterfielen, dienten der Beilegung kleinerer Konflikte oder der Durchführung von Verhandlungen. „Analytics & Automation“ lautete ein weiterer Themenbereich, bei dem es insbesondere um Prozessvorhersage und Datenanalyse gehe. Darüber hinaus wurde die Kategorie „Legal Online Services“ vorgestellt. Dieser unterfielen beispielsweise Plattformen für ähnlich gelagerte Fälle, wofür Flightright ein bekannter Repräsentant sei. Auch Plattformen,

46

Legal Tech – Anwalt 2025

die (Vertrags-)Muster zum Download anbieten, wurden darunter gefasst. Zunehmend kämen auch Plattformen auf, die Anwälte mit Endkunden, Unternehmen oder Kanzleien für einen bestimmten Auftrag zusammenbrächten. Diesen Zweig bezeichnete Andreae als „Legal Marketplaces“. Weiterhin seien unter dem Begriff „Enterprise Integration“ sämtliche allgemeinen Verwaltungstools zu fassen, wie etwa E-Mail-Signaturen, Textverwaltungs- und Textverarbeitungsprogramme. In die neunte und letzte Kategorie „Miscellaneous“ fielen sämtliche Legal-Tech-Ansätze, die der Vereinfachung notarieller oder verwaltungsrechtlicher Aufgaben dienten. Zudem seien auch „Legal Education“ und „Legal Design“ dieser Auffangkategorie zuzuordnen. Sodann ging Andreae auf die hauseigene Software der Lecare GmbH ein 6 und erläuterte beispielhaft die Funktionen einer Verwaltungssoftware. Zentrales Element sei ein Basismodul („elektronische Akte“), welches man um Spezialmodule – etwa zum Fristen-, Forderungs- oder Markenmanagement – erweitern könne. Dazu stünden Tools, beispielsweise eine OCR-Suchfunktion oder zur Steuerung der Zugriffsverteilung, zur Verfügung. Herausgegriffen wurde auch der „Klauselmanager“, der die Verwendung einer Klausel aufzeichne. Dadurch sei einfach und übersichtlich einzusehen, wann eine Klausel von wem zuletzt verwendet worden sei, wer also bei Rückfragen kontaktiert werden könne und welchem Rechtsstand die Formulierung entspreche. Der Vortrag lieferte den gewünschten Impuls für die anschließende 7 erste Diskussion. Zunächst meldete sich Prof. Dr. Dr. Walter Blocher (Universität Kassel) zu Wort und stellte die provokante Frage, ob „Legal Tech“ nicht vielmehr nur „angewandte Rechtsinformatik“ sei und damit nicht wirklich eine neue Entwicklung, sondern ein bekanntes Phänomen unter neuer Bezeichnung. Andreae antwortete, dass es keine allgemeingültige Definition gebe und der Begriff nach ihrem Verständnis generell die Anwendung von Informationstechnologie in der Rechtspraxis erfasse. Differenzierungen nach dem Einsatzzweck oder der zugrunde liegenden Technologie seien erst im Anschluss zu treffen. Daran anknüpfend stellte Leeb die im Rahmen ihrer Dissertation entwickelte Begriffsbestimmung vor. Danach sei nur von „Legal Tech“ zu sprechen, wenn erstens das Produkt die anwaltliche Arbeit betreffe und nicht etwa die der Verwaltung oder der Gerichte; zweitens müsse das Produkt immer auch eine Technologieschwelle überschreiten und dürfe nicht eine altbekannte Anwendung darstellen. Felix R. Walter, wissenschaftlicher Mitarbeiter und Doktorand an der Humboldt-Universität zu Berlin sowie ehemaliger Justiziar beim Bundesverband Deutsche Startups e.V., merkte an, dass die Bezeichnung „angewandte Rechtsinformatik“ im Grunde

47

Philipp Etzkorn/Sven Vetter

vollkommen zutreffend und die Begrifflichkeit „Legal Tech“ aufgrund ihrer Offenheit für wissenschaftliche Zwecke mit Vorsicht zu genießen sei. Zumeist werde der Begriff zu Marketingzwecken verwendet. II. Vortrag Julia Mergenthaler 8 Im zweiten Impulsvortrag gewährte Julia Mergenthaler, Legal Tech Coordinator bei CMS Hasche Sigle Partnerschaft von Rechtsanwälten und Steuerberatern mbB (CMS Deutschland), einen praktischen Einblick in den modernen Arbeitsalltag einer internationalen Kanzlei. CMS Deutschland habe ein wachsendes, bereits aus über zehn Personen bestehendes Team für die Konzeption und Entwicklung von Legal Tech Services aufgestellt. Zusätzlich gebe es ein Team von mehreren Anwältinnen und Anwälten im Bereich Knowledge Management, die unter anderem die zentrale Mustersammlung der Kanzlei verwalteten. Die Tools seien sowohl für den internen als auch teilweise für den externen Einsatz gedacht. 9 Mergenthaler zeigte zunächst eine Übersicht der bei CMS Deutschland eingesetzten Software. Dabei bestärkte sie insofern die These von Andreae, Microsoft Word sei bis heute das beliebteste „Legal Tech Tool“, als dass viele Tools direkt in Microsoft Word integriert und somit einfach nutzbar seien. Als Beispiele für bei CMS eingesetzte Softwarelösungen wurden eine mit künstlicher Intelligenz ausgestattete Document Review Software (KIRA) und ein Tool zur Vertragsautomatisierung (HotDocs) genannt. 10 Bei KIRA werde eine Software durch das Markieren einer bestimmten Klausel in diversen Verträgen dahingehend trainiert, diese Klausel zu erkennen. In der Folge sei es möglich, die Klausel in unbekannten Verträgen markieren zu lassen und so beispielsweise Auswertungen darüber zu erstellen, in wie vielen Verträgen eines Datensatzes und an welcher Stelle jeweils die entsprechende Klausel verwendet werde. 11 Mit HotDocs könnten durch das Ausfüllen eines Interviewbogens neue Verträge aus bestehenden Musterklauseln und -verträgen generiert werden. Der Nutzer würde durch ein Formular mit relevanten Fragen geleitet, etwa nach den Namen der Parteien und inhaltlichen Gestaltungsvarianten. Am Ende werde aus den gegebenen Antworten unter Rückgriff auf die Musterdatenbank ein Entwurf ausgegeben. Der große Vorteil dieser Methode gegenüber dem „herkömmlichen Weg“, einen vormals genutzten Vertrag umzuschreiben, liege darin, dass zeitaufwendige Arbeit wie das Anpassen der Geschlechter oder des Numerus entfielen. Durch

48

Legal Tech – Anwalt 2025

die fortlaufende Aktualisierung der Musterdatenbank werde zudem sichergestellt, dass der generierte Entwurf stets auf einem aktuellen Muster basiere. Außerdem komme bei CMS ein „Klauseltool“, ein von der Kanzlei selbst 12 entwickeltes Word-Add-In, zum Einsatz. Damit sei es möglich, eine in einer Datenbank gespeicherte Klausel direkt in ein Word-Dokument einzufügen. Dies spare die Zeit, die ansonsten für die Suche eines Musters in vormals verwendeten Verträgen aufgewendet werden müsste. Zudem sei es für jeden Nutzer möglich, eine persönliche Datenbank mit Klauseln anzulegen und zu verwalten. Zur Erleichterung der Zusammenarbeit mit den Mandanten verwende 13 CMS Deutschland außerdem eine Plattform namens HighQ. Hierüber ließen sich Aufgaben, Kalender oder Dokumente teilen. Auch für die interne, standortübergreifende Kommunikation erleichtere HighQ die Zusammenarbeit. Ein Tool, das explizit für Mandanten entwickelt worden sei, trage die 14 Bezeichnung CMS FPE. Es handele sich dabei um eine Software, die dem jeweiligen Mandanten dabei helfe, eine Risikoanalyse für den Fremdpersonaleinsatz vorzunehmen. Dafür werde der Mandant durch einen Fragenkatalog mit Multiple-Choice-Antworten geleitet. Die ausgewählten Antworten würden dann automatisiert ausgewertet und das Ergebnis angezeigt. Abschließend ging Mergenthaler noch allgemein auf die „Produktram- 15 pe“ ein, erläuterte also den Weg von der ersten Idee bis zum fertigen Produkt. Sobald eine Idee im Raum stünde, werde diese gemeinsam mit dem jeweiligen Geschäftsbereich eruiert und bei Bedarf an einem Prototyp gearbeitet. Dieser diene dann als Entscheidungshilfe, ob das konkrete Projekt weiterverfolgt und voll funktionsfähig entwickelt werden solle. Nach diesem praxisorientierten Vortrag über konkrete Einsatzmöglich- 16 keiten richtete die erste Frage den Fokus auf die mögliche Rendite durch den Einsatz entsprechender „Legal Tech Tools“. Prof. Dr. Marc Strittmatter (HTWG Konstanz) wollte wissen, ob es Berechnungen gebe, ab wann sich solche Modelle für Kanzleien unter Berücksichtigung des Personalaufwands, der Entwicklungskosten und gegebenenfalls auch des Einflusses auf das Image der Kanzlei wirtschaftlich lohnten. Mergenthaler antwortete, dass ihr dazu aktuell keine konkreten Zahlen vorlägen, dass CMS Deutschland damit aber jedenfalls dem Ruf der Kunden nach dem Einsatz zeitgemäßer Technologien nachkommen könne. Bezugnehmend auf die Frage Strittmatters nannte Marvin Fechner, Legal Engineer der Kanzlei FPS in Frankfurt am Main, das Beispiel digitaler Diktate. 49

Philipp Etzkorn/Sven Vetter

Durch die Nutzung von Software, wie beispielweise Dragon, ließe sich die Transkription durch die Assistenz einsparen und damit bis zu einem Drittel von deren Arbeitszeit. Gleichwohl handele es sich bei Software für digitale Diktate gerade nicht um „Legal Tech“, sondern um Bürotechnik, sodass dies nur allgemein als Beispiel für Effizienzsteigerungen durch Digitalisierung im Bereich der Rechtspraxis gelten könne. Daran anknüpfend erläuterte Fechner – bezugnehmend auf die erste Diskussion – sein Verständnis des Begriffs „Legal Tech“. Maßgeblich sei, ob mit der jeweiligen Technologie eine Prozessoptimierung einherginge. Genau darin liege auch bisher das Problem für kleinere und mittelständische Kanzleien. Die Entwicklung etwaiger Tools sei sehr zeit-, personal- und kostenaufwendig, ein Business Case noch nicht konkret darstellbar. 17 Insbesondere auf die Ausführungen zur Produktentwicklung Bezug nehmend richtete Moderator Bräutigam die Nachfrage an Mergenthaler, wie viele Vorschläge das Legal-Tech-Team erreichten und wer diese umsetze. Mergenthaler antwortete, dass es in der Regel deutlich mehr Vorschläge gebe, als tatsächlich umgesetzt werden könnten, weshalb durch Teamleiter in den Bereichen Legal Tech und Produktentwicklung eine Priorisierung erfolgen müsse. Das Team bestünde zu großen Teilen aus Juristinnen und Juristen mit Programmiererfahrung, sodass einfachere Prototypen meist schnell und unkompliziert entwickelt werden könnten. 18 Abschließend stellte Fechner noch die Frage, warum CMS Deutschland die eigenen Produkte nicht über eine Gesellschaft an andere Kanzleien lizenziere. Darauf antwortete Mergenthaler, dass eine Lizenzierung an andere Kanzleien bisher kein Thema für CMS sei. III. Vortrag Dr. Christina-Maria Leeb 19 Eine instruktive Einführung in den Themenkomplex „Legal Tech und anwaltliches Berufsrecht“ präsentierte Dr. Christina-Maria Leeb im folgenden dritten Teil des Workshops. Die Referentin hat mit ihrer im September 2019 erschienenen Dissertation „Digitalisierung, Legal Technology und Innovation – Der maßgebliche Rechtsrahmen für und die Anforderungen an den Rechtsanwalt in der Informationstechnologiegesellschaft“ bereits eine umfassende Monografie zu den innovativen Veränderungen in der Rechtsdienstleistungsbranche vorgelegt.2 Aktuell ist sie einerseits als wissenschaftliche Mitarbeiterin in der Praxisgruppe IT, 2

50

Leeb, Digitalisierung, Legal Technology und Innovation, erschienen bei Duncker & Humblot, Berlin 2019.

Legal Tech – Anwalt 2025

IP und Medienrecht der HEUSSEN Rechtsanwaltsgesellschaft tätig, andererseits unterstützt sie dort als Analyst Digital Business Development das Team Digitalisierung & Legal Tech. Zum Einstieg zeichnete Leeb den pointierten Gegensatz zwischen einem 20 digital-futuristischen „Robo Lawyer“ und dem „klassischen Rechtsanwalt“, der „die Zwänge des Berufsrechts“ bildhaft als Fußfessel zu tragen habe. Dieses Bild sollte im Folgenden anhand aktueller Reformdiskussionen zum anwaltlichen Berufsrecht konkretisiert und hinterfragt werden. Dazu gliederte die Referentin ihren Impulsvortrag in drei Abschnitte: Den Gegenstand des ersten Teils bildete das Gesellschaftsrecht, gefolgt vom Vergütungsrecht im zweiten Kapitel und einer Auswahl weiterer berufsrechtlicher Themen zum Abschluss der Präsentation. Wettbewerbsrechtliche Aspekte wurden dabei ebenso bewusst ausgeklammert, wie die Zulässigkeit des Geschäftsmodells nicht-anwaltlicher Legal-Tech-Dienstleister, etwa auf Basis der Inkassoerlaubnis. Einen zentralen Aspekt aktueller Reformdiskussionen im anwaltlichen 21 Gesellschaftsrecht bilden die Regelungen zur interprofessionellen Berufsausübung. Ausgehend von der Entscheidung des Bundesverfassungsgerichts aus dem Jahr 2016, in der das Gericht das Verbot einer Partnerschaftsgesellschaft von Rechtsanwälten mit Ärzten und Apothekern für verfassungswidrig erklärte,3 besprach Leeb mehrere aktuelle Reformvorschläge. Dabei ging sie auch auf das im August 2019 veröffentlichte BMJV-Eckpunktepapier zur „Neuregelung des Berufsrechts der anwaltlichen Berufsausübungsgesellschaften“ ein, das eine weitgehende Öffnung der sozietätsfähigen Berufe vorsehe und daher von der Bundesrechtsanwaltskammer abgelehnt worden sei. Ausgehend von dem anschließend präsentierten Meinungsbild nach dem Soldan Berufsrechtsbarometer 20174 resümierte Leeb, dass nur ein sehr geringer Teil der Anwaltschaft die Liberalisierung des Berufsrechts bis hin zu einer „gemeinsamen Berufsausübung uneingeschränkt mit Angehörigen beliebiger Berufe“ befürworte, wohingegen überwiegend eine „kleine Lösung“ (gemeinsame Berufsausübung nur mit Notaren, Steuerberatern, Wirtschaftsprüfern, Ärzten und Apothekern) bevorzugt werde. Tendenziell zeigten sich jüngere Berufsträgerinnen und Berufsträger eher reformbereit. Die gesellschaftsrechtliche Analyse wurde durch einige Anmerkungen 22 zum Fremdkapital- und Fremdbesitzverbot nach § 59e Bundesrechtsanwaltsordnung (BRAO) vervollständigt. Hier würden sich insbesondere bei der Zulassung von Fremdkapital nur zu einem bestimmten Zweck, 3 4

BVerfG, Beschl. v. 12.1.2016 – 1 BvL 6/13, NJW 2016, 700. Siehe dazu Kilian, NJW 2018, 1656.

51

Philipp Etzkorn/Sven Vetter

etwa nur für Legal-Tech-Investitionen, verfassungsrechtliche Probleme ergeben. Das ebenso grundsätzlich denkbare Verbot eines sogenannten Exits verstärke die Schwierigkeit, Kapitalgeber für Legal-Tech-Investitionen zu finden. Der Deutsche Anwaltverein (DAV) und die Bundesrechtsanwaltskammer (BRAK) stünden auch in diesem Bereich Liberalisierungsvorschlägen ablehnend gegenüber und begründeten dies mit der Wahrung anwaltlicher Unabhängigkeit. 23 Im Bereich des Vergütungsrechts widmete sich Leeb zunächst den Regelungen zu anwaltlichen Erfolgshonoraren in § 49b Abs. 2 BRAO und § 4a Rechtsanwaltsvergütungsgesetz (RVG). Problematisch sei diesbezüglich vor allem, dass Legal-Tech-Geschäftsmodelle häufig Elemente einer Prozessfinanzierung enthielten. Während in einem Gesetzentwurf der FDP-Fraktion „zur Modernisierung des Rechtsdienstleistungsrechts“ eine vollständige Aufhebung des Erfolgshonorarverbots vorgeschlagen werde,5 sehe ein vermittelnder Ansatz die teilweise Öffnung für den niedrigschwelligen und verbraucherrelevanten Bereich vor. Die Schwelle für das Verbot eines Erfolgshonorars könnte danach beispielsweise erst bei einem Streitwert von über 2.000 Euro gesetzt werden. In direktem Zusammenhang mit dieser Diskussion stehe das Provisionsverbot nach § 49b Abs. 3 BRAO, das nach weiter Auslegung jede Form der Belohnung umfasse. Ratio legis sei die Vermeidung eines „Wettbewerbs um den Ankauf von Mandanten“ sowie die Verhinderung eines „warenähnlichen“ Kaufs und Verkaufs. Rechtsanwalt Markus Hartung, Vorsitzender des Berufsrechtsausschuss des DAV, bezeichnete das Verbot anwaltlicher Erfolgshonorare sowie das Provisionsverbot in Reaktion auf den Gesetzentwurf der FDP-Fraktion gar als „tragende Wände der anwaltlichen Verteidigungsanlagen gegen die kommerzialisierte Welt“.6 Das Zitat verdeutlicht die Vehemenz der Debatte. Es verwunderte danach auch nicht, dass sich nach dem Soldan Berufsrechtsbarometer 2017 insgesamt 74 Prozent der 2.318 befragten Rechtsanwältinnen und Rechtsanwälte für eine Beibehaltung des Provisionsverbots aussprachen.7 24 Im dritten Teil ihres Vortrags präsentierte Leeb eine Auswahl weiterer Themen des anwaltlichen Berufsrechts. Hierbei ging sie zunächst auf die Kanzleipflicht nach § 27 Abs. 1 BRAO und § 5 Berufsordnung für Rechtsanwälte (BORA) ein. Der Bundesgerichtshof habe die Vorgaben bereits im Jahr 1993 dahingehend konkretisiert, dass eine persönliche Verfügbarkeit 5 6

7

52

Gesetzentwurf v. 18.4.2019, BT-Drs. 19/9527. LR 2019, 106, 109 f., abrufbar unter www.legal-revolution.com/de/the-legal-revolutionary/wirtschaft-und-management/legal-tech-ein-ordnungsruf (zuletzt aufgerufen am 18.5.2021). Siehe Kilian, NJW 2018, 1656, 1660.

Legal Tech – Anwalt 2025

für das rechtssuchende Publikum in den Praxisräumen zu angemessenen Zeiten gewährleistet sein müsse.8 Bei einer „reinen Online-Kanzlei“ sei dies zumindest fraglich. Nach Ansicht von Leeb ist die Zulässigkeit jedoch bei einer regelmäßigen Erreichbarkeit über selbst gewählte Kommunikationsmedien und Bestehen einer ladungsfähigen Anschrift schon de lege lata zu bejahen. Häufig diskutiert würden darüber hinaus die Regelungen zur Ver- 25 schwiegenheit beziehungsweise zum Datenschutz in der Anwalt-Mandanten-Kommunikation. Exemplarisch stellte die Referentin die zum 1.1.2020 in Kraft getretene Neuregelung in § 2 BORA vor, wonach die Nutzung eines elektronischen oder sonstigen Kommunikationsweges, der mit Risiken für die Vertraulichkeit dieser Kommunikation verbunden sei, jedenfalls dann erlaubt sei, wenn der Mandant ihr zustimme. Von einer solchen Zustimmung ist zukünftig nach § 2 Abs. 2 Satz 5 BORA n. F. auszugehen, sofern der Mandant diesen Kommunikationsweg vorschlägt oder beginnt und ihn, nachdem der Rechtsanwalt zumindest pauschal und ohne technische Details auf die Risiken hingewiesen hat, fortsetzt. Leeb bezweifelte, dass damit das bestehende Problem der Anwalt-Mandanten-Kommunikation per nicht Ende-zu-Ende verschlüsselten E-Mails gelöst sei. Ein ähnliches „Dauerthema“ in der anwaltlichen Berufspraxis sei die Nutzung von Messenger-Diensten wie insbesondere WhatsApp. Diese Art der Kommunikation werde mit Blick auf § 203 Abs. 1 Nr. 3 Strafgesetzbuch (StGB) und § 43e Abs. 4 BRAO mitunter als problematisch angesehen, da der Datenupload auf in den USA betriebene Server erfolge. Zum Abschluss thematisierte Leeb die allgemeine anwaltliche Fortbildungspflicht nach § 43a Abs. 6 BRAO. Im Kern ging es hierbei um die Frage, inwieweit die Fortbildungspflicht auch die Schaffung eines grundlegenden technischen Verständnisses innerhalb der gesamten Anwaltschaft umfasst beziehungsweise umfassen sollte. IV. Abschlussdiskussion In der Abschlussdiskussion herrschte weitgehende Einigkeit hinsicht- 26 lich der Einschätzung, dass die Entwicklung digitalisierter Rechtsdienstleistungen in der Praxis weiter voranschreiten werde. Einer diese Entwicklung begünstigenden Liberalisierung des anwaltlichen Berufsrechts stünde jedoch weiterhin ein großer Teil der Anwaltschaft ablehnend gegenüber. Moderator Bräutigam sah hier das Bundesverfassungsgericht als möglichen Treiber der Diskussion. Hierfür müsse allerdings erst ein

8

BGH, Beschl. v. 13.9.1993 – AnwZ (B) 33/93.

53

Philipp Etzkorn/Sven Vetter

Fall zur Entscheidung vorliegen, der dem Gericht die Gelegenheit gebe, zu liberalisieren und weitere Technikentwicklung zu ermöglichen. Zu beachten sei in der Diskussion außerdem, dass Anwältinnen und Anwälte keine Gewerbesteuer zahlten. Sollte die anwaltliche Dienstleistung in einer gewerblichen Dienstleistung aufgehen, müsste dieser Übergang auch steuerrechtlich berücksichtigt werden. Generell werde die Anwaltschaft wohl „in der alten Welt verhaften, solange die alte Welt funktionier[e]“. 27 Felix R. Walter berichtete von seinen praktischen Erfahrungen als Justiziar beim Bundesverband Deutsche Start-ups e.V. und stellte die übergreifende, gesellschaftspolitische Frage nach der Schutzwürdigkeit des „alten Systems“. Er diagnostizierte ein Begründungsdefizit und lud das Publikum dazu ein, konkret darüber nachzudenken, wie „Rechtsdienstleistungen im 21. Jahrhundert“ aussehen sollten, um daraus zu schlussfolgern, welche bisherigen regulatorischen Vorgaben erhaltenswert seien und welche reformiert werden sollten. 28 Hieran anknüpfend betonte Referentin Leeb die Chancen für Verbesserungen beim Verbraucherschutz als Argument für eine Liberalisierung des Berufsrechts. Walter Blocher griff die Formulierung „access to justice“ auf und stellte als Anforderung, dass jedenfalls der Zugang zur Konfliktlösung allgemein gewährleistet sein müsse. Dabei stelle sich durchaus die Frage, in welchen Fällen umfassend ausgebildete Rechtsanwältinnen und Rechtsanwälte verzichtbar seien. Der Regulierungsbedarf steige insgesamt umso mehr, je eher wichtige Rechte oder Rechtsgüter betroffen sein könnten, exemplarisch bei potenziell existenzbedrohenden Gesundheitsfragen. Letztlich gehe es um das Vertrauen in Menschen und damit in der juristischen Übersetzung um Haftungsfragen. Angesichts der vielen offenen Fragen rund um den Gesamtkomplex „Legal Tech“ schloss Bräutigam den Workshop mit einem bekannten Zitat von Winston Churchill: „Now this is not the end. It is not even the beginning of the end. But it is, perhaps, the end of the beginning.“

54

Lizenzverträge und Immaterialgüterrechte in Schiedsgerichtsverfahren Vortrag vor dem Schlichtungsausschuss der DGRI, Berlin, 7.11.2019 Michael Lehmann* I. Der Lizenzvertrag

1

II. Der internationale Lizenzvertrag

5

III. Gerichtsstands-, Rechtswahlund Schiedsgerichtsklauseln

6

IV. Immaterialgüterrechte und Schiedsgerichtsverfahren 18 1. Patentrecht 20 2. Markenrecht und Geschäftliche Bezeichnungen 25 3. Urheberrecht 28 V. Zusammenfassung

31

Literatur: Baumbach/Lauterbach/Hartmann/Anders/Gehle, Zivilprozessordnung, 78. Aufl. 2020; Beier/Götting/Lehmann/Moufang, (Hrsg.), Urhebervertragsrecht, 1995; Bettinger, ICANN’s Uniform Domain Name Dispute Resolution Policy, CR 2000, 234; Borges/Meents (Hrsg.), Cloud Computing, 2016; Braegelmann/Kaulartz, (Hrsg.) Rechtshandbuch Smart Contracts, 2019; Dreier/ Schulze, UrhG, Kommentar, 6. Aufl. 2018; Fikentscher/Heinemann, Schuldrecht, 11. Aufl. 2017; Frost, Schiedsgerichtsbarkeit im Bereich des geistigen Eigentums nach deutschem und US-amerikanischen Schiedsrecht, 2001; Hasselblatt (Hrsg.), Münchner Anwaltshandbuch, Gewerblicher Rechtsschutz, 4. Aufl. 2012; Hilty, Lizenzvertragsrecht, 2001; Kenji, EU-Einheitspatent und Schiedsverfahren, Zugleich ein Beitrag zur objektiven Schiedsfähigkeit der Patentnichtigkeitsklage, 2018; Lehmann/Meents, (Hrsg.), Handbuch des Fachanwalts Informationstechnologierecht, 2. Aufl. 2011; Nedden/Herzberg, ICC-SchO, DIS-SchO, Kommentar, 2014; Pagenberg/Beier, Lizenzverträge, License Agreements, 2008; Palandt, Bürgerliches Gesetzbuch, 80. Aufl. 2021; Schricker, Verlagsrecht, Kommentar, 3. Aufl. 2001; Schwab/Walter/Baumbach, Schiedsgerichtsbarkeit Kommentar, 7. Aufl. 2005; Zobel, Schiedsgerichtsbarkeit und Gemeinschaftsrecht, 2005; Zöller, ZPO, 33. Aufl. 2020.

*

Prof. Michael Lehmann, Universität und MPI München.

55

Michael Lehmann

I. Der Lizenzvertrag 1 Der Lizenzvertrag1 ist bis heute hinsichtlich seiner vertragsrechtlichen Qualifikation und Einordnung in unser System des Schuldrechts umstritten geblieben2. Im Urheberrecht spricht man von „Übertragung oder Einräumung von Nutzungsrechten“, und es werden dabei translative von konstitutiven Lizenzen unterschieden. In § 32a Abs. 2 UrhG findet sich nunmehr auch der Hinweis auf eine „Lizenzkette“3. 2 Das Patentgesetz verwendet in § 24 Abs. 1 PatG den Begriff der „Zwangslizenz“. Im Markengesetz von 1994 wird in § 30 MG in ausschließliche und nicht ausschließliche (einfache) Lizenzen unterschieden. Kompliziert wird das Verständnis hinsichtlich der Reichweite einer dinglichen Wirkung von Lizenzen und umstritten ist dabei der Effekt des Sukzessionsschutzes (vgl. § 33 Abs. 1 Satz 2 UrhG), der dem zivilrechtlichen Prinzip des „Kauf bricht nicht Miete“ entspricht (vgl. dazu § 566 BGB). 3 Eine zivilrechtliche Einordnung und Qualifikation lässt sich am besten unter Hinweis auf die Vorschriften der Rechtspacht gem. § 581 BGB vornehmen, weil anders als im Mietrecht der Begriff des Gegenstandes neben Sachen auch Rechte betrifft und dieses Dauerschuldverhältnis auch das Recht zum „Genuss der Früchte“ beinhaltet4. 4 Nach immer noch herrschender Meinung wird daher mangels gesetzlicher Regelung bis heute der Lizenzvertrag als ein Vertragstypus eigener Art („sui generis“) aufgefasst, der die zeitbezogene Einräumung von Nutzungsrechten an einem Ausschließlichkeitsrecht (Urheberrecht oder Property Right) beinhaltet; der vertragsrechtlichen Ausgestaltung der konkreten Rechtsüberlassung muss daher oberste Priorität eingeräumt werden. In der ehemaligen DDR gab es ab 1976 in § 62 ZGB und im Gesetz über internationale Wirtschaftsverträge (GIW) gesetzliche Rechtsregeln über die „Vergabe wissenschaftlich-technischer Ergebnisse zur entgeltlichen Nutzung“.

1

2 3 4

56

Vgl. Pagenberg/Beier, Lizenzverträge, License Agreements; Hilty, Lizenzvertragsrecht; Straßer/Feyock in Hasselblatt (Hrsg.), Münchner Anwaltshandbuch, Gewerblicher Rechtsschutz, S. 2036 ff. Vgl. statt vieler Schricker, Verlagsrecht, Kommentar, S. 505 ff. Vgl. Schulze in Dreier/Schulze, UrhG, Kommentar, Vor 31 Rz. 27 und § 32a Rz. 50. Vgl. dazu Fikentscher/Heinemann, Schuldrecht; Weidenkaff in Palandt, Einf. v. § 433 Rz. 22, Einf. v. § 581 Rz. 7.

Lizenzverträge und Immaterialgüterrechte in Schiedsgerichtsverfahren

II. Der internationale Lizenzvertrag Die terminologischen (amerikanisch: licence, englisch: license) und in- 5 haltlichen Probleme werden bei grenzüberschreitenden Lizenzverträgen nicht weniger. Der Oracle v. UsedSoft GmbH-Fall5 zeigt, dass im internationalen Rechtsverkehr ein Lizenzvertrag ein so komplexes Rechtsgebilde sein kann, dass eine licence im Ergebnis als Kaufvertrag qualifiziert werden muss, weil Software unbefristet („permanently“) einem Nutzer überlassen wird und somit auch Erschöpfung („first sale doctrine“) eingreift, die einen genehmigungsfreien Weiterverkauf per se erlaubt6. Oracle konnte diese rechtliche Einordnung nur schwer nachvollziehen, weil nach US-Copyright sec. 109 und sec. 101 (definitions) Erschöpfung nur hinsichtlich von „copies“ als „material objects“ eintreten kann, sodass der erlaubte Download von Software als „Lieferung“ online eines urheberrechtlich geschützten Werkes nicht der Erschöpfung unterliegt; und dies gilt gerade nicht im Europäischen Urheber- und Vertragsrecht, auch wenn in der EU der Vertrieb gemäß der „conclusion of a user licence agreement“ und unter der Überschrift „license“ erfolgte. In der amerikanischen Literatur wurde dies positiv folgendermaßen kommentiert: „You can not hang a lable around the neck of an elephant, saying I am a tiger“. III. Gerichtsstands-, Rechtswahl- und Schiedsgerichtsklauseln In internationalen Lizenzverträgen finden sich regelmäßig Klauseln, die 6 den Gerichtsstand, das anzuwendende Sachrecht und eine Schiedsgerichtsvereinbarung betreffen können7. Gem. Art. 25 der EuGVVO 1215/2012 vom 12.12.2012 (Brüssel II) ist eine 7 Prorogationsvereinbarung unter Kaufleuten oder Unternehmen zulässig, denn nur der Letztverbraucher soll grundsätzlich geschützt werden, wenn durch eine Gerichtsstandsvereinbarung sein Heimatgerichtsort abgeändert werden soll. Derartige Klauseln müssen aber AGB-kontrollfest vereinbart werden, was allerdings auch durch elektronische Kommunikation, etwa E-Mails, erfolgen kann (vgl. Art. 25 Abs. 2 EuGVVO).

5 6 7

EuGH v. 3.7.2012 – C -128/11, GRUR-Int. 2012, 759; BGH v. 17.7.2013 – I ZR 129/08, GRUR 2014, 264 -UsedSoft II. Vgl. Einzelheiten bei Lehmann in Borges/Meents (Hrsg.), Cloud Computing, S. 462 ff. Vgl. ausführlich Lejeune in Lehmann/Meents (Hrsg.), Handbuch des Fachanwalts Informationstechnologierecht, S. 2914 ff.

57

Michael Lehmann

8 Diesbezüglich hat der EuGH für internationale Lizenzverträge in der Falco-Entscheidung8 festgelegt, dass es gem. Art. 7 Abs. 1b, zweiter Gedankenstrich EuGVVO bei Lizenzverträgen nicht um die Erbringung von Dienstleistungen geht, so dass ein spezieller Gerichtsstand nicht einschlägig ist. Durch einen Lizenzvertrag verpflichtet sich nämlich der Inhaber eines zur Nutzung überlassenen Rechts nur, der Nutzung dieses Rechts durch den Lizenznehmer nicht zu widersprechen; er erbringt durch diese Nutzungsüberlassung keine weitere Leistung, denn er obligiert sich nur, seinem Vertragspartner dieses Recht zur freien Nutzung zu überlassen. Somit können Gerichtsstandsvereinbarungen unter Unternehmen regelmäßig frei getroffen werden. 9 Dies gilt nicht für Klagen, welche die Eintragung und Gültigkeit von Immaterialgüterrechten betreffen, weil hier Art. 22 Nr. 4 EuGVVO bestimmt, dass die Gerichte des Mitgliedstaates ausschließlich zuständig sind, in dessen Hoheitsgebiet die Hinterlegung oder Registrierung beantragt oder vorgenommen worden ist; dies kann nicht abbedungen werden. 10 Gem. Art. 3 der VO 593/2008 vom 17.6.2008 (Rom I) können in der EU entsprechend dem Grundsatz der freien Rechtswahl Vereinbarungen über das anzuwendende Recht in Lizenzverträgen getroffen werden. Auch § 1051 Abs. 1 ZPO bestätigt diesen Grundsatz der freien Rechtswahl9. 11 Für Immaterialgüterrechte und deren Durchsetzung („enforcement“) in der EU bestimmt allerdings Art. 8 Abs. 1 der VO 864/2007 vom 11.7.2007 (Rom II) für die Verletzungssanktionen gemäß gesetzlicher Ansprüche, dass das Recht des Staates anzuwenden ist, für den dieser Schutz beansprucht wird; es gilt das Schutzlandprinzip („lex loci protectionis“). Handelt es sich um gemeinschaftsweite, einheitliche Rechte, z. B. eine europäische Marke oder Geschmacksmuster (Alicante), ist gem. Art. 8 Abs. 2 Rom II-VO das einschlägige Recht der Gemeinschaft anzuwenden und ergänzend dazu das Recht des Staates, in dem die Verletzung begangen worden ist oder ihren Schwerpunkt hat; soweit Art. 8 Abs. 2 Rom IIVO reicht, ist gem. Art. 8 Abs. 3 Rom II-VO eine freie Rechtswahl gem. Art. 14 Rom II-VO ausgeschlossen. 12 Der EuGH hat in der GPL-Nintendo-Entscheidung vom 27.9.201710 Art. 8 Abs. 2 der Rom II-VO dergestalt ausgelegt, dass in Fällen, in

8 EuGH v. 23.4.2009 – C 533/07, GRUR Int. 2009, 847, damals noch zu Brüssel I. 9 Einzelheiten vgl. bei Lehmann in Borges/Meents (Hrsg.), Cloud Computing S. 452 ff. 10 EuGH v. 27.9.2017 – C - 24/16, C - 25/16, GRUR 2017, 1120.

58

Lizenzverträge und Immaterialgüterrechte in Schiedsgerichtsverfahren

denen demselben Beklagten in verschiedenen Mitgliedsstaaten begangene Verletzungshandlungen vorgeworfen werden, bei der Ermittlung des schadensbegründenden Ereignisses auf eine Gesamtwürdigung dieses Verhaltens abzustellen ist, um den Ort zu bestimmen, an dem die ursprüngliche Verletzungshandlung begangen worden ist oder droht. Importiert z. B. eine italienische GmbH in Neapel mehrere ein europäisches Geschmacksmuster verletzende Autofelgen und vertreibt diese von dort über das Internet in der EU, so ist hinsichtlich der Sanktionen ausschließlich italienisches Recht anzuwenden (vgl. so ein Rechtsstreit vor dem OLG Düsseldorf). Was die Verletzung eines Lizenzvertrages für Computerprogramme an- 13 geht, hat der EuGH in dem IP Development-Fall11 entschieden, dass die Enforcement-Richtlinie 2004/28/EG vom 29.4.2004 dahingehend auszulegen ist, dass unter dem Begriff „Verletzung von gewerblichen Schutzrechten“ auch ein Verstoß gegen Klauseln eines Lizenzvertrages – nämlich das Verbot, den Quellcode einer Software zu verändern – fällt, sodass diese Vertragsverletzung gemäß den Vorgaben der Enforcement-Richtlinie sanktioniert werden kann. Für Lizenzverträge ohne gültige Rechtswahlklausel, insbesondere wenn 14 sie mehrere EU-Staaten betreffen, wird regelmäßig das Recht des Geschäftssitzes des Lizenzgebers als anwendbar betrachtet, weil die vertragscharakteristische Leistung nicht in der Geldzahlung des Lizenznehmers, sondern in der Nutzungsrechtseinräumung des Lizenzgebers besteht12. Schiedsgerichtsklauseln in Lizenzverträgen können die Zuständigkeit 15 von staatlichen Gerichten ausschließen, wobei private Schiedsverfahren an eine nationale Rechtsordnung angebunden sein müssen und der Ort des Schiedsverfahrens regelmäßig das nationale Schiedsverfahrensrecht bestimmt („lex fori“). Dies setzt eine wirksame Schiedsvereinbarung gem. § 1031 ZPO voraus, die in einer selbstständigen Schiedsabrede oder einer Vertragsklausel (Schiedsklausel) festgelegt werden kann. Bekannt sind insoweit Musterschiedsklauseln der WIPO, des DIS, der ICC (Paris) und der UNCITRAL13. Voraussetzung ist dafür, dass der geltend gemachte Anspruch objektiv 16 schiedsfähig ist und somit zulässigerweise einer Schiedsvereinbarung 11 EuGH v. 18.12.2019 – C - 666/18, GRUR 2020, 186. 12 Vgl. LG Düsseldorf, GRUR Ausl. 1962, 257 – Tubenverschluss; Lehmann in Borges/Meents, Cloud Computing, S. 452. 13 Hinsichtlich der jeweiligen Schiedsgerichtsordnungen vgl. Nedden/Herzberg, ICC-SchO, DIS-SchO, Kommentar.

59

Michael Lehmann

zugänglich gemacht werden kann. Gem. § 1030 Abs. 1 ZPO sind alle vermögensrechtlichen Ansprüche objektiv schiedsfähig; darüber hinaus sind auch nichtvermögensrechtliche Ansprüche gem. § 1030 Abs. 1 Satz 2 ZPO schiedsfähig, insoweit die Parteien berechtigt sind, über den Gegenstand des Streites „einen Vergleich zu schließen“.14 17 Gem. § 1030 Abs. 3 ZPO bleiben gesetzliche Vorschriften unberührt, nach denen Streitigkeiten einem schiedsrichterlichen Verfahren nicht oder nur unter bestimmten Voraussetzungen unterworfen werden dürfen. Dieser Ausschluss kann insbesondere für gewerbliche Schutzrechte Bedeutung erlangen. IV. Immaterialgüterrechte und Schiedsgerichtsverfahren 18 Gem. § 1055 ZPO hat ein Schiedsspruch unter den Parteien die Wirkung eines rechtskräftigen gerichtlichen Urteils („inter partes“). Entscheidungen, die nur „erga omnes“ ergehen können, entziehen sich daher einer Schiedsfähigkeit. Dies gilt z. B. für Klagen auf eine Nichtigerklärung eines Patents oder einer Zwangslizenz sowie auf die Zurücknahme gem. § 81 PatG. Aber auch Ansprüche aus dem Kernbereich des Allgemeinen Persönlichkeitsrechts gem. §§ 823, 1004 BGB analog sind einem Vergleich i.S.d. § 1030 Abs. 1 Satz 2 ZPO nicht zugänglich, denn etwa ein Verzicht auf dieses absolute Recht wäre unwirksam. Davon zu differenzieren sind freilich Streitigkeiten aus einem Lizenzvertrag, der an ein Persönlichkeitsrecht anknüpfen kann; wenn es z. B. um die Vergütung im Rahmen eines Lizenzvertrages hinsichtlich des Bildes oder Namens einer werbewirksamen Persönlichkeit (Boris Becker-Tennisschläger) oder eines „Influencer im Internet“ geht. 19 Gleichwohl ist die Schiedsfähigkeit von Streitigkeiten im Zusammenhang mit Immaterialgüterrechten im Detail immer noch erheblich umstritten15.

14 Vgl. Schwab/Walter/Baumbach, Schiedsgerichtsbarkeit Kommentar, S. 28 ff.; Geimer in Zöller, ZPO, § 1030 Rz. 1 ff.; Baumbach/Lauterbach/Hartmann/ Anders/Gehle, Zivilprozessordnung, § 1030 Rz. 4 ff.). 15 Vgl. insbesondere Frost, Schiedsgerichtsbarkeit im Bereich des geistigen Eigentums nach deutschem und US-amerikanischen Schiedsrecht, 2001, S. 44 ff.; Zobel, Schiedsgerichtsbarkeit und Gemeinschaftsrecht, 2005, S. 20 ff.; Kenji, EU-Einheitspatent und Schiedsverfahren, Zugleich ein Beitrag zur objektiven Schiedsfähigkeit der Patentnichtigkeitsklage, 2018, S. 232 f.

60

Lizenzverträge und Immaterialgüterrechte in Schiedsgerichtsverfahren

1. Patentrecht Das deutsche Patentverfahrensrecht wird durch die Besonderheit der 20 Trennung von Nichtigkeitsverfahren vor den Bundespatentgerichten gem. §§ 65 ff. PatG und dem Verletzungsverfahren gekennzeichnet, das vor den ordentlichen Gerichten geführt wird (Bifurkation). Diese Zweispurigkeit soll eine besonders qualifizierte Rechtsprechung im Nichtigkeits- und Zwangslizenzverfahren garantieren, denn die Besetzung der Patentgerichte besteht gem. § 67 PatG aus einem rechtskundigen Mitglied und zwei bzw. drei technischen Mitgliedern, die ihre spezielle Sachkunde in das Verfahren einbringen sollen, ähnlich den Handelsrichtern in Handelssachen gem. §§ 95 ff. GVG. Die Entscheidungen der Patentgerichte über die Nichtigkeit ergehen 21 „erga omnes“, während ein Schiedsspruch oder Schiedsvergleich gem. § 1055 ZPO nur Wirkung „inter partes“ entfalten kann. Dieser Umstand wird häufig gegen die Schiedsfähigkeit von Patentstreitigkeiten, die gem. § 65 PatG in die Zuständigkeit des Patentamtes oder des Bundespatentgerichts fallen, ins Feld geführt. Frost16 widerlegt in ihrer Dissertation diese Argumentation ausführlich und überzeugend, denn auch das Bundespatentgericht selbst hat entschieden, dass es sich bei den Nichtigkeitsverfahren um ein „kontradiktorisches Verfahren der streitigen Gerichtsbarkeit vor einem besonderen Gericht der ordentlichen Gerichtsbarkeit handelt“, bei dem sich „gleichberechtigte Parteien des Privatrechts gegenüberstehen und das sich weitgehend nach den Regeln der ZPO richtet“17. Dies regelt § 99 PatG auch ausdrücklich. Allerdings kann es sich bei den Nichtigkeitsklagen auch um eine Popu- 22 larklage handeln, denn klagebefugt ist jedermann, ohne dass das Vorliegen eines besonderen persönlichen Interesses verlangt wird18. Derartige Nichtigkeitsverfahren entziehen sich somit grundsätzlich einer Schiedsfähigkeit. Demgegenüber wird man bei allen Patentlizenzvertragsstreitigkeiten 23 die ausschließliche Wirkung eines Schiedsurteils oder Schiedsvergleichs „inter partes“ anerkennen müssen, sodass vor allem insoweit die volle Schiedsfähigkeit zu bejahen ist (vgl. dazu auch § 143 Abs. 1 PatG). Zusammenfassend wird man in Patentstreitigkeiten daher gem. § 1030 24 Abs. 3 ZPO die Schiedsfähigkeit nur insoweit verneinen können, als die 16 Vgl. Frost, Schiedsgerichtsbarkeit im Bereich des geistigen Eigentums nach deutschem und US-amerikanischen Schiedsrecht, S. 64 ff. 17 Vgl. BPatG v. 29.2.1996 – 2 Ni 8/93, GRUR 1996, 404. 18 Vgl. BGH v. 26.6.1973 – X ZR23/71, GRUR 1974, 146 – Schraubennahtrohr.

61

Michael Lehmann

Bundespatentgerichte gem. §§ 65 ff., 81 PatG die ausschließliche Kompetenz der Entscheidungsfindung „erga omnes“ in Nichtigkeits- und Zwangslizenzverfahren haben19. Alle anderen Patentstreitigkeiten, insbesondere wenn sie aus Patentlizenzverträgen resultieren, sind schiedsfähig20. 2. Markenrecht und Geschäftliche Bezeichnungen 25 Streitigkeiten im Zusammenhang mit deutschen oder europäischen Marken sowie Gemeinschaftsmarken, insbesondere in Relation zu Markenlizenzverträgen i.S.d. § 30 MG, Art. 22 GMV, sind vollumfänglich schiedsfähig. Soweit die ordentlichen Gerichte für die Löschungsklagen gem. § 55 MG zuständig sind, liegt keine Zuweisung an ein Sondergericht i.S.d. § 1030 Abs. 3 ZPO vor. Aber auch die Löschungsgründe, die zu einer Löschung durch das Markenamt gem. §§ 53, 54 MG führen können, etwa wegen Verfalls aufgrund fünfjähriger Nichtbenutzung gem. § 49 MG, bedingen nicht einen Ausschluss der Schiedsgerichtsbarkeit. Das Markenrecht unterliegt nämlich noch mehr als das Patentrecht der Dispositionsbefugnis seines Rechtsinhabers, wie § 47 Abs. 3 MG – Nichtverlängerung aufgrund Nichtbezahlung der Gebühren – und § 48 MG – Verzicht auf Antrag des Inhabers – zeigen. Auch die vom Amt betriebenen Verfahren sind kontradiktorische Löschungsverfahren, mögen sie auch aus einem Popularklageverfahren gem. § 55 Abs. 2 MG herrühren. Alle absoluten und relativen Schutzhindernisse i.S.d. §§ 89, 37, 51 MG können genauso wie vom Markenamt und den ordentlichen Gerichten auch von einem Schiedsgericht überprüft werden, ohne dass es dazu besonderer technischer Fachkenntnisse bedürfte. Zwar kann ein Schiedsgericht die Nichtigkeit einer Marke gem. § 1055 ZPO nicht „erga omnes“ anordnen; aber für die konkreten Entscheidungen in einem Schiedsverfahren kann es von einer Nichtigkeit, z. B. wegen Nichtbenutzung gem. §§ 25, 49 MG, oder von einem Mangel an Unterscheidungskraft i.S.d. § 8 Abs. 2 MG ausgehen. 26 Entsprechendes gilt auch für geschäftliche Bezeichnungen gem. § 5 MG, Unternehmenskennzeichen, Werktitel oder Internet-Domains. Hin19 Vgl. Geimer in Zöller, ZPO, § 1030 Rz. 14; dies gilt auch für die europäischen Patente nach dem Münchner Abkommen von 1973; vgl. die Einzelheiten bei Frost, Schiedsgerichtsbarkeit im Bereich des geistigen Eigentums nach deutschem und US-amerikanischen Schiedsrecht, S. 89 ff. 20 Noch weitergehend vgl. Schwab/Walter/Baumbach, Schiedsgerichtsbarkeit Kommentar, Kap. 4 Rz. 11; Schwab begründet dies rein eigentumsrechtlich und übersieht dabei die spezifisch technische Fachkompetenz der Bundespatentgerichte.

62

Lizenzverträge und Immaterialgüterrechte in Schiedsgerichtsverfahren

sichtlich letzterer muss noch auf die Uniform Domain Name Dispute Resolution Policy (UDRP) und die ICANN Rules hingewiesen werden, die ein beschleunigtes Schiedsgerichtsverfahren bei Domain-Streitigkeiten anbieten und bis 2008 ausschließlich bei dem WIPO Arbitration and Mediation Center angesiedelt waren, das als Dispute Resolution Service Provider fungierte; inzwischen gibt es dafür vier verschiedene Center21. Diese üblicherweise rein online geführten Verfahren haben sich als besonders effizient und kostengünstig erwiesen. Bei Gemeinschaftsmarken ergeben sich aus Art. 19 GMV gewisse Be- 27 schränkungen, weil ein Schiedsspruch gegenüber Dritten, die sich nicht dem Schiedsverfahren unterworfen haben, mangels Wirkung „erga omnes“ deren dingliche Rechte nicht beschränken kann. 3. Urheberrecht Ausgehend von den Patent- und Markenlizenzverträgen hat sich auch 28 im Urheberrecht, insbesondere für Software-Überlassungsverträge, der Begriff und Vertragstypus der Lizenz etabliert22. Weil § 104 UrhG „Urheberrechtsstreitsachen“ den ordentlichen Gerichten zuweist und staatliche Funktionen im Urheberrecht fast vollständig entfallen, ist hier die Schiedsgerichtsfähigkeit von Lizenzverträgen praktisch vollkommen gegeben. Für Streitfälle, an denen Verwertungsgesellschaften beteiligt sind, sieht 29 das Gesetz über die Wahrnehmung von Urheberrechten und verwandten Schutzrechten (UrhWahrnG von 2007) in § 14 UrhWahrnG eine Schiedsstelle vor, die gem. § 18 UrhWahrnG beim Patentamt als Aufsichtsbehörde angesiedelt ist und gem. § 14a UrhWahrnG gleich einem Schiedsgericht Einigungsvorschläge, z. B. zu den Vergütungsregeln gemäß den §§ 54 ff. UrhG, den Streitparteien unterbreiten kann. Einige Verwertungsgesellschaften (z. B. GEMA) sehen auch eigene Schlichtungsverfahren für interne Streitigkeiten auf vertrags- und vereinsrechtlicher Basis vor (vgl. etwa die Satzung der GEMA). Der Kernbereich des Urheberpersönlichkeitsrechts, etwa gem. §§ 13, 30 29, 42 UrhG ist nicht schiedsfähig, spielt aber typischerweise für Soft-

21 Vgl. ausführlich Jaeger-Lenz/Link in Münchner Anwaltshandbuch, Gewerblicher Rechtsschutz, S. 1103 ff.; Bettinger, CR 2000, 234 ff. 22 Vgl. Lehmann in Borges/Meents, Cloud Computing S. 459 ff.; Lehmann, Das Urhebervertragsrecht der Software-Überlassung, in Beier/Götting/Lehmann/ Moufang, Urhebervertragsrecht, S. 543 ff.; s. auch § 32a Abs. 2 UrhG: „Lizenzkette“.

63

Michael Lehmann

ware-Lizenzverträge eine nur völlig untergeordnete Rolle. Für die Software-Überlassung hat der BGH den Primat des Urhebervertragsrechts gegenüber sonstigen Vertragsbestimmungen bestätigt23, sodass die Überlassung von urheberrechtlich geschützter Software nur als Einräumung von Nutzungsrechten gem. §§ 31 ff. UrhG erfolgen kann und als solche auch urheberrechtlich zu qualifizieren ist24. Unter adäquater Berücksichtigung des Urhebervertragsrechts können somit alle urheberrechtlich relevanten Lizenzverträge als vollumfänglich schiedsfähig betrachtet werden25. V. Zusammenfassung 31 Gerade moderne, sich neu entwickelnde Verträge bedürfen ganz besonders der Integration von alternativen Streitbeilegungsregelungen26. Auch das moderne EU-Recht schreibt heute immer häufiger die Institution von schiedsgerichtsähnlichen, alternativen Dispute Resolution Verfahren vor (vgl. etwa Art. 21 der Richtlinie 219/790 v. 17.4.2019 über das Urheberrecht im digitalen Binnenmarkt). 32 Lizenzverträge erweisen sich, auch wenn sie sich auf Immaterialgüterrechte beziehen, in einem sehr weiten Umfang als schiedsfähig, sodass Streitigkeiten auf diesem Gebiet relativ schnell und kostengünstig beigelegt werden können.

23 Vgl. BGH v. 20.1.1994. – I ZR267/91, CR 1994, 276 f. – „Holzhandelsprogramm“ mit Anm. von Lehmann und Hoeren. 24 Vgl. Lehmann, Das Urhebervertragsrecht der Software-Überlassung, in Beier/ Götting/Lehmann/Moufang, Urhebervertragsrecht, S. 543 ff., 546 ff. 25 Ebenso Frost, Schiedsgerichtsbarkeit im Bereich des geistigen Eigentums nach deutschem und US-amerikanischen Schiedsrecht, S. 95 ff. 26 Für „Smart Contracts“ vgl. Kaulartz/Kreis in Braegelmann/Kaulartz, (Hrsg.) Rechtshandbuch Smart Contracts, S. 249 ff.

64

Geschäftsgeheimnisse im Kontext von Gerichtsund Schiedsverfahren Florian Winzer* I. Bedeutung von Geschäftsgeheimnissen und Risiken 1 II. Geheimnisschutz im Gerichtsverfahren nach ZPO, GVG und GeschGehG 1. Abgrenzung der jeweiligen Verfahrensregelungen 6 2. Prozessuale Pflichten gefährden die Geheimhaltung 8 3. Mechanismen des allgemeinen zivilprozessualen Geheimnisschutzes 14 4. Verfahrensrechtlicher Geheimnisschutz des GeschGehG 19

5. Diskussion: Geheimnisschutz durch ein in cameraVerfahren? 25 6. Zwischenergebnis 29 III. Geheimnisschutz in Schiedsverfahren 1. Nichtöffentlichkeit des Schiedsverfahrens 2. Geheimhaltungspflicht 3. Nutzungsverbot 4. Geheimnisschutz durch Einschaltung eines Dritten IV. Fazit

30 31 32 33 34 36

Literatur: Druschel/Jauch, Der Schutz von Know-how im deutschen Zivilprozess: Der Status quo und die zu erwartenden Änderungen, BB 2018, 1218 (Teil 1); Kalbfus, Rechtsdurchsetzung bei Geheimnisverletzungen – Welchen prozessualen Schutz gewährt das Geschäftsgeheimnisgesetz dem Kläger?, WRP 2019, 692, 698; McGuire, Vortrag „Schutz von Geschäftsgeheimnissen im Zivilprozess und im Schiedsverfahren“, Tagung des Interdisziplinären Zentrums für Geistiges Eigentum der Universität Mannheim am 12.7.2019, zitiert als McGuire, Schutz von Gschäftsgeheimnissen im Zivilprozess und im Schiedsverfahren; McGuire, Der Schutz von Know-how: Stiefkind, Störenfried oder Sorgenkind?, GRUR 2015, 424; Müller/Aldick, Der Geheimnisschutz im Zivilprozess – Vom Gesetzgeber aus den Augen verloren, ZIP 2020, 9; Schlingloff, Geheimnisschutz im Zivilprozess aufgrund der Know-how-Schutz-Richtlinie – Was muss sich im deutschen Prozessrecht ändern? (RL 2016/943/EU), WRP 2018, 666; Schregle, Neue Maßnahmen zum Geheimnisschutz in Geschäftsgeheimnisstreitsachen – Wegbereiter für den effektiven Rechtsschutz?, GRUR 2019, 912; Schütze, Institutionelle Schiedsgerichtsbarkeit, Kommentar, 3. Aufl. 2018; Semrau-Brandt: Patentstreit zwischen Qualcomm und Apple: Schwächen des Geschäftsgeheimnisschutzes im Zivilprozess, GRUR-Prax 2019, 127; Skiebe, IP Dispute Resolution – Ordentliche Gerichte

*

Dr. Florian Winzer, Rechtsanwalt in der Kanzlei Heuking Kühn Lüer Wojtek PartGmbB, Frankfurt a. M. bis 12/2020, seit 01/2021 Richter, Landgericht Frankfurt a. M.

65

Florian Winzer vs. Schiedsgerichte, IPRB 2019, 230; Winzer, Der Schutz von Geschäftsgeheimnissen im Zivilprozess, 2018, zitiert als Winzer, S.

I. Bedeutung von Geschäftsgeheimnissen und Risiken 1 Berühmte Beispiele für Geschäftsgeheimnisse sind der Algorithmus von Google, des sozialen Netzwerks Facebook sowie die Coca Cola-Rezeptur. Spätestens seit der Umsetzung der EU-Richtlinie 2016/943/EU1 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung („Geschäftsgeheimnisrichtlinie“) in das deutsche Recht durch das Geschäftsgeheimnisgesetz2 („GeschGehG“) ist die Bedeutung von Geschäftsgeheimnissen verstärkt in den Fokus der Praxis gerückt. In der juristischen Literatur hingegen wird seit Jahren die stiefmütterliche Behandlung des gesetzlichen Geheimnisschutzes, insbesondere im Zivilprozess, kritisiert.3 2 Die überfällige Reformierung des gesetzlichen Schutzes von Geschäftsgeheimnissen wird daher dessen wirtschaftlicher Bedeutung gerecht. Geschäftsgeheimnisse können vielfältig eingesetzt werden, müssen keine qualitativen Anforderungen wie etwa eine Schöpfungshöhe erfüllen und setzen auch keine Registereintragung voraus. Sie stellen im Kontext der Rechte des geistigen Eigentums eine sinnvolle Ergänzung und insbesondere für kleine und mittelständische Unternehmen eine attraktive Alternative dar (Erwägungsgrund 2 Geschäftsgeheimnis-Richtlinie.). Unternehmen und Forschungsinstitute investieren daher in den Erwerb, die Entwicklung und die Anwendung von Geschäftsgeheimnissen, um sich ihre Wettbewerbsfähigkeit zu sichern (Erwägungsgrund 1 Geschäftsgeheimnis-Richtlinie). 3 Mit dem einhergehenden Wettbewerbsvorsprung sind Geschäftsgeheimnisse allerdings auch besonderen Gefahren von Missbrauch ausgesetzt, wie Betriebsspionage, Geheimnisverrat durch illoyale Arbeitnehmer oder der rechtswidrigen Verwendung durch Geschäftspartner nach Abbruch von Vertragsverhandlungen oder nach Vertragsbeendigungen. Ob ein Geschäftsgeheimnis rechtswidrig erlangt, offengelegt oder genutzt

1

2 3

66

Richtlinie (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung (ABl. L 157 vom 15.6.2016, S. 1). Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) vom 18.4.2019 (BGBl. I S. 466). Vgl. statt aller McGuire, GRUR 2015, 424.

Geschäftsgeheimnisse im Kontext von Gerichts- und Schiedsverfahren

wird, lässt sich oftmals erst zu einem Zeitpunkt feststellen, wenn das Unternehmen seinen Wettbewerbsvorsprung womöglich bereits eingebüßt hat. Die Verfolgung der Verletzung von Geschäftsgeheimnissen ist aller- 4 dings mit weiteren Risiken verbunden, die den Geheimnischarakter von Geschäftsgeheimnissen gefährden und den Inhaber von Geschäftsgeheimnissen von der Rechtsdurchsetzung abschrecken. Ein Geschäftsgeheimnis ist eine Information, die weder allgemein bekannt, noch ohne Weiteres zugänglich und daher von wirtschaftlichem Wert ist. Sie muss ferner Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber sein und es muss ein berechtigtes Interesse an ihrer Geheimhaltung bestehen (vgl. § 2 Nr. 1 GeschGehG). Ein Geschäftsgeheimnis ist also etwas „Verletzliches“. Der tatsächliche und rechtliche Schutz besteht nur, solange die Information geheim ist, also nur einem beschränkten Personenkreis zugänglich ist und dies auch so bleibt. Um dem Geschäftsgeheimnisinhaber die effektive gerichtliche Durchset- 5 zung seiner materiell-rechtlichen Ansprüche auf Unterlassung, Vernichtung, Auskunft und Schadensersatz zu ermöglichen (§§ 6 ff. GeschGehG), bedarf es neben der zivilrechtlichen Verankerung des Geheimnisschutzes daher auch hinreichender Schutzvorkehrungen zur Geheimhaltung im Laufe des Prozesses. Zutreffend bemerkt daher auch die Gesetzesbegründung des Geschäftsgeheimnisgesetzes, dass ohne entsprechende Regelungen zur Geheimhaltung der Inhaber des Geschäftsgeheimnisses das Risiko eingeht, dass das Geschäftsgeheimnis seinen Schutz einbüßt, weil es Gegenstand eines gerichtlichen Verfahrens geworden ist.4 Aber auch in einem Schiedsverfahren bedarf es entsprechender Geheimhaltungsmaßnahmen, damit der Inhaber seinen Wettbewerbsvorteil nicht im Laufe oder infolge des Verfahrens verliert. II. Geheimnisschutz im Gerichtsverfahren nach ZPO, GVG und GeschGehG 1. Abgrenzung der jeweiligen Verfahrensregelungen Für die Bestimmung des verfahrensrechtlichen Geheimnisschutzes in 6 einem Gerichtsverfahren müssen zwei Konstellationen unterschieden werden. Handelt es sich um einen Anspruch nach dem GeschGehG – ist das Geschäftsgeheimnis also Gegenstand eines Anspruchs wegen der

4

BT-Drs. 19/4724, S. 34.

67

Florian Winzer

rechtswidrigen Erlangung, Offenlegung oder Nutzung eines Geschäftsgeheimnisses im Sinne des GeschGehG (§ 16 Abs. 1 GeschGehG), – dann handelt es sich um eine Geschäftsgeheimnisstreitsache, so dass ausschließlich die prozessualen Vorschriften des GeschGehG anzuwenden sind. 7 Die allgemeinen zivilprozessualen Regelungen finden hingegen Anwendung, wenn es sich um einen „anderen“ Anspruch handelt. Das Geschäftsgeheimnis wird sodann als Beweis in das Verfahren eingeführt und bildet nicht den Streitgegenstand, z. B. wenn die wegen einer vermeintlichen Patentverletzung oder im Rahmen eines selbständigen Beweisverfahrens in einem Produkthaftungsfall beklagte Partei zur Verteidigung ein Geschäftsgeheimnis offenlegen müsste.5 2. Prozessuale Pflichten gefährden die Geheimhaltung 8 Legt man den Maßstab allgemeiner Verfahrensregelungen zugrunde, so steht der Anspruch des Klägers auf effektiven Rechtsschutz in einem offenen Widerspruch zu seinem Geheimnisschutz, sobald er Ansprüche hinsichtlich einer Verletzung von Geschäftsgeheimnissen durchsetzen möchte. Die zivilprozessualen Darlegungspflichten stehen einer Geheimhaltung des streitgegenständlichen Geschäftsgeheimnisses per se entgegen.6 9 Bereits der Unterlassungsantrag, der dem Prozessgegner hinreichend bestimmt Auskunft darüber geben muss, welche Handlungen er zu unterlassen hat und wogegen er sich verteidigen muss, kann eine Offenlegung des Geschäftsgeheimnisses verlangen.7 Der Antrag muss gemäß § 253 Abs. 2 Nr. 2 ZPO zudem den Streitgegenstand hinreichend abgrenzen, um den Prüfungs- und Entscheidungsumfang des Gerichts festzulegen und um die Frage, was dem Beklagten untersagt ist, nicht ins Vollstreckungsverfahren zu verlagern.8 Die Rechtsprechung hat die Offenlegung des konkreten Geschäftsgeheimnisses dann unbeanstandet gelassen, wenn die Unterlassung auf eine bestimmte Verletzungsform beschränkt ist.9 Dies ist insbesondere dann als „Geheimnisschutzmaßnahme“ geeignet, wenn das Geschäftsgeheimnis unstreitig sein sollte. Dies dürfte je5 6 7 8 9

68

Vgl. Schregle, GRUR 2019, 912. McGuire, GRUR 2015, 424, 427 ff. Schlingloff, WRP 2018, 666, 667. BGH v. 22.3.2018 – I ZR 118/16, GRUR 2018, 1161 – Hohlfasermembranspinnanlage II m. w. N. BGH v. 22.3.2018 – I ZR 118/16, GRUR 2018, 1161 – Hohlfasermembranspinnanlage II.

Geschäftsgeheimnisse im Kontext von Gerichts- und Schiedsverfahren

doch nicht den Regelfall darstellen. Wenn das Geschäftsgeheimnis nicht konkret umrissen ist, so hat dies auch Auswirkungen auf den Umfang des Unterlassungsgebots und erleichtert dem Beklagten dessen Umgehung.10 Daneben stellt die prozessuale Erörterung des Sachverhalts eine grund- 10 sätzliche Gefahr für die Geheimnisqualität von Geschäftsgeheimnissen dar. Die Parteien sind nach dem Beibringungsgrundsatz angehalten, die streitrelevanten Tatsachen für den Prozess vollständig und wahrheitsgemäß vorzutragen und entsprechende Beweise anzubieten. Sie können aber auch im Wege der gerichtlich angeordneten Vorlage von Urkunden oder Duldung der Inaugenscheinnahme (§§ 142, 144 ZPO) zur Offenbarung von Geschäftsgeheimnissen verpflichtet werden. Andernfalls droht das Risiko einer negativen Beweislastentscheidung. Das Risiko der Offenlegung trifft daher beide Parteien gleichermaßen.11 Der in § 128 Abs. 1 ZPO verankerte Grundsatz der Mündlichkeit begrün- 11 det im Zusammenhang mit der Verfahrensöffentlichkeit ein erhebliches Risiko. Mit Offenlegung des Geheimnisses in einem öffentlichen Verfahren verliert ein Geschäftsgeheimnis seinen Geheimcharakter.12 Auch die Urteilsverkündung findet grundsätzlich öffentlich statt, so dass im Rahmen der Verlesung des Tenors eine Offenlegung des Geschäftsgeheimnisses droht (§ 173 GVG). Abgesehen von den bisher dargestellten Risiken ist aber auch eine Ge- 12 heimhaltung von Geschäftsgeheimnissen gegenüber dem Prozessgegner, bei dem es sich in der Regel um einen Wettbewerber handelt, im Zivilprozess nicht vorgesehen. Der verfassungsrechtlich in Art. 103 Abs. 1 GG verankerte Anspruch des Prozessgegners auf rechtliches Gehör und der prozessuale Grundsatz der Parteiöffentlichkeit sowie der in Art. 6 EMRK verankerte Anspruch auf ein faires Verfahren und die Waffengleichheit stehen einer Vorenthaltung von Tatsachen, die Gegenstand des Verfahrens und damit auch Grundlage der gerichtlichen Entscheidung sind, entgegen.13 Die Durchsetzung von Geschäftsgeheimnissen im Zivilprozess birgt 13 ohne effektive Mechanismen zur Geheimhaltung für den Geschäfts10 BGH v. 13.12.2007 – I ZR 71/05, GRUR 2008, 727, 728 – Schweißmodulgenerator. 11 Schlingloff, WRP 2018, 666, 667. 12 BGH v. 25.3.1993 – IX ZR 192/92, NJW 1993, 1638, 1639; McGuire, GRUR 2015, 424, 428. 13 OLG München v. 8.11.2004 – 29 W 2601/04, NJW 2005, 1130, 1131; Druschel/ Jauch, BB 2018, 1218, 1222.

69

Florian Winzer

geheimnisinhaber das Risiko, dass mit der substantiierten Darlegung im Verfahren der Verlust des Geschäftsgeheimnisses einhergeht und er den Wettbewerbsvorteil verliert (Erwägungsgrund 24 Geschäftsgeheimnis-Richtlinie). Entweder weil er mit der Offenlegung das Geheimnis einbüßt, oder weil er seinem Wettbewerber das Geschäftsgeheimnis nun in Einzelheiten präsentiert hat. Trägt der Geschäftsgeheimnisinhaber hingegen nur unzureichend vor, um die Geheimhaltung weitestgehend aufrecht zu erhalten, drohen möglicherweise eine negative Beweislastentscheidung und die Prozessniederlage. Zudem kann eine unzureichende Kontrolle von Geschäftsgeheimnissen auch einen Imageverlust mit sich bringen – alles plausible Gründe, um von der Durchsetzung von Geschäftsgeheimnissen abzusehen. 3. Mechanismen des allgemeinen zivilprozessualen Geheimnisschutzes 14 Zunächst sind die originären Verfahrensregelungen außerhalb des GeschGehG zu betrachten. Der Schutz von Geschäftsgeheimnissen im Zivilverfahren wird primär durch den Ausschluss der Öffentlichkeit gemäß §§ 169 ff. GVG sichergestellt. Gemäß § 172 Nr. 2 GVG kann das Gericht für die Verhandlung (oder für einen Teil davon) die Öffentlichkeit ausschließen, wenn ein wichtiges Geschäftsgeheimnis zur Sprache kommt, durch dessen öffentliche Erörterung überwiegende schutzwürdige Interessen verletzt würden. Wenngleich eine Geheimhaltung gegenüber der Öffentlichkeit und damit auch gegenüber nicht am Verfahren beteiligten Wettbewerbern besteht, stellt das Gesetz für den Geschäftsgeheimnisinhaber relativ hohe Anforderungen, um einen Ausschluss – und damit das Mindestmaß an Geheimnisschutz – zu erwirken. Die Tatsache, dass es sich bloß um ein „verletzliches“ Geschäftsgeheimnis handelt, reicht nicht aus, denn es muss ein „wichtiges“ Geschäftsgeheimnis sein, durch dessen öffentliche Erörterung schutzwürdige Interessen verletzt würden. 15 Erfüllt das betroffene Geschäftsgeheimnis diese Voraussetzungen, so kann das Gericht gemäß § 174 Abs. 3 GVG den anwesenden Personen auch eine Pflicht zur Verschwiegenheit für solche Tatsachen auferlegen, die durch die Verhandlung oder durch ein die Sache betreffendes amtliches Schriftstück zu ihrer Kenntnis gelangt sind. Die Geheimhaltungspflicht gilt auch über das Ende des Verfahrens hinaus und ist im Fall der Verletzung gemäß § 353d Nr. 2 StGB mit Strafe bedroht. Allerdings hat diese Verschwiegenheitspflicht drei „Schönheitsfehler“: Erstens kann das Gericht erst in der mündlichen Verhandlung eine solche Pflicht den anwesenden Personen auferlegen.14 Zweitens ist sie nur auf amtliche 14 McGuire, GRUR 2015, 424, 427.

70

Geschäftsgeheimnisse im Kontext von Gerichts- und Schiedsverfahren

Schriftstücke beschränkt und gilt daher nicht für Schriftsätze der Parteien.15 Drittens ist das Verbot nur auf eine Weitergabe und Offenlegung, nicht aber auf eine Verwertung des Geheimnisses beschränkt.16 Geschäftsgeheimnisse der Parteien werden auch im Wege der Beschrän- 16 kung der Akteneinsicht Dritter gemäß § 299 Abs. 2 ZPO geschützt. Dritte müssen für den Antrag auf Akteneinsicht ein rechtliches Interesse glaubhaft machen. Zudem hat das Gericht im Fall, dass die Parteien das Einsichtsgesuch ablehnen, die widerstreitenden Interessen, insbesondere die Geheimhaltungsinteressen der Parteien zu berücksichtigen.17 Eine Beschränkung des Rechts zur Akteneinsicht zu Gunsten von Geheimnisschutzbelangen ist gegenüber der anderen Partei aufgrund des gesetzlichen Anspruchs auf rechtliches Gehör hingegen ausgeschlossen.18 Schließlich werden Geschäftsgeheimnisse Dritter, nicht der Parteien, 17 durch Zeugnisverweigerungsrechte geschützt. So berechtigt § 384 Nr. 3 ZPO den Zeugen, die Antwort zu Fragen, bei denen er sein „Kunst- oder Gewerbegeheimnis“ im Rahmen einer Beweisaufnahme offenlegen müsste, zu verweigern. Es bleibt mithin festzuhalten, dass die bisher gültigen prozessualen Re- 18 gelungen des Geheimnisschutzes aus Sicht des Geheimnisinhabers unzureichend sind. Neben den hohen Anforderungen, die das Gesetz an den Ausschluss der Öffentlichkeit und die Verschwiegenheitspflicht stellt, setzt der prozessuale Geheimnisschutz erst in der mündlichen Verhandlung an und übersieht die Notwendigkeit eines Verwertungsverbots der Verfahrensbeteiligten. Schließlich umfasst die Geheimhaltungspflicht keine Geschäftsgeheimnisse, die in den Parteischriftsätzen wiedergegeben werden. Dass die prozessualen Vorschriften zum Geheimnisschutz unzureichend sind, hat auch Dr. Jana Semrau-Brandt im Zusammenhang mit der Besprechung eines Patentverletzungsverfahrens vor dem LG München festgestellt.19 Danach hätte die Beklagte zu ihrer Verteidigung die Geschäftsgeheimnisse ihres Lieferanten offenlegen müssen. Bei hinreichenden prozessualen Schutzmechanismen, die der Beklagten die

15 16 17 18

McGuire, GRUR 2015, 424, 428. McGuire, GRUR 2015, 424, 428. OLG Frankfurt v. 11.2.2016 – 20 VA 14/15, BeckRS 2016, 11761 Rz. 47. OLG Düsseldorf v. 25.4.2018 – I-2 W 8/18, GRUR-RS 2018, 7036 – Akteneinsicht im FRAND-Verfahren; OLG München v. 8.11.2004 – 29 W 2601/04, NJW 2005, 1130, 1131, vgl. auch OLG Köln v. 22.2.2017 – 6 W 107/16, WRP 2017, 728, Rz. 11. 19 Semrau-Brandt, GRUR-Prax 2019, 127.

71

Florian Winzer

Darlegung der Geschäftsgeheimnisse (rechtzeitig) ermöglicht hätte, wäre das Gericht möglicherweise zu einem anderen Ergebnis gelangt.20 4. Verfahrensrechtlicher Geheimnisschutz des GeschGehG 19 Mit Inkrafttreten des Geschäftsgeheimnisgesetzes zum 19.4.2019 wurde der materiell-rechtliche Geheimnisschutz umfassend reformiert, indem nach Vorgabe der Geschäftsgeheimnisrichtlinie der früher nur strafrechtsakzessorische Geheimnisschutz nunmehr zivilrechtlich ausgestaltet ist. Zudem sind mit den §§ 15 ff. GeschGehG speziell auf Geschäftsgeheimnisse zugeschnittene prozessuale Vorschriften geschaffen worden, die zu einer erheblichen Verbesserung des Status Quo führen. Der Anwendungsbereich dieser Vorschriften ist nach dem Willen des Gesetzgebers auf Geschäftsgeheimnisstreitsachen, also Streitigkeiten nach dem GeschGehG beschränkt.21 20 Neben der ausschließlichen sachlichen Zuständigkeit der Landgerichte für Streitigkeiten über Geschäftsgeheimnisstreitsachen, sind die Bundesländer ermächtigt, zur Bildung einer einheitlichen Rechtspraxis die Zuständigkeit an einem Landgericht für mehrere Bezirke zu zentralisieren.22 21 Ein Novum im prozessualen Geheimnisschutz stellt die Regelung des § 16 GeschGehG dar, wonach auf Antrag einer Partei das Gericht die streitgegenständlichen Informationen bereits ab Anhängigkeit des Verfahrens als geheimhaltungsbedürftig einstufen kann. Im Gegensatz zu der strengen Vorschrift des § 172 Nr. 2 GVG reicht es aus, wenn die streitgegenständlichen Informationen ein Geschäftsgeheimnis sein können und die Geheimhaltungsbedürftigkeit glaubhaft gemacht wurde. Daran geknüpft ist eine Vertraulichkeitspflicht sämtlicher Verfahrensbeteiligter sowie ein Verbot, das Geschäftsgeheimnis außerhalb des Verfahrens zu nutzen oder offenzulegen. Im Fall eines Akteneinsichtsrechts eines Dritten ist dieses auf die nicht geheimhaltungsrelevanten Aktenbestandteile gemäß § 16 Abs. 3 GeschGehG zu beschränken. Die Geheimhaltungsbedürftigkeit können beide Parteien für ihre Geschäftsgeheimnisse beanspruchen. 22 Die Einhaltung der prozessualen Maßnahmen zur Wahrung der Vertraulichkeit und zum Schutz der Geschäftsgeheimnisse vor Nutzung wird durch Ordnungsmittel abgesichert. Bei einem Verstoß kann nach § 17

20 Semrau-Brandt, GRUR-Prax 2019, 127. 21 BT-Drs. 19/4724, S. 34. 22 Vgl. BT-Drs. 19/4724, S. 35.

72

Geschäftsgeheimnisse im Kontext von Gerichts- und Schiedsverfahren

GeschGehG ein Ordnungsgeld bis zu 100.000 Euro oder Ordnungshaft verhängt werden. Ergänzend kann auch der Zugang zu Dokumenten und die Teilnahme an 23 der mündlichen Verhandlung auf einen bestimmten Personenkreis reduziert werden („Confidentiality Club“). Voraussetzung ist, dass bei einer Abwägung das Geheimhaltungsinteresse gegenüber dem Anspruch auf rechtliches Gehör beider Parteien unter Berücksichtigung der Gewährung effektiven Rechtsschutzes und eines fairen Verfahrens überwiegt. Allerdings muss mindestens eine Person jeder Partei zu den Dokumenten und zu den Anhörungen Zugang erhalten. Offen ist jedoch, wer diese eine Person der Partei sein soll. Die Einbeziehung einer fachfremden Person erscheint eine effektive Lösung, um das Risiko einer potentiellen Nutzung des Geschäftsgeheimnisses zu reduzieren,23 erschwert allerdings auch die Verteidigungs- und Reaktionsmöglichkeiten. Auch der Ausschluss der Öffentlichkeit nach § 19 Abs. 2 GeschGehG 24 ist an diese Abwägung und damit an diese Zugangsbeschränkung geknüpft. Gerichte sollten daher entsprechende Anträge, ebenso wie die Geheimhaltungsbedürftigkeit, großzügig auslegen, da der Ausschluss der Öffentlichkeit das mildere Mittel ist und in einem Antrag auf Zugangsbeschränkung ohnehin als Minus enthalten ist.24 5. Diskussion: Geheimnisschutz durch ein in camera-Verfahren? Dennoch bleibt für den Geschäftsgeheimnisinhaber das Risiko bestehen, 25 dass er seinem Wettbewerber und Prozessgegner im Verfahren möglicherweise Informationen präsentiert, die dieser noch nicht kannte und trotz des gerichtlich angeordneten Nutzungsverbots gewinnbringend ausnutzen könnte. Im Schrifttum wird daher die Einführung eines zivilprozessualen in ca- 26 mera-Verfahrens diskutiert.25 Bei einem solchen Verfahren werden die geheim zu haltenden Informationen nicht dem Mitbewerber auf der Prozessgegenseite, sondern lediglich dessen Prozessvertreter(n) und dem Gericht unter Ausschluss der Öffentlichkeit mitgeteilt. Es handelt sich also um einen beschränkten Personenkreis („Confidentiality Club“), wie von § 19 Abs. 1 GeschGehG vorgesehen, nur ohne eine Person der gegnerischen Partei. 23 Schregle, GRUR 2019, 912; Schlingloff, WRP 2018, 666, 670. 24 Kalbfus, WRP 2019, 692, 698. 25 Druschel/Jauch, BB 2018, 1218, 1222; McGuire, GRUR 2015, 424, 430; Müller/ Aldick, ZIP 2020, 9, 13; Schlingloff, WRP 2018, 666, 670; Winzer, S. 205 ff.

73

Florian Winzer

27 Für die Etablierung eines solchen in camera-Verfahrens streiten neben den vergleichbaren Vorbildern in anderen Verfahrensordnungen26 auch die Feststellung des BVerfG, dass auch das rechtliche Gehör zu Gunsten effektiven Rechtschutzes und dem Schutz von Geschäftsgeheimnissen beschränkt werden könne.27 Zudem hat auch die zivilrechtliche Rechtsprechung mit der Einführung des Wirtschaftsprüfervorbehalts28 und dem Düsseldorfer Verfahren29 weitere Verfahren entwickelt, die die Interessen „Geheimnisschutz“ und „rechtliches Gehör“ in einen gerechten Ausgleich bringen. Dass eine gesetzliche Regelung eines in camera-Verfahren sich auch in den Zivilprozess einfügen lässt, zeigt die österreichische Richtlinienumsetzung. § 26h Abs. 2 öUWG ermöglicht die Mitteilung von Geschäftsgeheimnissen einer Partei gegenüber einem Sachverständigen, der sein Gutachten und die zugrunde gelegten Unterlagen nur dem Gericht, nicht aber dem Verfahrensgegner offenlegt. 28 Allerdings muss festgehalten werden, dass der originäre Anwendungsbereich eines solchen Verfahrens ohnehin nur gering ist. Sollte das Geschäftsgeheimnis den Streitgegenstand bilden, so gehen die Parteien in der Regel davon aus, dass es sich um ein bestimmtes Geschäftsgeheimnis handelt, das den Parteien weitgehend bekannt ist. Auch muss der Beklagte im Fall der Verurteilung wissen, welches Verhalten er unterlassen soll, also worin das Geschäftsgeheimnis besteht. 6. Zwischenergebnis 29 Die jeweiligen Verfahrensregimes stellen unterschiedliche Geheimhaltungsstandards zur Verfügung. Mit dem Inkrafttreten des Geschäftsgeheimnisgesetzes hat sich der Verfahrensschutz für die Durchsetzung von Geschäftsgeheimnissen erheblich verbessert. Die Zuständigkeitskonzentration ermöglicht eine einheitliche Rechtsfortbildung in Bezug

26 § 99 Abs. 2 VwGO, § 138 TKG, § 72 Abs. 2 GWB, § 84 Abs. 2 EnWG, § 57 Abs. 2 WpÜG. 27 BVerfG v. 14.3.2006 – 1 BvR 2087/03 und 1 BvR 2111/03, MMR 2006, 375, 376. 28 Zur Wahrung der Vertraulichkeit von (nicht anspruchsbegründenden) Informationen, dessen Offenlegung dem auskunftspflichtigen Gegner nicht zumutbar sind, überprüft ein zur Verschwiegenheit verpflichteter Wirtschaftsprüfer die Richtigkeit und Vollständigkeit der Angaben stichprobenartig. BGH v. 7.12.1979 – I ZR 157/77, GRUR 1980, 227, 232 – Monumenta Germaniae Historica; BGH v. 13.2.1981 – I ZR 111/78, GRUR 1981, 535 – Wirtschaftsprüfervorbehalt; McGuire, GRUR 2015, 424, 430; Müller/Aldick, ZIP 2020, 9, 12. 29 OLG Düsseldorf v. 14.1.2009 – 2 W 56/08; OLG Düsseldorf v. 11.2.2016 – I-20 W 14/16, GRUR-RR 2016, 224; McGuire, GRUR 2015, 424, 430; Müller/Aldick, ZIP 2020, 9, 13.

74

Geschäftsgeheimnisse im Kontext von Gerichts- und Schiedsverfahren

auf Geheimnisschutzmaßnahmen, die auf unterschiedliche Geschäftsgeheimnisse zugeschnitten sind. Bestehende Schutzlücken wurden geschlossen, da die Anforderungen für Geheimnisschutzmaßnahmen nun deren Schutzbedürftigkeit entsprechen und neben der Geheimhaltungspflicht ein Verwertungsverbot, jeweils abgesichert durch Ordnungsmittel, geschaffen wurde. Ein erheblicher Nachteil besteht darin, dass die prozessualen Regelungen außerhalb des GeschGehG keine Anwendung finden. III. Geheimnisschutz in Schiedsverfahren Aufgrund der Schwächen des Geheimnisschutzes vor den ordentlichen 30 Gerichten, stellt sich die Frage, ob das Schiedsverfahren im Hinblick auf den Geheimnisschutz nicht die bessere Alternative ist. Ob die Parteien sich anstelle eines Rechtsstreits vor den staatlichen Gerichten einem Schiedsverfahren unterwerfen und welche Regelungen dabei zur Anwendung kommen, obliegt der freien Entscheidung der Parteien. Das Geheimnisschutzniveau in einem Schiedsverfahren ist daher den Parteien überlassen. Diese können und müssen den Geheimnisschutz durch die Schiedsklauseln, die Wahl des Schiedsortes, die Schiedsinstitution und Schiedsordnung beeinflussen, bevor es überhaupt zu einer streitigen Auseinandersetzung kommt. 1. Nichtöffentlichkeit des Schiedsverfahrens Ein Vorzug, der gegenüber ordentlichen Gerichtsverfahren genannt wer- 31 den könnte, ist der Umstand, dass Schiedsverfahren nicht öffentlich sind. Allerdings stellt dies keinen wesentlichen Unterschied zu den staatlichen Gerichten dar, da auch dort die Öffentlichkeit ausgeschlossen werden kann, wenn auch teilweise unter strengeren Bedingungen. 2. Geheimhaltungspflicht Ein Ausschluss der Öffentlichkeit ist jedoch wirkungslos, wenn die Par- 32 teien es mit der Geheimhaltung von vertraulichen Informationen oder gar Geschäftsgeheimnissen nicht so genau nehmen. Vereinbaren die Parteien die Schiedsregeln einer institutionellen Schiedsordnung, so ergibt sich aus dieser regelmäßig eine Geheimhaltungspflicht.30 So gilt auch nach der Schiedsordnung der Deutschen Institution für Schiedsgerichts30 Z.B. Art. 22 Abs. 1 International Chamber of Commerce (ICC) – Arbitration Rules 2017; Art. 30 London Court of International Arbitration (LCIA) – Rules 2014, Art. 12 Wiener Regeln; Art. 44 Swiss Rules.

75

Florian Winzer

barkeit e.V. für alle Verfahrensbeteiligte eine Geheimhaltungspflicht über das Schiedsverfahren. Die Parteien haben demnach insbesondere über die Existenz des Verfahrens, die Namen der Parteien, Streitgegenstände oder Beweismittel, die nicht öffentlich zugänglich sind, also auch Geschäftsgeheimnisse, Stillschweigen zu bewahren (Art. 44.1 DIS-Schiedsordnung 2018). 3. Nutzungsverbot 33 Wie bereits dargestellt, fürchtet eine Partei jedoch neben der Offenlegung meist noch mehr eine rechtswidrige Nutzung eines Geschäftsgeheimnisses durch einen starken Wettbewerber und den dadurch drohenden Wettbewerbsverlust. Die Geheimhaltung von Geschäftsgeheimnissen gegenüber dem Gegner ist allerdings auch im Schiedsverfahren problematisch.31 Auch im Schiedsverfahren gilt der Grundsatz rechtlichen Gehörs als elementares Verfahrensprinzip, § 1042 Abs. 1 Satz 2 ZPO. Da Schiedsordnungen in der Regel gerade kein Verwertungsverbot vorsehen,32 droht die Ausnutzung des Wettbewerbsvorteils durch den Gegner während oder nach Abschluss eines Schiedsverfahrens. Der effektive Geheimnisschutz hängt daher von den jeweiligen Schiedsordnungen und den Maßnahmen der Schiedsrichter ab. Nach den Schiedsregeln der ICC (Art. 22 ICC-Rules) kann das Schiedsgericht immerhin Maßnahmen zum Schutz von Geschäftsgeheimnissen ergreifen, so dass auch ein Verwertungsverbot möglich erscheint. 4. Geheimnisschutz durch Einschaltung eines Dritten 34 Als weitere Schutzmaßnahme kommt der Geheimnisschutz durch den Einsatz eines Dritten im Zusammenhang mit Beweisaufnahmen in Betracht. Es handelt sich um einen Sachverständigen, der die Geheimhaltungsbedürftigkeit prüft und weitere Maßnahmen vorschlagen kann. Die IBA Rules erkennen die Notwendigkeit, dass die Einschaltung eines Dritten dem Geheimnisschutz einer Partei dienen kann. Art. 3.8 IBA Rules sieht daher vor, dass ein Dritter, ein zur Verschwiegenheit verpflichteter Sachverständiger, zumindest beratend tätig werden kann. Problematisch ist jedoch, dass dies im Einvernehmen mit den Parteien erfolgen

31 Vgl. Reiner/Petkutei/Kern in Schütze, II. Kapitel: ICC-Schiedsgerichtsordnung, Art. 22 Rz. 16. 32 McGuire, Vortrag „Schutz von Geschäftsgeheimnissen im Zivilprozess und im Schiedsverfahren“, vgl. Skiebe, IPRB, 2019, 230, 232.

76

Geschäftsgeheimnisse im Kontext von Gerichts- und Schiedsverfahren

soll.33 Geheimnisschutzmaßnahmen zu Gunsten der anderen Partei wird im Streitfalle wohl kein Gegner zustimmen. Entsprechende Regelungen sind daher vorab festzulegen. Weitaus ausführlichere Regelungen zum Schutz von Geschäftsgeheim- 35 nissen sehen die WIPO-Regeln vor. Danach kann ein Confidentiality Advisor sogar bindend über die Beweiskraft der Dokumente entscheiden. So käme ein effektiver Geheimnisschutz gerade gegenüber dem Verfahrensgegner in Betracht. Allerdings kommen diese Regelungen in der Praxis nur sehr selten zur Anwendung.34 IV. Fazit Der Geheimnisschutz im allgemeinen Zivilprozess ist immer noch ein 36 Stiefkind. Im Anwendungsbereich des GeschGehG sind zwar die prozessualen Regelungen geeignet, um den klagenden Geheimnisinhaber und den Beklagten hinreichend zu schützen. Der beklagte Geschäftsgeheimnisinhaber wird jedoch aufgrund unterschiedlicher Geheimnisschutzniveaus benachteiligt, sofern er ein Geschäftsgeheimnis in den Prozess einführen muss und (nur) die allgemeinen zivilprozessualen Regelungen Anwendung finden. Auch wenn die Nichtöffentlichkeit des Verfahrens und die Vertrau- 37 lichkeit im Schiedsverfahren gewahrt werden, ist die Geheimhaltung gegenüber dem Gegner auch im Schiedsverfahren schwierig. Defizite des zivilprozessualen Geheimnisschutzes lassen sich jedoch über Schiedsklauseln, die „richtige“ Schiedsverfahrensordnung und ergänzende Parteivereinbarung ausgleichen, sofern das Geschäftsgeheimnisgesetz nicht zur Anwendung kommt.

33 Vgl. auch Reiner/Petkutei/Kern in Schütze, II. Kapitel: ICC-Schiedsgerichtsordnung, Art. 22 Rz. 16. 34 McGuire, Vortrag „Schutz von Geschäftsgeheimnissen im Zivilprozess und im Schiedsverfahren“, vgl. Skiebe, IPRB, 2019, 230, 232.

77

DSA-Verordnungsentwurf: Neue Grundregeln für die Digitalwirtschaft Henrike Weiden* I. Plattformknigge oder Plattformgrundgesetz? 1 II. Der Rahmen für die neuen Regelungen 5 III. Anwendungsbereich der Digitale Dienste Verordnung 6 IV. Transparenz 1. Erreichbarkeit des Betreibers 2. Funktionen der Dienste a) Moderation b) Werbung c) Nutzerempfehlungen

10 12 18 24

V. Verantwortlichkeit für Inhalte und Haftungsbefreiung 29 1. Was ist wahr? 35 2. Rechtswidrige vs. schädliche Inhalte 41 VI. Sorgfaltspflichten 1. Know your customer 2. Risikoabschätzung und -minimierung 3. Notice and Action 4. Effektiver Rechtsschutz gegen Overblocking

46 47 51 56

VII. Aufsicht und Sanktionen

59

VIII. Fazit

62

I. Plattformknigge oder Plattformgrundgesetz? Was macht die Freiheit im Internet aus? Wie viel Meinung verkraftet das 1 Netz? Wem gehört die Wahrheit im virtuellen Raum? Wie werden Botschaften zugeordnet? Wer verantwortet Inhalte im Netz? Wo verläuft der schmale Grat zwischen Überwachung und Freiheit in quasi-öffentlichen, privat betriebenen Räumen? Die Europäische Kommission hat im Dezember 2020 einen Verord- 2 nungsentwurf unter dem Titel Digital Services Act1 (DSA) vorgelegt, der einen neuen, zeitgemäßen Rahmen für die Digitalwirtschaft vorgeben soll. Die Reformvorschläge versprechen eine Harmonisierung und Modernisierung der rechtlichen Vorgaben für digitale Angebote wie Vermittlungsdienste und Plattformen im Netz und haben bereits im Vorfeld

* 1

Prof. Dr. Henrike Weiden, LL.M., Hochschule München University of Applied Sciences. Vorschlag für eine Verordnung des Europäischen Parlaments und des über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG, COM(2020) 825 final.

79

Henrike Weiden

die Akteure der beteiligten Kreise auf den Plan gerufen. Es geht um viel; wenngleich um bescheidenere Ziele als zuvor angenommen. 3 Der Digital Services Act (DSA) soll die Infrastruktur digitaler Dienste transparent machen (vgl. Abschnitt III, Rz. 11 ff.), Verantwortlichkeiten von Anbietern digitaler Dienste – namentlich soziale Medien und Online-Marktplätze – zuordnen (vgl. Abschnitt IV, Rz. 30 ff.), Verhaltenspflichten klarstellen (vgl. Abschnitt V, Rz. 47 ff.), Eingriffsbefugnisse und Sanktionen ausweiten (vgl. Abschnitt VI, Rz. 60 ff.). Ziele sind insbesondere der Grundrechtsschutz der Nutzer und ein inhaltlich „sauberes“ Netz. Beides soll den Rahmen für gesundes Wachstum bei den digitalen Geschäftsmodellen im Binnenmarkt bilden. 4 Die von der Europäischen Kommission vorgeschlagenen Regelungen sind eng mit anderen regulatorischen Bereichen verzahnt, allen voran mit der Verordnung über bestreitbare und faire Märkte im digitalen Sektor (Digital Markets Act, DMA)2, und müssen im Zusammenhang mit einer Reihe von aktuellen gesellschaftlichen Entwicklungen, unternehmerischen Entscheidungen, Akten der Selbstregulierung sowie behördlichen und gerichtlichen Verfahren gesehen werden. Zudem will die Kommission der zunehmenden Tendenz entgegenwirken, durch neue nationale Gesetzgebung ein rechtliches Labyrinth für Angebot und Inanspruchnahme digitaler Dienste im Binnenmarkt entstehen zu lassen. Es gilt, durch ein level playing field für alle Anbieter im Binnenmarkt Aufwand und Kosten für Compliance und Rechtsdurchsetzung gerade für die Provider zu minimieren, die grenzüberschreitend tätig sind. II. Der Rahmen für die neuen Regelungen 5 Bisher haben digitale Dienste in der Union die Regelungen der e-Commerce Richtlinie (2000/31/EG) von vor 20 Jahren anzuwenden. Auf diese Vorschriften setzt die Kommission auf, die Richtlinie soll weiter Geltung beanspruchen. Daneben gelten bereichsspezifische wie auch horizontale Regelungen, die ausdrücklich weiter bestehen sollen – allen voran die Geoblocking-Verordnung ([EU] 2018/302), die Urheberrechtsrichtlinie ([EU] 2019/790), die Richtlinie über audiovisuelle Mediendienste (AVSMD) ([EU] 2018/1808), die Richtlinie zur Terrorismusbekämpfung ([EU] 2017/541), die Platform-to-Business-Verordnung ([EU] 2019/1150) und natürlich die Datenschutz-Grundverordnung (DSGVO) ([EU] 2

80

Vorschlag für eine Verordnung des Europäischen Parlaments und des über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG, COM(2020) 842 final.

DSA-Verordnungsentwurf

2016/679). Auch nicht-legislative Rahmenbedingungen wie die Kommissionsempfehlung vom März 2018 für wirksame Maßnahmen im Umgang mit illegalen Online-Inhalten3 gelten neben der künftigen DSA-Verordnung weiter. III. Anwendungsbereich der Digitale Dienste Verordnung In jüngerer Zeit haben einzelne Mitgliedstaaten parallel zur europäi- 6 schen Gesetzgebung nationale Vorschriften für digitale Dienste erlassen, die beginnen, sich zu einem für die Anbieter und Nutzer unübersichtlichen rechtlichen Flickenteppich zusammenzusetzen.4 Deshalb greift die Kommission zum Regulierungsinstrument der Verordnung, betitelt gar als Gesetz („Act“), um durch den höchsten Grad an Harmonisierung gleich hohe Anforderungen in teils sehr sensiblen Regelungsbereichen aufzustellen. Nach Art. 1 des Digital Services Act-Entwurfs (DSA-E) ist das Ziel des Re- 7 gelungswerks, das Funktionieren des Binnenmarktes in einem sicheren, verlässlichen und vertrauenswürdigen Umfeld zu gewährleisten, in dem die Grundrechte effektiv geschützt werden. Dazu soll die Verordnung harmonisierte Regelungen über Haftungsbefreiung und Sorgfaltspflichten sowie deren Durchsetzung vorgeben. Alle Arten von Diensten, alle Kategorien von Inhalten, Produkten und Leistungen sind gleichermaßen betroffen, vom Access- über den Cache- bis zum Hostprovider, gleich ob der Dienst an einen Unternehmer oder an einen Verbraucher gerichtet ist. Vom Markplatzbetreiber über den Anbieter eines sozialen Netzwerks oder eine Informationsplattform und mitunter bis zum Cloud-Anbieter. Hybride Dienste müssen in Bezug auf diejenigen Leistungen, die in den Anwendungsbereich fallen, die Verordnung beachten.5 Die digitalen Vermittler (Intermediäre) haben die Vorschriften anzuwenden, wenn die Dienste für Nutzer mit Niederlassung oder Wohnsitz in der Union erbracht werden (Art. 1 Abs. 3 DSA-E). Die Digitale Dienste Verordnung wird also in ihrer territorialen Anwendung ähnlich weit greifen wie die DSGVO, was dieser schon eben wegen ihrer geographischen Reichweite zu weltweiter Beachtung verholfen hat.

3 4

5

COM(2018) 1177 final. Insbesondere das deutsche Netzwerkdurchsetzungsgesetz oder das französische Anti-Hass-Gesetz; daneben hat im Vorgriff auf die DMA-Verordnung die jüngste Novelle des deutschen Gesetzes gegen Wettbewerbsbeschränkungen („GWB-Digitalisierungsgesetz“) Fakten geschaffen. ErwGrd. 15 DSA-E.

81

Henrike Weiden

8 Ähnlich wie die Platform-to-Business-Verordnung und das deutsche Netzwerkdurchsetzungsgesetz differenziert auch die Digitale Dienste-Verordnung nach der Reichweite des jeweiligen Angebots: je größer die Online-Plattform, desto höher die systemischen Risiken, also desto höher die Anforderungen. Besondere Vorschriften über externe Risikoabschätzung und öffentliche Rechenschaftspflichten, über erhöhte Transparenz- und Auskunftspflichten, über Datenübermittlungen an Behörden und Wissenschaft sowie die Verpflichtung zur Bestellung eines Compliance-Beauftragten greifen nur bei „sehr großen Online-Plattformen“. Sehr große Online-Plattformen sind solche, deren Dienste monatlich mindestens 45 Millionen Menschen erreichen, was etwa 10 % der Bevölkerung in der Union entspricht. Auf einen kommerziellen Charakter der Dienste kommt es dabei nicht an. Diese Plattformen unterliegen einer besonderen Aufsicht, breiteren Untersuchungsbefugnissen durch die Behörden und spezifischen Durchsetzungsmechanismen. Auch bei den Sanktionen gelten für die führenden IT-Konzerne Sonderregeln. So ergibt sich eine vierfach abgestufte Regulierung. Oberhalb der Ebene der sehr großen Online-Plattformen für Online-Plattformen6, die nicht „sehr groß“ sind, darüber auf der Ebene der Hosting-Dienste und zuletzt noch weiter übergeordnet für sämtliche Vermittlungsdienste sind die Anforderungen jeweils im Sinne von lex generalis-Regelungen immer allgemeiner; das klassische Klammerprinzip. Auch insoweit müssen hybride Angebote zwischen den für ihren jeweiligen Dienst einschlägigen Bestimmungen differenzieren. 9 Andererseits gibt es auch Erleichterungen für Online-Plattformen, die als kleine oder Kleinstunternehmen gelten, etwa bei den Anforderungen an ein internes Beschwerdeverfahren gegen Sperrungen, bei der Missbrauch-Prävention oder bei Berichtspflichten (Art. 16 DSA-E). So sollen auch Start ups eine Chance erhalten, sich zunächst zu entfalten. IV. Transparenz 1. Erreichbarkeit des Betreibers 10 Zusätzlich zu den weiterhin bestehenden Vorschriften über die Identifizierbarkeit von Betreibern digitaler Dienste (v.a. Art. 5 e-Commerce RL)

6

82

Der Begriff der Online-Plattform schließt mit seinem Kriterium der öffentlichen Verbreitung gem. ErwGrd. 14 DSA-E etwa Instant Messaging-Dienste aus. Nutzergruppen von mehreren hundert Teilnehmern in Diensten wie WhatsApp oder Telegram stellen dieses Abgrenzungsmerkmal jedenfalls in Frage.

DSA-Verordnungsentwurf

soll die neue Verordnung festlegen, durch welche Maßnahmen der Intermediär erreichbar zu sein hat. Vermittler müssen nach Art. 10 DSA-E einen Single Point of Contact einrichten, der die unmittelbare elektronische Kommunikation mit den zuständigen nationalen Behörden, der Europäischen Kommission und dem neu einzurichtenden Europäischen Ausschuss für Digitale Dienste über die Anwendung der Verordnung gestattet. Auch die Nutzer müssen so mit den Intermediären Kontakt aufnehmen können, und zwar mindestens auch in einer Amtssprache im EU-Sitzland des Betreibers. Anbieter, die keinen Sitz in der Union haben, benötigen einen gesetz- 11 lichen Vertreter in einem der Mitgliedstaaten, in denen die Dienste angeboten werden. Dieser Vertreter ist rechtlich verantwortlich für die Einhaltung der Verordnung. Das hebt ihn beispielsweise vom Vertreter des Datenschutz-Verantwortlichen ohne Unionsniederlassung nach Art. 27 DSGVO ab. 2. Funktionen der Dienste a) Moderation Ein zentraler Aspekt der Transparenzbestrebungen in diesem Vorhaben 12 ist die Nachvollziehbarkeit, wie ein digitaler Dienst funktioniert. Zwar ist hier einerseits speziell das berechtigte Interesse der Tech-Konzerne am Schutz ihrer Betriebs- und Geschäftsgeheimnisse zu berücksichtigen. Zu deren Geheimhaltung können die Unternehmen gegen Auskunftsverlangen Einwendungen geltend machen. Andererseits ist aber auch das berechtigte Interesse der Nutzer zu schüt- 13 zen, zu verstehen, was mit ihren Daten geschieht, wie ihr Online-Verhalten ausgewertet wird, welchen algorithmischen Mechanismen sie durch die Dienste ausgesetzt sind. Deshalb ist im Entwurf der Digitale Dienste Verordnung vorgesehen, dass Intermediäre in ihren Nutzungsbedingungen offenzulegen haben, welche Grundsätze, Verfahren und Maßnahmen greifen, um von Nutzern hochgeladene Inhalte zu moderieren (Art. 12 DSA-E). Diese Transparenzverpflichtung schließt auch Informationen über automatisierte Entscheidungen auf Grund von Algorithmen und über durch Personen durchgeführte Kontrollen der errechneten Entscheidungen ein. Intermediäre unterliegen künftig umfassenden Berichtspflichten im Zu- 14 sammenhang mit ihrem eigenen Moderationsverhalten (Art. 13 DSA-E). Mindestens einmal jährlich haben sie Bericht zu erstatten, in welchem Umfang sie Anordnungen von Behörden zur Sperrung von Inhalten erhal83

Henrike Weiden

ten und wie schnell sie ihnen Folge geleistet haben. Sie haben auch z. B. darzustellen, wie viele und zu welcher Art von rechtswidrigem Inhalt Beschwerden gegen die Sperrung von Inhalten erhoben wurden oder inwieweit sie auf Grund eigener Initiative moderierend in die von Nutzern hochgeladenen Inhalte eingegriffen oder Nutzerkonten gesperrt haben. Ohne sehr konkrete Handlungsanweisungen für die Praxis wird den Betreibern hier eine Aufgabe auferlegt, die einiges an Umsetzungsschwierigkeiten birgt. Rechtsstreitigkeiten sind in diesem Spannungsverhältnis der DSGVO-Verpflichtungen zum Schutz der personenbezogenen Nutzerdaten einerseits und der Bereitstellung der geforderten Angaben nach der Digitale Dienste Verordnung andererseits erkennbar vorprogrammiert. 15 Für Online-Plattformen gelten zusätzliche Berichtspflichten (Art. 23 DSA-E), und in Bezug auf sehr große Online-Plattformen sind die Anforderungen an den Inhalt des Berichts noch einmal höher (Art. 33 DSA-E). Insbesondere gehört bei diesen das Ergebnis der eigenen Risikoabschätzung zum verpflichtenden Inhalt, die sie jährlich vorzunehmen haben. 16 Seit Juni 2020 haben Online-Plattformen, führende soziale Netzwerke, Werbungtreibende und Branchenverbände als Unterzeichner einer Selbstverpflichtung7 im Zusammenhang mit Desinformation über Covid-19 der EU-Kommission weite Teile der künftig verbindlich vorgeschriebenen Angaben monatlich zur Verfügung gestellt. Nachdem namentlich Facebook, Google, Microsoft, Twitter und TikTok Richtlinien gegen Desinformationen über Impfstoffe in ihre Nutzungsbedingungen aufgenommen und die Zusammenarbeit mit so genannten Faktenprüfern intensiviert hatten, haben sie im Januar 2021 zugesagt, das Programm für weitere sechs Monate fortsetzen zu wollen. 17 Im Übrigen soll das DSA-Paket (und die Richtlinie über audiovisuelle Mediendienste) in Zukunft von weiteren Vorschriften flankiert werden, die für Transparenz bei gesponserten politischen Inhalten sorgen sollen. Von Januar bis April 2021 läuft eine Konsultation der beteiligten Kreise, auf deren Grundlage die EU-Kommission rechtzeitig vor den Wahlen zum Europäischen Parlament im Mai 2024 entsprechende Vorgaben für politische Werbung festgelegt haben will. Es wird um die Nachvollziehbarkeit der Verbreitung politischer Botschaften gehen, auch im Hinblick auf die Zielgruppenansprache und ihre Umsetzung durch digitale Dienste.

7

84

https://ec.europa.eu/digital-single-market/en/code-practice-disinformation (sämtliche Links zuletzt abgerufen am 20.7.2021).

DSA-Verordnungsentwurf

b) Werbung Im Fokus der rechtspolitischen Debatte stehen bei den Transparenzan- 18 forderungen neben der inhaltlichen Verantwortlichkeit auch die Themen Kundenbewertungen und Werbung. Sie sollen durch die Verordnung an die derzeitigen Gegebenheiten angepasst werden, und zwar mit unterschiedlicher Granularität, abhängig von Größe und Bedeutung der jeweiligen Plattform. Es ist ein viel diskutiertes Ärgernis, dass der einzelnen Nutzerin oder 19 dem einzelnen Nutzer auf dem Bildschirm Werbung angezeigt wird, die entweder gar nicht zum eigenen Online-Verhalten passt oder auf eine Nutzung zurückgeht, die man als User lieber nicht ausgewertet sehen möchte. Die Kommission hat das Thema dergestalt im Verordnungsentwurf aufgegriffen, dass alle Plattformen im Anwendungsbereich in Echtzeit anzeigen müssen, (a) dass es sich um eine Werbeanzeige handelt, (b) in wessen Auftrag sie eingeblendet wird, und (c) welches die wichtigsten Parameter sind, auf Grund derer die Nutzer als Adressaten für die dargestellte Werbung ausgewählt wurden (Art. 24 DSA-E). Handelt es sich um eine der Plattformen mit besonders großer Reichwei- 20 te, dann gelten höhere Transparenzanforderungen (Art. 30 DSA-E). Wie schon der Rechtsausschuss des Europäischen Parlaments dem Grunde nach gefordert hatte8, sollen die Betreiber der marktführenden Dienste in einer öffentlich zugänglichen Datenbank ein Jahr lang Hintergrundinformationen zu der von ihnen vermittelten Online-Werbung vorhalten. Aus diesem Archiv muss abzulesen sein, welches der Inhalt der Werbung war, in wessen Auftrag und in welchem Zeitraum sie angezeigt wurde, ob und auf Grund welcher Parameter die Werbung bei bestimmten Nutzergruppen eingeblendet wurde (sog. Microtargeting) sowie die Reichweite der Anzeigen. Die transparenzbezogenen Regelungsvorschläge sind ausdrücklich als 21 Ergänzung zur DSGVO gedacht, nicht als Änderung. Schon deshalb müssen die Plattformbetreiber sicherstellen, dass bei aller Transparenz keine personenbezogenen Daten über die Empfänger von Anzeigen oder Empfehlungen offengelegt werden, auch nicht in dem Archiv. Außerdem haben sehr große Online-Plattformen auf zu begründende 22 Anfrage der EU-Kommission oder der zuständigen nationalen Stelle Zugang zu Daten zu gewähren, damit diese die Einhaltung der Verordnung 8

Entschließung des EP vom 20.10.2020 mit Empfehlungen an die Kommission zum Gesetz über digitale Dienste: Anpassung der handels- und zivilrechtlichen Vorschriften für online tätige Unternehmen 2020/2019 (INL).

85

Henrike Weiden

überprüfen können. Auch die Wissenschaft soll auf diese Daten zugreifen können, um die spezifischen Risiken sehr großer Plattformen zu erforschen. Dabei sind die Betriebs- und Geschäftsgeheimnisse der Konzerne zu wahren. In diesem Zusammenhang ist eine Pflicht zur Offenlegung von Algorithmen erwartungsgemäß nach dem DSA-Entwurf nicht vorgesehen. Ob Forscher ohne Zugriff auf die Algorithmen fundierte Ergebnisse erzielen können, wird sich erweisen. 23 Allerdings sollen die sehr großen Anbieter zu einer jährlichen externen Auditierung verpflichtet werden. Den unabhängigen Prüfern wird auch vertraulich Einblick in die Algorithmen und damit in die DNA, die wichtigsten Geschäftsgeheimnisse der Anbieter, zu gewähren sein. c) Nutzerempfehlungen 24 Die Kommission will sowohl für kuratierte Inhalte als auch für Nutzerempfehlungen Transparenz schaffen. Kundenbewertungen werden zunehmend als gewichtiger Entscheidungsfaktor etwa im Kaufverhalten berücksichtigt. Die erheblichen Informationsasymmetrien, die heute durch den teils manipulativen Umgang mit echten oder erfundenen Bewertungen entstehen, führen faktisch zu einer Steuerung der User von Plattformen. Deshalb ist es auch aus Sicht der EU-Kommission wichtig für die User, sich in den Nutzungsbedingungen der jeweiligen Plattform über die Entscheidungsmechanismen informieren zu können, die für die Anzeige der Bewertungen verwendet werden. 25 Nutzerempfehlungen kommen auf unterschiedlichen Wegen zustande, wie das Bundeskartellamt in seinem Bericht über seine Sektoruntersuchung Nutzerbewertungen im Oktober 2020 dargestellt hat.9 Das geht von der Rezension durch tatsächliche Kunden, die das Produkt erworben, ausprobiert und für andere Interessenten bewertet haben, über das so genannte Nudging, bei dem Kunden an die Rezension teils mehrfach erinnert werden, bis hin zu Bewertungen gegen eine Bezahlung oder andere Leistung durch Rezensenten, die das Produkt mitunter gar nicht kennen. Zum Teil wird eine bestimmte Bewertung vorgegeben, der Rezensent und damit das Bewertungsergebnis also manipuliert. 26 Durch eine Steuerung der Anzeige von Kundenbewertungen nehmen die Plattformen Einfluss auf die Entscheidungen ihrer Nutzer. Die meisten der Plattformbetreiber prüfen, wie das deutsche Kartellamt festgestellt 9

86

https://www.bundeskartellamt.de/SharedDocs/Publikation/DE/Sektoruntersuchungen/Sektoruntersuchung_Nutzerbewertungen_Bericht.pdf?__blob=publicationFile&v=3.

DSA-Verordnungsentwurf

hat, die Eingaben bei den Bewertungen. Ungünstige Rezensionen können dabei auf Grund einer Authentizitäts- oder Plausibilitätsprüfung herausgefiltert werden, so dass es zu Asymmetrien kommen kann. Fallen etwa bei einem Produkt nur negative Bewertungen heraus, dann erhöht sich im Verhältnis die Zahl (und das Gewicht) der positiven. Anreizsysteme für Nutzerbewertungen werden gemeinhin nicht als per 27 se wettbewerbsverzerrend oder irreführend betrachtet. Das Bundeskartellamt etwa hält sogar kleine Gegenleistungen wie den kostenfreien Bezug des zu bewertenden Produkts, Gutscheine, die Möglichkeit zur Gewinnspielteilnahme oder kleine Geldbeträge grundsätzlich für zulässig, wenn der Diensteanbieter das transparent macht. Künftig sollen die Betreiber der großen Plattformen die wichtigsten Para- 28 meter für die Nutzerbewertungen in einer klaren, öffentlich zugänglichen und verständlichen Weise offenlegen. Die Nutzer müssen nachvollziehen können, wie Empfehlungen zustande kommen. Zudem sollen die Anbieter Einstellungsmöglichkeiten für die Nutzer veröffentlichen, wie sie selbst Einfluss auf die Parameter nehmen können. Ziel dieser bereitzustellenden Option ist, dass eine von der eigenen Nutzung unabhängige Anzeige der Bewertungen möglich wird. Die User müssen ein Profiling abschalten können; die Auswertung des Online-Verhaltens darf dann nicht mit ihren personenbezogenen Daten verknüpft werden. V. Verantwortlichkeit für Inhalte und Haftungsbefreiung Grundsätzlich wird eine gewisse Moderation durch Vermittler von den 29 Nutzern hingenommen und erwartet. Denn jede Plattform soll in der Lage sein, Themen und Beiträge ihrer Nutzer entsprechend der jeweiligen Ausrichtung und Zielsetzung des Dienstes ablehnen oder verschieben zu dürfen. Eltern möchten keine Threads zu e-Games auf einer Lernplattform für Schüler sehen. Freunde gesunder Küche sind irritiert, wenn auf der Plattform für Kochrezepte Beiträge über Motorsport gepostet werden. Was aber wertneutral klingt, kann allzu leicht in tendenziöses Steuern von nutzergenerierten Inhalten und Meinungen umschlagen. Zudem bringt die erhebliche Reichweite einiger Plattformen die Verantwortung mit sich, die weltweit und meist dauerhaft abrufbaren Inhalte ihrer User anlassbezogen in gewissem Umfang auf ihre Rechtmäßigkeit zu überprüfen. Für die Anbieter digitaler Dienste, die entweder Informationen bloß 30 durchleiten (Art. 12 e-Commerce RL), die Informationen an andere Nutzer auf deren Anfrage lediglich übermitteln (Caching, Art. 13 e-Com-

87

Henrike Weiden

merce RL) oder die nutzergenerierte Inhalte speichern (Hosting, Art. 14 e-Commerce RL), sieht die europäische Gesetzgebung bisher Haftungsprivilegierungen in Bezug auf die übermittelten oder gespeicherten Inhalte Dritter vor. Provider werden danach grundsätzlich von der Haftung frei, wenn sie ab Kenntnis eines rechtswidrigen Inhalts unverzüglich tätig werden, um ihn zu entfernen oder den Zugang dazu zu sperren, sog. Notice-and-Take down-Verfahren. 31 Die betreffenden Vorschriften der e-Commerce Richtlinie sollen dort herausgelöst und in die neue Digitale Dienste Verordnung weitgehend inhaltsgleich aufgenommen werden. Die Europäische Kommission will also an der Haftungsprivilegierung dem Grunde nach festhalten, und zwar mit dem Harmonisierungsgrad einer Verordnung. Dabei bleibt das Ob der Haftung, die Bestimmung des Haftungsgrundes, weiterhin dem europäischen und dem nationalen Recht vorbehalten. Zu den fortgeltenden Haftungsgrundsätzen gehört auch das Verbot einer allgemeinen Verpflichtung zur Inhaltsüberwachung (Art. 15 e-Commerce RL). Das schließt zunächst die Verpflichtung aus, durch Uploadfilter oder ähnlich einschneidende Instrumente bestimmte Inhalte zu blockieren (siehe jedoch zum Verhältnis DSA und Urheberrecht Abschnitt V.3, Notice and Action, Rz. 53). 32 Im Verordnungsentwurf ist ergänzend dazu eine Klarstellung vorgesehen, dass freiwillige Maßnahmen der Anbieter zum Aufdecken, Identifizieren und Entfernen rechtswidriger Inhalte nicht dazu führen dürfen, dass diese Betreiber das Haftungsprivileg verlieren (Art. 6 DSA-E). Dass die Last der rechtlichen und moralischen Verantwortung für die Beurteilung von Inhalten ganz von den Schultern der Anbieter genommen werde, wie teilweise in der rechtspolitischen Debatte gefordert, findet sich freilich nicht im Verordnungsentwurf wieder. Die Auslegung des einzelnen Beitrags und sein inhaltlicher Abgleich mit den Nutzungsbedingungen des jeweiligen Dienstes bleibt eine schwierige Frage des Einzelfalls, deren Beantwortung den Providern obliegt. 33 Anders als nach bisher normiertem Recht soll die Haftungsbefreiung jedoch nicht gelten, wenn etwa bei Plattformen wie Amazon Marketplace der durchschnittliche Kaufinteressent davon ausgehen muss, dass es sich bei dem dargebotenen Angebot nicht um das eines Dritten, sondern um ein Angebot des Plattformbetreibers selbst handelt (Art. 5 Abs. 3 DSA-E). Dem Wortlaut nach findet diese Einschränkung nur auf solche Plattformen Anwendung, die Fernabsatzverträge (B2C) ermöglichen. Die Vorschrift würde auf die Rechtsprechung des EuGH zur Verantwortlichkeit des Providers auf Grund seines Einwirkens auf die Darstellung von Inhalten und Informationen aufsetzen. Hier wäre freilich je nach Plattform88

DSA-Verordnungsentwurf

angebot noch festzulegen, wo künftig die Grenze zwischen dem „neutralen“ Verhalten10, dem „rein technischen, automatischen und passiven“11 einerseits und der „aktiven“, haftungsbegründenden Rolle andererseits zu ziehen ist. Nur die „aktive“ Rolle vermag nach Ansicht des EuGH dem Betreiber eine Kenntnis von nutzergenerierten Inhalten oder deren Kontrolle zu verschaffen, so dass auch nach den bislang geltenden Vorschriften die Haftung nach dem Notice-and-Take down-Verfahren zu begründen ist.12 Wird eine solche aktive Rolle allgemein davon abhängen, ob der Provider die Inhalte seiner Nutzer auswählt, sichtet oder kontrolliert? Oder genügt auch beispielsweise eine Steuerung der Anzeige des fraglichen Angebotes auf Grund des individuellen Nutzerverhaltens? Oder kommt es womöglich darauf an, inwieweit die Darstellung der Angebote Dritter mit algorithmisch ausgewählten Werbeanzeigen verbunden wird? Nach der bisherigen Formulierung im DSA-Entwurf wird es auf die subjektive Wahrnehmung des durchschnittlichen Plattformnutzers ankommen. Flankiert werden die Regelungen durch Art. 8 und 9 DSA-E, die genauere 34 Auskunfts- und Meldepflichten im Fall von behördlichen oder gerichtlichen Anordnungen zur Sperrung rechtswidriger Inhalte vorsehen. Rechtspolitischer Zündstoff steckt dabei in dem Vorschlag, solche Anordnungen zum Tätigwerden wegen illegaler Inhalte unmittelbar auf Grund der neuen europäischen Verordnung ohne eine Beschränkung auf die für den jeweiligen Dienst örtlich zuständige Behörde vorzusehen. So müsste sich etwa ein in Deutschland ansässiger Dienst im Hinblick auf einen Beitrag eines deutschen Nutzers auch beispielsweise am nationalen Recht messen lassen, das eine polnische oder ungarische Behörde anwendet, wenn der entsprechende Post dort abrufbar ist. Nach den Erwägungsgründen soll die ausländische Behörde bei grenzüberschreitender Wirkung ihrer Anordnung feststellen, ob der Inhalt „wahrscheinlich“ auch in anderen Mitgliedstaaten rechtswidrig ist (ErwGrd 31 DSA-E). Inwieweit das mit dem Herkunftslandprinzip des weiterhin geltenden Art. 3 e-Commerce Richtlinie vereinbar ist, wird noch zu prüfen sein. 1. Was ist wahr? Jenseits des Grundkonsens’, dass eine Moderation von nutzergenerier- 35 ten Inhalten erforderlich und erwünscht ist, sind die unterschiedlichen

10 EuGH v. 22.6.2021 – C-682/18 (Peterson/Google und YouTube) und – C-683/18 (Elsevier/Cyando) als verbundene Rechtssachen, Rz. 106, EWS 2021, 161 ff. 11 Erwägungsgrund 42 der e-Commerce RL. 12 EuGH v. 12.7.2011 – C-324/09, L’Oréal/ebay, Rz. 113, CR 2011, 597 ff.

89

Henrike Weiden

Vorstellungen schwer zu fassen und kaum miteinander in Einklang zu bringen. Man wünscht sich Rechtssicherheit, kann und will aber Festlegungen über konkrete rote Linien bei den Inhalten über die bisherigen hinaus (Rechtswidrigkeit als Eingriffstatbestand) nicht treffen. Die Anbieter digitaler Dienste sollen als Ermöglichende in die Pflicht genommen werden, dürfen aber nicht die Wahrheit für sich beanspruchen. Die virale Verbreitung objektiv unzutreffender oder gesellschaftlich unerwünschter Inhalte dergestalt zu verharmlosen, dass sich im öffentlichen Diskurs letztlich die besseren Argumente durchsetzen werden, hat sich jedenfalls spätestens im Fall Donald Trumps als gefährliche Fehleinschätzung erwiesen; gefährlich für Frieden und Demokratie nicht nur in den Vereinigten Staaten von Amerika. 36 Im Januar 2021 wurde im Zusammenhang mit der Stürmung des Kapitols in Washington der Ausschluss des abgewählten amerikanischen Präsidenten von der Nutzung seiner Accounts bei Facebook und Twitter mit ihren hohen Follower-Zahlen nur zum prominentesten Beispiel für unzählige Sperrungen von Accounts, die allein auf der Bewertung der Plattformbetreiber oder des einzelnen Mitarbeiters eines solchen beruhen. Diese Entscheidungen der durch den damaligen Präsidenten so effektiv instrumentalisierten Social Media Dienste hat die Debatte nur befeuert, nachdem Trump für die Unruhen im Nachgang der US-Präsidentschaftswahl mit verantwortlich gemacht worden war, aber der Fall hat sie nicht erst ausgelöst. 37 Nach dem Verordnungsentwurf dürfen die Intermediäre grundsätzlich13 unverändert14 nicht dazu verpflichtet werden, Informationen, die sie übermitteln oder speichern, zu überwachen oder auf Richtigkeit oder Rechtmäßigkeit zu überprüfen (Art. 7 DSA-E). Andererseits wird aus dem bisherigen Notice-and-Take down-Verfahren ein Notice-and-Action-Mechanismus für Hosting-Services. Dabei geht Notice-and-Action über die bisherige Notice-and-Take down-Verpflichtung hinaus (s.u. Abschnitt V.3, Rz. 54). 38 Nach Art. 14 DSA-E sind Meldungen über rechtsverletzende Inhalte für die Rechteinhaber nutzerfreundlich auf elektronischem Weg und für den jeweiligen Dienst nachvollziehbar zu ermöglichen. Meldungen, die in der vom Verordnungsgeber vorgegebenen Weise abgegeben werden, begründen eine gesetzliche Vermutung der Kenntnis des Host Providers

13 Siehe jedoch zum Verhältnis DSA und Urheberrecht Abschnitt V.3, Notice and Action, Rz. 54. 14 Bisher Art. 15 Abs. 1 e-Commerce RL.

90

DSA-Verordnungsentwurf

vom rechtswidrigen Inhalt. Eine Verpflichtung zur Löschung ergibt sich daraus jedenfalls nicht ohne behördliche oder gerichtliche Anordnung. Die Verknüpfung von Meldung und Fiktion der Kenntnis birgt die Gefahr 39 einer allzu großzügigen Löschung von Inhalten, was wiederum zugleich missbräuchlichen Meldungen Vorschub leisten kann. Denn der Verordnungsentwurf lässt unterschiedliche Mittel für die Erkennung und Sperrung illegaler Inhalte zu. Große Plattformen, die täglich eine Vielzahl von Benachrichtigungen über Rechtsverletzungen erhalten, könnten zu ihrer eigenen Entlastung schlicht auf Grund einer Plausibilitätsprüfung der Meldungen die automatisierte Sperrung von Content auslösen. Sie müssten lediglich diesen Mechanismus transparent machen. Eine Sanktionierung solchen Verhaltens jenseits von Image- oder Vertrauensverlust ist nicht vorgesehen. Nicht erforderlich ist in dem detailliert geregelten Meldeverfahren, dass 40 nach der Art der geltend gemachten Rechtsverletzung differenziert wird, wer aktivlegitimiert ist. Wer schützt dann beispielsweise den berechtigten Lizenznehmer davor, dass sein Inhalt wegen vermeintlicher Urheberrechtsverletzung gesperrt wird, bloß weil dem Meldenden die Berechtigung unbekannt war? Hinzu kommt freilich die Gefahr missbräuchlicher Meldungen. 2. Rechtswidrige vs. schädliche Inhalte Angelegt sind das Sperren des Zugangs zu rechtswidrigen Inhalten oder 41 das Löschen einzelner Beiträge im bisherigen Recht in der e-Commerce Richtlinie. Anknüpfungspunkt ist danach die Rechtswidrigkeit des Inhalts. Nach dem Verordnungsentwurf soll klargestellt sein: Die Rechtmäßigkeit von Inhalten bemisst sich an nationalem Recht und am Unionsrecht. Doch längst ist klar, dass sehr große Plattformen wie soziale Medien und Marktplätze faktisch eine enorme gesellschaftspolitische und wirtschaftliche Macht ausüben. Angesichts des immens großen Publikums, das einige von ihnen erreichen, liegt es, so ein breiter Konsens, über die Sperrungsverpflichtung für illegale Inhalte hinaus in ihrer Verantwortung, gewisse Gesprächsregeln aufzustellen und durchzusetzen. Nebenbei stehen die Provider auch schon deshalb für die inhaltliche Verantwortlichkeit im Fokus der Rechtspolitik, weil sie sich im Sinne eines „cheapest cost avoider“ als primäre Haftungssubjekte geradezu aufdrängen. Andererseits ist es eben diese faktische Macht in der Meinungsbildung, die bedenklich stimmt: Eine werbefinanzierte Plattform zum Beispiel, deren Geschäftsmodell von Geldgebern aus totalitären Systemen oder mit eigenen fragwürdigen Interessen abhängig ist, kann ihrerseits kein geeigneter Moderator sein. 91

Henrike Weiden

42 Wichtig für die Berechenbarkeit des Gebarens eines Vermittlungsdienstes ist vor allem, dass aus den Nutzungsbedingungen verständlich abzuleiten ist, welche Einschränkungen für das Hochladen von Inhalten gelten. Das muss neben etwaigen inhaltlichen Restriktionen auch Informationen über Verfahren, Maßnahmen und Instrumente der Inhaltskontrolle einschließen (Art. 12 Abs. 1 DSA-E). 43 Über den Umfang und die genaue Ausgestaltung einer rechtlich durchsetzbaren Sorgfaltspflicht lässt sich trefflich streiten. Einerseits ist nicht von der Hand zu weisen, dass erst die Infrastruktur, die von einigen Providern zur Verfügung gestellt wird, einzelnen Meinungen die Schlagkraft verleiht, wie wir sie heute kennen. Andererseits ist das Eis, auf dem sich die IT-Konzerne bei Sperrungen und Löschungen bewegen, hauchdünn. Um die Frage nach einer mittelbaren Grundrechtswirkung (v.a. Meinungs- und Informationsfreiheit, Schutz vor Diskriminierung und unternehmerische Freiheit) und ihr Verhältnis zu einem „virtuellen Hausrecht“ vorgeblich schlicht durch den Gesetzgeber zu beantworten, sieht Art. 12 Abs. 2 DSA-E ausdrücklich vor, dass die transparent offenzulegenden Regeln des jeweiligen Intermediärs über die Moderation der nutzergenerierten Inhalte in einer sorgfältigen, objektiven und angemessenen Art anzuwenden und durchzusetzen sind. Dabei müssen die Rechte und berechtigten Interessen aller Beteiligten einschließlich der Grundrechte der betroffenen Nutzer berücksichtigt werden. 44 Nach Art. 27 DSA-E sollen darüber hinaus die Plattformen, die auf Grund ihrer Reichweite als besonders risikobehaftet für die Verbreitung illegaler Inhalte sind, ausdrücklich risikomindernde Maßnahmen ergreifen, die auch Niederschlag in ihren eigenen Nutzungsbedingungen finden können. Hier kann es also zu einer Vermengung einerseits der Rechtspflicht zu Maßnahmen gegen solche Inhalte kommen, die nationales oder europäisches Recht verletzen, und andererseits der zivilrechtlich begründeten Durchsetzung der eigenen Allgemeinen Geschäftsbedingungen des jeweiligen Dienstes. Das bedeutet auch, dass derselbe Inhalt beim einen Dienst zu sperren ist, während er beim anderen unbehelligt weiterverbreitet werden kann. 45 Bleibt es bei den vorgeschlagenen Vorschriften, dann werden die privaten Betreiber der digitalen Dienste weiterhin durch ihre jeweils eigene unternehmerische Brille bewerten (müssen), was richtig ist und was falsch. Was potenziell schädlich ist, was schlicht mangels Beachtung in der Fülle der Beiträge untergehen wird und deswegen weniger risikobehaftet ist. Was der Verbreitung würdig ist, was ihren eigenen oder allgemeinen Wertungen dagegen widerspricht. Und die öffentlichen Institutionen werden

92

DSA-Verordnungsentwurf

hier und da korrigierend eingreifen, meist aber viel zu spät, um Schäden durch Fehlentscheidungen abzuwenden. VI. Sorgfaltspflichten 1. Know your customer Betreiber einer Online-Plattform haben sicherzustellen, dass der Nutzer 46 sich auch über jeden Unternehmer informieren und ihn kontaktieren kann, der auf ihrer Plattform vertreten ist (Art. 22 DSA-E). Wo Verträge zwischen Unternehmern und Verbrauchern geschlossen werden können, unterziehen die Betreiber die Angaben der Händler jedenfalls einer Plausibilitätsprüfung. Dazu gehören auch angemessene Bemühungen für eine Überprüfung beispielsweise der darzulegenden Angaben über die Eintragung im Handelsregister. Bei fehlenden oder fehlerhaften Angaben müssen die Online-Plattformen den jeweiligen Händler zur Ergänzung oder Korrektur auffordern; ggf. ist der säumige Unternehmer auf der Plattform zu sperren, „bis dieser der Aufforderung nachgekommen ist“ (Art. 22 Abs. 3 DSA-E). 2. Risikoabschätzung und -minimierung Für sehr große Online-Plattformen ist im Kommissionsvorschlag eine 47 jährliche Risikobewertung vorgeschrieben (Art. 26 DSA-E). Die Plattformbetreiber sollen abschätzen, ob mit der Nutzung ihres digitalen Dienstes ein signifikantes systemisches Risiko der Verbreitung illegaler Inhalte, der Verletzung von Grundrechten oder der missbräuchlichen Manipulation der Dienste einhergeht. Ausdrücklich als zu berücksichtigende Schutzgegenstände sind Privatsphäre, Familie, Meinungs- und Informationsfreiheit, Gleichbehandlung, Kinderrechte sowie öffentliche Gesundheit, Minderjährige, gesellschaftlicher Diskurs, Wahlen und öffentliche Sicherheit aufgeführt. Medienvielfalt gehört offenbar aus Sicht der Kommission nicht dazu.15 Zu bewertende Risiken können auf der Art der Werbeeinblendung, auf der Moderation oder auch auf einem bestimmten Einsatz von Nutzerempfehlungen bzw. kuratierten Inhalten beruhen. Daneben kann sich ein solches Risiko nach dem Verordnungsentwurf aber auch in einer Verletzung der Nutzungsbedingungen des jeweiligen Dienstes realisieren, wenn Informationen verbreitet werden, die mit diesen Bedingungen nicht vereinbar sind. 15 Anders in Art. 85 Abs. 2 DSGVO, nach dem die Mitgliedstaaten für die Verarbeitung personenbezogener Daten zu journalistischen Zwecken Ausnahmevorschriften vorsehen können.

93

Henrike Weiden

48 Eine Maßnahme zur Eindämmung der identifizierten Risiken betrifft die Reaktion auf Meldungen von so genannten vertrauenswürdigen Hinweisgebern (Trusted Flaggers), deren Meldungen von sämtlichen Online-Plattformen bevorzugt zu bearbeiten sind. Den Status als ein solcher Trusted Flagger erlangt eine Stelle, die sich auf Grund einschlägiger Expertise als besonders kompetent im Aufspüren und Benennen rechtsverletzender Inhalte empfohlen hat und vom nationalen Koordinator für digitale Dienste (Art. 38 DSA-E) als qualifiziert bestätigter Hinweisgeber anerkannt wird. Trusted Flaggers müssen Gemeinwohlinteressen vertreten und von Online-Plattformen unabhängig sein. Sie haben ihre Aufgabe sorgfältig, objektiv und zeitnah zu erfüllen. Die vom Digitale Dienste-Koordinator anerkannten Stellen werden in einer öffentlich zugänglichen Datenbank bei der EU-Kommission geführt. 49 Als eine unmittelbare Art der Risikominimierung durch sehr große Plattformen ist im Verordnungsentwurf ferner vorgesehen, schädliche Werbung in Verbindung mit den Angeboten, die durch sie gefördert werden sollen, gar nicht einzublenden. 50 An dieser Stelle wird den erheblichen Unterschieden zwischen den Leistungen und Eingriffsmöglichkeiten digitaler Dienste Rechnung getragen. So sind die nach der Digitale Dienste Verordnung zu minimierenden Risiken natürlich beim führenden sozialen Netzwerk ungleich höher als etwa bei einem vom DSA erfassten Cloud-Anbieter, der in aller Regel keinerlei Eingriffs- und Steuerungsmöglichkeiten hinsichtlich der von seinen Kunden hochgeladenen Inhalte hat und haben darf. 3. Notice and Action 51 Eine Verpflichtung zur allgemeinen Content-Überwachung insbesondere durch Filtertechniken, die schon das Hochladen bestimmter Inhalte verhindern, soll weiterhin grundsätzlich verboten sein. Aber es steht den Unternehmen natürlich frei, höhere Sorgfaltsmaßstäbe anzusetzen als vorgeschrieben. Sie könnten deshalb der Gefahr, ihre Haftungsprivilegierung etwa durch eine zu lange Reaktionszeit auf Beschwerden zu verlieren, durch entsprechende Uploadfilter vorbeugen (die sie möglicherweise auch z. B. schon aus urheberrechtlichen Gründen oder zur Eindämmung von Kindesmissbrauch oder von Terrorpropaganda anwenden16). Daneben werden die Konkretisierungen des Verbots einer allgemeinen Prüf- und Überwachungspflicht in der Rechtsprechung des Europäischen Gerichts-

16 Solch spezifische Verpflichtungen bleiben von der Digitale Dienste Verordnung unberührt, ErwGrd 30 DSA-E.

94

DSA-Verordnungsentwurf

hofs17 und des Bundesgerichtshofs18 nach der Übernahme der Haftungsprivilegierungen in die Digitale Dienste Verordnung weiter zu berücksichtigen sein. Besonders das automatisierte Filtern von nutzergenerierten Inhalten 52 wird von den Usern im Allgemeinen sehr kritisch gesehen, wie die hitzige Debatte um Uploadfilter zum Schutz des Urheberrechts im Vorfeld der jüngsten EU-Urheberrechtsreform gezeigt hat. Für die Fälle, wo die DSA-Verordnung und auch die Vorgaben der Urheberrechtsrichtlinie anzuwenden sind, räumen Art. 1 Abs. 5 lit. c und Erwägungsgrund 11 DSA-E dem Urheberrecht einen Anwendungsvorrang ein, was dem an sich unveränderten Verbot einer allgemeinen Inhaltsüberwachung freilich einiges an Schlagkraft nimmt. Verbindlich fortgeschrieben ist jedoch das Entfernen rechtswidriger 53 Inhalte, die Nutzer hochgeladen haben. Hier stehen die Vermittlungsdienste weiterhin in der Verantwortung, ab Kenntnis des Vorhandenseins eines rechtsverletzenden Inhalts diesen unverzüglich, ggf. geografisch beschränkt, zu sperren oder zu entfernen. Sie haben die betroffenen Nutzer in Zukunft so präzise und spezifisch wie möglich darüber zu informieren, dass und aus welchen Gründen der Inhalt gesperrt wird. Diese Mitteilung muss spätestens zeitgleich zur Sperrung ergehen und in einer öffentlich zugänglichen Datenbank einsehbar gemacht werden (Notice-and-Action). Zudem wird die Verordnung Anforderungen an den Inhalt der Meldungen vorgeben, wofür der Hosting-Diensteanbieter selbst verantwortlich ist; er muss hinreichend genaue und angemessen begründete Meldungen „erleichtern“ (Art. 14 Abs. 2 DSA-E). Wiederholungstätern müssen (nur) Plattform-Betreiber nach einer vor- 54 herigen Abmahnung den Zugang zu dem Dienst vorübergehend sperren (Art. 20 Abs. 1 DSA-E). Eine solche Verpflichtung erinnert wie die konkreten Anforderungen an die Meldungen von Rechtsverstößen an den amerikanischen Digital Millenium Copyright Act (DMCA). Sie wird von Internetgiganten wie YouTube seit langem durch die so genannte 3-Strikes-Regel umgesetzt. Die bringt zwar eine gewisse Berechenbarkeit, ab wann wiederholte (vermeintliche) Rechtsverletzungen durch Account-Sperren geahndet werden. In der Praxis sorgt aber auch die Um-

17 EuGH v. 12.7.2011 – C-324/09, L’Oréal/ebay zu „Notice-and-Stay down“ auf Grund Immaterialgüterrechts, Art. 11 Satz 3 RL 2004/48/EG (Richtlinie zur Durchsetzung der Rechte des geistigen Eigentums). 18 Grundlegend BGH v. 11.3.2004 – I ZR 304/01, GRUR 2004, 860 – Internet-Versteigerung I; aber auch BGH v. 22.7.2010 – I ZR 139/08, GRUR 2011, 152 – Kinderhochstühle im Internet.

95

Henrike Weiden

setzung dieser Regel immer wieder für Unmut bei den gesperrten Nutzern. Denn die eingesetzten Filtersysteme arbeiten freilich kontextunabhängig und nicht fehlerfrei, und eine Kontensperrung kann erheblichen wirtschaftlichen oder ideellen Schaden anrichten. 55 Bisher war in der e-Commerce Richtlinie der Gedanke tragend, dass in ihren Rechten Verletzte selbst die Plattformen über ihrer Ansicht nach rechtswidrige Inhalte in Kenntnis setzen. Nach dem deutschen Netzwerkdurchsetzungsgesetz besteht eine Löschpflicht unabhängig von einer entsprechenden Meldung. Der DSA-Entwurf vereint beides. Unverändert können Betroffene durch Meldungen über rechtswidrige Inhalte die Plattformbetreiber zum Handeln veranlassen. Auch die Durchsetzung der zivilrechtlichen Störerhaftung mit dem Ziel der Löschung von Beiträgen setzt voraus, dass der Berechtigte diesen Anspruch geltend macht. Inwieweit daneben und neben die Rechtspflicht zum Tätigwerden auf Grund behördlicher oder gerichtlicher Anordnung für sehr große Online-Plattformen eine rechtliche Verpflichtung zum Tätigwerden zur Durchsetzung der eigenen Nutzungsbedingungen tritt, ist im Zusammenhang mit den Vorschriften über die Sorgfaltspflicht der Risikominimierung zu sehen (vgl. Abschnitt V.2, Rz. 49 ff.). 4. Effektiver Rechtsschutz gegen Overblocking 56 Bei der Verpflichtung zu Notice-and-Action geht es nicht nur um Vorhersehbarkeit und Fairness, sondern auch um Überprüfungsmechanismen und Abhilfe bei Fehlentscheidungen. Neu ist, dass für Einsprüche im Zusammenhang mit der Moderation von nutzergenerierten Inhalten, also bei gelöschten Beiträgen, gesperrten Konten usw., konkrete Vorgaben für die Entgegennahme von Beschwerden gemacht werden. Betreiber von Online-Plattformen, die keine kleinen oder Kleinstunternehmer sind, müssen gem. Art. 17 DSA-E ein nutzerfreundliches internes Beschwerdemanagement-System vorhalten, in dem sie zeitnah die erhobenen Einsprüche abarbeiten. Das System darf nicht ausschließlich automatisiert betrieben werden, die Entscheidung über eine Beschwerde muss also jedenfalls auch durch eine Person ergehen. 57 Ergänzend zum internen Beschwerdesystem steht den Nutzern für ihre Einsprüche auch der Weg in die außergerichtliche Streitbeilegung vor zertifizierten Schiedsstellen (oder in die gerichtliche Auseinandersetzung) offen, wenn sie sich gegen eine Sperrung oder Löschung oder auch gegen eine Entscheidung über eine Beschwerde darüber wehren wollen. 58 Effektiver Schutz vor unberechtigten Sperren von Inhalten oder Nutzerkonten wird immer auch entscheidend von den zeitlichen Abläufen 96

DSA-Verordnungsentwurf

abhängen. Der Verordnungsentwurf bleibt bei den zeitlichen Vorgaben für das Beschwerdemanagement jedoch vage.19 Selbst die internen Reinigungsmechanismen, die teils von den US-Tech-Konzernen eingesetzt werden20, arbeiten so langsam, dass ein effektives Absichern der Grundfreiheiten der Nutzer auf diesem Wege kaum zu gewährleisten ist. Bei Facebook etwa ist die Rede von drei Monaten, binnen derer das zuständige Gremium entscheiden soll, ob eine vorübergehende Sperrung eines Accounts Bestand haben soll. Das Verfahren dafür sieht eine Vorabbefassung durch ein fünfköpfiges Untergremium sowie die Möglichkeit der Stellungnahme des Accountinhabers vor. VII. Aufsicht und Sanktionen Der Verordnungsentwurf schreibt neue behördliche Aufsichtsstrukturen 59 mit unmittelbaren Untersuchungs- und Durchsetzungsbefugnissen vor, wie es beispielsweise das Bundeskartellamt für den Verbraucherschutz bisher erfolglos für sich immer wieder einfordert. Eine ihrer zuständigen Behörden für die Anwendung und Durchsetzung der Verordnung sollen die Mitgliedstaaten als so genannten Koordinator für digitale Dienste einsetzen, Art. 38 ff. DSA-E. Dieser soll auf nationaler Ebene eine einheitliche Anwendung der Verordnung sicherstellen und der Vernetzung der Mitgliedstaaten untereinander dienen. Teils sind konkrete Meldepflichten der Koordinatoren untereinander vorgesehen. Außerdem soll ein neues Europäisches Gremium für digitale Dienste 60 ähnlich wie der Europäische Datenschutzausschuss nach der DSGVO als unabhängige Beratergruppe der Koordinatoren für digitale Dienste die Einheitlichkeit der Rechtsanwendung im Binnenmarkt gewährleisten (Art. 47 ff. DSA-E). Für sich selbst sieht die Kommission in ihrem Entwurf ebenfalls Überwachungsaufgaben und Sanktionsbefugnisse vor. Mit solchen unmittelbaren Durchgriffsrechten hatte sich die Kommission im legislativen Prozess zum Erlass der DSGVO allerdings nicht durchsetzen können.

19 „Online-Plattformen bearbeiten Beschwerden, die über ihr internes Beschwerdemanagementsystem eingereicht werden, zeitnah, sorgfältig und in objektiver Weise.“, Art. 17 Abs. 3 DSA-E. 20 Facebook unterhält mit einem zwanzigköpfigen Entscheidungsgremium aus externen Politikern, Wissenschaftlern, Menschenrechtlern etc. eine Art Parallelgerichtsbarkeit mit für das Unternehmen verbindlicher Entscheidungsbefugnis. In dieses Aufsichtsgremium hat der Konzern die Revision von Moderationsentscheidungen von besonderer Tragweite ausgelagert.

97

Henrike Weiden

61 Auch im Hinblick auf die Sanktionen bei Verstößen gegen die künftige Verordnung sind Parallelen zur DSGVO nicht zu verkennen. Dort sind die Vorgaben längst Grundlage für teils sehr abschreckende, aber auch in den Mitgliedstaaten sehr unterschiedlich hoch bemessene Bußgelder. Ob die Obergrenze für eine Geldbuße von bis zu 6 % des Jahresumsatzes wie in der DSGVO21 auf den weltweiten Umsatz des vorangegangenen Geschäftsjahres bezogen sein soll oder „bloß“ für den jeweiligen Mitgliedstaat zu bestimmen ist, wird noch festzulegen sein. Bei den führenden US-Tech-Konzernen, die durch die Vorschriften über sehr große Online-Plattformen primär erfasst werden sollen, würde das freilich einen spürbaren Unterschied im Bußgeldrahmen ausmachen. VIII. Fazit 62 Das künftige Digitale Dienste Gesetz hatte vor der Veröffentlichung des Kommissionsentwurfs in einschlägigen Medien schon unter dem Titel „Plattformgrundgesetz“ firmiert. Doch da die Kommission sich dazu entschlossen hat, nicht nur die Kernvorschriften über die Haftungsprivilegierung und über das Verbot der Verpflichtung zur Inhalteüberwachung aus der e-Commerce Richtlinie nahezu unverändert in die neue Verordnung zu übernehmen, sondern auch die bisherige Rechtslage durch Fortgeltung der e-Commerce Richtlinie im Übrigen in weiten Teilen unangetastet zu lassen, werden sich die Änderungen weniger radikal auswirken als gehofft oder befürchtet. Die Reform wird grundlegend, aber nicht grundstürzend. Das entspricht dem vordringlichen Regelungsziel einer weiter fortschreitenden Harmonisierung der Rechtslage im Binnenmarkt. Die Mitgliedstaaten mit ihren zunehmenden rechtspolitischen Alleingängen, allen voran die Bundesrepublik, sollen eingehegt werden. Für Unternehmen und Internetnutzer will die Kommission Berechenbarkeit, Einfachheit und Rechtssicherheit herstellen, die in der EU auftretenden Anbieter sollen sich auch im Sinne der Netzhygiene an einheitliche Spielregeln halten müssen. Das soll zugleich bestehende Wettbewerbsnachteile europäischer Anbieter mildern und europäischen Nutzern so den Weg zu digitalen Angeboten aus dem Binnenmarkt erleichtern. 63 Die Einzelheiten des Entwurfs werden unter Beteiligung einer breiten Öffentlichkeit und schlagkräftig agierender Wirtschaftskräfte diskutiert. Doch die großen Linien des Verordnungsentwurfs versprechen, und das bestätigen erste Reaktionen aus den unterschiedlichen Lagern, eine 21 Dort geht der Bußgeldrahmen bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes im dem Verstoß vorangegangenen Geschäftsjahr.

98

DSA-Verordnungsentwurf

konstruktive Debatte, die nicht das Ob, sondern das Wie der Reform weiter ausgestaltet. Angesichts der vorgesehenen kurzen Frist für das Inkrafttreten der Digi- 64 tale Dienste Verordnung (20 Tage nach Veröffentlichung im Amtsblatt der EU) und für ihre Anwendbarkeit (drei Monate nach dem Inkrafttreten) tun die betroffenen Betreiber digitaler Dienste gut daran, parallel zu der laufenden rechtspolitischen Debatte ihre Vorbereitungen für die Umsetzung der teils nicht eben trivialen Anforderungen zu treffen. Das wird besonders anspruchsvoll für im Wachstum begriffene Anbieter, solange noch keine für sie erschwinglichen Standards für die Implementierung der erforderlichen technischen Vorkehrungen verfügbar sind.

99

Bekämpfung von Fake-Bewertungen im Internet Lieselotte Locher* I. Einführung II. Funktionsweise von Nutzerbewertungssystemen III. Kategorisierung von Fakes

1 5 10

IV. Lösungsansätze 16 1. Verbesserte Durchsetzung bestehender Rechtsvorschriften 18 2. Verschiebung von Anreizen durch Schaffung einer rechtskonformen Alternative 22 V. Ausblick

30

Literatur: Bundeskartellamt, Sektoruntersuchung Nutzerbewertungen, Bericht, Oktober 2020, abrufbar unter https://www.bundeskartellamt.de/SharedDocs/ Publikation/DE/Sektoruntersuchungen/Sektoruntersuchung_Nutzerbewertungen_Bericht.html; Bundeskartellamt, Fallbericht vom 17.7.2019: Amazon ändert weltweit seine Geschäftsbedingungen für Händler auf seinen Marktplätzen – Bundeskartellamt stellt Missbrauchsverfahren ein, Juli 2019, abrufbar unter https:// www.bundeskartellamt.de/SharedDocs/Entscheidung/DE/Fallberichte/Missbrauchsaufsicht/2019/B2-88-18.pdf?__blob=publicationFile&v=4; Fehr/Gächter, Fairness and Retaliation: The Economics of Reciprocity, Journal of Economic Perspectives, 2000, Band 14, S. 159–181; Köcher/Köcher, Should We Reach for the Stars? Examining the Convergence Between Online Product Ratings and Objective Product Quality and Their Impacts on Sales Performance, Journal of Marketing Behavior, 3 (2), 167–183, 2018.; Luca, Reviews, Reputation, and Revenue: The Case of Yelp.com, Harvard Business School Working Paper 12–016.; Rosario/ Sotgiu/de Valck/Bijmolt, The Effect of Electronic Word of Mouth on Sales: A Meta-Analytic Review of Platform, Product, and Metric Factors, Journal of Marketing Research, Band 53, Ausgabe 3, S. 297–318, 2016; Specht-Riemenschneider/ Dehmel/Kenning/Liedtke/Micklitz/Scharioth, Grundlegung einer verbrauchergerechten Regulierung interaktionsmittelnder Plattformfunktionalitäten. Veröffentlichungen des Sachverständigenrats für Verbraucherfragen. Berlin: Sachverständigenrat für Verbraucherfragen, 2020.

I. Einführung Fast alle Portale im Internet, auf denen verkauft, vermittelt oder vergli- 1 chen werden kann, bieten ihren Nutzern die Möglichkeit, Bewertungen zu verfassen und zu lesen. Diese Bewertungen sind äußerst beliebt und *

Dr. Lieselotte Locher, Berichterstatterin im Bundeskartellamt. Der Beitrag stellt die persönliche Meinung der Autorin und keine offizielle Äußerung des Bundeskartellamts dar.

101

Lieselotte Locher

einflussreich und damit schon längst zu einem wichtigen Marketinginstrument geworden. Zahlreiche Studien aus der Marketingliteratur belegen, dass Angebote mit besseren und mit mehr Bewertungen eher ausgewählt werden. Anbieter können demnach mit diesen Angeboten einen höheren Umsatz erzielen. 2 Der Herdeneffekt macht es neuen Anbietern allerdings schwer, Fuß zu fassen. Denn bei zwei ansonsten gleichwertigen Angeboten entscheidet sich die große Mehrheit der Nutzer für das Angebot, welches mehr Bewertungen aufweist. Umgekehrt können kleine, unbekannte Anbieter durch positive Bewertungen Vertrauen schaffen und damit Kunden gewinnen. So haben z. B. durch das Auftreten des Bewertungsportals Yelp in US-amerikanischen Städten in den 2000ern kleine, inhabergeführte Restaurants ihren Marktanteil gegenüber Restaurantketten erhöhen können. 3 Verbraucherbewertung sind aus Sicht vieler Nutzer neben der klassischen Werbung und neutralen Bewertungen durch Dritte wie z. B. Stiftung Warentest eine dritte Möglichkeit, Informationen über ein Produkt zu erhalten. Der geringe Zusammenhang zwischen den Bewertungen von Produkten durch Verbraucher und durch Stiftung Warentest könnte zwar ein Hinweis auf gefälschte Verbraucherbewertungen sein, zeigt aber wohl in erster Linie, dass es sich um komplementäre Informationen handelt. 4 Dieser Beitrag zeigt zunächst die Funktionsweise von Bewertungssystemen auf, wie sie von einer Vielzahl von Portalen genutzt werden, und geht dabei auch auf die verschiedenen Formen der Überprüfung von Bewertung mittels manueller und automatisierter Filtermethoden ein (Abschnitt II). Aufgrund der großen Bedeutung von Nutzerbewertungen für den Erfolg von Anbietern im Internet haben sich schon bald Praktiken entwickelt, Nutzerbewertungen zu optimieren, d.h. auf verschiedenste Art und Weise die Zahl (positiver) Bewertungen auf relevanten Seiten zu erhöhen. Eine ganze Reihe dieser Praktiken verstößt gegen Vorschriften des Lauterkeitsrechts. Diese Bewertungen werden im Folgenden als „Fake“-Bewertungen bezeichnet. Allen Fake-Bewertungen gemeinsam ist, dass die Umstände, unter denen sie zustande kommen, gegenüber dem Leser nicht offengelegt werden, so dass ein lauterkeitsrechtlicher Transparenzpflichtverstoß vorliegt. Zu den verschiedenen Formen von Fakes gibt es bereits eine umfassende, wenn auch nicht immer veröffentlichte Rechtsprechung, die das Bundeskartellamt in seiner Sektoruntersuchung gesammelt und im abschließenden Bericht gewürdigt hat. Eine weitere Kategorie gerichtlicher Auseinandersetzungen im Zusammenhang mit Bewertungen betrifft das Spannungsfeld zwischen dem 102

Bekämpfung von Fake-Bewertungen im Internet

Schutz von Persönlichkeitsrechten und dem Recht auf freie Meinungsäußerung. Dies spielt z. B. bei Bewertungen von Ärzten eine Rolle. Dieses Themenfeld ist jedoch nicht Gegenstand des vorliegenden Beitrags, der sich auf lauterkeitsrechtliche Verstöße konzentriert. Diese werden anhand der verschiedenen Formen des Zustandekommens kategorisiert. (Abschnitt III). Eine solche Kategorisierung ist notwendig, um zielgerichtete Maßnahmen gegen Fake-Bewertungen diskutieren zu können, die den Anteil gefälschter Bewertungen verringern könnten (Abschnitt IV). Der Beitrag schließt mit einem Ausblick (Abschnitt V). II. Funktionsweise von Nutzerbewertungssystemen Der Betrieb eines Nutzerbewertungssystems lässt sich grob in drei Berei- 5 che unterteilen, die Erfassung, Filterung und Darstellung. Die Durchführung der drei Bereiche bei deutschen Portalen, die Nutzerbewertungen anzeigen, wurde im Rahmen der Sektoruntersuchung Nutzerbewertungen mittels einer schriftlichen Befragung umfassend erhoben. Die meisten der Befragten betreiben selbst ein Nutzerbewertungssystem. Nur einige Online-Händler haben den Betrieb eines solchen Systems ausgelagert, die meisten an das US-amerikanische Unternehmen Bazaarvoice, einen der weltweit führenden Anbieter in diesem Bereich. Europäische Anbieter in dem Bereich sind eKomi oder Trustpilot, wobei der Schwerpunkt der Geschäftstätigkeit von eKomi eher im Bereich der Absicherung von Transaktionen im Internet liegt und Trustpilot auch selbst eine Bewertungsplattform anbietet. Bei der Erfassung müssen Bewertungssysteme den Spagat zwischen einer 6 möglichst geringen Hürde zur Bewertungsabgabe und dem Verhindern von Missbrauch bewältigen. Um Mehrfachbewertungen und andere Formen von Fehlverhalten zu verhindern, müssen sich Nutzer bei vielen Systemen registrieren, bevor eine Bewertung erfolgen kann. In den meisten Fällen ist es nicht möglich, nur eine Sternebewertung abzugeben, sondern es muss darüber hinaus ein Text verfasst werden. Einige Systeme haben Filter, die die Abgabe einer Bewertung nicht zulassen, wenn die Bewertung bestimmte Worte enthält, die in einem Programm hinterlegt sind. Es handelt sich dabei quasi um eine vorgezogene Filterung, die z. B. Bazaarvoice verwendet. Ein Portal verlangt gezielt dann, wenn ein Verdacht auf eine Mehrfachbewertung vorliegt, über die E-Mail-Adresse hinaus eine Authentifizierung per SMS. Auf der anderen Seite haben Portale und Anbieter allerdings ein starkes Interesse an vielen Bewertungen und versuchen deshalb auf vielfältige Art und Weise, Nutzer zur Abgabe von Bewertungen zu motivieren. Dazu gehören verschiedene „Anstupser“ (Nudging) wie z. B. Erinnerungen zur Bewertungsabgabe 103

Lieselotte Locher

per E-Mail oder über Push-up-Nachrichten, die Ausgestaltung der Bewertungsabgabe als Spiel mit virtuellen Belohnungen („Gamification“) und schließlich monetäre Anreize wie kleine Geldbeträge, Gutscheine oder die Teilnahme an einem Gewinnspiel. Wo die rechtlichen Grenzen solcher monetären Anreize sind, über die die Leser der Bewertungen in aller Regel nicht informiert werden, ist offen. Als Richtschnur wird dabei von den Marktteilnehmern häufig die BGH-Entscheidung „Zugabenbündel“ herangezogen. Die Entscheidung stammt allerdings aus dem Jahr 2002, also noch aus den Anfängen des eCommerce. Ungeeignet erscheint sie in dem Zusammenhang außerdem, weil sie einen anders gelagerten Sachverhalt betrifft, nämlich eine mögliche Umgehung eines regulierten Preises durch Zugaben. Im Bereich der Buchpreisbindung gibt es aktuellere Entscheidungen zu diesem Thema, das aber ohnehin nur sehr eingeschränkt geeignet erscheint, um über die Frage zu entscheiden, ab welcher Höhe eines Anreizes die Transparenzvorschriften des UWG als missachtet anzusehen sind. 7 Echte Produkttests, bei denen das zu bewertende Produkt einem Produkttester umsonst oder stark rabattiert überlassen wird, stellen im Markt derzeit eine Ausnahme dar. Ein derartiges Produkttesterprogramm betreibt Amazon mit Amazon Vine. Amazon Vine wurde 2007 in den USA und in Großbritannien eingeführt, 2010 in Deutschland. Die Produkttester sind dabei nach Angaben von Amazon Personen, die sich durch zahlreiche, von anderen Nutzern als hilfreich bezeichnete Bewertungen als Tester empfohlen haben und von Amazon dazu eingeladen werden, bestimmte Produkte zu testen. Neben den hohen Kosten für die Teilnahme an dem Programm wurde insbesondere kritisiert, dass die Teilnahme auf so genannte Vendoren beschränkt war, d.h. Hersteller, die ihre Produkte über Amazon Retail selbst verkaufen. Drittmarkthändler, die auf Amazon Marketplace ihre Waren anbieten, sind derzeit noch von der Teilnahme ausgeschlossen. Amazon hat dies auf Betreiben des Bundeskartellamts hin inzwischen geändert. 8 Vor der Veröffentlichung durchlaufen Bewertungen in der Regel einen Filterprozess. Die Filterung erfolgt teilweise rein manuell, häufig werden manuelle Kontrollen durch eine automatisierte Vorsortierung ergänzt. Quasi alle Portale setzten Wortfilter ein, um die Veröffentlichung von Schimpfwörtern, Diskriminierungen, personenbezogenen Daten sowie Werbung für Wettbewerber zu verhindern. Zum Aufdecken von Fake-Bewertungen sind solche Wortfilter allerdings nicht geeignet, und die meisten Portale verlassen sich darauf, derartige Bewertungen im Rahmen der manuellen Überprüfung aufzudecken. Einige wenige Portale sind hier allerdings schon weiter und setzen komplexere Filter ein, bei denen durch

104

Bekämpfung von Fake-Bewertungen im Internet

eine Analyse von Metadaten der Bewertungsabgabe (Gerät, Standort, Zeitpunkt) und die Kombination von Daten Hinweise auf Fälschungen identifiziert werden können, die dann in der Regel manuell überprüft werden. Darüber hinaus bieten einige Portale Nutzern die Möglichkeit, Bewertungen als kritisch zu melden; diese werden dann ebenfalls einer besonders kritischen Überprüfung unterzogen und lösen bei vielen Portalen den gerichtlich bestätigten Notice-and-take-down-Prozess aus. Die Darstellung von Bewertungen erfolgt in der Regel auf den Angebots- 9 detailseiten, auf der auch alle Rezensionstexte vollständig zu finden sind. Darüber hinaus erfolgt, wesentlich einflussreicher, in der Regel eine Zusammenfassung der Sternbewertung an prominenter Stelle direkt bei den Suchergebnissen auf einer Seite. Dem Einfluss dieser eingängigen Form einer Bewertung können sich auch Nutzer, die keinen Wert auf Bewertungen anderer legen, kaum entziehen. Darüber hinaus beeinflussen Bewertungen auf manchen Portalen die Reihenfolge von Suchergebnissen. III. Kategorisierung von Fakes Insgesamt werden nach den Ermittlungen in der Sektoruntersuchung 10 Nutzerbewertungen 5 % bis 10 % aller abgegebenen Bewertungen nicht veröffentlicht. Gerade Portale, deren Bewertungen aufgrund der Reichweite des Portals von großer wirtschaftlicher Bedeutung für Anbieter sind, sind teilweise schon sehr aktiv, Fake-Bewertungen zu identifizieren und in verschiedenster Art und Weise dagegen vorzugehen. Nicht immer sind sie dabei erfolgreich. Die folgende Abbildung zeigt eine Kategorisierung von Bewertungen, wie sie auf den Portalen zu finden sind, wobei die farblichen Markierungen (grün, hellgrün, rot, hellrot) erste Hinweise auf die Konformität der entsprechenden Bewertungen mit den Vorschriften des UWG geben.

105

Lieselotte Locher

11

Abbildung 1: Klassifizierung von Bewertungen in Bewertungssystemen

12 Nicht-authentische Bewertungen sind Bewertungen, bei denen der Verfasser das bewertete Produkt selbst gar nicht verwendet hat. Solche Bewertungen treten vor allem im Dienstleistungsbereich z. B. bei Hotelund Restaurantbewertungen auf. Der „Verfasser“ der Bewertung stellt dabei z. B. Texte und Bilder ein, die ihm vom Vermittler der Bewertung zur Verfügung gestellt werden. Nicht-authentische Bewertungen stellen 106

Bekämpfung von Fake-Bewertungen im Internet

in rechtlicher Hinsicht einen Verstoß zumindest gegen § 5 Abs. 1 Nr. 1 bzw. § 5a Abs. 6 UWG dar. Einige Portale gehen aktiv gegen von ihnen identifizierte Vermittler nicht-authentischer Bewertungen auf ihrem Portal zivilrechtlich vor. Entsprechend untersagte das LG Berlin in seiner einstweiligen Verfügung einem Vermittler, der Bewertungen auf Holidaycheck anbot, die Veröffentlichung bzw. das Veranlassen der Veröffentlichung von Bewertungen. Das Gericht sah als erwiesen an, dass die Verfasser der Bewertungen überhaupt nicht Gast in dem mit Bestnote bewerteten Beherbergungsbetrieb gewesen waren. Das LG Hamburg sah in einem ähnlich gelagerten Fall im Angebot eines Bewertungsvermittlers, auf Mobile.de tätigen Händlern positive und, wie sich aus den Entscheidungsgründen ergibt, nicht-authentische Bewertungen zu vermitteln, eine unlautere geschäftliche Handlung im Sinne von § 3 Abs. 1 UWG. Das Angebot sei darauf ausgerichtet, Verbraucher irrezuführen. Verdeckte Produkttest-Bewertungen sind Bewertungen, bei denen ein 13 Tester eine Bewertung eines von ihm getesteten Produkts unbeeinflusst verfasst, dafür aber eine monetäre Gegenleistung erhält. Sofern dieser Anreiz für den Verbraucher kenntlich gemacht wird, sind derartige Bewertungen rechtlich zulässig. Falls die Kennzeichnung fehlt, liegt ein Verstoß jedenfalls gegen § 5 Abs. 1 Nr. 1 bzw. § 5a Abs. 6 UWG vor. Nicht gekennzeichnete Produkttests können außerdem als verdeckte Werbung (§ 5a Abs. 6 UWG) angesehen werden. In diesem Bereich existiert inzwischen eine umfangreiche Rechtsprechung. Die meisten Entscheidungen sind allerdings von den Gerichten nicht veröffentlicht worden. Verbunden ist der verdeckte Produkttest häufig mit dem Vorwurf der manipulierten Bewertung, bei der der Verfasser mehr oder weniger explizit aufgefordert wird, unabhängig von seinem persönlichen Eindruck eine positive Bewertung abzugeben. So werden teilweise die Kosten für den Kauf des zu testenden Produktes erst nach Abgabe einer Bewertung mit fünf Sternen erstattet. Wie in den anderen Kategorien von Fake-Bewertungen waren auch hier Portale, die Vermittler derartiger Bewertungen vor Gericht verklagten, soweit nachvollziehbar durchgängig erfolgreich. Bei verdeckt incentivierten Bewertungen werden Verbraucher, die ein 14 Produkt oder eine Dienstleistung ohnehin bereits in Anspruch genommen haben, mittels einer Belohnung dazu motiviert, eine Bewertung abzugeben. Ein derartiger Anreiz kann die Teilnahme an einem Gewinnspiel sein: Werden Nutzer für die Abgabe von Bewertungen, Likes u. a. auf sozialen Netzwerken mit der Teilnahme an einem Gewinnspiel belohnt, erhöht sich die Zahl der Bewertungen für dieses Produkt. Wenn der Grund dafür, das Gewinnspiel, nicht ohne weiteres erkennbar ist, liegt eine Irreführung vor. Anreize führen im Durchschnitt, das zeigen

107

Lieselotte Locher

Laborexperimente von Verhaltensökonomen, nicht nur zu mehr, sondern auch zu besseren Bewertungen, weil viele Verbraucher sich positiv reziprok verhalten, d.h. für die (unentgeltliche) Belohnung etwas zurückgeben möchten, und dies in Form einer wohlwollenden Bewertung durchführen. Es herrscht weitgehend Einigkeit darüber, dass geldwerte Vorteile in sehr geringem Umfang noch keine Verzerrung bewirken, und erst ab einer gewissen Höhe eine Kennzeichnung notwendig ist. Die „gewisse Höhe“ ist allerdings unklar. In der Sektoruntersuchung haben verschiedene Marktteilnehmer bei diesem Thema angegeben, sich an dem Urteil „Zugabenbündel“ des Bundesgerichtshofs zu orientieren, das allerdings einen möglichen Verstoß gegen die ZugabeVO bei Arzneimitteln zu prüfen hatte und insofern hier nur bedingt passend erscheint. 15 Asymmetrisch selektierte Bewertungen nehmen hier eine Sonderstellung ein, weil in dieser Konstellation jede Bewertung für sich genommen keinen Verstoß darstellt, aber die Zusammensetzung der Bewertungen durch die Art der Selektion von Bewertungen einen verzerrten und damit irreführenden Eindruck vermitteln kann. IV. Lösungsansätze 16 Die Liste an Gerichtsentscheidungen, die für jede der verschiedenen Formen von Fake-Bewertungen deren Unvereinbarkeit mit dem Lauterkeitsrecht bestätigt, belegt eindrucksvoll, dass de lege ferenda in Bezug auf Nutzerbewertungen zumindest direkt kein Handlungsbedarf besteht. Mit der Umsetzung der neuesten diesbezüglichen EU-Richtlinie dürfte eine Durchsetzung sogar noch einfacher werden, da die Liste der unlauteren Geschäftspraktiken des Anhang I u. a. um zwei Vorschriften zu FakeBewertungen ergänzt wird (Nr. 23b und 23c). Vor diesem Hintergrund stellt sich umso dringlicher die Frage, welche Maßnahmen wirksam die Anzahl von Fake-Bewertungen wirksam verringern könnten. Ziel kann es dabei nicht sein, dass insgesamt weniger Bewertungen auf Webseiten gezeigt werden, denn trotz ihres teilweise zweifelhaften Rufs erfreuen sich Bewertungen immer noch einer großen Beliebtheit. Sie werden gelesen, und sie beeinflussen Kaufentscheidungen der Verbraucher. Vielmehr muss der Anteil an Fake-Bewertungen reduziert werden, ohne dass dies auf Kosten der Anzahl der insgesamt angezeigten Bewertungen geht. 17 Der Beitrag setzt bei der Bekämpfung von Fake-Bewertungen an zwei Stellen an. Zunächst wird diskutiert, welche Maßnahmen von rechtlicher Seite ergriffen werden müssten, um die Durchsetzung existierender verbraucherrechtlicher Vorschriften noch zu verbessern. Anschließend wird vorgeschlagen, durch die Einführung bezahlter, gekennzeichneter 108

Bekämpfung von Fake-Bewertungen im Internet

Bewertungen eine rechtskonforme Alternative für Fake-Bewertungen zu schaffen und damit die Anreize für Fälschungen zu reduzieren. 1. Verbesserte Durchsetzung bestehender Rechtsvorschriften Es ist der Rechtsdurchsetzung immanent, dass sie sich auf eine Ex-post- 18 Betrachtung von Einzelfällen beschränkt. Die Gerichte, die sich mit Nutzerbewertungen befassen, entscheiden über ganz konkrete, bereits veröffentlichte und ggfs. auch schon wieder entfernte Bewertungen. Durch eine Vielzahl solcher Entscheidungen entsteht eine Praxis, die – so richtig und nachvollziehbar jede Entscheidung im Einzelfall sein mag – möglicherweise in der Summe nicht in der Lage ist, abschreckende Wirkung zu entfalten und damit die Häufigkeit künftiger Verstöße zu verringern. Eine wichtige Rolle bei der Verfolgung von Fake-Bewertungen spielt der- 19 zeit das vom BGH bestätigte Notice-and-take-down-Verfahren. In seiner derzeitigen Anwendung führt es, leicht überspitzt, dazu, dass Plattformen keine Verantwortung für Fake-Bewertungen im Allgemeinen auf ihren Seiten tragen, sondern immer nur dann und auf den jeweiligen Einzelfall bezogen, wenn sie darüber informiert werden, dass eine Bewertung möglicherweise gefälscht sein könnte. Diesem Einzelfall geht die Plattform dann im Wege eines ebenfalls standardisierten Ping-Pong-Verfahrens nach. Bei großen Mengen an systematischem Betrug ist eine solche Ex-post-Kontrolle allerdings weder effizient noch ausreichend: Effizient ist die Methode nicht, weil die Gefahr besteht, dass mit großen Aufwand systematisch die falschen Bewertungen untersucht werden. Hingewiesen auf eine mögliche Unregelmäßigkeit werden Portale regelmäßig von Anbietern, die negativ bewertet wurden. Werden derartige Bewertungen angezweifelt, ist die Wahrscheinlichkeit nicht gering, dass der Verfasser im Rahmen der Aufklärung über die Authentizität der Bewertung das Interesse und die Lust verliert, sich nicht mehr meldet und das Portal die Bewertung schließlich entfernt, auch wenn sie möglicherweise für die Nutzer besonders hilfreich gewesen wäre, da sie vor einem schlechten Angebot gewarnt hatte. Umgekehrt werden positive, nicht-authentische Bewertungen mit diesem System in der Regel nicht aufgedeckt, weil sie im Zweifel vom Anbieter selbst in Auftrag gegeben wurden und sich zudem rein inhaltlich ohne eine Analyse von Metadaten schwierig von (auf)richtigen positiven Bewertungen unterscheiden lassen. Ziel der Rechtsprechung sollte daher sein, die Verantwortlichkeit der 20 Portale auch im vorgelagerten Bereich der Filterung von Bewertungen zu sehen. Die Gerichte haben zurecht postuliert, dass die Anforderungen an Portale angemessen sein müssen und nicht deren Geschäftsmodell als solches in Frage stellen dürften. Außerdem könne nicht gefordert wer109

Lieselotte Locher

den, einen Rechtsverstoß quasi zu erwarten und entsprechende Vorkehrungen zu treffen. Deutlich weniger weitgehend und durchaus mit den auf europäischen Vorgaben beruhenden Vorschriften des TMG vereinbar sei dagegen eine spezifische Überwachungspflicht. Diese richte sich danach, ob dem Bewertungsportal nach den Umständen eine Prüfung zuzumuten ist. Dabei sei zu berücksichtigen, wie aufwändig eine derartige Prüfung wäre und ob der Betreiber bei seiner Tätigkeit Rechtsverletzungen in erheblichem Umfang Vorschub leistet oder sie durch eigene Maßnahmen fördert. 21 Seit diese höchstrichterlichen Entscheidungen getroffen wurden, haben sich die (technischen) Möglichkeiten, gefälschte Bewertungen aufzuspüren, verbessert und ihre Anwendung vereinfacht. Gleichzeitig hat sich das Angebot mit gefälschten Bewertungen professionalisiert. Portale müssen heute weit mehr als noch vor wenigen Jahren damit rechnen, dass die Möglichkeit, Nutzerbewertungen abzugeben, missbraucht wird. Diesen Änderungen im Sachverhalt sollten und könnten Gerichte bei künftigen Entscheidungen zu diesem Thema Rechnung tragen und bei unveränderter Rechtslage eine entsprechend weitergehende Verantwortlichkeit von Portalen einfordern. 2. Verschiebung von Anreizen durch Schaffung einer rechtskonformen Alternative 22 Eine grundsätzlichere Lösung, die die Ursachen des Problems aufgreift, statt ihre Symptome zu bekämpfen, kann darin liegen, Alternativen zu Fake-Bewertungen einzurichten, also mithilfe eines allgemeinen Ansatzes die derzeit bestehenden Anreize, Fake-Bewertungen in Auftrag zu geben, zu verändern bzw. zu reduzieren und damit ex-ante die Entstehung von Fake-Bewertungen zu verhindern. Derzeit besteht für viele Anbieter im Internet ein Anreiz, gefälschte Bewertungen erstellen bzw. erstellen zu lassen. Aus ökonomischer Sicht ist diese keine Überraschung: Wie bereits eingangs dargestellt, ist der ökonomische Nutzen einer Bewertung hoch. Mehr (und bessere) Bewertungen erhöhen zuverlässig die Umsätze eines Anbieters im Internet. Die Erstellung von Bewertungen ist dagegen mit Kosten in Form von Aufwand und Mühe verbunden. Deshalb geben nur wenige Käufer im Internet Bewertungen ab und berichten von ihren Erfahrungen. 23 Aus ökonomischer Sicht lässt sich die Situation als Marktungleichgewicht beschreiben, wobei die Bewertungen für jedes Angebot im Internet einen separaten Markt darstellen. Abbildung 2 stellt dazu die derzeitige Situation sowie eine mögliche Lösung für einen solchen Markt in einem Preis-Mengen-Diagramm dar. Auf der vertikalen Achse ist der Preis für 110

Bekämpfung von Fake-Bewertungen im Internet

eine Bewertung des betrachteten Angebots abgetragen, auf der horizontalen Achse die Menge an Bewertungen, die dieses Angebot erhält. Die Angebotsfunktion ist die ansteigende Gerade, die für jeden gegebenen Preis, der für eine Bewertung gezahlt wird, anzeigt, wie viele Bewertungen für das betrachtete Angebot abgegeben werden. Je höher die Vergütung für eine Bewertung, desto höher die Zahl der Käufer, die eine Bewertung abzugeben bereit ist. Die Nachfragefunktion ist die fallende Gerade, die für jeden gegebenen Preis, der für eine Bewertung zu zahlen ist, anzeigt, wie viele Bewertungen in Auftrag gegeben werden. Je niedriger der zu zahlende Preis, desto mehr Bewertungen wünscht sich der Händler für sein Internetangebot. 24

Abbildung 2: Preis-Mengen-Diagramm für Nutzerbewertungen

Die Angebotsfunktion schneidet in der Darstellung die horizontale Men- 25 genachse. Der Schnittpunkt bezeichnet die Menge an Bewertungen, die im derzeitigen System ohne Vergütung (und ohne Fake-Bewertungen) für das betrachtete Angebot bestehen. Im dargestellten Fall erhält das entsprechende Angebot bereits ohne eine Form von Vergütung zumindest einige Bewertungen. Denkbar wäre auch ein Schnittpunkt der Angebotsfunktion mit der vertikalen Preis-Achse. Dies würde eine Situation beschreiben, in der ein Angebot keine Bewertung „von selbst“ erhält. Aus ökonomischer Sicht besteht die Ursache für Fake-Bewertungen in 26 der großen Lücke zwischen dem Angebot und der Nachfrage an Bewertungen im Status quo ohne Vergütung. Die Nachfrage nach Bewertungen beim Preis von Null beträgt ein Vielfaches des Angebots. Angebot und Nachfrage befinden sich nicht im Gleichgewicht. Ein solcher Zu111

Lieselotte Locher

stand stellt einen Anreiz für Veränderung dar. Es ist naheliegend, dass die Nachfrager nach Bewertungen einen Preis in Höhe von mehr als Null bieten, um die Zahl an Bewertungen zu erhöhen. Dieser Preis würde dazu führen, dass die Zahl derjenigen, die bereit sind, eine Bewertung zu schreiben, steigen würde. In einem funktionierenden Markt pendelt sich ein Zustand im Schnittpunkt von Angebots- und Nachfragefunktion ein. Dieser Zustand stellt ein Gleichgewicht dar, weil bei diesem Preis die Nachfrage nach Bewertungen dem Angebot an Bewertungen entspricht und daher keine Marktseite mehr nach einer Veränderung des Status quo strebt. In dem in Abbildung 2 dargestellten Beispiel ist die Zahl derjenigen, die das betrachtete Angebot bewerten, im Marktgleichgewicht ungefähr dreimal so hoch wie im Status quo ohne Vergütung, entsprechend kann der Händler für das betrachtete Angebot auch ungefähr drei Mal so viele Bewertungen anzeigen. Dies stellt einen Vorteil für alle Verbraucher dar, die potentielle Käufer des betrachteten Angebots sind, weil sie für ihre Entscheidung auf eine größere Anzahl an Bewertungen zurückgreifen können. Die Situation im Gleichgewicht stellt auch einen Vorteil für Verbraucher als Anbieter von Bewertungen dar, da diese für diese Dienstleistungen nunmehr vergütet werden. Für die Nachfrager nach Bewertungen – ironischerweise diejenigen, von denen im derzeitigen System der Drang nach Veränderung ausgeht – stellt die Situation zwar insofern auch eine Verbesserung dar, als sie nunmehr eine höhere Zahl an Bewertungen darstellen können. Sie sind allerdings auch diejenigen, die diese Information bezahlen müssen. 27 Rechtlich wäre es ohne weiteres möglich, Bewertungen zu vergüten. Die Problematik von Fake-Bewertungen ist, wie die Analyse gezeigt hat, auf einen einzigen Aspekt beschränkt, die Transparenz. Es ist nicht die Vergütung von Bewertungen an sich, die den verbraucherrechtlichen Verstoß darstellt, sondern allein die Tatsache, dass der Verbraucher nicht transparent über das Zustandekommen der Bewertung aufgeklärt wird. Sofern also eine Möglichkeit geschaffen würde, Verbraucher über die Vergütung von Bewertungsverfassern aufzuklären, wäre diese auch rechtlich zulässig. 28 Auch praktisch wäre die Einführung eines Vergütungssystems umsetzbar. Dabei wären einerseits offizielle Produkttests denkbar, wie sie schon jetzt existieren. Diese führen allerdings zu einem Parallelsystem, sofern weiterhin auch unentgeltliche Bewertungen möglich sind. Entsprechend groß ist die Herausforderung, Bewertungen mit Vergütung aus dem Produkttesterprogramm und Bewertungen ohne Vergütung auf der Plattform separat anzuzeigen, insbesondere bei der Anzeige der Zusammenfassung der Sternebewertungen, wo incentivierte und nicht incentivierte Bewer-

112

Bekämpfung von Fake-Bewertungen im Internet

tungen nicht in einen Topf geworfen werden dürften. Möglicherweise wäre es daher einfacher, Incentivierung in das bestehende System einzubauen und z. B. über Preisnachlässe, Rabatte oder Gutscheine Kunden, die ein Produkt ohnehin gekauft haben, zur Abgabe einer Bewertung zu motivieren. Die Zuständigkeit und damit auch Verantwortlichkeit für eine derartige 29 Anpassung bestehender Systeme liegt bei den Plattformen. Nur sie können die Spielregeln für ein System festlegen und dafür sorgen, dass diese den Verbrauchern transparent kommuniziert werden. Einzelne Händler, die nur innerhalb von Bewertungen auf eine mögliche Vergütung hinweisen können, fürchten zurecht, dass entsprechende Versuche als Schleichwerbung geahndet werden könnten. Plattformseitig sind in dieser Hinsicht bisher allerdings wenig Initiativen zu beobachten. Auch hier könnte ein Anreizproblem bestehen: Solange Plattformen für Fake-Bewertungen nur sehr eingeschränkt Verantwortung übernehmen müssen, ist es einfacher, die Unentgeltlichkeit beizubehalten und als Garant für unabhängige und authentische Bewertungen darzustellen. Handlungsdruck entsteht erst dann, wenn die Rechtsprechung eine stärkere Verantwortung bei den Plattformen sieht oder Verbraucher sich bei der Wahl einer Plattform stärker an der Seriosität von Bewertungen orientieren. V. Ausblick In der Gesamtschau der Diskussion um die Haftung von Plattformen 30 für Inhalte sind Nutzerbewertungen nur ein Phänomen von vielen: Mit Verbraucherbewertungen werden keine Wahlen manipuliert, die Probleme von Hassreden sind hier wesentlich weniger stärker ausgeprägt als in anderen Bereichen und beschränken sich auf bestimmte Bereiche wie die Bewertung von Ärzten. Auch der wirtschaftliche Schaden des Einzelnen dürfte sich etwa im Vergleich zum Schaden, den Urheberrechtsverletzungen anrichten können, in Grenzen halten. Von den zahlreichen Rechtsgebieten, in denen Plattformhaftung eine Rolle spielt, ist bei Nutzerbewertungen in erster Linie (nur) das Lauterkeitsrecht betroffen.2 Für einen funktionierenden Internethandel sind Nutzerbewertungen je- 31 doch essentiell. Eine effektive Eindämmung von Fake-Bewertungen ist daher von großer wirtschaftlicher Bedeutung. Fake-Bewertungen verlei-

2

Specht-Riemenschneider/Dehmel/Kenning/Liedtke/Micklitz/Scharioth, Grundlegung einer verbrauchergerechten Regulierung interaktionsmittelnder Plattformfunktionalitäten. Veröffentlichungen des Sachverständigenrats für Verbraucherfragen. Berlin: Sachverständigenrat für Verbraucherfragen, 2020.

113

Lieselotte Locher

ten Verbraucher dazu, minderwertige Waren zu kaufen, schlechte Restaurants zu besuchen und Ärzte aufzusuchen, mit denen andere Patienten schlechte Erfahrungen gemacht haben. Früher oder später zerstören sie Vertrauen in das Internet als Markt- und Handelsplatz. Dieser Beitrag hat aufgezeigt, dass nicht nur Verbraucher, sondern auch Anbieter Leidtragende des derzeitigen Systems sind, sofern sie aufgrund fehlender Bewertungen nicht gefunden werden. Sie haben derzeit nur sehr eingeschränkt die Möglichkeit, Verbraucher in rechtlich zulässiger Art und Weise zur Abgabe einer Bewertung zu motivieren. Der Beitrag schlägt daher vor, Bewertungssysteme weiterzuentwickeln und dabei insbesondere Möglichkeiten, Bewertungen systematisch zu vergüten, mit einzubeziehen. Die Entwicklung solcher Systeme muss von Seiten der Plattformbetreiber erfolgen. 32 Die Rechtsprechung kann ihren Teil dazu beitragen, Plattformbetreiber diesbezüglich zu motivieren. Denn wenn die Rechtsprechung verstärkt eine Verantwortlichkeit der Plattformbetreiber für die derzeit in großem Umfang auftretenden Fake-Bewertungen sieht, werden diese nicht nur die Einhaltung der geltenden Regelungen auf ihren Seiten prüfen, sondern möglicherweise auch Weiterentwicklungen ihrer Systeme dahingehend, dass ex ante weniger Missbrauch möglich ist, anstoßen.

114

Hass und Terror im Internet – Das NetzDG in der praktischen Anwendung Marc Liesching* I. Einleitung II. Überblick zum NetzDG 1. Wesentlicher Regelungsinhalt 2. Verfassungsrechtliche Kritik – Overblocking III. Geplante Novellierungen 1. GBRH 2. NetzDGÄndG IV. Praktische Bedeutung des NetzDG 1. Anlassunabhängige, proaktive AGB-Löschungen 2. Löschungen NetzDGgemeldeter Inhalte 3. Erkenntnisse aus Monitoring-Berichten 4. Praxis der Bußgeldahnungen durch das BfJ a) Einschätzung und Planung des Gesetzgebers 2017 b) Bußgeldahndungspraxis 2018–2020

1 4 8 11 15

17 21 26

30 33

5. Internationale NetzDG-Geltung und Durchsetzung a) Geltung für Soziale Netzwerke in anderen EU-Mitgliedstaaten 36 b) Durchsetzbarkeit des NetzDG im Ausland 39 6. Kursorische Bewertung 40 V. Anhaltspunkte für Overblocking 1. Herausforderungen und Fragestellungen i.R.d. Untersuchung 44 2. Verhältnis AGB- zu NetzDG-Löschungen 48 3. Zeitraum zwischen Beschwerdeeingang und Löschung 51 4. Absenz von Bußgeldverfahren nach § 4 Abs. 1 Nr. 2 NetzDG 52 5. Wirkung und Plausibilität von gesetzl. Mechanismen gegen 53 6. Selbsteinschätzung Sozialer Netzwerke 55 VI. Schluss

56

Literatur: Beurskens, „Hate-Speech“ zwischen Löschungsrecht und Veröffentlichungspflicht, NJW 2018, 3418–3420; Eckel/Rottmeier, Strafverfolgung von Hatespeech in Sozialen Netzwerken, NStZ 2021, 1; Eifert, Das Netzwerkdurch-

*

Prof. Dr. Marc Liesching ist Professor für Medienrecht und Medientheorie an der Hochschule für Technik, Wirtschaft und Kultur (HTWK) in Leipzig. Der nachfolgende Beitrag basiert auf den Inhalten des Vortrags auf der wissenschaftlichen Jahrestagung der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) vom 13.11.2020 sowie auf Befunden der Teilevaluation zum NetzDG; zu letzterem ausführl. Liesching et al., Das NetzDG in der praktischen Anwendung, 2021; abrufbar unter https://www.carlgrossmann.com/ liesching-das-netzdg-in-der-praktischen-anwendung/, zuletzt abgerufen am 21.7.2021.

115

Marc Liesching setzungsgesetz und Plattformregulierung, in: Eifert/Gostomzyk, Netzwerkrecht, 2018, 9; Eifert: Evaluation des NetzDG im Auftrag des BMJV, 2020, abrufbar unter https://www.bmjv.de/SharedDocs/Downloads/DE/News/PM/090920_Juristisches_Gutachten_Netz.pdf?__blob=publicationFile&v=3; Elsaß/Labusga/Tichy, Löschungen und Sperrungen von Beiträgen und Nutzerprofilen durch die Betreiber sozialer Netzwerke, CR 2017, 234; Feldmann, Zum Referentenentwurf eines NetzDG: Eine kritische Betrachtung, K&R 2017, 292; Frenzel, Aktuelles Gesetzgebungsvorhaben: Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken (NetzDG), JuS 2017, 414; Friehe, Löschen und Sperren in sozialen Netzwerken, NJW 2020, 1697; Guggenberger, Das Netzwerkdurchsetzungsgesetz – schön gedacht, schlecht gemacht, ZRP 2017, 98-101; Hain/Ferreau/Brings-Wiesen, Regulierung sozialer Netzwerke revisited, K&R 2017, 433; Heidrich/Scheuch, Das Netzwerkdurchsetzungsgesetz: Anatomie eines gefährlichen Gesetzes, in: Taeger, DSRITB 2017, 305; Hoeren, Netzwerkdurchsetzungsgesetz europarechtswidrig, Beck-Expertenblog v. 30.3.2017, abrufbar unter https://community.beck.de; Hoven/Gersdorf, NetzDG § 1 Anwendungsbereich, in: Gersdorf/Paal, BeckOK Informations- und Medienrecht, 2019, Rz. 1-46; Höld, Das Vorabentscheidungsverfahren nach § 4 Abs. 5 Netzwerkdurchsetzungsgesetz – NetzDG, MMR 2017, 791; Kalscheuer/Hornung, Das Netzwerkdurchsetzungsgesetz – Ein verfassungswidriger Schnellschuss, NVwZ 2017, 1721; Koreng, Entwurf eines Netzwerkdurchsetzungsgesetzes: Neue Wege im Kampf gegen „Hate Speech“?, GRUR-Prax 2017, 203; Ladeu/Gostomzyk, Das Netzwerkdurchsetzungsgesetz und die Logik der Meinungsfreiheit, K&R 2017, 390; Liesching, Netzwerkdurchsetzungsgesetz, in: Spindler/Schmitz, TMG Kommentar, 2. Aufl. 2018; Liesching: Editorial – Das Gesetz zur Bekämpfung der Freiheit, StV 3/2020, 1; Liesching: Die Durchsetzung von Verfassung und Europarecht gegen das Netzwerkdurchsetzungsgesetz, MMR 2018, 26; Liesching: Das Herkunftslandprinzip der E-Commerce-Richtlinie und seine Auswirkung auf die aktuelle Mediengesetzgebung in Deutschland, 2020 Berlin; Liesching/Schuster, Jugendschutzrecht – Kommentar, 5. Aufl. 2011; Liesching/Funke/Hermann/Kneschke/Michnick/Nguyen/Prüßner/Rudolph/ Zschammer, Das NetzDG in der praktischen Anwendung – Eine Teilevaluation des Netzwerkdurchsetzungsgesetzes, 2021 Berlin; Lüdemann, Privatisierung der Rechtsdurchsetzung in sozialen Netzwerken?, in: Eifert/Gostomzyk, Netzwerkrecht, 2018, 153; Müller-Franken, Netzwerkdurchsetzungsgesetz – Selbstbehauptung des Rechts oder erster Schritt in die selbstregulierte Vorzensur? – Verfassungsrechtliche Fragen, AfP 2018, 1-13; Niggemann, Die NetzDG-Novelle – Eine Kritik mit Blick auf die Rechte der Nutzerinnen und Nutzer, CR, 36(5), 326331; Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, 3025; Schwartmann, Verantwortlichkeit Sozialer Netzwerke nach dem Netzwerkdurchsetzungsgesetz, GRUR-Prax 2017, 317; Schwartmann/ Hentsch, Stufenkonzept gegen Overblocking durch Upload-Filter, MMR 2020, 207; Schwartmann/Mühlenbeck, NetzDG und das virtuelle Hausrecht sozialer Netzwerke, ZRP 2020, 170; Spiegel/Heymann, Ein Minenfeld für Anbieter sozialer Netzwerke – Zwischen NetzDG, Verfassungsrecht und Vertragsfreiheit, K&R 2020, 344-350; Spindler, Das Netzwerkdurchsetzungsgesetz, K&R 2017, 533; Spindler, Der Regierungsentwurf zum Netzwerkdurchsetzungsgesetz – europarechtswidrig?, ZUM 2017, 473; Spindler, Löschung und Sperrung von Inhalten aufgrund von Teilnahmebedingungen sozialer Netzwerke, CR 2019, 238-247;

116

Hass und Terror im Internet Wimmers/Heymann, Zum Referentenentwurf eines Netzwerkdurchsetzungsgesetzes (NetzDG) – eine kritische Stellungnahme, AfP 2017, 93.

I. Einleitung Am 1.10.2017 ist das Gesetz zur Verbesserung der Rechtsdurchsetzung 1 in sozialen Netzwerken (Netzwerkdurchsetzungsgesetz – NetzDG) in Kraft getreten.1 Es sollte eine Antwort des Gesetzgebers auf eine Verrohung der Debattenkultur und der Verbreitung so genannter „Hassrede“ in Sozialen Medien darstellen. Das deutsche Bundesgesetz zielt auf eine Verpflichtung großer Sozialer Netzwerke mit Sitz in anderen EU-Mitgliedstaaten wie Facebook, YouTube und Twitter, Compliance- und Löschinfrastrukturen für bestimmte strafbare Inhalte aufzubauen, die in eine möglichst schnelle Entfernung einschlägigen Materials münden. Die entsprechenden Regelungen sind seit ihrem Inkrafttreten umstrit- 2 ten. Insbesondere werden massive Eingriffe in die Meinungs- und Informationsfreiheit besorgt, da aufgrund der ebenfalls durch das NetzDG eingeführten Bußgelddrohungen die Gefahr eines Overblockings, einer „Zuviel“-Entfernung im Zweifelsfall, bestehe. Nachfolgend wird zunächst ein Überblick zu den wesentlichen Rege- 3 lungsinhalten des NetzDG 2017 gegeben (hierzu II. Rz. 4-10), ehe die zentralen Neuerungen der geplanten Gesetzesnovellen kurz vorgestellt werden (hierzu III. Rz. 11-16). Anschließend wird auf die Bedeutung des NetzDG in der praktischen Anwendung unter Bezugnahme auf Transparenz- und Monitoring-Berichte sowie die Bußgeldahndungspraxis eingegangen (hierzu IV. Rz. 17-43). Schließlich wird ein kurzer Abriss der Befunde einer aktuellen Studie eines HTWK-Forschungsteams mit Blick auf mögliche Anhaltspunkte für ein durch das NetzDG möglicherweise mitverursachtes „Overblocking“ bei Sozialen Netzwerken gegeben (hierzu V. Rz. 44-55). II. Überblick zum NetzDG 1. Wesentlicher Regelungsinhalt Zu den wesentlichen Regelungsinhalten des NetzDG gehören eine um- 4 fassende gesetzliche Berichtspflicht für Soziale Netzwerke über den Umgang mit bestimmten beschwerdegegenständlichen Telemedien (§ 2), die Etablierung eines Beschwerdemanagements mit der Pflicht zur Löschung in regelmäßig engen Fristen (§ 3) sowie die Benennung eines inländischen 1

Gesetz vom 1.9.2017, BGBl. I, 2017 I S. 3352.

117

Marc Liesching

Zustellungsbevollmächtigten und einer empfangsberechtigten Person für Auskunftsersuchen (§ 5). Verstöße gegen diese Pflichten – z. B. das „nicht richtige“ Vorhalten eines Beschwerdeverfahrens – können mit erheblichen Bußgeldern gegen das Unternehmen und die Aufsichtspflichtigen geahndet werden (§ 4). 5 Zentrale Kernregelung ist die Etablierung eines Meldeverfahrens, das auf die Löschung beschwerdegegenständlicher Inhalte innerhalb bestimmter Fristen ausgerichtet ist. Dies betrifft allerdings nur Inhalte in Sozialen Medien, die nach den in § 1 Abs. 3 NetzDG genannten Tatbeständen strafbar sind. Als entsprechende „rechtswidrige Inhalte“ werden solche bezeichnet, die die Tatbestände der §§ 86, 86a, 89a, 91, 100a, 111, 126, 129 bis 129b, 130, 131, 140, 166, 184b i. V. m. §§ 184d, 185 bis 187, 201a, 241 oder 269 des Strafgesetzbuchs erfüllen und nicht gerechtfertigt sind.2 Erfasst werden also z. B. beleidigende oder volksverhetzende Inhalte oder öffentliche Aufrufe zu Straftaten oder Drohungen. 6 Die betreffende Norm des § 3 Abs. 2 Nrn. 2 und 3 NetzDG verpflichtet Soziale Netzwerke, solche (straf-)rechtswidrigen Inhalte nach Beschwerdeeingang „unverzüglich, in der Regel innerhalb von sieben Tagen“ zu entfernen oder zu sperren. Sofern der beschwerdegegenständliche Inhalt „offensichtlich rechtswidrig“ ist, muss die Löschung innerhalb von 24 Stunden erfolgen. 7 Soziale Netzwerke, die ein Beschwerdeverfahren mit einem entsprechenden „Umgang“ mit Beschwerden „nicht, nicht richtig oder nicht vollständig vorh[alten]“, können gemäß § 4 Abs. 1 Nr. 2, Abs. 2 NetzDG i. V. m. § 30 Abs. 2 Satz 3 OWiG mit Geldbußen bis zu einer Höhe von 50 Millionen Euro sanktioniert werden. 2. Verfassungsrechtliche Kritik – Overblocking 8 Die Wissenschaftlichen Dienste des Deutschen Bundestags haben in einem Gutachten vom 7.6.2017 die „Vereinbarkeit des Netzwerkdurchsetzungsgesetzes mit der Meinungsfreiheit“ geprüft. Dabei wurde im Ergebnis konstatiert, dass der Eingriff in das Grundrecht der Meinungsfreiheit durch die Vorgaben des § 3 NetzDG-E „nicht verfassungsrechtlich gerechtfertigt zu sein“ scheine.3

2 3

Zu Fragestellungen des Rechtsbegriffs der „rechtswidrigen Inhalte“ siehe Liesching, ZUM 2017, 809 ff. WD 10 – 3000 – 037/17, S. 17.

118

Hass und Terror im Internet

Auch der Präsident des BVerfG a. D. Prof. Dr. Dr. h.c. Hans-Jürgen Papier 9 hat Bedenken gegen das NetzDG aufgrund einer geschaffenen Struktur der Zweifelsfall-Löschung und ein damit verbundenes Overblocking geäußert. Er gelangte zu der Einschätzung, dass „es nicht verwunderlich“ sei, „wenn sich die privaten Anbieter vorsorglich und im Zweifel für eine Löschung entscheiden“.4 Hieraus ergebe sich die Frage, „ob der Gesetzgeber des Netzwerkdurchsetzungsgesetzes die objektive verfassungsrechtliche Wertentscheidung zugunsten der Meinungsfreiheit im Art. 5 Abs. 1 GG hinreichend berücksichtigt“ habe. Das rechtswissenschaftliche Schrifttum folgt überwiegend dieser Ein- 10 schätzung und geht unter anderem von einer Missachtung der Kommunikationsfreiheiten des Art. 5 GG aus.5 Vor allem wegen der jedenfalls mittelbar bußgeldbewehrten Löschpflichten innerhalb regelmäßig enger Fristen (vgl. § 3 Abs. 2 Nrn. 2 und 3 NetzDG) wird die Etablierung eines umfassenden Zensursystems einer Löschung im Zweifelsfall auf Beschwerde hin besorgt. Hiervon seien sowohl die Meinungsäußerungsund Informationsfreiheit6 als auch die Medienfreiheiten des Art. 5 Abs. 1 Satz 2 GG betroffen.7 III. Geplante Novellierungen 1. GBRH Der Deutsche Bundestag hat am 18.6.2020 einen Entwurf eines Geset- 11 zes zur Bekämpfung des Rechtsextremismus und der Hasskriminalität8

4 5

6 7

8

Vgl. Papier, NJW 2017, 3025, 3030. H.M., vgl. z. B. Feldmann, K&R 2017, 292, 295 f.; Hain/Ferreau/BringsWiesen, K&R 2017, 433, 435; Heidrich/Scheuch, DSRITB 2017, 305, 315 f.; Kalscheuer/Hornung, NVwZ 2017, 1721, 1723; Koreng, GRUR-Prax 2017, 203, 204; Ladeur/Gostomzyk, K&R 2017, 390 ff.; Liesching in Spindler/Schmitz, 2018, § 1 NetzDG Rz. 22 ff.; Lüdemann in Eifert/Gostomzyk, Netzwerkrecht, 2018, 153, 156 ff.; Müller-Franken, AfP 2018, 1, 9; Nolte, ZUM 2017, 552, 555 ff.; Papier, NJW 2017, 3025, 3030; Wimmers/Heymann, AfP 2017, 93, 98; s.a. Frenzel, JuS 2017, 414, 415; Guggenberger, ZRP 2017, 98, 100; Hoven/ Gersdorf in Gersdorf/Paal, BeckOK Informations- und Medienrecht, 2019, § 1 NetzDG Rz. 9 m. w. N.; a. A. Eifert in Eifert/Gostomzyk, Netzwerkrecht, 2018, 9, 35; Schwartmann, GRUR-Prax 2017, 317. Vgl. Papier, NJW 2017, 3025, 3030. Ausführl. Lüdemann in Eifert/Gostomzyk, Netzwerkrecht, 2018, 153, 156 ff.; Hoven/Gersdorf in Gersdorf/Paal, BeckOK Informations- und Medienrecht, 2019, § 1 NetzDG Rz. 9; jeweils m. w. N. BT-Drs. 19/17741.

119

Marc Liesching

(nachfolgend: GBRH) mit den Empfehlungen des BT-Rechtsausschuss9 angenommen. Zentrale Neuerung des Gesetzes ist die Einführung einer Meldepflicht für Anbieter Sozialer Netzwerke im Sinne von § 1 Abs. 1 NetzDG. Solche Anbieter sollen verpflichtet werden, ein System einzurichten, wonach bestimmte strafbare Inhalte an das BKA „zum Zwecke der Ermöglichung der Verfolgung von Straftaten“ zu melden sind. Gemäß Abs. 4 des neu geregelten § 3a NetzDG muss die Übermittlung an das Bundeskriminalamt (1.) den betreffenden Inhalt und (2.) „sofern vorhanden, die IP-Adresse einschließlich der Portnummer, die als letztes dem Nutzer, der den Inhalt mit anderen Nutzern geteilt oder der Öffentlichkeit zugänglich gemacht hat, zugeteilt war“ enthalten. 12 Die Wissenschaftlichen Dienste des Bundestages sind in einer rechtsgutachtlichen Ausarbeitung10 Mitte September 2020 zu dem Ergebnis der Verfassungswidrigkeit des GBRH gelangt, welche sich vor allem auf die jüngste Entscheidung des BVerfG11 zur Bestandsdatenauskunft gestützt hat. Insbesondere werden die nun in § 3a NetzDG für Soziale Netzwerke vorgesehenen Pflichten zur Meldung auch von Nutzer*innen-IP-Adressen an das BKA mangels Geeignetheit als unverhältnismäßig und nicht verfassungskonform eingestuft. Denn aus den weiteren Gesetzesänderungen des GBRH ergeben sich weder verfassungsmäßige Übermittlungsbefugnisse noch verfassungsmäßige Abfragebefugnisse i.S.d. vom BVerfG geforderten „Doppeltür“-Modells. 13 Der Bundespräsident hat das GBRH aufgrund verfassungsrechtlicher Bedenken nicht unterzeichnet und das Ausfertigungsverfahren nach Art. 82 GG „ausgesetzt“.12 Die Bundesregierung arbeitete unter Federführung des Bundesministeriums des Innern, für Bau und Heimat an einem Entwurf für ein Gesetz, „mit dem die Vorgaben des Bundesverfassungsgerichts aus seiner genannten Entscheidung vom 27.5.2020 umgesetzt werden“.13

9 BT-Drs. 19/20163. 10 WD 10 – 3000 – 030/20. 11 BVerfG v. 27.5.2020 – 1 BvR 1873/13; vgl. schon Liesching, Editorial StV 3/2020; siehe auch Niggemann, CR 2020, 326 und Spiegel/Heymann, K&R 2020, 344; zu den Auswirkungen bei Ermittlungsmaßnahmen: Eckel/ Rottmeier, NStZ 2021, 1, 7 ff. 12 Antwort der Bundesregierung vom 13.10.2020 auf eine schriftliche Anfrage des MdB Höferlin Nr. 9/596 vom 30.9.2020. 13 Antwort der Bundesregierung vom 13.10.2020 auf eine schriftliche Anfrage des MdB Höferlin Nr. 9/596 vom 30.9.2020; siehe auch BT-Drs. 19/23867 vom 2.11.2020.

120

Hass und Terror im Internet

Dieser ist als „Gesetz zur Anpassung der Regelungen über die Bestands- 14 datenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020“ vom 15.12.202014 vom Deutschen Bundestag am 28.1.2021 verabschiedet worden.15 Der Bundesrat hat indes in seiner Sitzung vom 12.2.2021 dem Gesetz gemäß Art. 73 Abs. 2 und Art. 87 Abs. 3 GG nicht zugestimmt.16 2. NetzDGÄndG Die Bundesregierung hat darüber hinaus einen weiteren Entwurf eines 15 „Gesetzes zur Änderung des Netzwerkdurchsetzungsgesetzes“ in das parlamentarische Verfahren eingebracht.17 Regelungsgegenstände sind insbesondere Erweiterungen der Berichtspflichten, Partikularregeln für anerkannte Selbstkontrolleinrichtungen sowie die Etablierung eines Gegenvorstellungsverfahrens mit Schlichtungsstelle (§§ 3b, 3c) und die Erweiterung der Aufsichtskompetenzen des Bundesamts für Justiz (§ 4a).18 Darüber hinaus sollen Sonderregelungen für Videosharing-Plattformen 16 (VSP) (§ 3c) eingeführt werden. Insbesondere führt dies zu einer nur sehr eingeschränkten Anwendung der NetzDG-Pflichten auf VSP-Anbieter mit Sitz in einem anderen EU-Mitgliedstaat (§ 3e Abs. 2 und 3). Indes geht bereits zum NetzDG 2017 die herrschende Meinung davon aus, dass aufgrund des Herkunftslandprinzips nach Art. 3 ECRL insgesamt keine Sozialen Netzwerke mit Sitz in anderen EU-Mitgliedstaaten nach den gesetzlichen Vorgaben des NetzDG verpflichtet werden können.19 Die demgegenüber nach dem NetzDGÄndG vorgesehene Ungleichbehandlung von VSP-Anbietern einerseits und sonstigen Sozialen Netzwerken in anderen EU-Mitgliedstaaten andererseits bleibt indes in dem Entwurf unerläutert.20 Auch die Wissenschaftlichen Dienste des Deutschen Bundestages stellen hierzu im Wortlaut fest:

14 15 16 17 18 19

BT-Drs. 19/25294, S. 5 ff. Vgl. Plenarprotokoll 19/206, 25998. Vgl. BR-Drs. 84/21 v. 12.2.2021. BT-Drs. 19/18792. Vgl. zum NetzDGÄndG Kalbhenn/Hemmert/Halswick, MMR 2020, 518 ff. Vgl. den Überblick zur h.M. bei Hoven/Gersdorf in in Gersdorf/Paal, BeckOK Informations- und Medienrecht, 2019, § 1 NetzDG Rz. 9 und Liesching in Spindler/Schmitz, TMG – Kommentar, 2. Aufl. 2018, § 1 NetzDG Rz. 13 ff., jeweils m. w. N., a.A. Schwartmann/Hentsch, MMR 2020, 501, 502; ausführl. Liesching, Beilage zu MMR 7/2020. 20 Hierauf weist auch das Gutachten der Wissenschaftlichen Dienste des Deutschen Bundestags „Marktortprinzip und Herkunftslandprinzip im Entwurf

121

Marc Liesching

„Vor diesem Hintergrund ist es durchaus vorstellbar, dass ein soziales Netzwerk im Sinne des NetzDG mit Sitz in einem anderen EU-Mitgliedstaat dem NetzDG unterliegt, ein Videosharingplattform-Dienst mit Sitz in einem anderen EU-Mitgliedstaat aber nicht. Gründe für diese Regelung wurden bisher nicht genannt“.21 IV. Praktische Bedeutung des NetzDG 1. Anlassunabhängige, proaktive AGB-Löschungen 17 Die im März 2021 erschienene, von einem Forschungsteam der HTWK Leipzig durchgeführte, unabhängige Teilevaluation des NetzDG hat ergeben, dass die drei Sozialen Netzwerke Facebook, YouTube und Twitter Überprüfungen und Entfernungen von nutzer*innengenerierten Inhalten auf ihren Plattformen in erster Linie anhand der jeweils eigenen Regeln bzw. Allgemeinen Geschäftsbedingungen (AGB) vornehmen. Diese heißen bei dem Sozialen Netzwerk Facebook „Gemeinschaftsstandards“, bei dem Videosharing-Anbieter YouTube „Community Richtlinien“ und bei dem Dienst Twitter „Twitter Regeln“. 18 Bei allen drei Sozialen Netzwerken ergibt sich – soweit dies aus den veröffentlichten Zahlen ersichtlich ist22 – in 2020 ein erheblicher Anstieg proaktiv erfolgter Inhaltsentfernungen, die anlassunabhängig v.a. aufgrund automatisierter Erkennung vorgenommen worden sind. Dabei sind auch die Gesamtzahlen der wegen AGB-Verstößen entfernten Inhalte zum Teil erheblich angestiegen. So weist etwa das Soziale Netzwerk Facebook allein im Bereich „Hassrede“ im 1. Halbjahr 2020 insgesamt mehr als 32 Millionen Inhalte aus, gegen die „Maßnahmen wegen Hassrede“ ergriffen worden sind. Im 2. Halbjahr 2020 kamen weitere 49 Millionen Inhaltsentfernungen hinzu.23 Der Anteil proaktiv erkannter Inhal-

eines Gesetzes zur Änderung des Netzwerkdurchsetzungsgesetzes“ vom 15.6.2020, WD 10 – 3000 – 023/20, hin. 21 WD 10 – 3000 – 023/20, S. 22. 22 Die von den drei Sozialen Netzwerken in Bezug auf ihre AGB-Inhaltsentfernungen veröffentlichten Transparenzberichte weichen in Bezug auf Aufbau, Kategorisierung und Ausdifferenzierung zum Teil nicht unerheblich voneinander ab. Insoweit bestehen indes auch keine gesetzlichen Vorgaben, weder hinsichtlich der Veröffentlichungspflicht noch hinsichtlich der Form der Veröffentlichung. 23 Vgl. Bericht des Sozialen Netzwerks Facebook über die Durchsetzung der Gemeinschaftsstandards, abrufbar unter https://transparency.facebook. com/community-standards-enforcement#hate-speech, zuletzt abgerufen am 21.7.2021.

122

Hass und Terror im Internet

te, gegen die Maßnahmen wegen Hassrede schon vor einer Beschwerde ergriffen worden sind, ist dabei seit Inkrafttreten des NetzDG (4. Quartal 2017) von 23,6 % auf 97,1 % im 4. Quartal 2020 angestiegen. Von den bei YouTube im Jahr 2020 insgesamt gelöschten 34.711.336 19 Videos wurden 94,36 % aufgrund automatischer Erkennung, d.h. ohne Nutzer*innenbeschwerde entfernt.24 Beispielsweise wurden im 3. Quartal 2020 nach eigenen Angaben 7.872.684 Videos wegen Verstoßes gegen Community-Richtlinien entfernt, davon ca. 94 % durch automatische Erkennung. Im 4. Quartal 2020 ist die Zahl von Inhaltsentfernungen aufgrund automatischer Erkennungen weiter gestiegen auf insgesamt 8.800.082 in diesem Zeitraum. Dies entspricht wiederum einem Anteil gegenüber den Löschungen nach Meldungen von ca. 94 %. Im 2. Halbjahr 2020 wurden entsprechend den Community-Richtlinien allein in den Kategorien „gewaltsamer oder grausamer Inhalt“ und „gewaltverherrlichende Inhalte oder gewalttätiger Extremismus“ insgesamt 3.311.200 Videos entfernt.25 Weniger differenziert sind die öffentlichen Angaben des Dienstes Twit- 20 ter.26 Das Soziale Netzwerk hat im 1. Halbjahr 2020 insgesamt 1.927.063 Inhalte wegen Verstößen gegen seine Regeln entfernt und zusätzlich 925.744 Accounts gesperrt.27 Im Jahr 2019 waren es insgesamt 4.777.652 entfernte Inhalte und 1.560.252 gesperrte Accounts, welche größtenteils wegen Verstoßes gegen das in den AGB vorgesehene Verbot, Inhalte der Rubrik „Hass schürendes Verhalten“ in das Internet zu stellen, begründet worden sind.28

24 Vgl. Google-Transparenzbericht „YouTube-Community-Richtlinien und ihre Anwendung“, abrufbar unter https://transparencyreport.google.com/ youtube-policy/removals?hl=de&total_removed_videos=period:2020Q1;exclude_automated:all&lu=total_removed_videos&content_by_flag=period:Y2020Q3;exclude_automated:all, zuletzt abgerufen am 21.7.2021. 25 Vgl. Google Transparenzbericht „YouTube-Community-Richtlinien und ihre Anwendung“. 26 Vgl. Twitter Transparenz Bericht „Durchsetzung der Regeln“, der eine ausführliche Differenzierung nach inhaltlichen Kategorien nur für den Zeitraum Juli bis Dezember 2019 bereithält; abrufbar unter https://transparency.twitter. com/de/reports/rules-enforcement.html#2019-jul-dec, zuletzt abgerufen am 21.7.2021. 27 Vgl. Twitter Transparenz Bericht „Durchsetzung der Regeln“. 28 Vgl. Twitter Transparenz Bericht „Durchsetzung der Regeln“.

123

Marc Liesching

2. Löschungen NetzDG-gemeldeter Inhalte 21 Gegenüber den hohen Zahlen erfolgter Inhaltsentfernungen aufgrund überwiegend proaktiver Erkennung und AGB-Prüfung sind die nach dem NetzDG-Meldeverfahren erfolgenden und in den Halbjahreszahlen ausgewiesenen Entfernungen vergleichsweise gering. 22 Facebook gibt für das 2. Halbjahr 2020 an, dass von den nach NetzDG gemeldeten Inhalten insgesamt 1.276 gelöscht oder gesperrt worden sind. 1.122 Inhalte wurden davon indes wegen eines Verstoßes gegen die eigenen Gemeinschaftsstandards weltweit gelöscht. Lediglich 154 Inhalte, die nicht gegen die (vorrangig geprüften) Gemeinschaftsstandards verstoßen haben, wurden wegen eines Verstoßes gegen eine im NetzDG aufgeführte Bestimmung des deutschen Strafgesetzbuchs in Deutschland gesperrt. In den vorherigen Berichtszeiträumen wurden zum Teil noch weniger Entfernungen nach dem NetzDG angegeben. 23 Den bei Facebook wegen „Hassrede“ im 1. Halbjahr 2020 insgesamt 32 Millionen erfolgten Inhaltsentfernungen aufgrund von Verstößen gegen Gemeinschaftsstandards stehen z. B. 645 Löschungen/Sperrungen gegenüber, welche von Beschwerdeführer*innen wegen Volksverhetzung (§ 130 StGB i. V. m. § 1 Abs. 3 NetzDG) gemeldet worden sind, wobei unklar bleibt, ob auch hierbei nicht der überwiegende Teil der Löschungen wegen Verstößen gegen die eigenen Gemeinschaftsstandards vorgenommen worden ist. Der Anteil der überhaupt nach NetzDG-Meldeverfahren (behaupteter Verstoß gegen § 130 StGB) erfolgten Entfernungen gegenüber den proaktiv wegen AGB-Verstoß gelöschten Inhalten wegen „Hassrede“ beträgt mithin 0,002 %. Im 2. Halbjahr 2020 hat sich der Wert bei 49 Millionen „Hassrede“-Löschungen nach AGB gegenüber 397 nach dem NetzDG wegen § 130 StGB gelöschten Inhalten auf 0,0008 % marginalisiert. 24 Der Video-Sharing Dienst YouTube gibt für das 2. Halbjahr 2020 an, dass von den nach NetzDG gemeldeten Inhalten insgesamt 73.477 entfernt worden sind. 71.612 Inhalte wurden davon indes wegen eines Verstoßes gegen die eigenen Gemeinschaftsstandards weltweit gelöscht. Lediglich 1.865 Inhalte, die nicht gegen die (vorrangig geprüften) Gemeinschaftsstandards verstoßen haben, wurden wegen eines Verstoßes gegen eine im NetzDG aufgeführte Bestimmung des deutschen Strafgesetzbuchs in Deutschland gesperrt. Eine Entfernung nach NetzDG erfolgte mithin lediglich in 0,57 % der mit Bezug auf das NetzDG eingegangen 323.792 Beschwerden. 25 Den wegen der AGB-Kategorien „Gewaltsamer oder grausamer Inhalt“ und „gewaltverherrlichende Inhalte oder gewalttätiger Extremismus“ 124

Hass und Terror im Internet

im 2. Halbjahr 2020 insgesamt 3.311.200 erfolgten Inhaltsentfernungen bei YouTube stehen 31 Entfernungen gegenüber, welche von dem Anbieter nicht wegen AGB, sondern wegen Gewalt im Sinne des NetzDG (§ 131 StGB i. V. m. § 1 Abs. 3 NetzDG) gesperrt worden sind. Der Anteil der überhaupt nach NetzDG-Meldeverfahren wegen NetzDG/StGB erfolgten Entfernungen gegenüber den proaktiv gelöschten Inhalten wegen „Gewalt“ i.S.d. Community-Richtlinien liegt mithin bei 0,0009 %. 3. Erkenntnisse aus Monitoring-Berichten Nach Angaben des NetzDG-Gesetzgebers von 2017 hat ein von der 26 Länderstelle jugendschutz.net29 durchgeführtes Monitoring der Löschpraxis Sozialer Netzwerke vom Januar/Februar 2017 ergeben, dass die Beschwerden von Nutzer*innen gegen Hasskriminalität und andere strafbare Inhalte „nach wie vor nicht unverzüglich und ausreichend bearbeitet“ würden. Bei dem Anbieter YouTube würden in 90 % der Fälle strafbare Inhalte gelöscht, Facebook hingegen löschte nur in 39 % der Fälle, Twitter nur in 1 % der Fälle.30 Nahezu ausschließlich auf die Befunde dieses Monitoring-Berichts wurde seitens des Gesetzgebers die Erforderlichkeit der Restriktionen des NetzDG mit strengen Löschfristen und einer hohen Bußgeldbewehrung gestützt.31 Das NetzDG sieht in § 3 Abs. 5 weiterhin die Einrichtung einer Monito- 27 ring-Stelle vor, da sich nach der Amtlichen Begründung ein solches Monitoring bereits vor Inkrafttreten des NetzDG in der Praxis „bewährt“ habe.32 Entsprechend ist zum 1.1.2019 eine Beauftragung der Intelligent Data Analytics GmbH & Co. KG als Monitoring-Stelle i.S.d. § 3 Abs. 5 NetzDG erfolgt.33 Nach dem NetzDG-Evaluierungsbericht der Bundes-

29 Vgl. § 18 JMStV sowie hierzu Liesching/Schuster, Jugendschutzrecht – Kommentar, 5. Aufl. 2011, § 18 JMStV Rz. 2 ff. 30 Vgl. BT-Drs. 18/12356, S. 1 f. 31 Vgl. zur Kritik an der jugendschutz.net Monitoring Bericht als hinreichende Erkenntnisgrundlage vgl. Liesching in Spindler/Schmitz, TMG – Kommentar, 2. Aufl. 2018, § 1 NetzDG Rz. 6. 32 Vgl. BT-Drs. 18/12356, S. 24 unter Verweis auf ein vormals von der Stelle „jugendschutz.net“ (vgl. § 18 JMStV) durchgeführtes „Monitoring der Beschwerdebearbeitung“. 33 Vgl. Bekanntmachung vergebener Aufträge VIII 1 – 1400/33 – 5 – 81 8/2018; Bericht der Bundesregierung zur NetzDG-Evaluierung, 2020, S. 18. Der Vertrag ist danach auf zwei Jahre befristet.

125

Marc Liesching

regierung von 2020 hat die Monitoring-Stelle bislang drei Berichte eingereicht.34 28 In der von Eifert im Auftrag des BMJV durchgeführten Evaluation des NetzDG 2020 wurde – soweit ersichtlich – nur der erste der drei Berichte und überwiegend nur hinsichtlich der Darstellung der Meldewege berücksichtigt.35 Für die im März 2021 abgeschlossene Teilevaluation der HTWK Leipzig wurden die Berichte seitens des Bundesamts für Justiz nach zunächst abgelehnter Zugänglichmachung nach Antragstellung gemäß § 1 IFG36 übermittelt. 29 Aus den nach Inkrafttreten des NetzDG vorgenommenen Monitorings in drei Testzyklen im Zeitraum 1.1.2019 bis 30.6.2020 ergibt sich ausweislich der Berichte im Durchschnitt keine Steigerung des Anteils der nach Meldung erfolgten Löschungen „eindeutig rechtswidriger“ Inhalte durch die Sozialen Netzwerke Facebook, YouTube und Twitter. Legt man den Mittelwert bei den drei Berichten bezüglich der vorliegend untersuchten Sozialen Netzwerke Facebook, Youtube und Twitter im jeweiligen Durchschnitt der Entfernungsquoten nach Inkrafttreten des NetzDG zugrunde, so ergibt sich eine Gesamtquote von 37,3 % gelöschter/gesperrter Inhalte gegenüber vor Inkrafttreten des NetzDG 2017 ermittelten 43,3 %.37

34 In dem Evaluationsbericht der Bundesregierung werden keine näheren Angaben zu den Berichtsinhalten der Monitoring-Stelle gemacht, sondern lediglich ausgeführt, dass sich in der praktischen Arbeit gezeigt habe, „dass der Auftrag herausfordernd ist und sich das Monitoring über die Monitoringzeiträume hinweg in laufender Anpassung befindet“; Bericht der Bundesregierung zur NetzDG-Evaluierung, 2020, S. 18. Ob ein Widerspruch darin erblickt werden könnte, dass sich das Monitoring vor Inkrafttreten des NetzDG aus Sicht der Bundesregierung „bewährt“ hat und nach Inkrafttreten des NetzDG als „herausfordernd“ darstelle, wird im Rahmen des Evaluierungsberichts nicht näher erörtert. 35 Vgl. zu den im Rahmen des Evaluationsberichts angegebenen, berücksichtigten Quellen: Eifert, Evaluation des NetzDG. Im Auftrag des BMJV, 2020, S. 5 ff.; siehe aber auch die subsidiäre Berücksichtigung des ersten Berichts (Testzyklus erstes Halbjahr 2019), insbesondere zur Darstellung der Meldewege: S. 30 ff. 36 BfJ-Az. I 5 - 1530/2 - A 2 - 58/2021. 37 Siehe ausführlich hierzu – auch im Hinblick auf die Methodenkritik und die sich daraus ergebenden Vorbehalte einer vergleichenden Betrachtung: Liesching et al., Das NetzDG in der praktischen Anwendung, 2021, S. 36 ff.

126

Hass und Terror im Internet

4. Praxis der Bußgeldahnungen durch das BfJ a) Einschätzung und Planung des Gesetzgebers 2017 Das Netzwerkdurchsetzungsgesetz ist hinsichtlich der Rechtsfolgen 30 gegenüber Sozialen Netzwerken ausschließlich auf die Sanktionierung durch Bußgeld ausgerichtet. Neben Berichtspflichten und der Etablierung von Zustellungsbevollmächtigten werden durch die Ordnungswidrigkeitentatbestände des § 4 Abs. 1 NetzDG vor allem Verstöße gegen die Pflichten zur Umsetzung eines Beschwerdeverfahrens mit Lösch-Compliance sanktioniert. Auch der Gesetzgeber hat vor allem in diesem Bereich mit einem erheb- 31 lichen Beschwerdeaufkommen i.S.v. Hinweisen an die Bußgeldbehörde des Bundesamts für Justiz (BfJ) und in der Folge mit einer großen Zahl von Bußgeldverfahren gerechnet, die auf der nicht rechtzeitigen Löschung offensichtlich rechtswidriger Inhalte innerhalb von 24 Stunden beruht. In der Amtlichen Begründung des NetzDG wird insoweit ausgeführt (Hervorhebungen d. Verf.): „Insbesondere werden sie [Soziale Netzwerke] verpflichtet, einen offensichtlich rechtswidrigen Inhalt innerhalb von 24 Stunden nach Eingang der Beschwerde zu löschen. Verstöße gegen diese Pflicht können mit einem Bußgeld geahndet werden. In diesem Bereich ist mit einer erheblichen Zahl von Anzeigen an das Bundesamt für Justiz zu rechnen. Bei den sozialen Netzwerken gehen schätzungsweise jährlich mindestens 500 000 Beschwerden aus der Bundesrepublik Deutschland wegen Hasskriminalität und anderen strafbaren Inhalten ein. Gelöscht oder gesperrt wird jedoch nur ein Bruchteil dessen. Zahlreiche Nutzer, die vermeintliche Hasskriminalität oder andere strafbare Inhalte gemeldet haben, könnten sich daher veranlasst sehen, ihre erfolglose Beschwerde dem Bundesamt für Justiz zuzuleiten. Geschätzt wird, dass dies in 5 Prozent aller erfolglosen Beschwerden, also in rund 25 000 Fällen geschieht. Da diese Anzeigen aber zum großen Teil unbegründet sein werden, kann mit einem jährlichen Verfahrensaufkommen von 500 Bußgeldverfahren im Bereich des Beschwerdemanagements gerechnet werden“.38 Nach einer eingeholten „Schätzung“ des Bundesamtes für Justiz ergäbe 32 sich hiernach ein Personalaufwand von 39,5 Stellen mit einem Personalkostenaufwand und zusätzlichen Kosten von insgesamt ca. 4 Millionen Euro jährlich.39

38 BT-Drs. 18/12356, S. 4. 39 BT-Drs. 18/12356, S. 4.

127

Marc Liesching

b) Bußgeldahndungspraxis 2018-2020 33 Der Gesetzgeber ging für den Zeitraum von drei Jahren von insgesamt ca. 1.500 begründeten Bußgeldverfahren im Bereich des Beschwerdemanagements bei vorwiegend nicht nach 24 Stunden gelöschten offensichtlich rechtswidrigen Inhalten aus. Allerdings wurden seitens des Bundesamts für Justiz im Zeitraum 1.1.2018 bis 31.5.2020 insgesamt keine Bußgeldbescheide erlassen. In einer Stellungnahme des BfJ vom 15.6.2020 zum NetzDGÄndG wird ausgeführt, dass es zu solchen Verfahren, welche zusätzlich ein gerichtliches Vorabentscheidungsverfahren nach § 4 Abs. 5 NetzDG40 erfordern, „bisher nicht gekommen“ sei.41 34 Anders als der Gesetzgeber, der mit einer „erheblichen Zahl von Anzeigen an das Bundesamt für Justiz“ im Bereich „offensichtlich rechtswidriger, indes nicht gelöschter Inhalte rechnete, gelangte das Bundesamt für Justiz in ihrer Stellungnahme vom 15.6.2020 zu folgendem Befund: „Die Erfahrung hat gezeigt, dass „offensichtlich“ rechtswidrige Inhalte im Sinne von § 3 Absatz 2 Nummer 2 NetzDG kaum Gegenstand von Meldungen an das BfJ sind. Vielmehr handelt es sich bei der weit überwiegenden Anzahl von Inhalten, die dem BfJ gemeldet werden, um Sachverhalte, deren Rechtswidrigkeit oder strafrechtliche Unbedenklichkeit sich nicht ohne Weiteres aufdrängt“.42 35 Eine Bußgeldahndungspraxis ist vor diesem Hintergrund bei dem hinsichtlich der Rechtsfolgen auf Bußgeldahndung beschränkten Netzwerkdurchsetzungsgesetz seit seinem Inkrafttreten im Jahr 2017 nicht existent. Auch dies deutet auf eine eher geringe praktische Bedeutung des NetzDG in der Anwendungspraxis hin. 5. Internationale NetzDG-Geltung und Durchsetzung a) Geltung für Soziale Netzwerke in anderen EU-Mitgliedstaaten 36 Bei den das Beschwerdemanagement und entsprechende Bußgeldsanktionen betreffenden Bestimmungen des NetzDG wird wegen ihres generellen Geltungsanspruchs im EU-Raum von der herrschenden Rechtsliteratur von einem Verstoß gegen das Herkunftslandprinzip ausgegangen.43 40 41 42 43

Hierzu Höld, MMR 2017, 791 ff. Vgl. Stellungnahme des BfJ zum NetzDGÄndG v. 15.6.2020, S. 14. Vgl. Stellungnahme des BfJ zum NetzDGÄndG v. 15.6.2020, S. 14. Vgl. Eifert in Eifert/Gostomzyk, Netzwerkrecht, 2018, S. 24; Feldmann, K&R 2017, 292, 296; Hain/Ferreau/Brings-Wiesen, K&R 2017, 433 f.; Heidrich/ Scheuch, DSRITB 2017, 305, 317; Hoeren, Beck-Expertenblog v. 30.3.2017;

128

Hass und Terror im Internet

Hierfür spricht, dass im Gegensatz zu den Ausnahmen des Art. 3 Abs. 3 ECRL die in Abs. 4 und 5 geregelten Einschränkungen nicht generell vorgesehen sind, sondern lediglich für behördliche Schutzmaßnahmen nach Abwägung im Einzelfall.44 Insoweit richtet sich das NetzDG auch nicht auf einen bestimmten Dienst, wie es Art. 3 Abs. 4 ECRL indes erfordert, sondern vielmehr an alle Dienste, die Soziale Netzwerke i.S.d. § 1 Abs. 1 NetzDG sind.45 Der Europäische Gerichtshof hat sich bislang nicht mit der Unions- 37 rechtskonformität des NetzDG befasst, indes ist fraglich, ob der EuGH angesichts der massiven Bedenken gegen die Beachtung des Herkunftslandprinzips die Geltung des deutschen Gesetzes auch für Soziale Netzwerke mit Sitz in anderen EU-Mitgliedstaaten bestätigen wird. Überdies gehen die Sozialen Netzwerke zum Teil bereits heute von einer 38 fehlenden Rechtsverbindlichkeit für sie aus und betonen, dass sie das NetzDG derzeit lediglich „freiwillig“ aufgrund gleichgerichteter Ziele umsetzen. Für das Soziale Netzwerk YouTube wird etwa in der qualitativen Studie der im März 2021 abgeschlossenen Teilevaluation der HTWK-Leipzig im Wortlaut ausgeführt: „Der deutsche Gesetzgeber ist bei dem 2017 in Kraft getretenen NetzDG unter Missachtung des Herkunftslandprinzips von einem Marktortprinzip ausgegangen. Erst das sich nun in der Abstimmung befindliche NetzDGÄndG erkennt das Herkunftslandprinzip, zumindest teilweise für Video-Sharing-Plattformen, an. Da der Dienst YouTube für Nutzer aus dem Europäischen Wirtschaftsraum und der Schweiz von der Google Ireland Ltd. mit Sitz in Dublin, Irland, angeboten wird, gilt nach den Vorgaben des Herkunftslandprinzips für YouTube Irisches Recht. YouTube hat, wie bereits in vorherigen Antworten dargelegt, ebenfalls Interesse an der Entfernung strafbarer bzw. rechtswidriger Inhalte sowie an Transparenz rund um die eingesetzten

Hoven/Gersdorf in Gersdorf/Paal, BeckOK Informations- und Medienrecht, 30. Edition 2019, § 1 NetzDG Rz. 9; Liesching, MMR 2018, 26, 29; Spindler, ZUM 2017, 473, 474 ff.; Spindler, K&R 2017, 533, 535 f.; Wimmers/Heymann, AfP 2017, 93, 96 f.; a.A. Schwartmann/Mühlenbeck, ZRP 2020, 170, 172. 44 Eifert in Eifert/Gostomzyk, Netzwerkrecht, 2018, S. 24; Spindler, ZUM 2017, 474, 476 f. 45 Ausführl. Liesching, Das Herkunftslandprinzip der E-Commerce-Richtlinie und seine Auswirkung auf die aktuelle Mediengesetzgebung in Deutschland, 2020, S. 7 ff.

129

Marc Liesching

Content Management Systeme, d.h. YouTube setzt die NetzDG Maßnahmen bisher freiwillig um“.46 b) Durchsetzbarkeit des NetzDG im Ausland 39 Neben den dargelegten europarechtlichen Fragestellungen ergeben sich vor allem in Bezug auf die Rechtsdurchsetzung im Ausland erhebliche Herausforderungen. Dies betrifft bereits die Zustellung von Anhörungsschreiben mit Blick auf Bußgeldverfahren und die Frage der Durchsetzung eines Zustellungsbevollmächtigten gemäß § 5 Abs. 1 NetzDG in Deutschland. Grundsätzlich ist in jedem einzelnen Verfahren der internationale Rechtshilfeweg zu beschreiten, dessen Erfolg von der Beurteilung der Sanktionswürdigkeit eines NetzDG-Verstoßes in dem jeweiligen ersuchten Staat abhängt.47 6. Kursorische Bewertung 40 Eine vergleichende Betrachtung der nach eigenen AGB-Regeln entfernten Inhalte gegenüber den nach NetzDG gesperrten Inhalten legt eher die Vermutung nahe, dass das Netzwerkdurchsetzungsgesetz nahezu keine unmittelbaren Auswirkungen auf die vorrangig nach Community-Richtlinien ausgerichtete und global orientierte Lösch-Compliance großer Sozialer Netzwerke hat. Die vor allem im Jahr 2020 immer stärker dominierende proaktive, auf automatischer Erkennung basierende Entfernung von Inhalten vor allem bei den Sozialen Netzwerken Facebook und YouTube führt tendenziell zu einer weiteren Marginalisierung der praktischen Bedeutung des auf Nutzer*innenbeschwerden und Meldeverfahren basierenden Netzwerkdurchsetzungsgesetzes. 41 Sofern man überdies aus den NetzDG-Monitoring-Berichten im Zeitraum 2018 bis 2020 – ungeachtet der Methodenkritik48 – Rückschlüsse auf die praktische Bedeutung des NetzDG ziehen kann, so legen die Befunde der Berichte nicht nahe, dass das Netzwerkdurchsetzungsgesetz zu einer messbaren Steigerung der Anteile erfolgter Inhaltsentfernungen an den insgesamt durch die Monitoring-Stelle gemeldeten „eindeutig rechtswidrigen“ Inhalten i.S.d. NetzDG geführt haben. 42 Auch die nach mehr als drei Jahren zu konstatierende, nahezu fehlende Ahndungspraxis in Bezug auf Bußgeldtatbestände nach § 4 Abs. 1 NetzDG 46 Qualitative Befragung YouTube, bei Liesching et al., (Fn. 37), S. 75 f. 47 Vgl. hierzu auch die Ausführungen i.R.d. Stellungnahme des BfJ zum NetzDGÄndG v. 15.6.2020, insb. S. 11. 48 Siehe hierzu Liesching et al., (Fn. 37), S. 45 ff.

130

Hass und Terror im Internet

insbesondere im Bereich des Beschwerdemanagements deutet eher auf eine kaum vorhandene praktische Bedeutung des Netzwerkdurchsetzungsgesetzes im Kontext der praktizierten Prüf- und Lösch-Compliance der unter das NetzDG fallenden Sozialen Netzwerke hin. Die Anwendbarkeit des NetzDG auf die praktisch relevanten großen So- 43 zialen Netzwerke mit Sitz in einem anderen EU-Mitgliedstaat ist europarechtlich zweifelhaft und vom EuGH bislang nicht bestätigt. Einzelne der großen Sozialen Netzwerke halten das NetzDG daher nicht für rechtsverbindlich, sondern setzen es aktuell nur „freiwillig“ um. Die Durchführung von Bußgeldverfahren durch das Bundesamt für Justiz gegen Anbieter im Ausland ist ebenfalls unsicher und hat bislang zu keiner internationalen Rechtsdurchsetzung des NetzDG geführt. V. Anhaltspunkte für Overblocking 1. Herausforderungen und Fragestellungen i.R.d. Untersuchung Im Rahmen der bis März 2021 durchgeführten Teilevaluation des 44 NetzDG wurden auch als Anhaltspunkte für Overblocking eruierte Kriterien subsumiert.49 Die daraus gewonnenen Befunde deuten eher darauf hin, dass das Netzwerkdurchsetzungsgesetz in dem von den Wissenschaftlichen Diensten des Bundestags50 und der herrschenden Rechtsliteratur51 befürchteten Sinne Anreize für eine schnelle Löschung von beschwerdegegenständlichen Inhalten auch in Zweifelsfällen setzt, die sich in der Anwendungspraxis realisiert haben könnten. Insgesamt sind für ein Overblocking im geschilderten Sinne mehr Anhaltspunkte ersichtlich als dafür, dass sich kein Overblocking im geschilderten Sinne zumindest teilweise etabliert hat. Dabei wird eine zielgenaue Untersuchung allerdings dadurch erschwert, 45 dass in der von der Bundesregierung beauftragten Evaluation des NetzDG keine empirische Untersuchung mit Blick auf das Vorliegen von Overblocking vorgenommen worden ist52 und die insgesamt drei seitens des Bundesamts für Justiz beauftragten Monitoring-Berichte i.S.d. § 3 Abs. 5 NetzDG auf einer unzureichend dargelegten Methodik und zu geringen Fallzahlen basieren (siehe hierzu IV. Rz. 27-29). Daher fehlt es weiterhin 49 50 51 52

Vgl. Liesching et al., (Fn. 37), S. 89 ff. WD 10 – 3000 – 037/17, S. 17. H.M., vgl. oben Fn 5. Vgl. Eifert, Evaluation des NetzDG im Auftrag des BMJV, 2020, S. 51: „im Rahmen dieser Evaluation mangels überprüfbaren Entscheidungsmaterials nicht leistbar“.

131

Marc Liesching

an einer hinreichend validen Datenlage, welche im Rahmen der im März 2021 abgeschlossenen unabhängigen Teilevaluation nicht nachgeholt werden konnte. 46 Überdies wird die methodische Analyse der Anwendungspraxis des Beschwerdemanagements und der Lösch-Compliance großer Sozialer Netzwerke dadurch erschwert, dass ein „Overblocking“ im Sinne eines „Zu-viel-Entfernens“ strafrechtskonformer Inhalte durch die bei allen Netzwerken dominierende und ebenfalls als grundsätzlich rechtskonform53 angesehenen Löschungen bei Verstößen gegen die eigenen (teils sehr weiten) Community-Richtlinien konterkariert wird. Vor diesem Hintergrund ist die These der bußgeldgetriebenen „Flucht vor dem NetzDG in die AGB“ zwar plausibel54 und angesichts der dargestellten Vorrangprüfung eigener Standards vor den Straftatbeständen des § 1 Abs. 3 NetzDG auch wahrscheinlich (siehe hierzu sowie zu den stark überwiegenden AGB-Löschungen im Vergleich zu NetzDG-Sperrungen V. Rz. 48-50). Sie lässt sich allerdings aufgrund der geschilderten Ambivalenz gegenläufiger Prüf- und Löschregime nach AGB und NetzDG nur schwer empirisch nachweisen. 47 Die vor diesem Hintergrund kaum mögliche exakte Nachweisbarkeit mit wissenschaftlichen Methoden erlaubt jedoch noch nicht den Schluss, dass aufgrund fehlender empirischer Untersuchung die These

53 Vgl. z. B. OLG Nürnberg v. 4.8.2020 – 3 U 3641/19, GRUR-RR 2020, 543, 546 Abs. 62 ff.; OLG Dresden v. 8.8.2018 – 4 W 577/18, NJW 2018, 3111 ff. = MMR 2018, 756, 758 Rz. 18; OLG Dresden v. 12.5.2020 – 4 U 1523/19, MMR 2021, 64, 65 f; OLG Karlsruhe v. 25.6.2018 – 15 W 86/18, NJW 2018, 3110 f. = MMR 2018, 678 (m. Anm. Mafi-Gudarzi); OLG München v. 24.8.2018 – 18 W 1294/18, NJW 2018, 3115, 3117 = MMR 2018, 753 in Bezug auf AGB-Regeln mit „objektivierbaren Kriterien“ (Hassrede), ebenso OLG München v. 18.2.2020 – 18 U 3465/19, MMR 2021, 71, 73; siehe aber auch OLG München v. 7.1.2020 – 18 U 1491/19; OLG Oldenburg v. 1.7.2019 – 13 W 16/19, MMR 2020, 41, 42; OLG Stuttgart v. 6.9.2018 – 4 W 63/18, NJW-RR 2019, 35, 37 = MMR 2019, 110; OLG Schleswig v. 26.2.2020 – 9 U 125/19; LG Frankfurt/M. v. 10.9.2018 – 2-03 O 310/18, MMR 2018, 770; siehe auch LG Frankenthal v. 8.9.2020 – 6 O 23/20 – Verdachtslöschung, MMR 2021, 85 f. m. Anm. Zipfel; Beurskens, NJW 2018, 3418, 3420; Friehe, NJW 2020, 1697, 1699 f.; Spindler, CR 2019, 238 ff.; s.a. Elsaß/Labusga/Tichy, CR 2017, 234; a.A. LG Karlsruhe v. 12.6.2018 – 11 O 54/18; LG Frankfurt/M. v. 14.5.2018 – 2-03 O 182/18, MMR 2018, 545 Rz. 14 m. Anm. Müller-Riemenschneider/Specht; Schwartmann/Mühlenbeck, ZRP 2020, 170. 54 Eine Plausibilität in diesem Sinne wohl auch befürwortend: Eifert, Evaluation des NetzDG im Auftrag des BMJV, 2020, S. 53.

132

Hass und Terror im Internet

des Overblockings „bloße Spekulation“ sei.55 Vielmehr verlangt eine seriöse rechtswissenschaftliche Befassung umso mehr die hilfsweise Entwicklung anderer Instrumentarien und Parameter, welche als Indizien für oder gegen das Vorliegen eines Overblockings bewertet werden können. Als solche wurden die nachfolgenden Kriterien systematisch eruiert und wie folgt subsumiert. 2. Verhältnis AGB- zu NetzDG-Löschungen Die drei im Rahmen der Teilevaluation untersuchten Sozialen Netzwer- 48 ke Facebook, YouTube und Twitter nehmen Inhaltsentfernungen ganz überwiegend nach den vorrangig geprüften, eigenen Community-Standards vor.56 Demgegenüber sind Sperrungen beschwerdegegenständlicher Inhalte nach dem nur subsidiär geprüften NetzDG vergleichsweise marginal und haben kaum eine praktische Bedeutung. Die Befunde stützen die auch im Rahmen der Juristischen Evaluation im Auftrag des BMJV für „plausibel“ erachtete57 These eines durch das NetzDG angereizten bzw. beförderten Ausweichens in ein vermehrtes Löschen nach – im Vergleich zu den StGB-Tatbeständen überwiegend weiter gefassten – Community-Richtlinien. Für eine solche durch das NetzDG mitverursachte „Flucht“ in AGB-Lö- 49 schungen58 spricht zunächst, dass alle untersuchten Sozialen Netzwerke einen klaren Prüfvorrang nach ihren eigenen Gemeinschaftsstandards selbst für solche Inhalte implementieren, welche von Nutzer*innen über das NetzDG-Meldeformular, also unter Bezugnahme auf die in § 1 Abs. 3 NetzDG genannten Straftatbestände eingereicht werden. Durch ein solches Vorgehen ist wahrscheinlich, dass eine Vielzahl von aufgrund von AGB entfernten Inhalten gleichsam „abgeschöpft“ wird, welche bei einer Prüfung nach NetzDG/StGB zumindest Zweifelsfälle begründen könnten und tiefgreifendere Prüfungs- und Abwägungsvorgänge nach sich zögen. Vor diesem Hintergrund kann davon ausgegangen werden, dass die Buß- 50 gelddrohungen und engen Löschfristen des NetzDG gerade dazu beigetragen haben, dass Soziale Netzwerke eine gegenüber dem NetzDG vor55 56 57 58

So Eifert, Evaluation des NetzDG im Auftrag des BMJV, 2020, S. 54. Siehe Liesching et al., (Fn. 37), S. 103 ff. und 121 ff. Vgl. Eifert, Evaluation des NetzDG im Auftrag des BMJV, 2020, S. 53. Siehe auch Eifert, Evaluation des NetzDG im Auftrag des BMJV, 2020, S. 29: „Je höher die Anforderungen nach dem NetzDG sind, desto größer ist der Anreiz für die Netzwerkanbieter, die Beschwerden in das weniger stark regulierte System der Beschwerden nach Gemeinschaftsstandards zu lenken“.

133

Marc Liesching

rangige Prüfung und Löschung nach weit gefassten AGB-Standards mit dynamischen Extensionstendenzen des Anwendungsbereichs etabliert haben. Denn durch diese Compliance-Strategie werden Risiken der Bußgeldahndung nach § 4 NetzDG aufgrund Nicht-Löschungen von Inhalten, welche das Bundesamt für Justiz nachträglich als (straf-)rechtswidrig einstufen könnte, weitgehend minimiert. 3. Zeitraum zwischen Beschwerdeeingang und Löschung 51 Der mit ca. 80 %–95 % hohe Anteil von erfolgten Löschungen/Sperrungen innerhalb von 24 Stunden kann auf der Grundlage der rechtlichen und rechtstatsächlichen Analyse insofern als Anhaltspunkt für ein mögliches Vorliegen von Overblocking gedeutet werden, als hiernach die nach Einschätzung des Gesetzgebers regelmäßig für die sorgfältige Prüfung der Rechtswidrigkeit von Inhalten nach dem NetzDG erforderliche Zeit von 7 Tagen59 fast nicht in Anspruch genommen wird.60 4. Absenz von Bußgeldverfahren nach § 4 Abs. 1 Nr. 2 NetzDG 52 Es kann davon ausgegangen werden, dass mit einem tatsächlich gegebenen Overblocking einhergeht, dass – entgegen der Prognose des Gesetzgebers 2017 (500 begründete Bußgeldverfahren pro Jahr)61 – nahezu keine Bußgeldsanktionen nach § 4 Abs. 1 Nr. 2 NetzDG wegen feststellbaren Underblockings (Nichtlöschung rechtswidriger Inhalte nach § 3 Abs. 2 Nr. 2 und 3 NetzDG) gegen Soziale Netzwerke erfolgen.62 Seitens des Bundesamts für Justiz ist seit Inkrafttreten des NetzDG 2017 bis zum Abschluss bereits erwähnter Teilevaluation gegen kein Soziales Netzwerk ein Bußgeldbescheid aufgrund § 4 Abs. 1 Nr. 2 NetzDG wegen systemischen Nicht-Löschens rechtswidriger Inhalte erlassen worden.63

59 BT-Drucks. 18/12356, S. 23; ebenso Eifert, Evaluation des NetzDG im Auftrag des BMJV, 2020, S. 52. 60 Siehe ausführl. Liesching et al., (Fn. 37), S. 107 ff. und S. 131 ff. 61 Vgl. BT-Drs. 18/12356, S. 3 f. 62 Siehe ausführl. Liesching et al., (Fn. 37), S. 112 ff. und S. 134. Wie dort dargelegt wird, lässt die Absenz solcher Bußgeldverfahren über einen längeren Zeitraum hinweg die Möglichkeit des Vorliegens von Overblocking zu, sie indiziert ein solches Overblocking aber nicht zwingend im Sinne einer erhöhten Wahrscheinlichkeit ihres Vorliegens. 63 Vgl. Stellungnahme des BfJ zum NetzDGÄndG v. 15.6.2020, S. 14.

134

Hass und Terror im Internet

5. Wirkung und Plausibilität von gesetzl. Mechanismen gegen Overblocking Die seitens der Bundesregierung und von einem Teil der Rechtsliteratur64 53 als regulatorische Mechanismen gegen Overblocking angeführten Flexibilisierungen der Löschfristen nach § 3 Abs. 2 Nr. 3a) und b) NetzDG einschließlich der Möglichkeit der Konsultation einer anerkannten Einrichtung der freiwilligen Selbstkontrolle haben in der Anwendung des NetzDG bislang keine praktische Bedeutung. Sie können mithin keine Auswirkungen im Sinne der Verhinderung oder Minimierung von Tendenzen des Overblockings haben.65 Die Einschränkung der Bußgelddrohung des § 4 Abs. 1 Nr. 2 NetzDG auf 54 „systemisches Versagen“ bei Fehlentscheidungen der Nicht-Löschung rechtswidriger Inhalte ist nicht geeignet, Anreize bei den Normadressaten (Soziale Netzwerke) für eine breite und schnelle Zweifelsfall-Löschung beschwerdegegenständlicher Inhalte mit Blick auf die Vermeidung von Bußgeldahndungen zu begrenzen.66 6. Selbsteinschätzung Sozialer Netzwerke Alle drei in der Teilevaluation befragten Sozialen Netzwerke äußern sich 55 in Bezug auf die engen zeitlichen Vorgaben des NetzDG mit Blick auf eine hinreichende Strafrechtsprüfung vor allem bezüglich der diffizilen und auslegungsbedürftigen Äußerungsdelikte kritisch.67 Hierbei wird zum Teil deutlich eingeräumt, dass eine rechtliche Inhaltsprüfung in kurzer Zeit nicht möglich sei, indes die nach dem NetzDG vorgegebenen 24 Stunden zu schnellen Prüf- und Entscheidungsabläufen zwängen. Der Videosharing-Dienst YouTube räumt sogar explizit ein, dass die erheblichen Geldbußen und die engen Fristen des NetzDG einen „starken Anreiz“ setzten, Inhalte in fast allen Fällen im Zweifel zu löschen und der Dienst auch in der Anwendungspraxis eine umgehende Bearbeitung (auch in Zweifelsfällen) zur Vermeidung möglicher hoher Geldbußen vorgezogen hat.

64 Vgl. Bericht der Bundesregierung zur NetzDG-Evaluierung, 2020, S. 22; Schwartmann, GRUR-Prax 2017, 317, 318. 65 Siehe ausführl. Liesching et al., (Fn. 37), S. 115 ff. und S. 134 ff. 66 Siehe ausführl. Liesching et al., (Fn. 37), S. 137. 67 Siehe ausführl. Liesching et al., (Fn. 37), S. 120 und 141 f.

135

Marc Liesching

VI. Schluss 56 Die vorstehend skizzierten Befunde einer nur marginalen Bedeutung des Netzwerkdurchsetzungsgesetzes in der Anwendungspraxis (hierzu IV. Rz. 40-43) sowie der überwiegenden Anhaltspunkte für ein mögliches Overblocking (hierzu V. Rz. 48-55) stehen nicht zueinander in Widerspruch. Vielmehr stützen beide Teilergebnisse die These eines durch die Restriktionen des NetzDG (enge Löschfristen und hohe Bußgelddrohungen) verursachten verstärkten Ausweichens der Sozialen Netzwerke in eine weit gefasste, interne AGB-Compliance, welche den externen NetzDG-Normbefehlen vorgeschaltet wird und diese gleichsam ins Leere laufen lässt. 57 Auch die von Eifert durchgeführte Evaluation im Auftrag des BMJV erkennt dies im Ansatz, soweit dort ausgeführt wird: „Je höher die Anforderungen nach dem NetzDG sind, desto größer ist der Anreiz für die Netzwerkanbieter, die Beschwerden in das weniger stark regulierte System der Beschwerden nach Gemeinschaftsstandards zu lenken“.68 58 Werden indes NetzDG-Beschwerden von den Sozialen Netzwerken nicht nach den NetzDG-Straftatbeständen,69 sondern nach den eigenen, tendenziell weiter gefassten Gemeinschaftsstandards vorrangig geprüft und entfernt, so führt dies zum Ausschluss auch solcher nutzer*innengenerierten Inhalte von der Zugänglichkeit, welche nach den Maßstäben des Strafrechts – auch im Spannungsfeld der Meinungsäußerungsfreiheit – und mithin nach dem NetzDG nicht hätten entfernt werden müssen. Dies entspricht aber weitgehend dem von den Wissenschaftlichen Diensten des Bundestages70 und der herrschen Rechtsliteratur71 angenommenen „Overblocking“, zu dem der durch die NetzDG-Restriktionen verursachte Ausweichdruck faktisch anzureizen scheint. 59 Hiervon zu trennen ist die Frage der Rechtskonformität von Löschungen nach Gemeinschaftsstandards, welche über gesetzliche Verbote und Beschränkungen hinausgehen. Diese wird von einem Großteil der Rechtsprechung und der Rechtsliteratur im Grundsatz anerkannt, wenngleich auch hier zum Teil über die Drittwirkung von Grundrechten Abwägungsgebote postuliert werden.72 Im vorliegenden Kontext steht indes nicht die

68 Eifert, Evaluation des NetzDG im Auftrag des BMJV, 2020, S. 29. 69 § 1 Abs. 3 NetzDG i. V. m. §§ 86, 86a, 89a, 91, 100a, 111, 126, 129 bis 129b, 130, 131, 140, 166, 184b i. V. m. §§ 184d, 185 bis 187, 201a, 241 oder 269 StGB. 70 WD 10 – 3000 – 037/17, S. 17. 71 H.M., vgl. oben Fn. 5. 72 SieheNachweise oben Fn. 54.

136

Hass und Terror im Internet

Legalität und/oder rechtspolitische Legitimität solcher AGB-Löschungen im Vordergrund. Die dargestellten Untersuchungsbefunde eines weitgehend fehlenden 60 praktischen Anwendungsbereichs des Netzwerkdurchsetzungsgesetzes im Bereich der Prüf- und Lösch-Compliance Sozialer Netzwerke bei der Entfernung nutzer*innengenerierter Inhalte (hierzu IV. Rz. 17-25) und auch die Anhaltspunkte für das Vorliegen von „Overblocking“ im Sinne eines Ausweichens der Netzwerke in eine der NetzDG-Prüfung vorgeschaltete, weit gefasste AGB-Compliance (hierzu V. Rz. 48-50) indizieren die Notwendigkeit einer umfassenden Überprüfung des NetzDG im Hinblick auf seine Verfassungskonformität. Dies betrifft im Wesentlichen zwei Aspekte: –

Kommt den bußgeldbewehrten gesetzlichen Pflichten des NetzDG eine nur geringe praktische Bedeutung im Sinne der intendierten Regelungsziele zu und gehen mit ihr gleichwohl erhebliche Umsetzungslasten für die betroffenen Normadressaten einher, ergeben sich Fragestellungen im Hinblick auf eine hinreichende Geeignetheit, Erforderlichkeit und Angemessenheit des Gesetzes.

–

Weisen die in der Teilevaluation im März 2021 eruierten Kriterien eher auf das Vorliegen eines Overblockings im Sinne eines NetzDG-forcierten Ausweichens der Sozialen Netzwerke in vorgeschaltete, weite AGB-Prüf- und Löschsysteme hin, bedarf es einer Überprüfung, ob der Gesetzgeber des Netzwerkdurchsetzungsgesetzes die objektive verfassungsrechtliche Wertentscheidung zugunsten der Meinungsfreiheit in Art. 5 Abs. 1 GG hinreichend berücksichtigt hat.

137

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB – Vortrag* anlässlich der DGRI-Jahrestagung 2020: Digitale Souveränität – Vision oder Trugbild?

Michael Deubert**/Stefan Lewe*** I. Einleitung II. Klassifizierung von Software für bilanzielle Zwecke

1

VI.

3

VII. Abgrenzung nicht aktivierbarer Projektkosten 22

III. Anschaffung, Herstellung oder zeitraumbezogene Nutzung von Software 6 IV. Anschaffung vs. Herstellung von Individualsoftware

12

V. Anschaffung vs. Nutzung einer Software 15

Customizing bei Anschaffung oder Herstellung 18

VIII. Bereitstellungs-, Serviceund Lizenzmodelle bei Cloud Computing IX.

Aktivierung von Customizing-Ausgaben im Mietmodell

26

30

Literatur: Bundesministerium der Finanzen (BMF), Leasingerlass für Vollamortisationsverträge bei beweglichen Wirtschaftsgütern vom 19.4.1971, BStBl. I, 264; BMF, Schreiben vom 15.1.1976 zur ertragsteuerrechtlichen Behandlung von Mietereinbauten und Mieterumbauten, BStBl. I, 66; BMF, Schreiben zur Einführung von ERP-Software vom 18.11.2005, BStBl. I, 1025; Brebeck/Herrmann in Festschrift Baetge, Düsseldorf 2007, 66; Deutsches Rechnungslegungs Standards Committee e.V. (DRSC) (Hrsg.), Deutscher Rechnungslegungs Standard Nr. 24 (DRS 24), Immaterielle Vermögensgegenstände im Konzernabschluss, Bundesanzeiger AT vom 23.2.2016; Institut der Wirtschaftsprüfer (IDW) (Hrsg.), Stellungnahme zur Rechnungslegung: Bilanzierung entgeltlich erworbener Software beim Anwender (IDW RS HFA 11 n. F.) (Stand 18.12.2017), IDW Life 2/2018, 268; Deubert/Lewe, Bilanzierung von Software beim Anwender nach HGB – Besonderheiten bei Cloud-Lösungen, BB 2019, S. 811; Gerlach/Oser, Handelsrechtliche Behandlung von Implementierungskosten bei SaaS-Verträgen im Rahmen von Cloud Computing, DB 2019, 1969; Böckem/Greuer, Möglichkeiten und Grenzen der Aktivierung von Kosten im Zusammenhang mit Cloud-Computing (SaaS)-Arrangements nach IFRS, KOR 2019, 469.

* Die Vortragsform wurde bei der Veröffentlichung weitgehend beibehalten. ** WP/StB Michael Deubert, Frankfurt am Main. *** WP/StB Dr. Stefan Lewe, Frankfurt am Main.

139

Michael Deubert/Stefan Lewe

I. Einleitung 1 Lieber Herr Professor Zech, haben Sie vielen Dank für Ihre einleitenden Worte. Guten Tag, meine Damen, meine Herren hier aus Frankfurt a.M. Die Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB ist sicher ein eher exotisches Thema bei dieser Jahrestagung. 2 Nun, womit wollen wir uns in diesem Vortrag beschäftigen? Es geht uns darum, die Voraussetzungen herauszuarbeiten, unter denen Ausgaben, die im Zusammenhang mit der Einführung, einer Weiterentwicklung oder aber auch der laufenden Unterhaltung von Software stehen, im handelsrechtlichen Jahresabschluss zu aktivieren sind, für sie ein Aktivierungswahlrecht oder unter Umständen sogar ein Aktivierungsverbot besteht, d.h. die Ausgaben dann als laufender Aufwand zu behandeln sind. Zu diesem Zweck ist unser Vortrag zweigeteilt. In einem ersten Teil beleuchten wir die Fälle, in denen die Software-Lizenzen unmittelbar in der Verfügungsmacht des Bilanzierenden stehen und in einem zweiten Teil, was gegenwärtig auch immer mehr zu beobachten ist, wollen wir uns damit befassen, welche Konsequenzen sich aus handelsbilanzieller Sicht ergeben, wenn ein Dritter die Software dem Anwender in einer Cloud-Umgebung zur Nutzung überlässt. II. Klassifizierung von Software für bilanzielle Zwecke 3 Zu Beginn ist es sinnvoll, den Begriff „Software“ aus handelsbilanzieller Sicht zunächst einmal zu klassifizieren. Da haben wir einerseits die Firmware (BIOS), mit der also die Elementarfunktionen des Computers gesteuert werden. Sie kann vom Rechner, also von der Substanz nicht getrennt werden und wird deshalb mit dem materiellen Vermögensgegenstand bilanziert. Die Firmware ist aus bilanzieller Sicht damit nicht besonders relevant. 4 Und dann haben wir aber die Systemsoftware, also die ganzen im Betriebssystem zusammengefassten Programme und die Anwendersoftware, d.h. die Programme, mit denen die Datenverarbeitungsaufgaben der Anwender gelöst werden. Beide können vom Rechner getrennt werden und sind daher eigenständige immaterielle Vermögensgegenstände und damit auch Gegenstand der handelsrechtlichen Bilanzierung. In der Praxis gibt es auch Fälle, in denen die Hardware zusammen mit der Software erworben wird und keine gesonderte Bepreisung der Systemsoftware erfolgt (sog. Bundling). Unter diesen Umständen wird aus Praktikabilitätsgründen, wenn man den Preis nicht anderweitig ermitteln kann,

140

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB

die Systemsoftware ausnahmsweise mit der Hardware zusammen bilanziert. Bei der Anwendungssoftware wird weiter zwischen Individual- und Stan- 5 dardsoftware unterschieden, was für die Bilanzierung relevant ist. Als Standardsoftware werden Programme bezeichnet, die für eine Vielzahl von Anwendern zur Verfügung stehen oder von diesen verwandt werden, wohingegen Individualsoftware auf die besonderen betrieblichen Belange eines Anwenders zugeschnitten ist. III. Anschaffung, Herstellung oder zeitraumbezogene Nutzung von Software Bezüglich der handelsbilanziellen Behandlung von Ausgaben für Soft- 6 ware wird üblicherweise eine Trennung in zwei Bereiche vorgenommen: a) Ausgaben für die Software als solche und b) Ausgaben für das sog. Customizing bzw. die Implementierung der Software. Hinsichtlich der Ausgaben für die Software hängt die handelsrechtliche 7 Bilanzierung davon ab, ob die Software angeschafft, also endgültig von einem Dritten erworben wurde. Bei einem solchen sog. entgeltlichen Erwerb besteht handelsbilanziell eine Ansatzpflicht für die Software mit ihren Anschaffungskosten (§ 255 Abs. 1 HGB). Statt eines entgeltlichen Erwerbs kann die Software auch selbst hergestellt werden. Dann besteht handelsrechtlich ein Aktivierungswahlrecht (§ 248 Abs. 2 Satz 1 HGB). Verstärkt zu beobachten sind sog. Mietmodelle. Bei einer zeitraumbezogenen Nutzung von Software handelt es sich i.d.R. um ein schwebendes Geschäft, das seinen Niederschlag in der Handelsbilanz nur dann findet, wenn der Anwender Vorauszahlungen leistet, was aber bilanziell nicht zum Ansatz eines immateriellen Vermögensgegenstands führt, sondern zu einem aktiven Rechnungsabgrenzungsposten. Eine Ausnahme hiervon gilt dann, wenn die Rechtsposition des Anwenders so ausgeprägt ist, dass es zu einem Übergang des wirtschaftlichen Eigentums an der Software kommt. Für die Bilanzierung im handelsrechtlichen Jahresabschluss ist am Ende nicht das zivilrechtliche Eigentum, sondern das wirtschaftliche Eigentum (§ 246 Abs. 1 Satz 2 HGB) ausschlaggebend und dies ist völlig unabhängig davon, ob die Software angeschafft oder selbst hergestellt wurde. Unabhängig von der Anschaffung/Herstellung eines immateriellen Ver- 8 mögensgegenstands oder der Erlangung eines zeitraumbezogenen Nutzungsrechts an einer Software muss diese implementiert werden, d.h. sozusagen für die betriebliche Nutzung verfügbar gemacht werden; dies

141

Michael Deubert/Stefan Lewe

gilt insbesondere für Enterprise Ressource Planning (ERP)-Software. Man spricht in diesem Zusammenhang vom sog. Customizing. Dabei ergibt sich auch aus bilanzieller Sicht eine Abgrenzungsfrage, denn es können bereits vor der finalen Anschaffungs- oder Herstellungsentscheidung – neutral gesprochen – bereits Beratungskosten entstehen, bspw. wenn es um eine Organisationsberatung oder die Analyse oder Optimierung von betrieblichen Prozessen geht. Aus bilanzieller Sicht ist dann die Frage relevant, ob diese Ausgaben dem Anschaffungs- oder Herstellungsvorgang zuzurechnen oder davon abzugrenzen sind. Kosten der Entscheidungsvorbereitung dürfen dabei nicht aktiviert werden, sondern sind laufender Aufwand der Periode und mindern damit den Gewinn. 9 Abgrenzungsfragen ergeben sich auch bei den Kosten, die für das Versetzen der Software in einen betriebsbereiten Zustand erforderlich sind, also für das Customizing im engeren Sinn. Diese müssen abgrenzt werden von weitergehenden Aufwendungen, bei denen die Software erweitert oder wesentlich verbessert wird. Man spricht aus bilanzieller Sicht dann von einer Modifikation der Software. Wenn sogar ganz tiefgreifend eingegriffen wird, liegt eine Wesensänderung vor, d.h. die Herstellung eines neuen immateriellen Vermögensgegenstands aus handelsbilanzieller Sicht. Die beiden letztgenannten Fälle haben im Grunde nichts mehr mit der Versetzung in den betriebsbereiten Zustand der Software zu tun. Auch hier stellt sich die Frage nach den bilanziellen Konsequenzen. 10 Und noch viel gravierender werden natürlich solche Fragen, wenn man tatsächlich die Software nur gemietet hat, d.h. gar keinen Vermögensgegenstand bilanziert, sondern nur ein Dauernutzungsverhältnis vorliegt. Auch in diesen Fällen muss die Software im Wege des Customizings für den betrieblichen Einsatz nutzbar gemacht werden. Und auch dann entstehen Ausgaben. Insofern stellt sich auch hier die Frage, wie damit bilanziell umzugehen ist. Diese Frage werden wir im Kontext mit den Cloud-Lösungen intensiv behandeln, weil sie dort besonders drängend ist. 11 Hinweisen möchten wir Sie an dieser Stelle auf einige fachliche Referenzen, die sozusagen einschlägig für die Bilanzierung im handelsrechtlichen Jahresabschluss sind. Zu nennen ist zunächst eine Stellungnahme des Berufsstands der Wirtschaftsprüfer, der IDW RS HFA 11 „Bilanzierung von entgeltlich erworbener Software beim Anwender“1 und des Weiteren der DRS 24 „Immaterielle Vermögensgegenstände im Konzernabschluss“2. DRS 24 gilt zwar zunächst nur für den handelsrechtlichen Konzernab1 2

IDW RS HFA 11 n. F., IDW Life 2/2018, 268 ff. DRS 24, Bundesanzeiger AT vom 23.2.2016.

142

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB

schluss, es ergeben sich daraus aber auch Ausstrahlungswirkungen für den handelsrechtlichen Jahresabschluss. Von steuerrechtlicher Seite ist insbesondere ein BMF-Schreiben aus dem Jahr 2005 relevant3. Zwei weitere Aufsätze sind aus unserer Sicht für diese Themen ganz hilfreich.4 IV. Anschaffung vs. Herstellung von Individualsoftware 12

Abbildung 1: Aktivierbarkeit von Individualsoftware5

Die Unterscheidung zwischen Anschaffung und Herstellung lässt sich 13 am anschaulichsten am Beispiel von Individualsoftware verdeutlichen. Wenn der Bilanzierende die Software mit eigenen Mitarbeitern selbst herstellt, also programmieren lässt, so hat er das ganze Herstellungs-/ Entwicklungsrisiko. Dann handelt es sich um einen selbsterstellten immateriellen Vermögensgegenstand, für den handelsrechtlich ein Aktivierungswahlrecht besteht (§ 248 Abs. 2 Satz 1 HGB). Wenn der Bilanzierende von diesem Recht Gebrauch macht, müssen die selbst erstellten immateriellen Vermögensgegenstände in der Bilanz gesondert ausgewiesen werden (§ 266 Abs. 2 lit. A. Nr. I.1. HGB). Für die insoweit aktivierten Beträge abzüglich der dafür gebildeten passiven latenten Steuern gilt eine Ausschüttungssperre (§ 268 Abs. 8 HGB) im handelsrechtlichen Jahresabschluss, d.h. die Gewinnverwendung ist in dieser Höhe eingeschränkt. 3

4 5

BMF, Leasingerlass für Vollamortisationsverträge bei beweglichen Wirtschaftsgütern vom 19.4.1971, BStBl. I, S. 264.; BMF, Schreiben zur Einführung von ERP-Software vom 18.11.2005, BStBl. I, S. 1025. Brebeck/Herrmann in Festschrift Baetge, Düsseldorf 2007, S. 66 ff.; Deubert/ Lewe, BB 2019, S. 811 ff. Vgl. IDW RS HFA 11, Tz. 12.

143

Michael Deubert/Stefan Lewe

14 Regelmäßig wird es aber so sein, dass man sich bei der Entwicklung von Individualsoftware der Dienste eines Dritten bedient, also beispielsweise eines Softwarehauses. Dann kommt es für die Bilanzierung ganz entscheidend darauf an, ob das Herstellungsrisiko für die Software beim Anwender liegt oder nicht. Wenn der Dritte nur auf Basis eines Dienstvertrags tätig wird, dann wird die Software bilanziell wie ein selbst erstellter immaterieller Vermögensgegenstand behandelt. Anders dagegen der Fall, wenn das Herstellungsrisiko auf den Softwareanbieter, das Softwarehaus, übertragen wird, wir es also mit einem Werkvertrag zu tun haben. Dann liegt aus der Sicht des bilanzierenden Anwenders ein entgeltlicher Erwerb der Software vor; es greift das Aktivierungsgebot. V. Anschaffung vs. Nutzung einer Software 15 Welches sind nun die Kriterien, mit deren Hilfe man beurteilen kann, ob der Softwareanwender wirtschaftliches Eigentum an einer Lizenz erworben hat oder die Vereinbarung nur mit einem Mietvertrag vergleichbar ist. Dazu wurden in der Literatur Kriterien erarbeitet, die in den DRS 24 übernommen wurden und damit – zumindest für den handelsrechtlichen Konzernabschluss – die Vermutung von Grundsätzen ordnungsmäßiger Buchführung (GoB) haben. Im Grund macht man an den folgenden vier Kriterien fest, ob wirtschaftliches Eigentum an einem Nutzungsrecht und damit an einem immateriellen Vermögensgegenstand erworben wurde oder ob man es mit einer Mietlösung zu tun hat. 16 Erstens ist zu beurteilen, ob der Nutzer die ihm überlassene Software frei und unabhängig nutzen kann. Zweites Kriterium ist, ob ein fixer Kaufpreis vereinbart ist, also die Zahlungen unabhängig von Nutzungsdauer, Nutzungshäufigkeit oder -intensität festgelegt sind. Dritter wichtiger Aspekt ist die Laufzeit. Ist die Laufzeit der Lizenz unbefristet oder unkündbar befristet? Wenn die Laufzeit des Nutzungsverhältnisses befristet ist, muss zudem beurteilt werden, ob dieser Zeitraum gemessen an der Nutzungsdauer der lizensierten Software wirtschaftlich ins Gewicht fällt oder vielleicht sogar bei wirtschaftlicher Betrachtung der gesamten Nutzungsdauer der Software entspricht. Ein viertes wichtiges Kriterium ist die Frage, ob den Lizenzgeber nach der Überlassung der Lizenz weitere (Leistungs-)Pflichten treffen, also ob er Aktualisierungen und ähnliches vornehmen muss oder ob er nur die Nutzung des immateriellen Vermögensgegenstands dulden muss. 17 Wenn diese vier Kriterien kumulativ erfüllt sind, ergibt sich handelsrechtlich das Ergebnis, dass ein immaterieller Vermögensgegenstand entgeltlich erworben wurde. Aus bilanzieller Sicht stellt dann der Barwert 144

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB

der Lizenzentgelte die Anschaffungskosten für diesen immateriellen Vermögensgegenstand dar. VI. Customizing bei Anschaffung oder Herstellung 18

Abbildung 2: Customizing-Maßnahmen6

Völlig unabhängig davon, ob man es mit einem Anschaffungs- bzw. Her- 19 stellungsvorgang oder nur einem Mietmodell zu tun hat, muss die Software in den betriebsbereiten Zustand versetzt werden. Dabei geht es letztlich um alle Maßnahmen, die notwendig sind, um die Software in das betriebliche Umfeld einzubetten. Das fängt an mit der Installation der Software, der Konfiguration der unternehmensspezifischen Parameter wie Kostenstellen, Konten usw. bis hin zu den Funktionstests und ist völlig unabhängig davon, ob es mit eigenem Personal geschieht oder, was in der Praxis der Regelfall ist, IT-Berater beauftragt werden. Für alles, was der Bilanzierende aufwendet, um die Software in den betriebsbereiten Zustand zu versetzen, besteht handelsrechtlich eine Aktivierungspflicht. Es muss aber von den Fällen der Modifikation abgegrenzt werden, wenn also Software erweitert oder verbessert wird, also zusätzliche Funktionalitäten oder ähnliches programmiert werden. Aus handelsrechtlicher Sicht ist es so, dass bei einer Modifikation eines 20 schon vorhandenen immateriellen Vermögensgegenstands die dafür aufgewandten Kosten der bilanziellen Behandlung der Ausgaben für den zugrundeliegenden Vermögensgegenstand folgen bzw. dessen Schicksal teilen. Ist also der zugrundeliegende immaterielle Vermögensgegenstand 6

Quelle: eigene Darstellung.

145

Michael Deubert/Stefan Lewe

bereits aktiviert, müssen in diesem Fall auch die Kosten der Modifikation aktiviert werden. Es spielt – das ist jetzt eine Besonderheit – dann keine Rolle mehr, ob die Kosten der Modifikation auf der Grundlage eines Dienst- oder eines Werkvertrags zu tragen sind. 21 Weiter abzugrenzen sind aber wieder die Fälle der Wesensänderung, wenn also ganz tief in die Substanz der Software eingegriffen wird und so bei wirtschaftlicher Betrachtung ein völlig neuer immaterieller Vermögensgegenstand entsteht. In diesem Fall ist wieder zu prüfen, ob der neue immaterielle Vermögensgegenstand angeschafft oder hergestellt wurde. Hinsichtlich der Folgebilanzierung (z. B. bei späteren Modifikationen) gilt entsprechendes, mit der Ausnahme, dass eine einmal betriebsbereite Software kein zweites Mal in Betriebsbereitschaft versetzt werden kann. VII. Abgrenzung nicht aktivierbarer Projektkosten 22 Betrachtet man bspw. die Einführung einer neuen ERP-Software (z. B. SAP S/4HANA) beim Anwender, wird man feststellen, dass bei der Abbildung der Implementierung für Zwecke des handelsrechtlichen Jahresabschlusses Kostenblöcke zu berücksichtigen sind, die nicht oder nur mittelbar im Zusammenhang mit der Anschaffung der Software selbst stehen. Des Weiteren machen die Ausgaben für das Customizing bei der Einführung eines neuen ERP-Systems oft das Gros der Ausgaben aus, d.h. dass die Anschaffungskosten für die Lizenz in Relation zu den Gesamtprojektkosten relativ gering sind. 23 Während die Ausgaben für die Anschaffung der Lizenz nach §§ 253 Abs. 1 Satz 1, 255 Abs. 1 HGB als Anschaffungskosten zu aktivieren sind, ist bezüglich der Implementierungskosten zu differenzieren. Ausgaben, die nur mittelbar mit der Anschaffung in Zusammenhang stehen (z. B. Ausgaben für die Entscheidungsvorbereitung, für die Schulung von Mitarbeitern oder für die Datenmigration, d.h. für die Übernahme von Daten aus dem Altsystem) sind als laufender Aufwand des Geschäftsjahres zu erfassen.

146

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB

Tabelle: Abgrenzung nicht aktivierbarer Projektkosten7 Ausgaben in der Projektphase

Anschaffungskosten

Projektmanagement

X*

Fachliche Unterstützung

X

Analyse und Design

X*

Implementierung

X**

Test

X

24 Laufender Aufwand

Migration

X

Go-Live Unterstützung

X***

Stabilisierung

X

Schulung

X

Einbindung und Grundeinrichtung

X**

Schnittstellenprogrammierung

X

* soweit nicht nur ggf. Entscheidungsvorbereitung ** soweit nicht Anpassung der Organisation des Unternehmens *** soweit nicht für das Versetzen in den betriebsbereiten Zustand

Die o.g. Tabelle zeigt, dass auch eine weitere Aufteilung innerhalb der 25 tätigkeitsbezogenen Kostenblöcke erforderlich sein kann, bei der anhand der konkret anfallenden Tätigkeit zu entscheiden ist, ob die Ausgaben als Anschaffungskosten aktivierbar sind. In der Praxis wird die Buchhaltung mitunter relativ spät eingebunden, was eine dann im Nachhinein vorzunehmende sachgerechte Aufteilung von Kosten erschwert und ggf. teilweise unmöglich macht. Denn die Ausgaben für das Customizing sind nach § 255 Abs. 1 Satz 1 HGB als Aufwendungen für das Versetzen des Vermögensgegenstands Softwarelizenz (bspw. ERP-Software) in den betriebsbereiten Zustand nur als Anschaffungskosten aktivierbar bzw. aktivierungspflichtig, sofern sie dem Vermögensgegenstand einzeln zugeordnet werden können. Liegt aber eine entsprechende Zuordnung (z. B. anhand von Stundenaufschreibungen der in dem Projekt beschäftigten Mitarbeiter), aus denen die konkrete Tätigkeit hervorgeht nicht vor, sind die Ausgaben nach dem handelsrechtlichen Vorsichtsprinzip (§ 252

7

Quelle: eigene Darstellung.

147

Michael Deubert/Stefan Lewe

Abs. 1 Nr. 4 HGB) im Zweifel aufwandswirksam zu erfassen. Es wird sich daher empfehlen, bei Abschluss von Verträgen mit Softwaredienstleistern bereits rechtzeitig darauf hinzuwirken, dass die Dienstleister auch entsprechend der genannten Aktivitäten differenziert abrechnen. VIII. Bereitstellungs-, Service- und Lizenzmodelle bei Cloud Computing 26 Wenn wir zu den Cloud-Lösungen kommen, können wir SAP S4/Hana als Beispiel nehmen. Es gibt Softwareprodukte, die Softwareanbieter sowohl als On Premise-Lösung, das heißt für die lokale Installation vor Ort und alternativ auch in einer Cloud-Variante anbieten. Auch hier ist wieder die Frage zu stellen, ob man eine aktivierungspflichtige Software-Lizenz erwirbt. Falls dies nicht der Fall ist, stellt sich die Frage, ob die Customizing-Ausgaben, die i.d.R. einen Großteil der Projektkosten ausmachen, für sich genommen aktivierbar bzw. aktivierungspflichtig sind. Bevor ich jedoch auf diese Fragen eingehe, möchte ich kurz erläutern, was es mit Cloud-Computing und Cloud-Diensten auf sich hat. 27 Cloud-Computing ist erst in den letzten Jahren infolge des technischen Fortschritts möglich geworden, weil die technischen Voraussetzungen dafür vorliegen mussten, dass Softwareanwender über ein Breitband-Netzwerk jederzeit bedarfsgerecht auf ein Netzwerk von gemeinsam genutzten IT-Ressourcen zugreifen können. Seit dem Jahr 2016 verstärkt auftretende Anfragen zur Bilanzierung von Cloud-Computing zeigen, dass dessen Bedeutung im Zeitablauf zugenommen hat. Ein wesentliches Merkmal von Cloud-Computing ist auch, dass der Anwender durch eine geringe Interaktion mit dem Provider die von ihm benötigten Ressourcen erweitern kann. Beispielsweise können bei Amazon Web Services (AWS) am eigenen Rechner virtuelle Rechner in der Cloud konfiguriert werden, wobei Prozessoren, Größe des Datenspeichers u.v.a. ausgewählt werden können. Die Preise richten sich nach der gemessenen Inanspruchnahme der IT-Ressourcen. 28 Unterschieden wird zwischen Bereitstellungs- und Service-Modellen, wobei auch unterschiedliche Lizenz-Modelle vereinbart werden können. Man unterscheidet zwischen Private-, Public und Hybrid Clouds. Private Clouds sind Cloud-Lösungen, bei denen einzelne Anbieter oder einzelne Nachfrager oder einzelne Gesellschaften eines Konzerns ausschließlich die Cloud nutzen und auch die Dienste und die Hardware verwalten. Das Verwalten kann durch Dritte erfolgen. Bei der Kombination von Selbstverwaltung und Verwaltung durch einen Dritten liegt eine Managed Private-Cloud vor, die auf einem lokalen Rechner des Anwenders liegen oder alternativ von einem Dritten gehostet werden kann. In Ab148

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB

grenzung dazu gibt es Public Clouds, bei denen der Anbieter Eigentümer der IT-Hardware ist und – an die Öffentlichkeit gerichtet – jedem potenziellen Nutzer die Nutzung dieser Cloud ermöglicht. Hybrid Clouds sind Mischformen von Private und Public Clouds. Beispielsweise wird dieses Modell angewandt, um Lastspitzen abzufangen, indem Anwendungen und Daten zwischen Private und Public Clouds hin- und hergeschoben werden. Innerhalb dieser Cloud-Lösungen gibt es verschiedene Service-Modelle. 29 Man unterscheidet hier Infrastructure-as-a-Service, wo nur die Rechnerleistung der Hardware und das Betriebssystem virtuell über die Cloud zur Nutzung zur Verfügung gestellt werden. Die nächste Stufe ist Platform-as-a-Service, wo der Service um die Bereitstellung einer Systemumgebung erweitert ist, in der der Anwender Software entwickeln, testen und betreiben kann. Last but not least haben wir dann die Software-as-a-Service-Lösung, bspw. eine SAP S4/Hana-Lösung, die in einer Cloud-Umgebung von SAP oder gegebenenfalls auch einem dritten Dienstleister angeboten wird. Deren bilanzielle Abbildung ist fraglich. IX. Aktivierung von Customizing-Ausgaben im Mietmodell Auf die Frage der Zurechnung von Software-Lizenzen für Zwecke der 30 handelsrechtlichen Rechnungslegung sind wir bereits im Zusammenhang mit den in DRS 24 genannten Kriterien eingegangen. Alternativ könnte man für die Zurechnung auch über die steuerrechtlichen Leasingerlasse für bewegliche Vermögensgegenstände argumentieren, an denen sich auch die Zurechnung für handelsrechtliche Zwecke orientiert. Zentrales Kriterium ist dort das Verhältnis der Grundmietzeit zur betriebsgewöhnlichen Nutzungsdauer. Werden Verträge über die Nutzung von Cloud-Lösungen z. B. über drei Jahre vereinbart, führt dies unter Berücksichtigung der von der Finanzverwaltung für ERP-Systeme als betriebsgewöhnliche Nutzungsdauer angenommenen fünf Jahre zu keiner persönlichen Zurechnung einer Software-Lizenz zum Anwender/Nutzer der Cloud-Lösung. Es stellt sich aber die Frage, ob die Ausgaben für das Customizing isoliert betrachtet zur Anschaffung oder Herstellung eines immateriellen Vermögensgegenstands führen, der aktivierbar bzw. aktivierungspflichtig ist. Eine Aktivierung setzt das Vorliegen eines Vermögensgegenstands vor- 31 aus. Eine Definition des Begriffs des Vermögensgegenstands findet sich in DRS 24. Danach ist ein Vermögensgegenstand ein Gut, das nach der Verkehrsauffassung gegenüber einem Dritten abstrakt einzeln verwertbar ist. Das heißt nicht, dass nur das Customizing einzeln verwertbar 149

Michael Deubert/Stefan Lewe

sein muss, sondern gegebenenfalls mit anderen Vermögensgegenständen zusammen, eben gemeinsam mit einer potenziellen Software-Lizenz. Das wäre auch akzeptabel. Die Verwertbarkeit muss aber separat vom Unternehmen, d.h. losgelöst von dem konkreten einzelnen Unternehmen, möglich sein. 32 Berücksichtigt man, dass das Customizing in der Regel den Zuschnitt der Software auf das konkrete Unternehmen und dessen Prozesse betrifft, tut man sich gedanklich schwer, ein Customizing als abstrakt einzelverwertbar anzusehen. Ein gedachter Erwerber müsste ja quasi neu anfangen, die Software an sein Unternehmen anzupassen. Es ist aber nicht von der Hand zu weisen, dass ein Customizing wirtschaftliche Vorteile für das Unternehmen hat und das Unternehmen dieses Customizing über eine gewisse Laufzeit nutzen kann, weil z. B. bei einem Vertrag mit einer über drei Jahre fest vereinbarten Laufzeit die Softwarenutzung in der Cloud wegen der vertraglichen Abrede sicher nutzbar ist. Ein solches Customizing würde auch von einem gedachten Erwerber vergütet, wenn er das Unternehmen kauft. 33 Der Sachverhalt ist vergleichbar mit der steuerrechtlichen Abgrenzung des Wirtschaftsgutbegriffs. Es gibt auch eine weitere Analogie zu Mietereinbauten, deren steuerrechtliche Behandlung im Mietereinbautenerlass8 geregelt ist. Dort ist u. a. der Fall geregelt, dass ein Mieter in das Mietobjekt Einbauten vornimmt, er aber nicht das wirtschaftliche Eigentum an den Einbauten selbst und eben auch nicht an dem Mietobjekt erwirbt. Nach dem Erlass gelangt man in einem solchen Fall zu einem immateriellen Vermögensgegenstand. Es macht auch keinen Unterschied, ob die Software gekauft und diese zusammen mit dem Customizing genutzt wird oder ob die Software gemietet und mit dem Customizing zusammen genutzt wird. Eine abstrakte Einzelverwertbarkeit einer gekauften Software mit dem Customizing zusammen ist nur beschränkt möglich, weil der Erwerber nur die Software vergüten würde, aber nicht das Customizing, welches er ja selbst – bezogen auf seine Belange – neu machen müsste. Die hierzu im Schrifttum vertretenen verschiedenen Auffassungen haben bislang noch keinen Eingang in die handelsrechtliche Kommentierung gefunden. Präferiert wird der Ansatz eines gesonderten immateriellen Vermögensgegenstands,9 wobei die gegenteilige Auffassung die Analogie zu Mietereinbauten verneint und am althergebrachten Vermögensgegenstandsbegriff festhält.10 Im Ergebnis hat dies, solange 8 Vgl. BMF, Schreiben vom 15.1.1976 zur ertragsteuerrechtlichen Behandlung von Mietereinbauten und Mieterumbauten, BStBl. I, S. 66. 9 Vgl. Deubert/Lewe, BB 2019, 811 ff; Böckem/Greuer, KOR 2019, 469 ff., 475. 10 Vgl. Gerlach/Oser, DB 2019, 1969 ff.

150

Bilanzierung von Software-Lizenzen und Cloud-Diensten nach HGB

sich keine abschließende Meinung zur handelsrechtlichen Bilanzierung herausgebildet hat, für den bilanzierenden Nutzer einer Cloud-Lösung den Vorteil, dass er sich für eine der beiden alternativen Bilanzierungen (Aktivierung bzw. sofortige aufwandswirksame Erfassung der für das Customizing anfallenden Ausgaben) entscheiden kann, solange dabei der Grundsatz der sachlichen und zeitlichen Stetigkeit beachtet wird. Entscheidet sich der Bilanzierende für den Ansatz eines immateriellen Vermögensgegenstands Customizing, darf dessen planmäßige Abschreibung maximal über die Grundmietzeit des Vertrags über die Nutzung der Cloud-Lösung erfolgen, sofern der Bilanzierende nicht im Ausnahmefall einseitig eine Verlängerung des Vertrags herbeiführen kann und eine solche auch bereits zum Abschlussstichtag beschlossen wurde.

151

Tagungsbericht: 26. Drei-Länder-Treffen 2019 Matthias Haag*/Mariya Hubcheva**

Das 26. Drei-Länder-Treffen der Deutschen Gesellschaft für Recht und 1 Informatik e.V. (DGRI) fand dieses Jahr vom 27. bis zum 29.6.2019 in Kooperation mit der Donau-Universität Krems statt und ermöglichte eine länderübergreifende Diskussion über vier aktuelle Themenblöcke – Smart Factory, Digitaler Zwilling, Datenschutz- und Wettbewerbsrecht sowie Update im Ländervergleich. Die Tagung begann mit einem Grußwort von Prof. Dr. Viktoria Weber 2 (Vizerektorin für Forschung, Donau-Universität Krems) und Prof. Ing. Dr. Clemens Appl, LL.M., (Donau-Universität Krems). Anschließend warf Prof. Dr. Dr. Walter Blocher (Universität Kassel) einen kurzen Blick auf die vergangenen Konferenzen und führte in das Hauptthema ein. Der Vorsitzende der DGRI Prof. Dr. Dirk Heckmann (Universität Passau) 3 begrüßte als Moderator des ersten Themenblocks die zahlreichen Konferenzteilnehmer und wies auf die DGRI-Jahrestagung in Berlin vom 7. bis 9.11.2019 hin. Im Mittelpunkt der anschließenden Case Study „Smart Factory/Data 4 Lakes“ stand ein Smart Car, das unter Verwendung von künstlicher Intelligenz und Big Data zur Selbstoptimierung fähig ist. RA Dr. Thorsten Amman (DLA Piper, Köln) referierte anhand des Fallbeispiels über die rechtliche Qualifikation von Daten, die divergierenden Zielsetzungen von Big Data und Datenschutz sowie über Cyber-Sicherheit und haftungsrechtliche Aspekte. RA Dr. Gregor Schroll, LL.M. oec., (DLA Piper, Köln) ergänzte dies um die wettbewerbsrechtliche Problematik und legte ein besonderes Augenmerk auf Data Pooling, Data Lakes, digitale Plattformen und Preisalgorithmen. Die Parallele aus österreichischer Sicht zogen Mag. Stefan Panic und 5 Mag. Annika Wanderer, LL.M., (DLA Piper, Wien), die die wettbewerbsrechtliche Auseinandersetzung im Hinblick auf Forschungs- und Entwicklungskooperationen, den Unternehmenserwerb sowie den Informationsaustausch in den Mittelpunkt stellten.

* Matthias Haag, Staatsanwalt, Halle (Saale). ** Mariya Hubcheva, Lehrbeauftragte der Wirtschaftsuniversität Wien.

153

Matthias Haag/Mariya Hubcheva

6 RAin Dr. Monique Sturny, LL.M., (Walder Wyss, Zürich) erläuterte die wesentlichen Unterschiede des schweizerischen Kartellrechts im Vergleich zu den europäischen Regelungen und legte den Fokus auf die sehr hohen Meldeschwellen hinsichtlich der Zusammenschlusskontrolle, den Marktbeherrschungstest sowie auf die notwendige Erweiterung des Abredebegriffs in Bezug auf tacit collusion. 7 Unter der Moderation von Prof. Dr. iur. Dipl.-Biol. Herbert Zech (HU Berlin) fand ein Impulsvortrag von Sebastian Louven (Universität Oldenburg) und RA Dr. Carlo Piltz (reuschlaw, Berlin) zu den Verflechtungen zwischen Wettbewerbs- und Datenschutzrecht statt. 8 Im Anschluss folgte eine Podiumsdiskussion zu diesem Thema mit Dr. Irene Sewczyk (Bundeskartellamt, Bonn), Dr. Maximilian Diem (Bundeswettbewerbsbehörde, Wien), Mag. Andreas Zavadil (Datenschutzbehörde, Wien), Sebastian Louven und RA Dr. Carlo Piltz. Dr. Sewczyk berichtete über die Entscheidung des Bundeskartellamts betreffend Facebook und den vorgeworfenen Missbrauch seiner marktbeherrschenden Stellung durch unangemessene Datenverarbeitungskonditionen. Dies diente als Grundlage für eine kontroverse Diskussion bezüglich der Marktabgrenzung, der Ermittlung von Marktmacht in der Welt der digitalen Ökonomie und des Verhältnisses zwischen Wettbewerbs- und Datenschutzrecht. 9 Unter der Moderation von RAin Dr. Veronika Fischer (Geschäftsführerin DGRI) folgte als dritter Themenblock ein Update im Ländervergleich, beginnend mit der Darstellung der aktuellen Rechtslage in Österreich. Mag. Eva Sainitzer, LL.M., (Oracle Austria GmbH) und RA Dr. Andreas Seling, M.B.L., (DORDA Rechtsanwälte GmbH, Wien) befassten sich mit der Umsetzung der Know-How-RL, der NIS-RL sowie mit den Gesetzesänderungen im MarkenSchG und stellten einige höchstgerichtliche Judikate dar. 10 Anhand ausgewählter Entscheidungen aus der Schweiz berichtete RAin Caroline Gaul, LL.M., (Walder Wyss, Zürich) über die Haftung von Access und Host Providern, die Gültigkeit der Einwilligung für die Weitergabe von Daten bei einer Gesundheits-App sowie den Stand der Revision des schweizerischen Datenschutzgesetzes. 11 Das Länderupdate Deutschland von Jun.-Prof. Dr. Linda Kuschel, LL.M., (Bucerius Law School, Hamburg) umfasste ausgewählte Fragen zum Urheberrecht, u. a. die Möglichkeit einer Schutzfristverlängerung für gemeinfreie Werke durch den Leistungsschutz und die Geheimhaltung einer Stellungnahme als Sprachwerk. Sie vervollständigte den Bericht mit Ausführungen zu dem unklaren Verhältnis von Datenschutzrecht und Lauterkeitsrecht. 154

Tagungsbericht: 26. Drei-Länder-Treffen 2019

Der Samstag stand unter dem Thema „Der Digitale Zwilling“ und wur- 12 de von Prof. Dr. Dr. Walter Blocher (Universität Kassel) moderiert. Im ersten Vortrag erläuterte Dr.-Ing. Peter J. Hoppen (Streitz Hoppen und Partner, Brühl) die technischen Grundlagen und unternahm eine Begriffsbestimmung anhand von Praxisbeispielen. Der Vortrag betrachtete den Digitalen Zwilling im gesamten Produktlebenszyklus und benannte Herausforderungen (Identität/Zuordnung, Interoperabilität, Datensicherheit), aber auch Lösungsmöglichkeiten. Darauf hingewiesen wurde, dass der ganzheitliche Ansatz derzeit noch eingeschränkt umsetzbar ist und sich die Anwendung von Digitalen Zwillingen in absehbarer Zeit noch auf einzelne Komponenten beschränken wird. Aus Sicht des Immaterialgüterrechts ist für die Virtualisierung eines 13 smarten Objektes die Mitwirkung des jeweiligen Herstellers i.d.R. erforderlich, erläuterte Prof. Ing. Dr. Clemens Appl, LL.M., (Donau-Universität Krems). Er ging in seinem Vortrag zunächst auf den Schutz smarter Objekte ein und identifizierte anschließend relevante Nutzungshandlungen, welche dem Hersteller als Rechteinhaber vorbehalten sind, der zudem faktisch über das notwendige Knowhow (z. B. Material, Fertigungsmethode, Toleranzen, Sicherheitsbereiche etc.) verfügt. RAin Dr. Sonja Dürager, LL.M., (BPV Hügel, Wien) behandelte den As- 14 pekt des automatisierten Vertragsschlusses und ging dabei insbesondere auf die Zurechenbarkeit von Erklärungen des Digitalen Zwillings ein. Sie wies darauf hin, dass der Fokus zudem auch in der eigenständigen Prüfung von Widersprüchen zwischen den AGB der Vertragspartner (durch das jeweilige Softwaresystem) liegen muss. Im Rahmen des Haftungsrechts haben Digitale Zwillinge Vorzüge bei der 15 Rückverfolgbarkeit, merkte RA Dr. Philipp Reusch (reuschlaw, Berlin) in seinem Vortrag an, der den produkthaftungs- und produktsicherheitsrechtlichen Rahmen beleuchtete. Allerdings muss sichergestellt werden, dass die Verwendung von Digitalen Zwillingen nicht zu rechtlichen Nachteilen führt, etwa in Bezug auf versicherungsrechtliche Erprobungsklauseln. Im Anschluss folgte eine Diskussion über die Unterschiede von Digita- 16 len Zwillingen zu CAD-Anwendungen. Es wurde auch erörtert, welche Aspekte bei der Vertragsgestaltung zu berücksichtigen sind. Prof. Dr. Dirk Heckmann dankte zum Abschluss der Veranstaltung al- 17 len Vortragenden und Teilnehmenden und kündigte an, dass das 27. Drei-Länder-Treffen 2020 in Freiburg (i. Br.) stattfinden wird. Der Termin wird noch bekannt gegeben.

155

DGRI Drei-Länder-Treffen 2019 Länderbericht Schweiz Caroline Gaul* I. Einleitung

1

II. Illegale Filme im Internet – Urteil des BGer 4A – 433/2018 vom 8. Februar 2019 1. Sachverhalt 2 2. Urteil 4 3. Key Take Aways 8 III. Weitergabe von Daten bei einer Gesundheits-App – Urteil des BVGer A-3548/2018 vom 19. März 2019 1. Sachverhalt 11 2. Urteil 15 3. Key Take Aways 16 IV. Auskunft bei Bonitätsprüfungen – Urteil des RG Bern-Mittelland CIV 18 5595 HEA vom 13. März 2019

1. Sachverhalt 2. Urteil 3. Key Take Aways

19 21 22

V. Suchmaschinen Deep Links und Persönlichkeitsverletzung – Urteil des BezGer ZH CG160047 vom 1. Juni 2018 1. Sachverhalt 24 2. Urteil 25 3. Key Take Aways 26 VI. E-Mail Spamming unter Anwälten – Urteil des OG ZH UE170371O/U/TSA vom 6. März 2018 1. Sachverhalt 28 2. Beschluss 30 3. Key Take Away 31 VII. Stand der Revision des Datenschutzgesetzes in der Schweiz 32

Literatur: Baeriswyl in: Baeriswyl/Pärli (Hrsg.), Datenschutzgesetz (DSG), Bern 2015; Belser/Epiney/Waldmann, Datenschutzrecht, Bern 2011; Bühlmann/Schüepp, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, Jusletter 15. März 2021; Egli, Urteil des Bundesverwaltungsgerichts, Abteilung I – Staatshaftung und Regress, Bundespersonal und Datenschutz, vom 19. März 2019 (A-3548/2018), Pflegerecht 2019, S. 175 – 178; Hausheer/Aebi-Müller, Gewinnherausgabe nach Persönlichkeitsverletzung durch Medien – BGE 5C.66/2006 vom 7. Dezember 2006, ZBJV 143/2007, S. 341 – 354; Heuberger, Profiling im Persönlichkeits- und Datenschutzrecht der Schweiz, Zürich/Basel/ Genf 2020; Keller, Datenschutz, Zürich 2019; Prazeller, Der Mitwirkungsbegriff in Art. 28 Abs. 1 ZGB bedarf einer Einschränkung, Medialex 2017 S. 45–50; Ro-

*

Caroline Gaul, LL.M., Rechtsanwältin (Rechtsanwaltskammer Frankfurt am Main) bei Walder Wyss AG, Zürich. Gemäß Art. 28 BGFA eingetragen in der öffentlichen Liste der Angehörigen von Mitgliedstaaten der EU oder EFTA, die in der Schweiz unter ihrer ursprünglichen Berufsbezeichnung ständig Parteien vor Gerichtsbehörden vertreten dürfen.

157

Caroline Gaul senthal/Jöhri, Handkommentar zum Datenschutzgesetz, Zürich/Basel/Genf 2008; Rudin in: Baeriswyl/Pärli (Hrsg.), Datenschutzgesetz (DSG), Bern 2015; Strobel/ Marmy-Brändli, Urheber- und Designrecht, in: Baker McKenzie Zürich (Hrsg.), Wirtschaftsrecht 2020, Trends und Entwicklungen, Zürich/Basel/Genf 2020, S. 89–95; Vasella in: Heizmann/Loacker (Hrsg.), UWG Kommentar, Bundesgesetz gegen den unlauteren Wettbewerb, Zürich/St. Gallen 2018, Art. 3 Abs. 1 lit. o, S. 653–675; Vasella/Ziegler, Krankenversicherung und DSG-Revision, digma 2020, S. 80–87.

I. Einleitung 1 Dieser Beitrag basiert auf dem Vortrag der Autorin anlässlich des DGRI Drei-Länder-Treffens 2019, das am 28.6.2019 in Krems an der Donau (Österreich) stattfand. Nachfolgend werden ausgewählte Entscheide Schweizer Gerichte der Jahre 2018 und 2019 aus den Bereichen des IT-, Persönlichkeits-, Lauterkeits- sowie des Datenschutzrechts vorgestellt. Die Themen reichen von illegalen Filmen im Internet und der (Nicht-) Haftung von Access Providern, über datenschutzrechtliche Herausforderungen bei einer Gesundheits-App, Auskunftsansprüche bei Bonitätsprüfungen, Verbreitung möglicherweise persönlichkeitsverletzender Inhalte in Medienberichten bis zum E-Mail Spamming unter Anwälten. Abschließend wird vom aktuellen Stand der Revision des Datenschutzgesetzes berichtet. II. Illegale Filme im Internet – Urteil des BGer 4A – 433/2018 vom 8. Februar 2019 1. Sachverhalt 2 Die Swisscom ist eines der führenden Telekommunikationsunternehmen in der Schweiz. Sie stellt ihren Kunden Zugang zum Internet zur Verfügung und verschafft ihnen damit als Access Provider auch Zugriff auf ausländische Webseiten, auf denen die Kunden unrechtmäßig zugänglich gemachte Filme abspielen oder herunterladen können. 3 Ein Inhaber von Rechten an derartigen Filmen verklagte die Swisscom auf Sperrung des Zugangs zu den illegalen Webseiten. Seine Klage wurde vom Handelsgericht Bern abgewiesen. Dagegen erhob der Rechteinhaber Beschwerde an das Bundesgericht, dessen Urteil nachfolgend dargestellt wird.

158

DGRI Drei-Länder-Treffen 2019 Länderbericht Schweiz

2. Urteil Das Bundesgericht wies die Beschwerde des Rechteinhabers ab. Eine Ver- 4 antwortlichkeit von Access Providern wurde nach kontroverser Diskussion in der Literatur damit höchstrichterlich verneint. Die Swisscom könne nur zum Sperren von Domains verpflichtet werden, 5 wenn sie selbst einen relevanten Beitrag zu einer Urheberrechtsverletzung leiste. Dies sei vorliegend aber nicht der Fall. Der bloße Konsum von unrechtmäßig im Internet zugänglich gemach- 6 ten Filmen durch Kunden der Swisscom sei nicht rechtswidrig. Vielmehr stelle dies einen zulässigen Eigengebrauch veröffentlichter Werke gemäß Art. 19 Abs. 1 lit. a (Bundesgesetz über das Urheberrecht und verwandte Schutzrechte, URG) dar und zwar unabhängig davon, ob die Filmquellen rechtmäßig zugänglich gemacht wurden oder nicht. Der Gesetzgeber habe es anlässlich der Revision des Urheberrechts abgelehnt, eine Bestimmung einzuführen, die eine Vervielfältigung zum Eigengebrauch von Werken aus illegaler Quelle untersagt hätte. Dementsprechend mangele es in Bezug auf die Handlungen der Kunden schon an einer rechtswidrigen Haupttat, an der die Swisscom hätte teilnehmen können. Unstreitig und unzweifelhaft sei hingegen, dass die Betreiber und Hoster 7 der fraglichen Webseiten sowie die unrechtmäßigen Uploader der Filme eine Urheberrechtsverletzung begehen. Als bloßer Access Provider trage die Swisscom hierzu jedoch nicht adäquat kausal bei. Dass sie gemeinsam mit vielen weiteren Access Providern die technische Infrastruktur für den Internetzugang bereitstelle, könne sie nicht in die Verantwortung nehmen. Andernfalls führe dies zu einer vom Gesetz nicht vorgesehenen Systemhaftung Schweizer Access Provider für sämtliche Urheberrechtsverletzungen im Internet. 3. Key Take Aways Das Urteil des Bundesgerichts verdeutlicht, dass Access Provider in der 8 Schweiz nicht in die Bekämpfung von Urheberrechtsverletzungen einbezogen werden.1 Diese Rechtslage wird sich wohl auch in Zukunft nicht ändern. Ein ent- 9 sprechender Vorschlag war bereits bei der letzten Urheberrechtsrevision nicht mehrheitsfähig. Zwar bezweckte die Revision des Urhebergesetzes unter anderem ausdrücklich eine effektive Bekämpfung der Internetpiraterie und es ist fraglich, wer – wenn nicht der Access Provider – Zugriff 1

Vgl. hierzu auch Strobel/Marmy-Brändli, Urheber- und Designrecht, S. 94.

159

Caroline Gaul

auf Webseiten mit unrechtmäßigen Inhalten effektiv verhindern kann, dennoch wurden Netzsperren durch Access Provider als unverhältnismäßig, zu kompliziert und zu aufwändig bewertet und abgelehnt. 10 Dabei sind Netzsperren grundsätzlich denkbar und in anderen Zusammenhängen durchaus bereits gesetzlich verankert bzw. angedacht: So sieht das neue Bundesgesetz über Geldspiele (BGS) seit dem 1.7.2019 vor, dass der Zugang zu nicht bewilligten ausländischen Spielangeboten gesperrt wird (Art. 86 ff. BGS). Auch gemäß dem am 1. Januar 2021 in Kraft getretenen revidierten Fernmeldegesetz (FMG) müssen Access Provider angesichts des Kinder- und Jugendschutzes verdächtige Webseiten melden und gegebenenfalls sperren (Art. 46a Abs. 3 FMG). Zudem verpflichtet das am 1.4.2020 in Kraft getretene revidierte Urheberrechtsgesetz in Art. 39d URG Hosting Provider, dafür zu sorgen, dass einmal entfernte urheberrechtsverletzende Inhalte dauerhaft entfernt bleiben (sogenannte Stay-Down-Pflicht).2 III. Weitergabe von Daten bei einer Gesundheits-App – Urteil des BVGer A-3548/2018 vom 19. März 2019 1. Sachverhalt 11 Die Helsana Gruppe ist eine große Schweizer Krankenversicherung, die sowohl die obligatorische Krankenversicherung als auch zahlreiche private Zusatzversicherungen anbietet. Die private Helsana Zusatzversicherungen AG betreibt das App-gestützte Bonusprogramm „Helsana+“, bei dem Teilnehmende durch bestimmte Aktivitäten Pluspunkte sammeln können, die sie sodann in Boni, wie z. B. Barauszahlungen, Sachleistungen oder Gutscheine von Partnerunternehmen, umwandeln können. Dabei hängt die Höhe der Boni unter anderem davon ab, ob der oder die Teilnehmende ebenfalls mit einer obligatorischen Krankenversicherung bei der Helsana Gruppe versichert ist. 12 In diesem Zusammenhang fragte die Helsana Zusatzversicherungen AG Personendaten bei der obligatorischen Krankenversicherung der Helsana-Gruppe ab, namentlich die Versichertennummer, das Geburtsdatum und die Postleitzahl der Teilnehmenden. Die Teilnehmenden hatten vorher, bei der Registrierung über die App, eingewilligt, dass Daten von der obligatorischen Krankenversicherung an die private Krankenversicherung übertragen werden dürfen.

2

Strobel/Marmy-Brändli, Urheber- und Designrecht, S. 89 f.

160

DGRI Drei-Länder-Treffen 2019 Länderbericht Schweiz

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) 13 nahm sich der Sache an, klärte den Sachverhalt ab und empfahl der Helsana Zusatzversicherungen AG, diese Datenbearbeitung zu unterlassen. Er qualifizierte die Datenbearbeitung als rechtswidrig, da die Teilnehmenden nicht rechtswirksam einwilligen würden und es sich im Ergebnis um eine unzulässige Prämienrückerstattung an Kunden handeln würde, die bei der Helsana Gruppe nicht nur privat- sondern auch obligatorisch grundversichert seien. Die Helsana Zusatzversicherungen AG teilte die Rechtsauffassung des 14 EDÖB nicht und lehnte eine Umsetzung der Empfehlung ab. Hiergegen erhob der EDÖB Klage beim Bundesverwaltungsgericht. 2. Urteil Das Bundesverwaltungsgericht hieß die Klage teilweise gut. Die Einwil- 15 ligung der Teilnehmenden sei zwar ungültig, eine unzulässige Prämienrückerstattung liege jedoch nicht vor und sei jedenfalls datenschutzrechtlich irrelevant. 3. Key Take Aways Das Urteil des Bundesverwaltungsgerichts ist in vielerlei Hinsicht über- 16 raschend. Es wurde in der Literatur zwischenzeitlich mit guten Argumenten heftig kritisiert.3 Nachfolgend die wichtigsten Aussagen des Urteils: Für private Zusatzversicherungen können in datenschutzrechtlicher Hinsicht dieselben Regeln gelten wie für die obligatorische Krankenversicherung, denn eine Beschaffung von Personendaten bei der obligatorischen Krankenversicherung könne nur dann rechtmäßig sein, wenn auch die Bekanntgabe der Personendaten durch die obligatorische Krankenversicherung rechtmäßig sei. Besonders strenge Anforderungen stellt das Urteil an die Gültigkeit der 17 Einwilligung: i) Es handele sich nicht um einen Einzelfall, wenn Daten mehrmals im Jahr in einem automatisierten Prozess abgefragt würden.4

3 4

Bühlmann/Schüepp, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, Jusletter 15. März 2021. Vgl. hierzu auch Keller, Datenschutz, S. 19 f.

161

Caroline Gaul

ii) Eine schriftliche Einwilligung in die Datenbearbeitung nach Art. 84a Abs. 5 lit. b des Bundesgesetzes über die Krankenversicherung (KVG) erfordere nicht bloß Textform, sondern eine eigenhändige Unterschrift im Sinne von Art. 14 des schweizerischen Obligationenrechts (OR). Vorliegend hatten die am Bonusprogramm „Helsana+“ Teilnehmenden lediglich mit einem Klick auf einen Button in der App eingewilligt. Gemäß Bundesverwaltungsgericht entspricht dies nicht dem Erfordernis einer schriftlichen Einwilligung. Das Urteil des Bundesverwaltungsgerichts wird in dieser Hinsicht allerdings leider nicht weiter begründet. Rechtlich gesehen sprechen gute Argumente gegen das Erfordernis einer eigenhändigen Unterschrift.5 Die Anforderung einer eigenhändigen Unterschrift scheint jedenfalls für dieses Szenario im digitalen Zeitalter überholt. Der Bundesrat hat dann auch in einer Medienmitteilung aus dem Jahr 2018 aufgrund der Ergebnisse der Umfrage „Digitaler Test“ des Eidgenössischen Departements für Wirtschaft, Bildung und Forschung (WBF) beschlossen, nicht mehr zeitgemäße Formvorschriften systematisch zu prüfen. Dabei weist der zu Grunde liegende Bericht des WBF ausdrücklich darauf hin, dass Schriftlichkeit nicht zwingend eine eigenhändige Unterschrift erfordert: „Dabei ist zu beachten, dass die Verwendung des Wortes ‚schriftlich‘ in Erlassen des öffentlichen Rechts nicht zwingend die einfache Schriftlichkeit mit Handunterschrift resp. qualifizierter elektronischer Signatur bedeutet. Vielmehr ist der Begriff ‚schriftlich‘ auslegungsbedürftig. Neben der einfachen Schriftlichkeit kann damit auch die bloße Textform (z. B. Fax, E-Mail) als Abgrenzung zur Mündlichkeit gemeint sein.“6 iii) Nützlich wiederum sind die Hinweise zu den Grundsätzen der„informierten“ Einwilligung: Die Information darf nicht zu allgemein formuliert sein.7 Vielmehr sind die betroffenen Datenpunkte konkret zu benennen8, vorliegend hätten also konkret die Versichertennummer, das Geburtsdatum und die Postleitzahl benannt werden müssen. Auch darf die Information nicht auf mehrere Bestimmungen inner-

5 6

7 8

Bühlmann/Schüepp, N 336 ff. Mitteilung des Bundesrats vom 29.8.2018 „Bundesrat will Hindernisse für Digitalisierung beseitigen“, Seite 11 Ziff. 3.2.2, veröffentlicht unter https:// biblio.parlament.ch/e-docs/395536.pdf. Vgl. hierzu auch Baeriswyl, Datenschutzgesetz (DSG), Art. 4 DSG N 59. Vgl. hierzu auch Heuberger, Profiling im Persönlichkeits- und Datenschutzrecht der Schweiz, S. 184; Belser/Epiney/Waldmann, Datenschutzrecht, § 9 N 17; Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, Art. 4 DSG N 72.

162

DGRI Drei-Länder-Treffen 2019 Länderbericht Schweiz

halb umfangreicher Nutzungs- und Datenschutzbestimmungen verteilt sein.9 Schließlich wird deutlich, dass eine Datenbearbeitung in der Schweiz – 18 anders als in der Europäischen Union – nicht zu einem legitimen Zweck erfolgen muss (vgl. Art. 5 Abs. 1 lit. b Datenschutz-Grundverordnung, DSGVO), sie darf nur nicht rechtswidrig im Sinne des DSG sein (vgl. Art. 4 Abs. 1 DSG), d.h. nicht gegen eine Rechtsnorm verstoßen, welche dem Persönlichkeitsschutz dient. Bisher wird das Datenschutzgesetz in der Schweiz also nicht für fremde Regelungszwecke genutzt. Dies könnte sich in Zukunft allerdings ändern, worauf zwei Umstände hinweisen. Zum einen bezieht sich der Ingress des revidierten Datenschutzgesetzes neu auf den verfassungsrechtlichen Konsumentenschutz (Art. 97 Abs. 1 der Bundesverfassung der Schweizerischen Eidgenossenschaft, BV) und zum anderen wird mit dem neuen DSG auch in der Schweiz ein Recht auf Datenportabilität eingeführt werden. IV. Auskunft bei Bonitätsprüfungen – Urteil des RG Bern-Mittelland CIV 18 5595 HEA vom 13. März 2019 1. Sachverhalt Der Kläger verlangte von einem Unternehmen, das Bonitätsprüfungen 19 vornimmt, Auskunft darüber, wer genau seine Bonität abgefragt hatte. Nachdem ihm das Unternehmen die Auskunft verweigert hatte, klagte er auf entsprechende Auskunftserteilung vor dem Regionalgericht Bern-Mittelland. Der Kläger stützte seine Klage auf Auskunft nicht nur auf Schwei- 20 zer Datenschutzrecht (Art. 8 DSG), sondern, soweit ersichtlich, in der Schweiz erstmalig auch auf europäisches Datenschutzrecht (Art. 15 DSGVO). Die DSGVO hielt er aufgrund des räumlichen Anwendungsbereiches der DSGVO (Art. 4 DSGVO) für anwendbar. Auf eine Anwendbarkeit aufgrund internationalen Privatrechts (Art. 139 Bundesgesetz über das Internationale Privatrecht, IPRG) berief sich der Kläger nicht. 2. Urteil Das Regionalgericht Bern-Mittelland wies die Klage ab.

9

21

Vgl. hierzu auch Egli, Urteil des Bundesverwaltungsgerichts, Abteilung I – Staatshaftung und Regress, Bundespersonal und Datenschutz, vom 19. März 2019 (A-3548/2018), S. 176 f.

163

Caroline Gaul

3. Key Take Aways 22 Gemäß Regionalgericht Bern-Mittelland erfordert der Auskunftsanspruch nach Art. 8 DSG nicht, die einzelnen Datenempfänger konkret zu benennen. Nach schweizerischem Datenschutzrecht sei lediglich die Kategorie der Datenempfänger bekannt zu geben.10 Dazu verwies das Gericht auf die Botschaft zum DSG vom 23.3.1988, BBI 1988 II 413, S. 453, RAMPINI/FUCHS, Basler Kommentar zum DSG/BGÖ, 2014, N 29 f. zu Art. 8 und N 12 zu Art. 14 und für das E-DSG auf die Botschaft Totalrevision DSG vom 15.9.2017, BBI 2017, 6941, S. 7051 und 7066 f.). 23 Die Frage nach der Anwendbarkeit europäischen Datenschutzrechts in der Schweiz ließ das Gericht ausdrücklich offen. Auch nach Art. 15 DSGVO gäbe es zumindest bei Bonitätsprüfungen keinen Anspruch auf Bekanntgabe der konkreten Empfänger. Vielmehr genüge es in diesem Fall auch nach der DSGVO, Auskunft über die Kategorien der Empfänger zu erteilen. Grund dafür sei, dass den betroffenen Personen bereits bekannt sei, wer Informationen über sie besitze, schließlich nehme eine Bonitätsprüfung nur vor, wer geschäftlichen Kontakt mit der betroffenen Person pflege. Ein Anspruch auf Bekanntgabe von Bekanntem sei nicht zielführend und daher abzulehnen. V. Suchmaschinen Deep Links und Persönlichkeitsverletzung – Urteil des BezGer ZH CG160047 vom 1. Juni 2018 1. Sachverhalt 24 Betroffen war ein Arzt, Forscher, Lehrer und stellvertretender Direktor eines Zürcher Spitals. Eine Tageszeitung verbreitete über ihre Webseite Artikel, in denen Äußerungen des Betroffenen im Zusammenhang mit einer Medikamentenstudie angeblich falsch und persönlichkeitsverletzend wiedergegeben wurden. Ein Suchmaschinenbetreiber setzte nicht nur allgemeine, sondern direkte Links (Deep Links) zu ebendiesen Artikeln. Hiergegen klagte der Betroffene vor dem Bezirksgericht Zürich und forderte, der Suchmaschinenbetreiber habe die Deep Links zu löschen bzw. zu deaktivieren. 2. Urteil 25 Das Bezirksgericht Zürich wies die Klage ab. Zwar sei der Suchmaschinenbetreiber passivlegitimiert, da bereits die Anzeige eines direkten

10 Vgl. hierzu auch Rudin, Datenschutzgesetz (DSG), Art. 8 DSG N 42.

164

DGRI Drei-Länder-Treffen 2019 Länderbericht Schweiz

Links auf verletzende Inhalte in einer Suchmaschine eine Mitwirkung an einer Persönlichkeitsverletzung i.S.v. Art. 28 Abs. 1 des schweizerischen Zivilgesetzbuches (ZGB) darstelle. Jedoch läge keine widerrechtliche Verbreitung von unwahren, persönlichkeitsverletzenden Tatsachen vor. 3. Key Take Aways Die Frage, ob ein Suchmaschinenbetreiber bei der Verwendung von Deep 26 Links passivlegitimiert i.S.v. Art. 28 Abs. 1 ZGB ist, ist bislang höchstrichterlich nicht geklärt. Vorliegend wurde die Passivlegitimation jedenfalls vom Bezirksgericht Zürich (soweit ersichtlich erstmalig) bejaht. Hinsichtlich der Verbreitung von unwahren persönlichkeitsverletzenden 27 Tatsachen ist zwischen der Medienfreiheit einerseits und dem Persönlichkeitsrecht des Betroffenen andererseits abzuwägen. Eine Verbreitung selbst von unwahren persönlichkeitsverletzenden Tatsachen ist dann nicht rechtswidrig, wenn die folgenden Kriterien kumulativ erfüllt sind11: i) Die fremde Äußerung wird vollständig und wahrheitsgetreu dargestellt (objektiv richtige Wiedergabe); ii) Sie ist entsprechend gekennzeichnet und erscheint nicht als Originalmeinung des Verbreiters (erkennbare Distanz); und iii) Die Kenntnis der Äußerung ist von Wert für die Lesenden (Informationsinteresse). VI. E-Mail Spamming unter Anwälten – Urteil des OG ZH UE170371O/U/TSA vom 6. März 2018 1. Sachverhalt Ein Zürcher Rechtsanwalt aus dem IP-Bereich erhielt unaufgefordert drei 28 E-Mails einer peruanischen, ebenfalls auf IP spezialisierten Anwaltskanzlei. In den E-Mails wurde über die Gerichtsferien in Peru und die neuen Anwälte der Kanzlei informiert sowie das Vorgehen zur Eintragung von Warenzeichen und Patenten in das peruanische Register erläutert. Alle E-Mails enthielten einen Link, mit dem sich die Adressaten von weiteren Zustellungen abmelden konnten. Hiergegen stellte ein Zürcher Rechtsanwalt Strafantrag wegen Verstoß 29 gegen das „Spamverbot“ aus Art. 3 Abs. 1 lit. o i. V. m. Art. 23 Bundesgesetz gegen unlauteren Wettbewerb (UWG). Die Staatsanwaltschaft nahm 11 Vgl. hierzu auch Hausheer/Aebi-Müller, ZBJV 143/2007, S. 344; Prazeller, Medialex 2017, S. 49.

165

Caroline Gaul

die Strafuntersuchung nicht an die Hand, wogegen der Rechtsanwalt mit Beschwerde an das Obergericht des Kantons Zürich gelangte. 2. Beschluss 30 Das Obergericht des Kantons Zürich wies die Beschwerde ab. Es schränkte zunächst den Anwendungsbereich bzw. den Schutzzweck von Art. 3 UWG durch die Generalklausel in Art. 2 UWG ein. Zwar würden die E-Mails einzelne Elemente des „Spamverbotes“ enthalten, jedoch nicht dem UWG-Schutzzweck zuwiderlaufen. Hierzu führte es auf, dass die E-Mails weder täuschend seien noch eine andere gegen Treu und Glauben verstoßende Wettbewerbshandlung enthielten und der Rechtsanwalt weitere Zustellungen jedenfalls einfach via Link hätte abbestellen können anstatt eine umfassende Beschwerdeschrift zu verfassen. Dass der Beschwerdeführer in einem äußerst gereizten Ton reagierte, der eines Zürcher Rechtsanwalts nicht würdig sei (das Gericht verwies dazu auf die Wiedergabe der Betreffszeile des E-Mails des Beschwerdeführers „Stop harassing us immediately with your unsolicited bullshit spamming you fucking crooks!!!“) und seine Rechtsvertreterin eine acht Seiten umfassende Eingabe an die Staatsanwaltschaft und eine zwanzig Seiten umfassende Beschwerdeschrift an das Obergericht verfasste, was zweifellos mit Zeitaufwand verbunden gewesen sei, habe nicht die peruanische Anwaltskanzlei zu vertreten. 3. Key Take Away 31 Dieser Beschluss bestätigt einmal mehr die in der Schweiz geltende Best Practice-Regel bezüglich Werbeemails: Entscheidend ist in der Praxis eine einfache und kostenlose Abbestellmöglichkeit („unsubscribe“).12 VII. Stand der Revision des Datenschutzgesetzes in der Schweiz 32 Die Revision des Schweizer Datenschutzgesetzes erfolgte in zwei Etappen. In einer ersten Etappe ist am 1.3.2019 das Bundesgesetz über den Datenschutz im Rahmen der Anwendung des Schengen-Besitzstandes in Strafsachen (Schengen-Datenschutzgesetz, SDSG) in Kraft getreten, welches die EU-Richtlinie 2016/68013 umsetzt und die Bearbeitung und 12 Zu den weiteren Voraussetzungen Vasella, UWG Kommentar, S. 669 f. 13 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstre-

166

DGRI Drei-Länder-Treffen 2019 Länderbericht Schweiz

den Austausch von Daten in Strafsachen regelt. Das SDSG ist als Übergangslösung gedacht und soll aufgehoben werden, sobald das revidierte Datenschutzgesetz (revDSG) in Kraft ist. Folgende Neuerungen wurden im SDSG eingeführt:

33

–

genetische und biometrische Daten, die eine Person eindeutig identifizieren, werden explizit als besonders schützenswerte Personendaten aufgeführt;

–

der Begriff des Profilings tritt an die Stelle des Persönlichkeitsprofils;

–

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Design and Privacy by Default) sind als Grundsätze verankert;

–

die automatisierte Einzelentscheidung wird ausdrücklich geregelt;

–

Bundesorgane müssen Datenschutz-Folgenabschätzungen durchführen, wenn die vorgesehene Datenbearbeitung ein hohes Risiko für die Grundrechte Betroffener mit sich bringen kann;

–

Bundesorgane müssen Verletzungen des Datenschutzes an den EDÖB und ggf. an die Betroffenen melden;

–

der EDÖB kann neu Verfügungen erlassen und vorsorgliche Maßnahmen anordnen.

In einer zweiten Etappe wurde die Totalrevision des DSG beraten und 34 im September 2020 vom Parlament verabschiedet. Damit das revidierte DSG in Kraft treten kann, muss auch die Verordnung zum DSG (VDSG) überarbeitet werden. Am 23. Juni 2021 wurde der Entwurf der totalrevidierten VDSG veröffentlicht. Das Vernehmlassungsverfahren dauert bis am 14. Oktober 2021. Das revidierte DSG soll gleichzeitig mit der revidierten VDSG Inkrafttreten. Zeitgleich wird die Schweiz auch die modernisierte Datenschutzkonvention 108 des Europarates ratifizieren. Das Grundprinzip des DSG und der wesentliche Unterschied zur DSGVO, wonach Datenbearbeitungen durch private Personen grundsätzlich zulässig sind, wenn die Datenschutzgrundsätze eingehalten werden und nur dann, wenn diese nicht eingehalten werden, eine Rechtfertigung erforderlich ist, bleibt erhalten (Art. 6, Art. 31 revDSG). Zu den wichtigsten Neuerungen, die in der Praxis umzusetzen bzw. zu berücksichtigen sein werden, gehören die Folgenden:

ckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.

167

Caroline Gaul

–

Der Verantwortliche und der Auftragsbearbeiter müssen ein Verzeichnis ihrer Bearbeitungstätigkeiten führen;

–

Private Verantwortliche können, müssen aber nicht, eine Datenschutzberaterin oder einen Datenschutzberater ernennen;

–

Die Informationspflicht gilt nicht mehr nur beim Beschaffen besonders schützenswerter Personendaten und Persönlichkeitsprofilen, sondern bei jeder Beschaffung von Daten;

–

Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Design and Privacy by Default) sind ausdrücklich als Grundsätze verankert;

–

Meldepflichten bei der Verletzung der Datensicherheit

–

Wenn die Bearbeitung ein hohes Risiko birgt, muss der Verantwortliche eine Datenschutz-Folgenabschätzung vornehmen;

–

Auftragsbearbeiter dürfen Unterbeauftragte nur nach vorgängiger Genehmigung einschalten;

–

Vergleichbar zur entsprechenden Regelung in der DSGVO müssen private Verantwortliche mit Sitz oder Wohnsitz im Ausland unter Umständen eine Vertretung in der Schweiz bezeichnen.

–

Die Bussen werden erheblich erhöht: neu können die handelnden Personen (persönliche Haftung) mit Bussen bis zu CHF 250‘000 betraft werden. Unternehmen können unter bestimmten Voraussetzungen anstelle dieser Personen mit einer Busse bis zu CHF 50‘000 bestraft werden.

Weitere Anforderungen, welche sich aus der in Vernehmlassung befindlichen revVDSG ergeben, müssen selbstverständlich ebenfalls berücksichtigt werden.

168

SMART FACTORY Eine IT- und wettbewerbsrechtliche Annäherung aus deutscher und österreichischer Perspektive Thorsten Ammann*, Stefan Panic**, Gregor Schroll***, Annika Wanderer**** I. Industrie 4.0 und Smart Factory 1 II. IT- und kartellrechtliche Herausforderungen KI-gestützter Big Data-Auswertungen im Unternehmen und Konzernverbund 1. IT-rechtliche Herausforderungen a) Länderperspektive Deutschland 3 aa) Künstliche Intelligenz (1) Begrifflichkeit 4 (2) Maschinelles Lernen und rechtliche Herausforderungen 5 bb) Big Data (1) Buzzword 6 (2) Einsatzbereiche 7 (3) Datenhaltung 8 (4) Rechtliche Herausforderungen 9 cc) KI-gestützter Abschluss und Erfüllung von Verträgen 10 dd) Datenschutzrechtliche Aspekte 12 (1) Auftragsverarbeitung 14 (2) Gemeinsame Verantwortlichkeit 17 (3) Hohe Geldbußen 19 ee) Informationsschutz 21

* ** *** ****

ff)

Dateneigentum und Diskussion vergleichbarer absoluter Rechte gg) Urheberrecht hh) Haftung (1) Grundsatz: hängige Haftung (2) Ausnahme: Gefährdungshaftung (3) Ausnahme: Verschuldensunabhängige Haftung (4) Produzentenhaftung (5) Gesetzgeberische Aktivitäten ii) IT-Sicherheit b) Länderperspektive Österreich aa) Datenschutz (1) Datenschutzrecht für juristische Personen (2) Datenschutzrechtliche Vorgaben im und außerhalb des Anwendungsbereichs der DSGVO bb) Dateneigentum cc) Cybersicherheit

24 26 30 32 33

34 36 37 42 46

48

51 54 58

Dr. Thorsten Ammann. Mag. Stefan Panic. Dr. Gregor Schroll, LL.M. Dr. Annika Wanderer, LL.M.

169

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer 2. Kartellrechtliche Herausforderungen a) Marktbeobachtung b) Digitale B2B-Plattformen c) Data Pools

62 63 66

d) e) f) g)

Algorithmen F&E-Kooperationen Standard Essential Patents Der Erwerb von Unternehmen

69 72 76 82

Literatur: Ammann, Künstliche Intelligenz und ihre Herausforderungen bei der Gestaltung von IT-Verträgen, in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB, 2017, 503; Anderl/Hörlsberger/Müller, Kein einfachgesetzlicher Schutz für Daten juristischer Personen, ÖJZ 2018, 3; Beck‘scher Online-Kommentar Gesetz zum Schutz von Geschäftsgeheimnissen, Fuhrott/Hiéramente (Hrsg), 8. Edition 2021; Beck‘scher Online-Kommentar Urheberrecht, Ahlberg/Götting (Hrsg), 31. Edition 2021; Bilski/Schmid, Verantwortungsfindung beim Einsatz maschinell lernender Systeme, NJOZ 2019, 657; Bomhard/Merkle, Europäische KI-Verordnung, RDi 2021, 276; Braegelmann/ Kaulartz, Rechtshandbuch Smart Contracts, 2019; Bräutigam/Klindt, Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137; Chirco, Industrie 4.0 in der Praxis, InTer 2016, 11; Dann/Markgraf, Das neue Gesetz zum Schutz von Geschäftsgeheimnissen, NJW 2019, 1774; Dauner-Lieb/Langen, BGB-Schuldrecht Band 2, 4. Aufl. 2021; Deutsch, Das neue System der Gefährdungshaftungen: Gefährdungshaftung, erweiterte Gefährdungshaftung und Kausal-Vermutungshaftung, NJW 1992, 73; Dreier/Schulze, Urheberrechtsgesetz, 6. Aufl. 2018; Dürager, Sind Daten ein schutzfähiges Gut?, ÖBl 2018, 80; Ebers, Dynamic Algorithmic Pricing: Abgestimmte Verhaltensweise oder rechtmäßiges Parallelverhalten, NZKart 2016, 554; Engelmann/Brunotte/Lütkens, Regulierung von Legal Tech durch die KI-Verordnung, RDi 2021, 317; Erman (Begr), Bürgerliches Gesetzbuch Handkommentar, 16. Aufl. 2020; Geminn, Die Regulierung Künstlicher Intelligenz, ZD 2021, 354; Göhsl, Algorithm Pricing and Article 101 TFEU, WuW 2018, 121; Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018; Grützmacher, Die zivilrechtliche Haftung für KI nach dem Entwurf der geplanten KI-VO, CR 2021, 433; Hansen/ Johnson, Generalanwalt zum „Gefällt mir“-Button von Facebook, GRUR-Prax 2019, 47; Heinzke, Schrems II: Neue Anforderungen an den Transfer personenbezogener Daten in Drittländer, GRUR-Prax 2020, 436; Herberger, „Künstliche Intelligenz“ und Recht, NJW 2018, 2825; Horner/Kaulartz, Rechtliche Herausforderungen durch Industrie 4.0: Brauchen wir ein neues Haftungsrecht? – Deliktische und vertragliche Haftung am Beispiel „Smart Factory“ in Taeger, Internet der Dinge, DSRITB 2015, 501; Hetmank/Lauber-Rönsberg, Künstliche Intelligenz – Herausforderungen für das Immaterialgüterrecht, GRUR 2018, 574; Hoffer/ Lehr, Onlineplattformen auf dem Prüfstand – Gemeinsame Betrachtung der Fälle Amazon, Google und Facebook, NZKart 2019, 10; Hoffmann, Regulierung der Künstlichen Intelligenz, K&R 2021, 369; Jakl, Das Recht der Künstlichen Intelligenz, MMR 2019, 711; Kainer/Förster, Autonome Systeme im Kontext des Vertragsrechts, ZfPW 2020, 275; Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020; Kipker/Birreck/Niewöhner/Schnorr, NIS-Richtlinie und der Entwurf der NIS-2-Richtlinie, MMR 2021, 214; Kipker/ Scholz, Das IT-Sicherheitsgesetz 2.0, MMR 2019, 431; Kirschhöfer, Auswirkungen des „Schrems II“-Urteils des EuGH auf den internationalen Vertrieb, ZVertriebsR

170

SMART FACTORY 2020, 366; Klein, Blockchains als Verifikationsinstrument für Transaktionen im IoT, in Taeger, Internet der Dinge, DSRITB 2015, 429; Kletecˇka/Schauer, ABGBON, 2010; Köhler/Bornkamm/Feddersen, Gesetz gegen den unlauteren Wettbewerb, 39. Aufl. 2021; Krok, Hyundai Mobis and Yandex reveal 2020 Sonata self-driving prototype, cnet, July 11, 2019; Kucsko/Handig, urheber.recht, 2. Aufl. 2017; Künstner, Preissetzung durch Algorithmen als Herausforderung des Kartellrechts, GRUR 2019, 36; Legner, Erzeugnisse Künstlicher Intelligenz im Urheberrecht, ZUM 2019, 807; Münchener Kommentar zum Bürgerlichen Gesetzbuch Band 1, Säcker/Rixecker/Oetker/Limperg (Hrsg), 8. Aufl. 2018; Münchener Kommentar zum Bürgerlichen Gesetzbuch Band 2, Säcker/Rixecker/Oetker/Limperg (Hrsg), 8. Aufl. 2019; Münchener Kommentar zum Bürgerlichen Gesetzbuch Band 7, Säcker/Rixecker/Oetker/Limperg (Hrsg), 8. Aufl. 2020; Ohly, Das neue Geschäftsgeheimnisgesetz im Überblick, GRUR 2019, 441; Ory/Sorge, Schöpfung durch Künstliche Intelligenz?, NJW 2019, 710; Paal/Hennemann, Big Data im Recht, NJW 2017, 1697; Paal/Pauly, Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 3. Aufl. 2021; Pieper, Vertrags- und haftungsrechtliche Fragen der Vernetzung autonomer Systeme, in Taeger, Smart World – Smart Law?, DSRITB 2016, 971; Pieper, Wenn Maschinen Verträge schließen: Willenserklärungen beim Einsatz von Künstlicher Intelligenz, GRUR-Prax 2019, 298; Pollirer/Weiss/Knyrim/ Haidinger, Datenschutzgesetz – Sonderausgabe 4. Aufl. 2019; Redeker, Information als eigenständiges Rechtsgut, CR 2011, 634; Reimers/Brack/Modest, Kartellrechtliche Compliance in Zeiten der Digitalisierung, NZKart 2018, 453; Riehm, Von Drohnen, Google-Cars und Software-Agenten, ITRB 2014, 113; Rummel/ Lukas, ABGB – Kommentar zum Allgemeinen Bürgerlichen Gesetzbuch (Stand: 1.10.2020), 4. Auflage; Schallbruch, EU-Regulierung der Künstlichen Intelligenz, DuD 2021, 438; Schönke/Schröder, Strafgesetzbuch, 30. Aufl. 2019; Schwimann/ Kodek ABGB: Praxiskommentar, 5. Aufl. 2018; Sester/Nitschke, Software-Agent mit Lizenz zum…? Vertragsschluss und Verbraucherschutz beim Einsatz von Softwareagenten, CR 2004, 548; Sosnitza, Das Internet der Dinge – Herausforderung oder gewohntes Terrain für das Zivilrecht?, CR 2016, 764; Spindler, Roboter, Automation, künstliche Intelligenz, selbststeuernde Kfz – Braucht das Recht neue Haftungskategorien?, CR 2015, 766; Spindler, Der Vorschlag der EU-Kommission für eine Verordnung zur Regulierung der Künstlichen Intelligenz (KI-VO-E), CR 2021, 361; Spittka, Between a rock and a hard place – Der Auftragsverarbeiter in Multi-Tier-Processing-Szenarien, in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 73; Staudegger, Zur Zulässigkeit des Handels mit Daten aus Anlass der Weitergabe von „Gesundheitsdaten“, ÖJZ 2014, 21; von Staudinger (Begr), Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen Buch 1, Neubearbeitung 2017; Steels, Robotics and Autonomous Systems, Vol. 15 (1), 1995, 3; Stroscher, IT-Sicherheitsgesetz 2.0 – Was gibt’s Neues?, ZD-Aktuell 2021, 05098; Taeger/Gabel, DSGVO BDSG, 3. Aufl. 2019; Taeger/Pohle, Computerrechts-Handbuch, 36. EL 2021; Tamke, Marktmacht in digitalen Märkten nach der 9. GWB-Novelle, NZKart 2018, 503; Voigt, Reform der europäischen NIS-Richtlinie – NIS 2.0, MMR-Aktuell 2021, 437048; Wehlau/Meier, Die zivilrechtliche Haftung für Datenlöschung, Datenverlust und Datenzerstörung, NJW 1998, 1585; Wilson/Keil, The MIT Encyclopedia of the Cognitive Sciences, 2001; Ylinen, Digital Pricing und Kartellrecht, NZKart 2018, 19; Zech, Künstliche Intelligenz und Haftungsfragen, ZfPW

171

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer 2019, 198; Zech, Daten als Wirtschaftsgut – Überlegungen zu einem „Recht des Datenerzeugers, CR 2015, 137.

I. Industrie 4.0 und Smart Factory 1 Die Verzahnung industrieller Entwicklungs-, Fertigungs-, Produktions-, Vertriebs- und Nachbetreuungsprozesse mittels moderner Informationsund Kommunikationstechnik und ihre Integration in intelligente, miteinander vernetzte Systeme ist Ausgangspunkt und Treiber der vierten industriellen Revolution (sog. Industrie 4.0).1 Ziel sind weitestgehend selbstorganisierte Prozesse, über welche Entwicklungs-, Fertigungs-, Vertriebs- und Nachbetreuungssysteme miteinander und mit Produkten selbst direkt kommunizieren können (sog. Smart Factory).2 Technische Treiber sind insbesondere performantere Informations- und Kommunikationsinfrastrukturen, neue technologische Entwicklungen und disruptive Technologien, welche in ihrer Kombination klassische Wertschöpfungsketten revolutionieren und neue Wertschöpfungsketten entstehen lassen.3 Dies gilt insbesondere für das Sammeln unterschiedlichster Informationen aus Entwicklungs-, Fertigungs-, Produktions-, Vertriebsund Nachbetreuungsprozessen, ihre Clusterung mit weiteren Informationen und ihre Auswertung mit künstlich intelligenten Systemen mit der Vision weitestgehender Automatisierung und Verzahnung mit dem Internet der Dinge. Eine wesentliche Bedeutung kommt in diesem Zusammenhang unter anderem Blockchainlösungen zu, auf deren Basis sich Verträge durch Maschinen und damit Rechtsobjekte selbstständig erfüllen lassen (sog. Smart Contracts). Darüber hinaus kommt aufgrund des hohen Vernetzungsgrades der technologischen Lösungen untereinander dem Thema Cyber- und Angriffssicherheit gesteigerte Bedeutung zu, was sich auch in aktuellen gesetzgeberischen Initiativen widerspiegelt.4

1

2 3

4

Deloitte, Industry 4.0, S. 2, abrufbar unter https://www2.deloitte.com/content/dam/Deloitte/be/Documents/Operations/2015_Industry%204%200%20 Report%20vFinal.pdf (Datum des letzten Abrufes: 30.3.2021). Horner/Kaulartz in Taeger, Internet der Dinge, DSRITB 2015, 501. Deloitte, Industry 4.0, S. 2, abrufbar unter https://www2.deloitte.com/content/dam/Deloitte/be/Documents/Operations/2015_Industry%204%200%20 Report%20vFinal.pdf (Datum des letzten Abrufes: 31.3.2021); https://www. ey.com/de_de/digital/risk--innovation--can-your-business-strategy-tell-thedifference (Datum des letzten Abrufes: 5.4.2021); ferner Chirco, InTer 2016, 11 f. Zu den Diskussionen und der Kritik hinsichtlich des IT-Sicherheitsgesetzes 2.0 s. Stroscher, ZD-Aktuell 2021, 05098; Kipker/Scholz, MMR 2019, 431, 431 ff.; im Hinblick auf die NIS-RiLi s. Kipker/Birreck/Niewöhner/Schnorr, MMR 2021, 214; Voigt, MMR-Aktuell 2021, 437048.

172

SMART FACTORY

Die nachfolgende Darstellung soll ausgewählte rechtliche Fragstellun- 2 gen, die sich im Zusammenhang mit den vorgenannten Entwicklungen aus deutscher und österreichischer Sicht ergeben, überblicksartig zusammenstellen. Die nachstehende Verschriftlichung geht auf eine gemeinsame Vortragsreihe der Autorinnen und Autoren auf dem 26. Dreiländertreffen der Deutschen Gesellschaft für Recht und Informatik vom 27. bis 29. Juni 2019 in Krems zurück und erhebt aus Gründen der Begrenztheit des seinerzeit vorgegebenen zeitlichen und inhaltlichen Rahmens keinen Anspruch auf Vollständigkeit. Die nachfolgenden Ausführungen verfolgen vielmehr das Ziel, im Wege der Selektion auf ausgewählte IT- und kartellrechtliche Herausforderungen, die sich im Zusammenhang mit den aktuellen rechtlichen Entwicklungen stellen, hinzuweisen, die weitere Diskussion hierzu anzuregen und für weitere Einzelheiten auf die einschlägige Literatur zu verweisen. Der Fokus des Beitrags beschränkt sich daher im Wesentlichen auf IT- und wettbewerbsrechtliche Herausforderungen KI-gestützter Big Data-Auswertungen im Unternehmen und Konzernverbund. Zwischen dem 26. Dreiländertreffen der Deutschen Gesellschaft für Recht und Informatik vom 27. bis 29. Juni 2019 in Krems und Redaktionsschluss ist der Gesetzgeber durch weitere Gesetzesinitiativen tätig geworden. Insoweit ist u. a. der Vorschlag der Europäischen Kommission für eine Verordnung zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz5 zu nennen. Da der Beitrag den Inhalt des Vortrags der Verfasser auf dem 26. Dreiländertreffen zusammenfasst, wird nachstehend auf den Vorschlag der Europäischen Kommission und weitere dem 26. Dreiländertreffen nachfolgende Gesetzesinitiativen und Rechtsprechung nicht näher eingegangen. Insoweit sei auf die einschlägige aktuelle Literatur6 sowie Vorträge und Veröffentlichungen einzelner Verfasser dieses Beitrags im Zusammenhang mit der 22. Herbstakademie der Deutschen Stiftung für Recht und Informatik verwiesen.7

5

6

7

Europäische Kommission, Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über Künstliche Intelligenz) und zur Änderung bestimmter Rechtsakte der Union COM (2021) 206 final. Siehe unter anderem Bomhard/Merkle, RDi 2021, 276; Engelmann/Brunotte/ Lütkens, RDi 2021, 317; Geminn, ZD 2021, 354; Grützmacher, CR 2021, 433; Hoffmann, K&R 2021, 369–374; Schallbruch, DuD 2021, 438; Spindler, CR 2021, 361–374;. Programm und Links zu den Vorträgen abrufbar unter https://dsri.de/herbstakademie/ (Datum des letzten Abrufes: 23.7.2021).

173

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

II. IT- und kartellrechtliche Herausforderungen KI-gestützter Big Data-Auswertungen im Unternehmen und Konzernverbund 1. IT-rechtliche Herausforderungen a) Länderperspektive Deutschland 3 Die unter Gliederungspunkt I. Rz. 1–2 dargestellten Entwicklungen verdienen zunächst eine nähere Betrachtung aus IT-rechtlicher Sicht. Dieses Kapitel beinhaltet eine Auswahl von Themen, die beim Einsatz künstlich intelligenter Lösungen innerhalb von Smart Factories unmittelbar von Bedeutung sind. Dazu zählen zunächst Einsatzmöglichkeiten von Big Data im industriellen Kontext und anknüpfend daran datenschutzrechtliche (Ziffer II. 1. a) dd) Rz. 12–20), informationsschutzrechtliche (Ziffer II. 1. a) ee) Rz. 21–23), eigentumsrechtliche (Ziffer II. 1. a) ff) Rz. 24–25) und urheberrechtliche (Ziffer II. 1. a) gg) Rz. 26–29) Erwägungen. Des Weiteren wird der Vertragsschluss mit und durch KI (Ziffer II. 1. a) cc) Rz. 10–11) sowie (Ziffer II. 1. a) hh) Rz. 30–41) die Haftung für Fehlverhalten von intelligenten Systemen näher beleuchtet, wobei insbesondere auf aktuelle unionsrechtliche Regulierungsabsichten eingegangen werden soll. Ein weiterer Abschnitt fasst die aktuellen Diskussionen um ein IT-Sicherheitsgesetz 2.0 (Ziffer II. 1. a) ii) Rz. 42–45) überblicksartig zusammen. aa) Künstliche Intelligenz (1) Begrifflichkeit 4 Meist wird das Schlagwort der „Künstlichen Intelligenz“ – unbeholfen ins Deutsche übersetzt aus dem englischen Begriff Artificial Intelligence – in der Rechtswissenschaft und Politik so gebraucht, als würde es sich dabei um einen präzisen Begriff handeln, mit dem ein bestimmter Sachverhalt gemeint wäre.8 Tatsächlich beschreibt künstliche Intelligenz überwiegend Algorithmen und damit Handlungsanweisungen oder Folgen solcher, die ein formal beschriebenes Problem lösen und die nunmehr ein „intelligentes“ Handeln einer Maschine ermöglichen sollen.9 In der Praxis bedeutet intelligentes Handeln einer Maschine zumeist, dass Algorithmen für die Lösung von bisher nur von Menschen lösbaren Problemen entwickelt werden.10 Als KI gelten in jedem Fall solche Verfahren des maschinellen Lernens, bei denen die Algorithmen eine Menge sog. Trainingsdatensätze auswerten, deren „Einordnung“ bereits 8 Zu dieser unbeholfenen Übersetzung nur Herberger, NJW 2018, 2825 ff. 9 Herberger, NJW 2018, 2825, 2827. 10 Ory/Sorge, NJW 2019, 710 m. w. N.

174

SMART FACTORY

bekannt ist, d.h. es gibt bekannte Eingabe- und Ausgabewerte. Aus diesen Daten entdeckt die Maschine dann – mitunter auch für Menschen nicht ohne Weiteres offensichtlich erkennbare – Muster, die als Modelle nutzbar gemacht werden können, um Vorhersagen für Fälle zu treffen, in denen noch nicht alle Daten vorliegen, da diese in der Zukunft liegen. Die Wirtschaft verspricht sich vom Einsatz künstlicher Intelligenz erhebliche Wertschöpfungspotenziale. Dies gilt auch und insbesondere im Rahmen der Entwicklung, der Fertigung, des Vertriebs und der Nachbetreuung von Produkten.11 (2) Maschinelles Lernen und rechtliche Herausforderungen Konkret kann maschinelles Lernen in Unternehmen dabei helfen, von 5 Menschen ausgeübte Tätigkeiten zu bewältigen und Prozesse effizienter zu gestalten. Dabei teilt sich die Implementierung KI-gestützter Prozesse regelmäßig in mehrere Phasen. Zurzeit werden Entscheidungen in Unternehmen noch überwiegend von Menschhand getroffen, während sich der Einsatz von Maschinen größtenteils auf die Ausführung von Prozessen nach zuvor definierten Parametern beschränkt. Im Unterschied zu klassischer Software, deren Funktionsvielfalt von ihrem Programmierer abschließend vorgegeben worden ist, sind lernfähige Systeme in aller Regel nicht out of the box voll einsatzfähig. Diese müssen vielmehr in Bezug auf die in dem jeweiligen Unternehmen möglichst weitgehend automatisch zu erledigende Aufgabe zunächst angelernt werden. Daher geht der Einsatz derartiger Systeme regelmäßig mit einer Anlernphase einher, in deren Zusammenhang u. a. Lernziel-, Einsatz- und Ergebnisdefinitionen zu erarbeiten und zu implementieren sind. Gleichzeitig setzt der Einsatz von künstlicher Intelligenz ihre kontinuierliche Beobachtung voraus, um zu vermeiden, dass sich beispielsweise ein qualitativ verschlechternder Datenpool oder eine suboptimale Inputgewichtung negativ auf den von der KI produzierten Output auswirken und zulasten der Ergebnisse gehen kann.12 Hiervon ausgehend stellen künstlich intelligente Lösungen insbesondere den Vertragsgestalter vor nicht unerhebliche Herausforderungen, der diese Anforderungen interessengerecht in eine verständliche und justiziable Vertragssprache gießen soll.13

11 Fraunhofer Gesellschaft, Maschinelles Lernen, 2018, S. 8, abrufbar unter https://bit.ly/2KAC5ny (Datum des letzten Abrufes: 20.7.2021); vgl. Ory/Sorge, NJW 2019, 710; Bilski/Schmid, NJOZ 2019, 657. 12 Hierzu ausführlich Ammann in Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, Kap. 5.3, S. 188 ff. 13 Hierzu im Einzelnen Ammann in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 503, 506 f.

175

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

bb) Big Data (1) Buzzword 6 Insbesondere im Zusammenhang mit interaktiven Produktionsprozessen taucht ein weiteres Schlagwort immer wieder auf: Big Data. Unter Big Data ist „die Auswertung großer, aus einer Vielzahl unterschiedlicher Quellen stammender, unstrukturierter Daten zum Zwecke der Erkennung von Gesetzmäßigkeiten, Korrelationen und Kausalitäten und der Generierung neuer Informationen (Kontextwissen)“ zu verstehen.14 (2) Einsatzbereiche 7 Innerhalb von Industrie 4.0 wird Big Data als erheblicher Produktionsfaktor verstanden.15 Die Einsatzmöglichkeiten von Big Data sind vielfältig und finden sich z. B. in der Entwicklung, in der Fertigung, im Marketing oder im Vertrieb.16 Sie reichen von der automatischen Anpassung, Kontrolle und Qualitätssicherung von Produktionsprozessen bis zur Erschließung neuer Produktionsstandorte.17 Im Rahmen der maschinellen Produktion können auf Basis von Big Data etwa Abweichungen im Produktionsprozess schneller erkannt und mit verhältnismäßig geringem Aufwand gelöst werden.18 Auch erlaubt die geschickte Nutzung von Big Data die einfachere und realitätsnähere Anpassung von Produktions-

14 Das Europäische Parlament, Big data: definition, benefits, challenges, abrufbar unter https://www.europarl.europa.eu/news/en/headlines/society/ 20210211STO97614/big-data-definition-benefits-challenges-infographics (Datum des letzten Abrufes: 29.3.2021); Schulz in Gola, DSGVO Art. 6 Rz. 254. 15 Das Europäische Parlament, Big data and data analytics – The potential for innovation and growth, S. 3, abrufbar unter https://www.europarl.europa.eu/ RegData/etudes/BRIE/2016/589801/EPRS_BRI(2016)589801_EN.pdf (Datum des letzten Abrufes: 29.3.2021). 16 Von Enzberg/Waschbusch, Big Data in der Produktion: große Daten = großes Potential?, abrufbar unter https://www.industry-of-things.de/big-data-in-der-produktion-grosse-daten-grosses-potential-a-776716/ (Datum des letzten Abrufes: 29.3.2021). 17 Bimos, Big Data in der Produktion, abrufbar unter https://www.bimos.com/B/dede/news/3015/big-data-in-der-produktion (Datum des letzten Abrufes: 29.3.2021). 18 Bimos, Big Data in der Produktion, abrufbar unter https://www.bimos.com/B/ de-de/news/3015/big-data-in-der-produktion (Datum des letzten Abrufes: 29.3.2021); Von Enzberg/Waschbusch, Big Data in der Produktion: große Daten = großes Potential?, abrufbar unter https://www.industry-of-things.de/ big-data-in-der-produktion-grosse-daten-grosses-potential-a-776716/ (Datum des letzten Abrufes: 29.3.2021).

176

SMART FACTORY

prozessen an sich ändernde Bedingungen.19 Auch bei der Suche nach Produktionsstandorten kann Big Data maßgeblich unterstützen20 und verspricht bei richtigem Einsatz Wirtschaftsunternehmen insgesamt erhebliche Wettbewerbsvorteile.21 Andere Unternehmen nutzen Big Data etwa zur Entwicklung von Produkten nach Kundennachfrage. Sie entwickeln Modelle zur Vorhersage des kommerziellen Erfolgs neuer Produkte und Dienste, indem sie wesentliche Eigenschaften von aktuellen und vergangenen Produkten und Diensten definieren und diese in Beziehung zum kommerziellen Erfolg der Angebote setzen.22 Schließlich kann Big Data auch in Bezug auf operative Effizienz dabei helfen, aus dem Entwicklungs-, Fertigungs- und Produktionsprozess zurückgespielte Erfahrungen und selbst Kundenfeedback auszuwerten, um das jeweilige Produkt qualitativ und hinsichtlich seiner Funktionen für den täglichen Bedarf zu optimieren und hierdurch dessen Nachfrage zu steigern.23 (3) Datenhaltung Die Praxis kennt unterschiedliche Formen der Datenhaltung. Unterneh- 8 men poolen regelmäßig eine Vielzahl von Daten in Form sogenannter Data Lakes oder Data Warehouses. Data Lakes enthalten im Wesentlichen Rohdaten, deren endgültige Verwendung von Anfang an nicht unbedingt feststeht.24 Im Gegensatz zu Data Lakes zeichnen sich Data Warehouses durch strukturierte und schematisch aufbereitete Daten aus.25 Verfügt ein Unternehmen nur über ungeordnete Daten in Data Lakes kann KI dabei helfen, riesige, ungeordnete Datenmengen zu sortieren, zu strukturieren und wertschöpfend zu verwenden. 19 Bimos, Big Data in der Produktion, abrufbar unter https://www.bimos.com/B/ de-de/news/3015/big-data-in-der-produktion (Datum des letzten Abrufes: 29.3.2021); Das Europäische Parlament, Big data and data analytics The potential for innovation and growth, S. 3, abrufbar unter https://www.europarl.europa.eu/RegData/etudes/BRIE/2016/589801/EPRS_BRI(2016)589801_ EN.pdf (Datum des letzten Abrufes: 29.3.2021). 20 Bimos, Big Data in der Produktion, abrufbar unter https://www.bimos.com/B/ de-de/news/3015/big-data-in-der-produktion (Datum des letzten Abrufes: 29.3.2021). 21 Paal/Hennemann, NJW 2017, 1697, 1697. 22 Hierzu Anbieter von Big Data-Lösungen Oracle, https://www.oracle.com/uk/ big-data/what-is-big-data/ (Datum des letzten Abrufes: 31.3.2021). 23 Siehe Anbieter von Big Data-Lösungen Oracle, https://www.oracle.com/uk/ big-data/what-is-big-data/ (Datum des letzten Abrufes: 31.3.2021). 24 Amazon Web Service, Data Warehouse Concepts, abrufbar unter https://aws. amazon.com/data-warehouse/ (Datum des letzten Abrufes: 29.3.2021). 25 Amazon Web Service, Data Warehouse Concepts, abrufbar unter https://aws. amazon.com/data-warehouse/ (Datum des letzten Abrufes: 29.3.2021).

177

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

(4) Rechtliche Herausforderungen 9 Juristisch betrachtet ist Big Data insbesondere datenschutz- und wettbewerbsrechtlich von hoher Relevanz, worauf im weiteren Verlauf des Beitrags gesondert eingegangen werden soll.26 cc) KI-gestützter Abschluss und Erfüllung von Verträgen 10 Es ist absehbar, dass KI-gestützte Systeme zunehmend autonomer agieren werden.27 Hiervon ausgehend sind von Maschinen eigenständig generierte Vertragsabschlüsse lediglich eine Frage der Zeit.28 Während der Markt heute bereits Lösungen bereithält, welche nach vordefinierten Wenn-Dann-Regelungen Willenserklärungen automatisiert abgeben,29 werden Systeme zunehmend autonom dergestalt, dass sie Wenn-Dann-Schemata selbstständig erzeugen können,30 was zugleich mit gesteigerten Beobachtungspflichten einhergehen dürfte.31 11 Damit ein autonomer Vertragsschluss durch KI erfolgen kann, müsste die KI auch fähig sein, eine rechtsverbindliche Erklärung abzugeben. Eng damit zusammen hängt die Frage der Rechts- und Geschäftsfähigkeit, welche bisher nur natürlichen und juristischen Personen, nicht aber intelligenten Systemen zugesprochen wird.32 Durch das eingesetzte intelligente System kann aber zumindest der objektive Tatbestand einer Willenserklärung, also die Äußerung eines Willens generiert werden, der dann dem menschlichen Verwender zugerechnet werden kann.33 Da die von der KI abgegebene Erklärung aber in der Regel nicht die subjektiven

26 Siehe hierzu Ziffer 1 a) dd) Datenschutzrechtliche Aspekte und Ziffer 2. Wettbewerbsrechtliche Herausforderungen. 27 Überblicksartig zu den Problemen des Vertragsschlusses unter Einsatz von Maschinen Pieper, GRUR-Prax 2019, 298; vgl. auch Jakl, MMR 2019, 711, 712; ausführlich zu autonomen Systemen im Kontext des Vertragsrechts Kainer/ Förster, ZfPW 2020, 275. 28 Kainer/Förster, ZfPW, 2020, 275, 276 f.; differenzierend nach Automatisierungsstufen auch Kainer/Förster, ZfPW, 2020, 275, 280 f., wobei Stufe 3 einen autonomen Vertragsschluss bedeutet, bei dem der Nutzer eines Systems einen konkreten Vertragsschluss nicht mehr vorhersagen kann. 29 Zu sog. Smart Contracts im Einzelnen Voshmgir in Braegelmann/Kaulartz, Rechtshandbuch Smart Contracts, Kapitel 2, Rz. 1 ff. 30 Kainer/Förster, ZfPW, 2020, 275, 280 f. 31 Kainer/Förster, ZfPW 2020, 275, 281; zu dieser Abgrenzung auch Steels, Robotics and Autonomous Systems, Vol. 15 (1), 1995, 3, 5. 32 Pieper in Taeger, Smart World – Smart Law?, DSRITB 2016, 971, 978; Sester/ Nitschke, CR 2004, 548, 549 f.; Spickhoff in MünchKomm BGB, § 1 Rz. 1. 33 Klein in Taeger, Internet der Dinge, DSRITB 2015, 429, 436 ff m. w. N.

178

SMART FACTORY

Tatbestandvoraussetzungen einer Willenserklärung (Handlungs-, Erklärungs- und Geschäftswille) erfüllen kann, ist nach herrschender Meinung an dieser Stelle auf den generellen Willen des Anwenders bei Inbetriebnahme der KI abzustellen.34 Nach der Rechtsprechung des Bundesgerichtshofs gibt nicht das Computersystem selbst, sondern die Person, die das Computersystem nutzt, die Willenserklärung ab (oder empfängt sie). Auch für die Auslegung ist auf das Verständnis des menschlichen Adressaten abzustellen.35 Problematisch ist jedoch, dass die Vorstellung des menschlichen Anwenders umso ungenauer wird, je größer der jeweilige Spielraum der KI ist, weshalb auch beim Anwender ein Geschäftswille fehlen kann.36 Da intelligente Systeme aber immer „intelligenter“ und damit tendenziell selbstbestimmter werden, stellt sich die Frage, ab welchem Grad an Selbständigkeit die Konstruktion der Zurechnung an ihre Grenzen stößt. Denn die rechtssubjektbezogene Zurechnung, die durch den Bundesgerichtshof vorgenommen wird, dürfte nur solange funktionieren, wie die Maschine für den Mensch berechenbar bleibt – vereinfacht ausgedrückt, solange er intelligenter ist als sie.37 Für die weitere Entwicklung werden daher verschiedene rechtliche Lösungsansätze diskutiert. Teils wird vorgeschlagen, die Regelungen der Stellvertretung anzuwenden, wofür dem KI-System als Voraussetzung zumindest beschränkte Geschäftsfähigkeit gem. § 165 BGB zugesprochen werden müsste.38 Andere schlagen vor, die Grundsätze über Blanketterklärungen anzuwenden, da die KI nur eine vom Anwender bereits verfasste, aber bewusst unvollständig gelassene Erklärung komplettiere.39 Als weitere Möglichkeit werden Zurechnungsmodelle auf Basis der unterschiedlichen Veranlassungs-Risikosphären- oder Kausalitätstheorien vorgeschlagen.40 Von dem Konstrukt der ePerson, mit der das Stellvertre-

34 Singer in Staudinger, Vorbem. zu §§ 116 ff. Rz. 57; auch in der Rechtsprechung wird auf die Person, die die KI als Kommunikationsmittel nutzt, abgestellt BGH v. 16.10.2012 – X ZR 37/12, NJW 2013, 598, 599. 35 BGH v. 16. 10. 2012 – X ZR 37/12, NJW 598, 599. 36 Pieper in Taeger, Smart World – Smart Law?, DSRITB 2016, 971, 989, vgl. auch Bräutigam/Klindt, NJW 2015, 1137, 1138; Ammann in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 503, 505. 37 Bräutigam/Klindt, NJW 2015, 1137, 1138; vgl. auch Ammann in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 503, 505. 38 So Klein in Taeger, Internet der Dinge, DSRITB 2015, 429, 436. 39 Sester/Nitschke, CR 2004, 548, 550 f. 40 Z.B. Sosnitza, CR 2016, 764, 767; Klein in Taeger, Internet der Dinge, DSRITB 2015, 429, 439 m. w. N.

179

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

tungsrecht anwendbar wäre,41 wird sich mittlerweile auf deutscher und europäischer Ebene immer weiter distanziert.42 Aktuell verlagert sich die Diskussion mangels ausreichender Autonomie der KI von der Idee des Vertragsschlusses durch KI hin auf die Ebene der Zurechnung, sodass vermehrt eine Gehilfenhaftung in analoger Anwendung von § 278 BGB in Erwägung gezogen wird.43 Dabei wird stets betont, dass eine umfassende Prüfung der Tauglichkeit der aktuellen rechtlichen Rahmenbedingungen im Haftungsrecht noch zu erfolgen habe.44 Eine Tendenz des deutschen Gesetzgebers ist derzeit nur schwerlich erkennbar. dd) Datenschutzrechtliche Aspekte 12 In der Praxis gibt es für Unternehmen im Wesentlichen zwei Möglichkeiten, wie Prozesse in eine KI-Umgebung migriert werden können: Einerseits kann KI auf die Prozesse des Unternehmens zugeschnitten und individuell erstellt werden. Diese wird dann entweder auf eigenen Systemen oder von einem Dienstleister, beispielsweise als Managed Service, betrieben. Alternativ kann eine lernfähige Standard-KI-Lösung eines KI-Anbieters eingesetzt werden, die von diesem als Service für eine bestimmte Vertragslaufzeit als massenmarkttaugliches Standardprodukt angeboten und betrieben wird. Diese Alternative, die auf dem Software-as-a-Service-Gedanken beruht und daher als KI as a Service bezeichnet wird, ist in der Praxis derzeit am weitesten verbreitet.45 41 Zu weiteren Einzelheiten der verschiedenen Konstruktionen: Kainer/Förster, ZfPW 2020, 275, 295 ff. 42 Zum Stand auf deutscher Ebene: Datenethikkommission der Bundesregierung, Gutachten der Datenethikkommission, S. 31, abrufbar unter https:// www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf (Datum des letzten Abrufes: 20.7.2021); zum Stand auf europäischer Ebene: Unabhängige Hochrangige Expertengruppe für KI, Liability for Artificial Intelligence and other emerging digital technologies, abrufbar unter https://ec.europa.eu/transparency/regexpert/index.cfm?do=groupDetail.groupMeetingDoc&docid=36608 (Datum des letzten Abrufes: 22.12.2020). 43 Datenethikkommission der Bundesregierung, Gutachten der Datenethikkommission, S. 31 https://www.bmi.bund.de/SharedDocs/downloads/DE/ publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf (Datum des letzten Abrufes: 20.7.2021). 44 Datenethikkommission der Bundesregierung, Gutachten der Datenethikkommission, S. 31, abrufbar unter https://www.bmi.bund.de/SharedDocs/ downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf (Datum des letzten Abrufes: 20.7.2021). 45 Siehe hierzu eingehend Ammann in Kaulartz/Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning Kap. 5.3, S. 186 ff.

180

SMART FACTORY

Sofern der KI-Anbieter Zugriff auf personenbezogene Daten seines Kun- 13 den erhält, oder dies zumindest nicht auszuschließen ist, stellt sich die Frage der datenschutzrechtlichen Konformität insbesondere mit den Vorschriften der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes. Als personenbezogene Daten gelten gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Identifizierbar bedeutet, dass eine Person direkt oder indirekt anhand der Daten bestimmt werden kann. Im Hinblick auf KI as a Service ist an dieser Stelle insbesondere relevant, dass auch dynamische IP-Adressen, die beim Zugriff auf Websites gespeichert werden, nach Ansicht des Europäischen Gerichtshofs und des Bundesgerichtshofs als solche personenbezogenen Daten anzusehen sind.46 Sofern personenbezogene Daten vorliegen, ist die zweite Voraussetzung, die im Hinblick auf den sachlichen Anwendungsbereich der DSGVO zu erfüllen ist, nämlich die automatisierte Verarbeitung und/oder Speicherung in einem Datensystem (vgl. Art. 2 Abs. 1 DSGVO), beim Einsatz von KI as a Service recht unproblematisch zu bejahen. Dabei ist – vereinfacht ausgedrückt – jeder Umgang mit personenbezogenen Daten grundsätzlich als Verarbeitung ebendieser anzusehen (Art. 4 Nr. 2 DSGVO). Die natürliche oder juristische Person, die allein oder gemeinsam die Zwecke und Mittel der Verarbeitung der betroffenen personenbezogenen Daten festlegt, ist dabei Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Dies gilt für alle Fälle, in denen personenbezogene Daten aus der Tätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Europäischen Union verarbeitet werden, unabhängig davon, wo die Datenverarbeitung selbst erfolgt, vgl. Art. 3 Abs. 1 DSGVO. Abhängig vom Einzelfall können die Anforderungen von Art. 26 DSGVO (gemeinsame Verantwortlichkeit) oder Art. 28 DSGVO (Auftragsverarbeitung) relevant werden, was jeweils genau zu untersuchen ist. (1) Auftragsverarbeitung Kommt man, wie in der Praxis häufig, zu dem Ergebnis, dass eine Auf- 14 tragsverarbeitung vorliegt, sind die Anforderungen von Art. 28 DSGVO einzuhalten. Hierzu zählen unter anderem eine sorgfältige Auswahl des KI-Anbieters durch den verantwortlichen Unternehmer (Art. 28 Abs. 1 DSGVO) und der Abschluss einer den Anforderungen des Art. 28 Abs. 3 DSGVO entsprechenden Vereinbarung.47 Vor der Einschaltung von 46 EuGH v. 19.10.2016 – C-582/14, RDV 2016, 326; BGH v. 16.5.2017 – VI ZR 135/13 ZD 2017, 424. 47 Hierzu im Einzelnen Spittka in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 73, 75 f.

181

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

(weiteren) Unterauftragnehmern muss der KI-Anbieter eine vorherige schriftliche Genehmigung bei dem verantwortlichen Unternehmer einholen (Art. 28 Abs. 2 Satz 1 DSGVO). Erteilt letzterer seine Zustimmung, muss der KI-Anbieter mit dem Unterauftragsverarbeiter einen Vertrag abschließen, der diesem dieselben datenschutzrechtlichen Vorgaben auferlegt, die dem KI-Anbieter gegenüber dem verantwortlichen Unternehmer selbst obliegen (Art. 28 Abs. 4 Satz 1 DSGVO). Beim Einsatz weiterer Unterauftragsverarbeiter setzt sich diese Anforderung in der Kette fort.48 15 Wenn der KI-Anbieter als Auftragsverarbeiter in einem Drittland, das heißt weder in einem Mitgliedstaat der Europäischen Union, noch im Europäischen Wirtschaftsraum niedergelassen ist, oder wenn er Unterauftragsverarbeiter aus Drittstaaten einsetzen möchte, sind zusätzlich zu den Anforderungen des Art. 28 DSGVO die Anforderungen der Art. 44 ff. DSGVO zu beachten (Art. 44 Abs. 1 Satz 1 DSGVO). Hintergrund dieser Normen ist, dass betroffene Personen vor der Weitergabe ihrer personenbezogenen Daten an ausländische Stellen geschützt werden sollen, bei denen kein der DSGVO entsprechendes Schutzniveau besteht.49 Diese Anforderungen können auch durch andere Institute, beispielsweise einen Angemessenheitsbeschluss der Europäischen Kommission i.S.d. Art. 45 Abs. 3 DSGVO, erreicht werden. Dies galt früher auch für US-amerikanische Unternehmen, die EU-U.S. Privacy Shield zertifiziert waren.50 Der Europäische Gerichtshof („EuGH“) hat den EU-U.S. Privacy Shield in seinem Urteil vom 16.7.202051 jedoch mit sofortiger Wirkung für unwirksam erklärt. Der EuGH begründete seine Entscheidung damit, dass das EU-U.S. Privacy Shield nicht die Anforderungen erfülle, die sich aus Art. 45 Abs. 1 DSGVO im Lichte der in Art. 7, 8 und 47 der Charta der Grundrechte der Europäischen Union verbürgten Grundrechte ergeben.52 Hintergrund ist, so der EuGH, dass Telekommunikationsunternehmen und diverse Dienstleister in den USA verpflichtet sind, U.S.-amerikanischen Sicherheitsbehörden Daten auf Anforderung herauszugeben, 48 Spittka in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 73, 77 ff. 49 Gabel in Taeger/Gabel, DSGVO BDSG, Art. 44 Rz. 1. 50 Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12. Juli 2016 gemäß der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates über die Angemessenheit des vom EU-US-Datenschutzschild gebotenen Schutzes, C(2016) 4176), abrufbar unter https://eur-lex.europa.eu/legal-content/DE/ALL/?uri=CELEX%3A32016D1250 (Datum des letzten Abrufes: 30.3.2020). 51 EuGH v. 16.7.2020 – C-311/18 – Schrems II. 52 EuGH v. 16.7.2020 – C-311/18, WM 2020 Heft 32, 1495, 1511 Rz. 199.; für weitere Einzelheiten und Gründe s. Begründung dieses Urteils.

182

SMART FACTORY

wovon auch personenbezogene Daten von Unionsbürgern betroffen sein können. Für Unionsbürger bestünden kaum Möglichkeiten, sich gegen die Herausgabe ihrer personenbezogenen Daten erfolgversprechend zu wehren. Im Übrigen fehle es an effektiven Schranken einer Überwachung und Verarbeitung durch U.S.-amerikanische Sicherheitsbehörden.53 Liegen ein Angemessenheitsbeschluss i.S.d. Art. 45 DSGVO oder andere, 16 mit einem solchen vergleichbare Maßnahmen nicht vor, sind geeignete Garantien erforderlich, denen zufolge ein mit europäischen datenschutzrechtlichen Standards vergleichbares Schutzniveau eingehalten wird (Art. 46 Abs. 1 DSGVO). Mit Unwirksamkeit des Privacy Shields gilt dies nun auch bei Datenübermittlungen in die USA. Geeignete Garantien können auch die Instrumente sein, die in Art. 46 Abs. 2 DSGVO geregelt sind. Allerdings sind diese Instrumente nach Auffassung des Europäischem Gerichtshofs nicht zwingend ausreichend. Daher ist nach den Vorgaben des Europäischen Gerichtshofs jeweils im Einzelfall zu klären, ob ein angemessenes Datenschutzniveau beispielsweise auf Basis der EU-Standardvertragsmuster tatsächlich erreicht werden kann.54 Konkret ist demnach zu prüfen, ob im Einzelfall das Recht des Drittlands, in das die Daten übermittelt werden sollen, auf Grundlage der EU-Standardvertragsklauseln angemessenen Schutz bietet.55 Kann dies bejaht werden, ist der Abschluss von Garantien auf Basis der EU-Standardvertragsklauseln ausreichend. Sofern dies nicht der Fall ist, sind weitere Maßnahmen zu ergreifen.56 Weitere Maßnahmen können sowohl auf vertraglicher als auch auf technischer Basis erfolgen.57 Ob diese Grundsätze auch auf sog. Binding Corporate Rules und andere Transferinstrumente nach Art. 46 Abs. 2 DSGVO anzuwenden sind, befindet sich derweil in Diskussion.58 Im Übrigen kann auf Ausnahmen zurückgegriffen werden, die in Art. 49 DSGVO statuiert sind. Diese gelten jedoch nur für eng umrissene Fälle.59 (2) Gemeinsame Verantwortlichkeit Gelangt man zu dem Ergebnis, dass eine gemeinsame Verantwortlich- 17 keit im Sinne des Art. 26 DSGVO vorliegt, benötigt der KI-Anbieter – im Gegensatz zum in dieser Hinsicht privilegierten Auftragsverarbeiter – für 53 Kirschhöfer, ZVertriebsR 2020, 366, 367; Heinzke, GRUR-Prax 2020, 436, 436 f.; EuGH v. 16. 7. 2020 – C-311/18 WM 2020 Heft 32, 1495, 1509 Rz. 178 ff. 54 Eingehend Heinzke, GRUR-Prax 2020, 436 ff. 55 EuGH v. 16.7.2020 – C-311/18, WM 2020 Heft 32, 1495, 1504 Rz. 134. 56 EuGH v. 16.7.2020 – C-311/18, WM 2020 Heft 32, 1495, 1504 Rz. 133, 135. 57 Eingehend Kirschhöfer, ZVertriebsR 2020, 366, 368 f. 58 Heinzke, GRUR-Prax 2020, 436, 438. 59 Pauly in Paal/Pauly, DS-GVO/BDSG, Art. 49 Rz. 2.

183

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

die Verarbeitung personenbezogener Daten eine Ermächtigungsgrundlage entweder aufgrund gesetzlicher Vorschriften oder aufgrund der Einwilligung der betroffenen Person.60 Dann bedarf es einer Vereinbarung zwischen ihm und dem ebenfalls verantwortlichen Unternehmer insbesondere darüber, wer welche Daten verarbeitet, wer welche Informationspflichten aus Art. 13 und 14 DSGVO erfüllt und wer die Verpflichtungen bezüglich der durch die betroffene Person wahrgenommen Rechte erfüllt (Art. 26 Abs. 2 Satz 1 DSGVO). Diese Vereinbarung ist zumindest in groben Zügen auch der betroffenen Person zur Verfügung zu stellen (Art. 26 Abs. 2 Satz 2 DSGVO).61 Unabhängig vom Inhalt einer solchen Vereinbarung sind betroffene Personen nicht daran gehindert, ihre Rechte im Außenverhältnis gegenüber einem jeden Verantwortlichen geltend zu machen (Art. 26 Abs. 3 DSGVO), also auch gegenüber dem KI-Anbieter. Auch haften gemeinsam Verantwortliche gesamtschuldnerisch (Art. 82 Abs. 4 DSGVO). 18 Der Europäische Gerichtshof legt die Voraussetzungen einer gemeinsamen Verantwortlichkeit im Sinne von Art. 26 DSGVO grundsätzlich weit aus.62 Es muss weder derselbe Zweck bei der Datenverarbeitung verfolgt werden, noch muss jeder der Beteiligten über alle Umstände bzw. Phasen der Verarbeitung umfassende oder gleichrangige Kontrolle haben.63 Vielmehr ist auf den Beitrag zur Entscheidung über Mittel und Zwecke der Verarbeitung abzustellen, wobei eine Einflussnahme aus Eigeninteresse ausreichen soll.64 Dasselbe gilt, sofern mehrere den Vorgang tatsächlich beeinflussen können.65 Nach allgemeiner Auffassung sind diese Erwägungen, die für die Auslegung des Begriffs „für die Verarbeitung Verantwortlicher“ i.S.d. Art. 2 lit. d der Datenschutzrichtlinie entwickelt wurden, auch für die Abgrenzung von Auftragsverarbeitung und gemeinsamer Verantwortlichkeit von Bedeutung.66

60 DSK Kurzpapier Nr. 16, 1, abrufbar unter https://www.datenschutzkonferenz-online.de/kurzpapiere.html (Datum des letzten Abrufes: 31.3.2020). 61 Ein Leitfaden, wie diese inhaltlich auszugestalten ist, findet sich in DSK Kurzpapier Nr. 16, 1 ff., abrufbar unter https://www.datenschutzkonferenz-online. de/kurzpapiere.html (Datum des letzten Abrufes: 31.3.2020). 62 EuGH v. 5.6.2018 – C-210/16, ZD 2018, 357, 358 Rz. 28 unter Verweis auf EuGH v. 13.5.2014 – C 131/12, ZD 2014, 350, 353 Rz. 34. 63 DSK Kurzpapier Nr. 16, 2, abrufbar unter https://www.datenschutzkonferenz-online.de/kurzpapiere.html (Datum des letzten Abrufes: 31.3.2020). 64 EuGH v. 5.6.2018 – C-210/16, EuZW 2018, 534, 539 Rz. 69–71; EuGH v. 29.7.2019 – C-40/17 ZD 2019, 455, 456 Rz. 68. 65 EuGH v. 29.7.2019 – C-40/17 ZD 2019, 455, 457 Rz. 78. 66 So GA, Schlussanträge v. 19.12.2019 – C-40/17 Rz. 87; statt vieler Hansen/ Johnsen, GRUR-Prax 2019, 47.

184

SMART FACTORY

(3) Hohe Geldbußen Angesichts möglicher Geldbußen von bis zu 20 Millionen Euro bzw. 4 % 19 des weltweit erzielten Jahresumsatzes (Art. 83 Abs. 5 DSGVO), sollte bereits im Vorfeld genau geklärt werden, ob zwischen dem KI-Anbieter und dem Kunden, der seine Prozesse auslagern will, eine Auftragsverarbeitung oder aber eine gemeinsame Verantwortlichkeit gegeben ist. Dies ist in der Praxis je nach Einzelfall und Modell der KI-Lösung angesichts verschiedener Verarbeitungszwecke und Zugriffsmöglichkeiten der KI nicht einfach. Die vorgenannten Grundsätze gelten entsprechend für die Entwicklung 20 von KI, ihr Anlernen, das Hosting oder Betreiben bei einem externen Dienstleister, wenn nicht ausgeschlossen werden kann, dass Beteiligte Zugang zu personenbezogenen Daten erhalten können. ee) Informationsschutz Mit dem Geschäftsgeheimnisgesetz (GeschGehG), das am 26.4.2019 in 21 Kraft getreten ist,67 ist der deutsche Gesetzgeber seiner Verpflichtung zur Umsetzung der Richtlinie EU/2016/943 über den Schutz von Know-how und Geschäftsgeheimnissen vom 8.6.2016 nachgekommen. Auch wenn die im GeschGehG enthaltenen Normen erstmals eine eigenständige und explizite Rechtsgrundlage für den Schutz von Geschäftsgeheimnissen geschaffen haben, ist ein solcher Schutz dem deutschen Recht mitnichten fremd: Zuvor waren diese Vorschriften neben allgemeinen Vorschriften, vor allem in das System des deutschen Gesetzes gegen unlauteren Wettbewerb, eingebettet.68 Nach dem GeschGehG stehen dem Inhaber von Geschäftsgeheimnissen 22 bei Verletzung solcher durch Unbefugte (§ 4 GeschGehG) u. a. ein Anspruch auf Unterlassung und Beseitigung (etwa § 6 GeschGehG) sowie Schadensersatz (§ 10 GeschGehG) zu.69 Zentraler Anknüpfungspunkt für die Anwendbarkeit des GeschGehG ist ein schutzwürdiges Geheimnis i.S.v. § 2 Nr. 1 GeschGehG. Danach sind solche Informationen als Geheimnis einzuordnen, die nicht allgemein bekannt oder ohne Weiteres zugänglich und daher von wirtschaftlichem Wert sind (§ 2 Nr. 1 lit. a GeschGehG), die Gegenstand von den Umständen nach angemessenen Geheimhaltungsmaßnahmen durch ihren rechtmäßigen Inhaber sind

67 BGBl. I S. 466. 68 Alexander in Köhler/Bornkamm/Feddersen, GeschGehG § 1 Rz. 3. 69 Zum Überblick über die wesentlichen Regelungsgehalte des GeschGehG Ohly, GRUR 2019, 441.

185

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

(§ 2 Nr. 1 lit. b GeschGehG) und bei denen ein berechtigtes Interesse an der Geheimhaltung besteht (§ 2 Nr. 1 lit. c GeschGehG).70 Von herausragender Bedeutung dürfte aufgrund des enthaltenen weiten Auslegungsspielraums besonders das zweite Kriterium sein, die den Umständen nach zu treffenden angemessenen Geheimhaltungsmaßnahmen durch den rechtmäßigen Geheimnisinhaber.71 Es liegt auf der Hand, dass dieses Erfordernis auch bei interaktiven Produktionsprozessen sowie der Auslagerung, insbesondere in KI as a Service Lösungen, einzuhalten ist. 23 Im Gegensatz zur Rechtslage vor dem Inkrafttreten des GeschGehG72 müssen Unternehmen nunmehr aktive Schutzmaßnahmen ergreifen und tätig werden, wenn sie sich auf den Geheimnisschutz berufen möchten. Nach geltendem Recht genügt zur Schutzfähigkeit von Informationen als Geschäftsgeheimnis ein bloßer Geheimhaltungswille nicht mehr aus.73 Ratsam ist daher die Einführung eines umfassenden Know-how-Compliance-Systems, das in einem ersten Schritt relevante und schützenswerte Informationen identifiziert, diese dann kategorisiert und abhängig von der jeweiligen Schutzstufe Maßnahmen festlegt.74 Dies gilt auch und insbesondere, wenn im Rahmen smarter Entwicklungs-, Produktions-, Fertigungs- und Vertriebsprozesse Dritte Zugriff auf sensible Informationen, insbesondere Know-how, haben oder haben können. Die für einen verlässlichen Geheimnisschutz zu etablierenden Maßnahmen können sowohl organisatorischer, vertraglicher oder technischer Natur sein.75 Hierbei sollte auch die allgemeine Strategie des Unternehmens für den Umgang mit geistigem Eigentum berücksichtigt werden. Gegebenenfalls sind vorhandene Unterlagen mit schützenswerten Informationen in geeigneter Weise aufzubereiten.76

70 Ausführlicher zu den einzelnen Kriterien Alexander in Köhler/Bornkamm/ Feddersen, § 1 GeschGehG Rz. 31–86. 71 Im Detail hierzu entsprechend Fuhlrott in BeckOK GeschGehG, § 2 GeschGehG Rz. 19–68. 72 Der BGH ließ zuvor einen subjektiv erkennbaren Geheimhaltungswillen ausreichen, der sich in objektiven Umständen manifestiert hatte, Fuhlrott in BeckOK GeschGehG, § 2 GeschGehG Rz. 19 m. w. N. 73 Dann/Markgraf, NJW 2019, 1774, 1775. 74 Näher hierzu Fuhlrott in BeckOK GeschGehG, § 2 GeschGehG Rz. 21 f. 75 Genauer zu den unterschiedlichen Maßnahmen auch Alexander in Köhler/ Bornkamm/Feddersen, § 2 GeschGehG Rz. 55–63. 76 Zur Nutzung von digitalen Wasserzeichen und Signaturen etwa Alexander in Köhler/Bornkamm/Feddersen, § 2 GeschGehG Rz. 64.

186

SMART FACTORY

ff) Dateneigentum und Diskussion vergleichbarer absoluter Rechte Mit der unangefochtenen Bedeutung von Daten zur Realisierung der 24 Smart Factory stellt sich aus Unternehmenssicht auch die Frage nach weiterem effektivem Schutz von Daten und Information. Naheliegend erscheint zunächst der Gedanke, dass Daten einem Aus- 25 schließlichkeitsrecht vergleichbar dem Eigentumsrecht unterfallen sollten. Problematisch ist hier jedoch bereits das Fehlen einer allgemeingültigen Definition von Daten.77 Darüber hinaus hätte ein Eigentumsschutz von Daten nach den §§ 903 ff. BGB einen umfassenden Zuweisungsgehalt und Schutz derselben zur Folge, was mit Blick auf ihre fehlende abgrenzbare Körperlichkeit und deren unbegrenzte Vervielfältigungsmöglichkeiten eher kritisch zu betrachten ist.78 Aufgrund schier unbegrenzter Vervielfältigungsmöglichkeiten sind Daten im Übrigen als „nicht-rival“ einzuordnen, weshalb die Ausschließlichkeitsansprüche aus dem Eigentum auch nicht zielführend sind.79 Eine analoge Anwendung der Vorschriften der §§ 903 ff. BGB ist mit überwiegender Auffassung in der Literatur abzulehnen, da es nach dem Wortlaut der auf Eigentum referenzierenden Vorschriften des BGB entscheidend auf dessen Körperlichkeit i.S.v. § 90 BGB ankommt.80 Nicht zuletzt aus diesem Grund ist auch ein isolierter Schutz von Information losgelöst von ihrem jeweiligen Trägermedium, auf welchem die Information gespeichert ist, abzulehnen.81 Ein eigenständiger deliktsrechtlicher Schutz von Daten in Form eines sonstigen Rechts i.S.v. § 823 Abs. 1 BGB ist aus verfassungsrechtlichen Gründen ebenfalls nicht überzeugend.82

77 Zu diesem Problem, in Abgrenzung zu Informationen und personenbezogenen Daten genauer Czychowski/Siesmayer in Taeger/Pohle, Computerrechts-Handbuch, 20.5 Rz. 7–11. 78 Ausführlich zu den sonstigen, hiermit verbundenen Problemen auch Czychowski/Siesmayer in Taeger/Pohle, Computerrechts-Handbuch, 20.5 Rz. 19–22. 79 Czychowski/Siesmayer in Taeger/Pohle, Computerrechts-Handbuch, 20.5 Rz. 19. 80 Czychowski/Siesmayer in Taeger/Pohle, Computerrechts-Handbuch, 20.5 Rz. 22 m. w. N. 81 Hierzu Wagner in MünchKomm BGB, BGB § 823 Rz. 332–339; Hecker in Schönke/Schröder, StGB § 303a Rz. 3, näher zudem Czychowski/Siesmayer in Taeger/Pohle, Computerrechts-Handbuch, 20.5 Rz. 24 f.; zu den technischen Hintergründen einer isolierten Schutz ablehnenden Argumentation ferner ausführlich Ammann in Taeger/Pohle, Computerrechtshandbuch 32.2 Rz. 18. 82 Hierzu im Einzelnen Czychowski/Siesmayer in Taeger/Pohle, Computerrechts-Handbuch, 20.5 Rz. 30; Zech, CR 2015, 137, 143; Redeker, CR 2011, 634 ff.; Wehlau/Meier, NJW 1998, 1585, 1588 f. Einen eigentumsrechtlichen

187

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

gg) Urheberrecht 26 Im Zusammenhang mit interaktiven Produktionsprozessen spielt auch das Urheberrecht eine bedeutende Rolle. 27 Urheberrechtlichen Schutz genießen grundsätzlich zunächst nur persönliche geistige Schöpfungen (§ 2 Abs. 2 UrhG). Als Software ist die betreffende KI selbst in aller Regel durch das Urheberrecht geschützt.83 Weit komplexer ist jedoch die Frage, inwieweit die von der KI produzierten Leistungsergebnisse vom Schutz des Urheberrechts profitieren können. Grundsätzlich ist ein urheberrechtlicher Schutz der Leistungsergebnisse nicht kategorisch ausgeschlossen.84 Entscheidend ist jedoch, dass die Schöpfung noch einem menschlichen Schöpfer zugerechnet werden kann, es sich also nicht um eine reine Maschinenschöpfung handelt.85 Ab welchem Grad der Einfluss der KI die menschliche Zurechnung überwiegt, ist nach der Auffassung einer Untersuchung des Deutschen Bundestages im Kontext von KI noch nicht abschließend geklärt. Insoweit bedürfe es einer Entscheidung im Einzelfall.86 Dies gilt auch für die weitere Herausforderung, dass KI mitunter einen eigenen Programmcode

83 84

85

86

Schutz ablehnend ebenfalls Bitkom, Stellungnahme Rechtsfragen der digitalisierten Wirtschaft: Datenrechte, S. 4, abrufbar unter https://www.bitkom.org/ sites/default/files/2019–09/bitkom-stellungnahme-zu-datenrechten_kurzfassung_final.pdf (Datum des letzten Abrufes: 29.3.2021). Hetmank/Lauber-Rönsberg, GRUR 2018, 574, 575. Deutscher Bundestag, Unterrichtung der Enquete-Kommission Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale – Bericht der Enquete-Kommission Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale, BT-Drs. 19/23700,), S. 72, abrufbar unter https:// dip21.bundestag.de/dip21/btd/19/237/1923700.pdf (Datum des letzten Abrufes: 29.3.2021). Zur Diskussion zusammenfassend Deutscher Bundestag, Unterrichtung der Enquete-Kommission Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale – Bericht der Enquete-Kommission Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale, BT-Drs. 19/23700, S. 72, abrufbar unter https://dip21.bundestag.de/dip21/btd/19/237/1923700. pdf (Datum des letzten Abrufes: 29.3.2021); so auch die Literaur Hetmank/ Lauber-Rönsberg, GRUR 2018, 574, 575; Schulze in Dreier/Schulze, UrhG § 2 Rz. 8. Deutscher Bundestag, Unterrichtung der Enquete-Kommission Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale – Bericht der Enquete-Kommission Künstliche Intelligenz – Gesellschaftliche Verantwortung und wirtschaftliche, soziale und ökologische Potenziale, BT-Drs. 19/23700, S. 72, abrufbar unter

188

SMART FACTORY

selbst weiterentwickeln, d.h. fortschreiben und sich hierdurch selbst verbessern kann. In diesem Fall können ggf. die weniger strengen Voraussetzungen über Computerprogramme helfen, wonach das Vorliegen von Individualität im Sinne des Ergebnisses der eigenen geistigen Schöpfung des Programmurhebers für urheberrechtlichen Schutz ausreichend sein kann.87 Jedoch ist der urheberrechtliche Schutz auch für diese Schöpfungen nur möglich, wenn der Code als Teil des Ursprungscodes auf eine menschliche Leistung zurückzuführen ist.88 Gegebenenfalls kommt für einzelne Komponenten aus dem Kontext 28 Smart Factory ein Schutz als Datenbankwerk i.S.v. § 4 Abs. 2 UrhG in Betracht. Ob ein Schutz hiernach eröffnet ist, hängt allerdings von verschiedenen Faktoren des jeweiligen Einzelfalls ab. Erforderlich ist stets die systematische und methodische Anordnung der Elemente, deren Schutz begehrt wird.89 Bei bloßen Datenhaufen ist die Vorschrift nicht einschlägig.90 Ausweislich des Gesetzeswortlauts von § 4 Abs. 2 Satz 2 UrhG sind die zur Erstellung oder die für den Betrieb eines Datenbankwerkes verwendeten Computerprogramme nicht vom Schutz umfasst.91 Daneben ist ein weiterer sui-generis-Schutz von Datenbanken nach den 29 §§ 87a ff. UrhG im Einzelfall denkbar, der auch kumulativ zu § 4 Abs. 2 UrhG bestehen kann.92 Zusätzlich zu besonderen Anforderungen an die Anordnung der jeweiligen Informationen ist für den Schutz einer Datenbank93 eine in qualitativer und quantitativer Hinsicht erhebliche Investition erforderlich, die für die Beschaffung, Überprüfung und Darstellung ihres Inhalts nötig ist.94 Im Rahmen von Smart Factory kommt auf dieser Basis grundsätzlich ein Schutz der Transaktionskette in Betracht, sofern sie betreffend denn auch von einer wesentlichen Investition ausgegangen werden kann. Dies dürfte bei größeren Produktionslinien mitunter der Fall sein.95

87 88 89 90 91 92 93 94 95

https://dip21.bundestag.de/dip21/btd/19/237/1923700.pdf (Datum des letzten Abrufes: 29.3.2021). Dreier in Dreier/Schulze, UrhG § 69a Rz. 25. Vgl. Dreier in Dreier/Schulze, UrhG § 69a Rz. 26. Ahlberg/Lauber-Rönsberg in BeckOK UrhR, UrhG § 4 Rz. 18 f.; vgl. zu Beispielen aus der Rechtsprechung Dreier in Dreier/Schulze, UrhG § 4 Rz. 20. Mit weiteren Beispielen Dreier in Dreier/Schulze, UrhG, § 87a Rz. 7. Dreier in Dreier/Schulze, UrhG, § 4 Rz. 21. Vohwinkel BeckOK UrhR, § 87a UrhG Rz. 9. Zum Gleichlauf der Datenbankdefinitionen im Übrigen Dreier in Dreier/ Schulze, UrhG, § 87a Rz. 3. EuGH v. 9.11.2004 – C-203/02, MMR 2005, 29 Rz. 29. Zur praktischen Relevanz der Datenbankherstellerrechte auch Hetmank/ Lauber-Rönsberg, GRUR 2018, 574, 578 f.; Legner, ZUM 2019, 807, 808 f.

189

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

hh) Haftung 30 Der Einsatz von KI im Smart Factory-Umfeld führt unweigerlich zur Diskussion, wer wann für welche Entscheidungen der KI in welcher Höhe haftet. 31 Das deutsche Recht unterscheidet im Wesentlichen vier Haftungssysteme, die jeweils ihrem eigenen Regime unterworfen sind. (1) Grundsatz: Verschuldensabhängige Haftung 32 Die verschuldensabhängige Haftung ist Grundsatz im deutschen Zivilrecht.96 D.h. um schadensersatzpflichtig zu sein, muss man zumindest fahrlässig gehandelt haben. Sofern von diesem Grundsatz nicht vertraglich wirksam abgewichen worden ist,97 spielt er vor allem in den jeweiligen Vertragsbeziehungen bei Smart Factory eine Rolle. Sei es also das Verhältnis zwischen Lieferant und Hersteller, Hersteller und den beteiligten Softwareunternehmen, oder auch zwischen Softwareunternehmen und den Anbietern von Cloud-Diensten. Aber auch soweit es um unerlaubte und schadensbegründende Handlungen im Deliktsrecht geht, ist dieser Grundsatz Ausgangspunkt für eine etwaige Haftung des Schädigers.98 Da für die Begründung der Haftung de lege lata ein menschliches Verschulden vorausgesetzt wird, kann eine Haftung nicht direkt an die fehlerhafte Handlung des intelligenten Systems geknüpft werden.99 Anknüpfungspunkt der Haftung kann somit nur das menschliche Verhalten sein, auf welchem das fehlerhafte Verhalten der KI beruht.100 In der Praxis dürfte es jedoch schwer fallen, diesen Zusammenhang zu beweisen. Aufgrund des „Black-Box“-Charakters der KI und der meist nicht lückenlosen Protokollierung aller einzelnen Entscheidungen der KI wird eine Rückverfolgung erschwert.101 Hinzu kommt ein signifikanter Vernetzungsgrad involvierter Systeme und Komponenten, der eine eindeutige Zuordnung von Verantwortlichkeiten weiter erschwert.102

96 Zum Grundsatz mit Verweis auf Jhering, Wagner in MünchKomm BGB, Vor § 823 Rz. 17. 97 Vgl. auch Grundmann in MünchKomm BGB, § 276 Rz. 6. 98 Wagner in MünchKomm BGB, Vor § 823 Rz. 17. 99 Wagner in MünchKomm BGB, § 823 Rz. 66. 100 Riehm, ITRB 2014, 113, 114; Horner/Kaulartz in Taeger, Internet der Dinge, DSRITB 2015, 501, 508 m. w. N. 101 Ammann in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 503, 509. 102 Ammann in Taeger, Recht 4.0 – Innovationen aus den rechtswissenschaftlichen Laboren, DSRITB 2017, 503, 509.

190

SMART FACTORY

(2) Ausnahme: Gefährdungshaftung Eine Ausnahme vom gesetzlichen Grundsatz der Verschuldenshaftung 33 stellt die sog. Gefährdungshaftung dar. Sie findet ihren Ursprung in einer Preußischen Eisenbahn-Unternehmungsregelung aus dem Jahr 1838103 und geht davon aus, dass derjenige, der Tätigkeiten nachgeht, welchen ein erhöhtes Schadenspotenzial innewohnt, auch für entstandene Schäden außerhalb des gesetzlichen Grundprinzips der Verschuldenshaftung verantwortlich sein soll.104 Dies gilt jedoch nur, wenn eine solche Gefährdungshaftung nach dem sogenannten Enumerationsprinzip gesetzlich bestimmt worden ist.105 Auch im Rahmen der Haftung für von KI herbeigeführten Schäden steht seit Jahren die Gefährdungshaftung als nach Auffassung diverser Literaten grundsätzlich adäquates Haftungsregime in der Diskussion.106 Dies gilt insbesondere für vereinzelt gezogene Parallelen zur Tierhalterhaftung gemäß § 833 Satz 1 BGB.107 Aufgrund des erhöhten Haftungsrisikos handelt es sich bei Tatbeständen der Gefährdungshaftung jedoch um Ausnahmetatbestände, welche als solche nicht analogiefähig sind.108 (3) Ausnahme: Verschuldensunabhängige Haftung Als weitere Ausnahme zum gesetzlichen Grundsatz der Verschuldens- 34 haftung hat der Gesetzgeber in Einzelfällen verschuldensunabhängige Haftungstatbestände geschaffen. Soweit dies der Fall ist, ist ein schuldhaftes Verhalten nicht Voraussetzung für eine haftungsrechtliche Verantwortlichkeit. Dies gilt beispielsweise für die Haftung des Herstellers nach dem Produkthaftungsgesetz (ProdHaftG). Abgesehen davon, dass ein Intelligentes System nur vom Produkthaf- 35 tungsgesetz erfasst wird, wenn es unter die Definition des § 2 ProdHaftG gefasst werden kann, was sicherlich nicht immer der Fall sein wird, bereitet der zeitliche Anknüpfungspunkt der Haftung Probleme. Der Anknüpfungszeitpunkt für die Verantwortlichkeit des Herstellers ist nach § 1 Abs. 2 Nr. 5 ProdHaftG das Inverkehrbringen des Produktes. Der Her103 Unter Verweis hierauf auch Wagner in MünchKomm BGB, Vor § 823 Rz. 18. 104 Wagner in MünchKomm BGB, Vor § 823 Rz. 19; BGH v. 6.7.1976 – VI ZR 177/75, NJW 1976, 2130; Deutsch, NJW 1992, 73, 74 f. 105 Vgl. nur Katzenmeier in Dauner-Lieb/Langen, BGB-Schuldrecht Vorbem. §§ 823 ff. Rz. 24 m.w. N.; BGH v. 7.11.1974 – III ZR 107/72 NJW 1975, 117, 118. 106 So bspw. Horner/Kaulartz in Taeger, Internet der Dinge, DSRITB 2015, 501, 507; Pieper, DSRITB 2016, 971, 982; Zech, ZfPW 2019, 198, 214 ff. 107 Spindler, CR 2015, 766, 767. 108 Spindler, CR 2015, 766, 767.

191

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

steller wird danach von der Haftung frei, wenn er nach dem Stand der Wissenschaft und Technik in dem Zeitpunkt, in dem er das Produkt in den Verkehr gebracht hat, den Fehler, der den Schaden verursacht hat, nicht erkennen konnte. Sobald sich das „Produkt“ in Form eines selbstlernenden Systems nach dem Inverkehrbringen autark weiterentwickelt, greift die Haftung des ProdHaftG nicht mehr ein.109 (4) Produzentenhaftung 36 Neben der Produkthaftung nach dem Produkthaftungsgesetz liefert die Herstellerhaftung aus § 823 Abs. 1 BGB ebenso ein Haftungsregime für Schäden, die auf fehlerhaften Produkten beruhen, wenngleich der Anknüpfungspunkt ein anderer ist: Verantwortlichkeit für den Schaden liegt vor, wenn der Hersteller Verkehrssicherungspflichten in Form von Konstruktions-, Fabrikations-, Instruktions- und Produktbeobachtungsfehlern verletzt hat.110 Welche Verkehrssicherungspflichten dem Hersteller eines intelligenten Systems zuzumuten sind, bestimmt sich nach einer Kosten-Nutzen-Abwägung.111 Indes ist noch unklar, welche Maßnahmen tatsächlich zumutbar sind. Mitunter könnten überhöhte Sorgfaltsmaßstäbe dazu führen, dass Hersteller Produkte überhaupt nicht mehr in Verkehr bringen, was im internationalen Wettbewerb für Deutschland volkswirtschaftsschädigend wäre.112 Folglich bleiben auch im Rahmen dieses Haftungsregimes in Bezug auf die Anwendung auf KI viele Fragen ungeklärt. (5) Gesetzgeberische Aktivitäten 37 Vor alledem laufen auf deutscher und europäischer Ebene diverse Untersuchungen, ob und inwieweit geltende haftungsrechtliche Regelungen den Anforderungen eines Einsatzes von KI genügen können.113 Einen ers109 Ähnlich Horner/Kaulartz in Taeger, Internet der Dinge, DSRITB 2015, 501, 510, die ein künstlich intelligentes System bereits nicht unter den Begriff „Fehler“ im Sinne des § 3 ProdHaftG subsumieren wollen. 110 Wilhelm in Erman, BGB § 823 BGB Rz. 112, 115–119. 111 Zech, ZfPW 2019, 198, 210. 112 So wohl auch Zech, ZfPW 2019, 198, 210. 113 Datenethikkommission der Bundesregierung, Gutachten der Datenethikkommission, S. 31, abrufbar unter https://www.bmi.bund.de/SharedDocs/ downloads/DE/publikationen/themen/it-digitalpolitik/gutachten-datenethikkommission.pdf (Datum des letzten Abrufes: 20.7.2021); Hochrangige Expertengruppe für künstliche Intelligenz, Liability for Artificial Intelligence, S. 5, abrufbar unter https://ec.europa.eu/transparency/regexpert/index. cfm?do=groupDetail.groupMeetingDoc&docid=36608 (Datum des letzten Abrufes: 30.3.2021).

192

SMART FACTORY

ten Entwurf zur Haftung im Kontext von KI hat das Europäische Parlament im Oktober letzten Jahres im Wege eines Regulierungsentwurfs der Europäischen Kommission vorgelegt.114 Der Ansatz basiert auf einem Zusammenspiel der Aktualisierung bereits 38 bestehender Regularien und der Einführung einer neuen KI-spezifischen Betreiberhaftung. Hierzu soll nationales Deliktsrecht sowie die europäische Produkthaftungsrichtlinie im Hinblick auf Besonderheiten von KI aktualisiert werden. Ziel ist es, einen angemessenen Schutz für Individuen sowie eine verlässliche Kompensation im Falle von Schäden durch defekte KI zu erreichen.115 Darüber hinaus soll eine Betreiberhaftung eingeführt werden, die zwischen verschiedenen Risikostufen unterscheidet. Als Betreiber gilt nach dem Vorschlag sowohl der Frontend-Betreiber als auch der Backend-Betreiber, sofern dieser nicht unter die Produkthaftungsrichtlinie fällt (Art. 3 Abs. 1 lit. d)-f) des Entwurfs).116 Maßgeblich für Art und Umfang der Haftung ist dem Verordnungsent- 39 wurf zufolge, welcher Kategorie die betreffende KI unterfällt. Unterschieden wird zwischen „Hochrisiko KI“ und „Anderer KI“. Betreiber einer Hochrisiko KI sollen im Rahmen einer Gefährdungshaftung haften (Art. 4 Abs. 1 der Verordnung).117 Es besteht jedoch die Möglichkeit der Exkulpation, sofern höhere Gewalt vorliegt (Art. 4 Abs. 3 der Verordnung). Verpflichtend ist weiterhin der Abschluss einer Versicherung

114 Europäisches Parlament, Regelung der zivilrechtlichen Haftung beim Einsatz künstlicher Intelligenz Entschließung des Europäischen Parlaments vom 20. Oktober 2020 mit Empfehlungen an die Kommission für eine Regelung der zivilrechtlichen Haftung beim Einsatz künstlicher Intelligenz (2020/2014(INL)) -TA-9-2020-0276, abrufbar unter https://www.europarl. europa.eu/doceo/document/TA-9-2020-0276_DE.pdf (Datum des letzten Abrufes: 30.3.2021). 115 Europäisches Parlament, TA-9-2020-0276, S. 18 f. 116 Frontend-Betreiber ist danach jede natürliche oder juristische Person, die ein gewisses Maß an Kontrolle über ein mit dem Betrieb und der Funktionsweise des KI-Systems verbundenes Risiko ausübt und aus dessen Betrieb Nutzen zieht. Backend-Betreiber ist jede natürliche oder juristische Person, die auf kontinuierlicher Basis die Merkmale der Technologie festlegt und Daten und einen wesentlichen Backend-Supportdienst bereitstellt und daher auch eine gewisse Kontrolle über das mit dem Betrieb und der Funktionsweise des KI-Systems verbundene Risiko ausübt (ggfs. auch Entwickler und Support-Dienstleister, soweit diese kontinuierlich für den Betrieb maßgebliche Leistungen erbringen, die ein gewisses Maß an Kontrolle über Betrieb und Funktionsweise des Systems ermöglichen), siehe Europäisches Parlament, TA-9-2020-0276, S. 8, 27. 117 Europäisches Parlament, TA-9-2020-0276, S. 9.

193

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

in Form einer Haftpflichtversicherung des Frontend-Betreibers und in Form einer Betriebs- oder Produkthaftpflichtversicherung durch den Backend-Betreiber (Art. 4 Abs. 4 der Verordnung). Nach dem Vorschlag ist eine KI als Hochrisiko KI einzustufen, wenn erhebliches Potenzial eines autonom arbeitenden KI-Systems besteht, einer oder mehreren Personen zufällig und über das vernünftigerweise zu erwartende Maß hinaus einen Schaden zuzufügen.118 Dabei ergibt sich das Schadenspotenzial aus einem Zusammenspiel der Schwere des möglichen Schadens, dem Grad der Autonomie der Entscheidungsfindung, der Wahrscheinlichkeit des Eintritts des Risikos, der Art der KI (insbesondere Sektor) und aus dem Kontext, in dem das KI-System eingesetzt wird (Art. 3 Abs. 1 lit. c) der Verordnung).119 40 Für alle anderen KI gilt der Grundsatz der Verschuldenshaftung, sofern die Mitgliedsstaaten nicht bereits strengere KI-Regularien erlassen haben.120 Zu Gunsten der Betroffenen wird das Verschulden vermutet.121 Um den Betreibern Sicherheit zu geben, ob sie die verschärften Anforderungen einer Hochrisiko KI erfüllen müssen, soll eine abschließende Liste von Hochrisiko KI angehängt werden, die alle sechs Monate aktualisiert werden soll.122 41 Insgesamt plädiert der europäische Vorschlag demnach für ein Nebeneinander von Produkthaftung und spezieller KI-Haftung, insbesondere mit Blick auf den Regress des KI-Betreibers gegenüber dem Hersteller. Problematisch bleibt dahingehend noch die oben erläuterte, bisher nicht klar abgegrenzte Haftung des Herstellers. ii) IT-Sicherheit 42 Zusätzlich zu den nach Art. 32 DSGVO zum Schutz personenbezogener Daten zu installierenden angemessenen Sicherheitsmaßnahmen sind Betreiber sogenannter Kritischer Infrastrukturen gemäß § 8a des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktions118 119 120 121 122

194

Europäisches Parlament, TA-9-2020-0276, S. 9. Europäisches Parlament, TA-9-2020-0276, S. 9. Europäisches Parlament, TA-9-2020-0276, S. 22. Europäisches Parlament, TA-9-2020-0276, S. 22. Europäisches Parlament, TA-9-2020-0276, S. 9; diese Liste liegt dem Vorschlag zur Zeit des Redaktionsschlusses noch nicht bei.

SMART FACTORY

fähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Einzuhalten ist der jeweilige Stand der Technik (§ 8a Abs. 1 Satz 2 BSIG). Die Vorkehrungen sind angemessen, wenn der für sie erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betreffenden Kritischen Infrastruktur steht (§ 8a Abs. 1 Satz 3 BSIG). Die Einhaltung dieser Anforderungen ist mindestens alle zwei Jahre nachzuweisen und kann z. B. mittels Sicherheitsaudits oder Zertifizierungen erfolgen. Weiterhin bestehen besondere Kooperations- und Meldepflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Voraussetzung dafür, dass Betreiber und/oder Nutzer von Smart Fac- 43 tory-Lösungen den gesteigerten sicherheitstechnischen Anforderungen nach dem BSIG und der die jeweiligen gesetzlichen Anforderungen konkretisierenden Verordnung („BSI KritisV“) unterliegen, ist, dass das betreffende Unternehmen in einem der Sektoren Energie, Wasser, Ernährung, Informationstechnik und Telekommunikation, Gesundheit, Finanz- und Versicherungswesen oder Transport tätig ist (§§ 2 ff. BSI KritisV). Darüber hinaus müssen in den Anhängen der BSI KritisV näher genannte Schwellenwerte erreicht sein. Seit der ursprünglichen Fassung des BSIG hat der Gesetzgeber den Kreis der 44 nach dem BSIG Verpflichteten immer wieder erweitert. Dies gilt insbesondere für Anbieter digitaler Dienste, welche das § 8c BSIG mit besonderen Anforderungen in seit 2015 immer wieder geänderten Fassungen bedenkt. Weitere umfangreiche Änderungen sind nach dem Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetzes 2.0) geplant. Der Entwurf sieht eine deutliche Erweiterung der Kompetenzen des BSI vor, insbesondere für Zertifizierungen und Empfehlungen, als Meldestelle und in Sachen Verbraucherschutz. Unter anderem soll das BSI Bestandsdaten bei Telekommunikationsdienstleistern abfragen dürfen, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Zudem sollen Untersuchungs-, Kontroll- und Anordnungsbefugnisse des BSI eine deutliche Erweiterung erfahren. Für Betreiber Kritischer Infrastrukturen gelten gesteigerte Anforderungen. Erweitert werden soll der Kreis der nach dem BSIG Verpflichteten zudem auf Unternehmen von besonderem öffentlichem Interesse, insbesondere solche Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben.123

123 Weitere Informationen unter https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/entwurf-zweites-it-sicherheitsgesetz.html (Datum des letzten Abrufes: 6.4.2021).

195

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

45 Ob die vorgenannten Voraussetzungen für den jeweiligen Akteur im Umfeld einer Smart Factory gelten, bedarf der sorgfältigen Prüfung im jeweiligen Einzelfall, ist jedoch unter Berücksichtigung der kontinuierlichen Erweiterung des Kreises der Verpflichteten zunehmend wahrscheinlich. Vor diesem Hintergrund sollten insbesondere die weiteren gesetzgeberischen Aktivitäten im Kontext eines IT-Sicherheitsgesetzes 2.0 ebenso sorgfältig beobachtet werden wie entsprechende Bemühungen auf supranationaler Ebene.124 b) Länderperspektive Österreich 46 Die Fragen, die sich im österreichischen Recht stellen, sind grundsätzlich die gleichen bzw. sehr ähnlich den Fragen, die für das deutsche Recht erörtert wurden, da die darunterliegenden Sachverhalte die gleichen sind. So stellen sich auch in Österreich dieselben Fragen in Bezug auf den Vertragsabschluss, Eigentum an Daten, Zulässigkeit der Datenverarbeitung usw. Aufgrund der Ähnlichkeit der Rechtsordnungen sind die Lösungsansätze zu vielen Punkten auch gleich bzw. ähnlich. 47 Nichtdestotrotz ergeben sich in manchen Bereichen auch wesentliche Unterschiede in der jeweiligen Rechtslage, die zu anderen Rechtsproblemen oder anderen Lösungsansätzen führen. Dabei können insbesondere folgende hervorgehoben werden. aa) Datenschutz (1) Datenschutzrecht für juristische Personen 48 In der datenschutzrechtlichen Beurteilung von Big Data-Anwendungen und Data Lakes sind im österreichischen Recht kaum Unterschiede im Verhältnis zum deutschen Recht zu finden, da dieser Bereich weitgehend durch die DSGVO in gleicher Weise geregelt ist. In Österreich ist jedoch angesichts der Regelungen im Datenschutzgesetz („öDSG“) sowie der darauffolgenden Diskussion über den Anwendungsbereich des öDSG kurz auf das Thema einzugehen, inwieweit die Anwendbarkeit der Vorgaben des Datenschutzrechts in Österreich anders (weiter) ist. 49 Einleitend ist festzuhalten, dass die im Rahmen von Data Lakes erfassten Daten oft keine personenbezogenen Daten i.S.d. DSGVO sein werden, da sie keine „Informationen, die sich auf eine identifizierte oder

124 Nähere Informationen über Aktivitäten auf europäischer Ebene finden sich beispielsweise unter https://www.consilium.europa.eu/de/policies/cybersecurity/ (Datum des letzten Abrufes: 6.4.2021).

196

SMART FACTORY

identifizierbare natürliche Person beziehen“125 sind. In dieser Hinsicht stellt sich in Österreich jedoch die Frage, inwieweit rein unternehmensbezogene Daten, die in Data Lakes vorhanden sind, auch geschützt sind. Ergänzend zur DSGVO sieht nämlich das öDSG in seinem § 1 Abs. 1 vor, dass „[j]edermann […] Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten“ hat. Diese Bestimmung wurde aus dem alten DSG 2000 übernommen, z.T. auch aus dem Grund, dass es sich dabei um eine Verfassungsbestimmung handelt(e) und die notwendige Mehrheit für ihre Änderung im Zuge der DSGVO-Implementierung nicht erzielt werden konnte.126 Bereits früh wurden in der Lehre aber auch Meinungen vertreten, wonach die Beibehaltung dieser Bestimmung eine absichtliche Ausweitung des Rechts auf Datenschutz auf juristische Personen, bzw. die Beibehaltung des Schutzes, über die DSGVO hinaus, zu bedeuten hat.127 Im Lichte dieser Entwicklung hat sich folglich die Frage gestellt, ob und 50 inwieweit hier eine Ausweitung des Datenschutzes auf juristische Personen tatsächlich erfolgte. Als inzwischen herrschende Position hat sich dabei durchgesetzt, dass § 1 Abs. 1 öDSG ein Grundrecht auf Datenschutz auch für juristische Personen vorsieht, die einfachgesetzlichen Bestimmungen des öDSG sowie die DSGVO hingegen auf juristische Personen nicht anwendbar sind.128 Somit unterliegen die rein unternehmensbezogenen Daten zwar nicht dem strengen Schutz der DSGVO, das Datenschutzrecht kann in Bezug auf sie aber nicht völlig außer Acht gelassen werden. Insoweit ist in Österreich, zusätzlich zu den Bestimmungen zum Schutz personenbezogener Daten, das Datenschutzrecht auch bei rein unternehmensbezogenen Daten teilweise zu beachten.

125 So die Definition von personenbezogenen Daten gemäß Art. 4 Nr. 1 DSGVO. 126 S. dazu etwa Anderl/Hörlsberger/Müller, ÖJZ 2018, 3, 14. 127 So v.a. Riedl, Leiter der Datenschutzabteilung (V/3) im Bundeskanzleramt-Verfassungsdienst, in seinem Interview in Dako 2017, 48. Inwieweit § 1 Abs. 1 DSG den Schutz der DSGVO auf juristische Personen ausweitet, wurde in diesem Interview nicht angesprochen. 128 Anderl/Hörlsberger/Müller, ÖJZ 2018/3, 14, Pollirer/Weiss/Knyrim/Haidinger, DSG4 § 1 Anm. 3 usw. In diese Richtung inzwischen auch die DSB in DSB-D123.089/0002-DSB/2018, wo das Grundrecht auf Datenschutz als auch auf juristische Personen anwendbar erachtet wurde, die Anwendbarkeit der Bestimmungen des öDSG und der DSGVO, die dieses Recht konkretisieren – hier konkret Beschwerderechte nach Art. 77 DSGVO und § 24 öDSG – aber verneint wurde.

197

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

(2) Datenschutzrechtliche Vorgaben im und außerhalb des Anwendungsbereichs der DSGVO 51 Ansonsten sind die Vorgaben des Datenschutzrechts in Österreich im Großen und Ganzen die Gleichen wie in Deutschland. Falls die DSGVO zur Anwendung kommt, müssen die Grundprinzipien der Datenverarbeitung (Art. 5 DSGVO) eingehalten werden, die Rechtmäßigkeit der Verarbeitung muss gewährleistet werden (Art. 6, 9, 10 DSGVO), die Betroffenen sind über die Datenverarbeitung entsprechend zu informieren (Art. 12–14 DSGVO) usw. Im Fall von Datenweitergaben ist auch hier auf die besonderen Schwierigkeiten im Zusammenhang mit Datenweitergaben außerhalb des EWR im Lichte der „Schrems II“-Judikatur des EuGH129 hinzuweisen. 52 Bei den gegenständlichen Sachverhalten kommt besondere Bedeutung auch den Vorgaben der DSGVO über die Datensicherheit zu, einerseits den allgemeinen Anforderungen gemäß Art. 32, aber auch die Verpflichtung, den Datenschutz bereits durch Gestaltung der Verarbeitung zu gewährleisten („Datenschutz durch Technikgestaltung“ gemäß Art. 25 Abs. 1 DSGVO). 53 Außerhalb des Anwendungsbereichs des Datenschutzrechts gelten hingegen grds. genau die umgekehrten Vorgaben, nämlich dass ein freier Fluss der Daten innerhalb der Europäischen Union zu fördern ist. Dieses Prinzip wurde bereits in der DSGVO angedeutet (etwa im Erwägungsgrund 10) und inzwischen durch die Verordnung 2018/1807 über den freien Verkehr nicht-personenbezogener Daten verstärkt. bb) Dateneigentum 54 Wie bereits oben für Deutschland angesprochen, stellt sich auch in Österreich immer öfters die Frage, inwieweit Daten als Gut geschützt werden können. Anders als im Datenschutzrecht, das im Rahmen des Schutzes personenbezogener Daten letztendlich einen „Betroffenenschutz“ bzw. Schutz der Betroffenenrechte darstellt, stellt sich in dieser Hinsicht die Frage, inwieweit und ggf. nach welchen Bestimmungen die Daten selbst ein Objekt eines Schutzes bzw. subjektiver Rechte sein können. Ebenso wenig wie in Deutschland gibt es auch in Österreich hierzu weder eine eindeutige Regelung noch eine etablierte und klare Praxis. Überblicksmäßig können jedoch folgende Lösungsansätze identifiziert werden.

129 EuGH v. 16. 7. 2020 – C-311/18, WM 2020 Heft 32, 1495.

198

SMART FACTORY

Als erstes wäre denkbar, dass Daten allenfalls dem sachenrechtlichen 55 Schutz unterliegen könnten. Anders als im deutschen Recht ist der Sachbegriff des ABGB (§ 285) weit und umfasst auch unkörperliche Sachen.130 Inwieweit Daten auch als solche gelten, ist nicht restlos geklärt, wobei die überwiegende Meinung wohl davon ausgeht, dass Daten durchaus als unkörperliche Sachen zu behandeln sind.131 Diese Zuordnung ist hinsichtlich der Erörterung eines sachenrechtlichen Schutzes allerdings insoweit wenig hilfreich, als nach österreichischem Recht sowohl Eigentum132 als auch Sachbesitz133 lediglich an körperlichen Sachen möglich sind. Inwieweit hingegen Rechtsbesitz an Daten möglich ist, ist umstritten: während nach einer Meinungsrichtung Daten als unkörperliche Sachen in Besitz genommen werden können,134 geht ein anderer Teil der Lehre davon aus, dass Rechtsbesitz nur an solchen Rechten möglich ist, die mit der Innehabung einer körperlichen Sache verbunden sind,135 ohne jedoch sich dabei ausdrücklich mit der Anwendung dieser Prinzipien auf Daten auseinanderzusetzen. Letztendlich ist diese Frage ungeklärt, wobei selbst bei der strengeren Auslegung denkbar wäre, Rechtsbesitz an Daten zu bejahen, wenn diese einer körperlichen Sache (einem Datenträger) eindeutig zugeordnet sind. Eine weitere Möglichkeit, einen Schutz von Daten zu begründen, fin- 56 det sich im Urheberrechtsgesetz (UrhG). Gemäß § 40f sind Datenbanken (einschließlich insbesondere Sammlungen von Daten) als Werke i.S.d. UrhG geschützt, wenn sie infolge der Auswahl oder Anordnung ihres Inhaltes eine eigentümliche geistige Schöpfung darstellen (Datenbankwerke gemäß § 40f UrhG). Darüber hinaus sehen §§ 76c ff. UrhG einen abgeschwächten Schutz für Datenbanken vor, die diese Voraussetzungen zwar nicht erfüllen, wenn aber für die Beschaffung, Überprüfung oder Darstellung ihres Inhalts eine nach Art oder Umfang wesentliche Investition erforderlich war (sog. „sui-generis Schutz“). Der größte Nachteil

130 S. etwa Hofmann in Schwimann/Kodek, ABGB: Praxiskommentar, § 285 Rz. 1, einschl. Hinweis zum BGB. 131 So etwa Holzner in Rummel/Lukas, ABGB4 § 285 Rz. 4. Ebenso Dürager, S, ÖBl 2018, 80, m.w.H., mit der Einschränkung, dass dies primär für Daten gelte, die nicht auf einem Datenträger gespeichert sind. Ebenso Staudegger, ÖJZ 2014, 21. 132 Holzner in Kletecˇka/Schauer, ABGB-ON1.044 § 354 Rz. 1 und 7. 133 Grüblinger in Schwimann/Kodek, ABGB: Praxiskommentar, § 311 Rz. 1. Kodek in Kletecˇka/Schauer, ABGB-ON1.03 § 311 Rz. 2. 134 Dürager, ÖBl 2018, 80 m.w.H. auf Staudegger, ÖJZ 2014, 21. 135 Grüblinger in Schwimann/Kodek, ABGB: Praxiskommentar, § 311 Rz. 3; m.d.H. auf „neuere, überwiegende Lehre“ Holzner in Rummel/Lukas ABGB, § 311 Rz. 3.

199

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

dieser Bestimmungen ist in diesem Zusammenhang jedoch, dass sie nur für Datenbanken als Sammlungen einen Rechtsschutz vorsehen, nicht jedoch für die einzelnen Daten, die sich in den Datenbanken befinden. Teile von Datenbanken können theoretisch auch dem urheberrechtlichen Schutz unterliegen136, allerdings nur dann, wenn sie selbst und eigenständig eigentümliche geistige Schöpfungen sind. Bei einfachen Daten wird diese Voraussetzung jedoch so gut wie nie erfüllt sein. 57 Ansonsten können sich datenbezogene Schutzrechte u.U., aber sehr eingeschränkt, aus anderen Rechtsgebieten ergeben. So schützt etwa das UWG in seinen §§ 26a ff.137 Geschäftsgeheimnisse, unter die theoretisch auch Daten fallen könnten, vorausgesetzt jedoch, dass sie geheim sind und aufgrund dessen von kommerziellem Wert sind. Weiters sind im Strafrecht (insbesondere im StGB) einige Tatbestände zu finden, die Daten mittelbar oder unmittelbar schützen.138 Schließlich besteht inter partes auch die Möglichkeit, einen vertraglichen Schutz (etwa durch Abschluss von Geheimhaltungsvereinbarungen) vorzusehen. cc) Cybersicherheit 58 Schließlich soll kurz auch auf die Rechtslage zur Cybersicherheit eingegangen werden, da bei größeren Datensammlungen die diesbezüglichen gesetzlichen Vorgaben, abhängig von der konkreten Situation, einschlägig sein können. 59 Dieser Bereich, der in Österreich bis vor verhältnismäßig kurzer Zeit weitgehend ohne allgemeine Regelungen ein nahezu „rechtsfreier Raum“ war, hat die erste Regulierung Ende 2018 in Form des Netz- und Informationssystemsicherheitsgesetzes („NISG“) erfahren. Das NISG (gemeinsam mit der NIS-Verordnung, „NISV“) setzt im Wesentlichen die EU-NIS-Richtlinie139 um und legt somit Maßnahmen zur Stärkung des Sicherheitsniveaus von Netz- und Informationssystemen fest. Das NISG betrifft dabei allerdings nicht alle Unternehmen, sondern nur Betreiber 136 Woller in Kucsko/Handig, urheber.recht2 (2017), § 40f UrhG Rz. 25. 137 Diese Bestimmungen setzen die EU KnowHow Richtlinie (RL (EU) 2016/943 des Europäischen Parlaments und des Rates vom 8. Juni 2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung) um. 138 Wie etwa § 118a (Widerrechtlicher Zugriff auf ein Computersystem), § 119a (missbräuchliches Abfangen von Daten), § 126a (Datenbeschädigung) usw. 139 Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union.

200

SMART FACTORY

von wesentlichen Diensten in konkreten, im § 2 NISG festgelegten Sektoren der kritischen Infrastruktur. Diese sind etwa der Energie-, Verkehroder Finanzsektor (Bankwesen). Die Anwendbarkeit des Gesetzes in der Privatwirtschaft ist somit doppelt eingeschränkt: zunächst auf die im Gesetz genannten Sektoren, und weiters auf die Betreiber wesentlicher Dienste. Die „wesentlichen Dienste“ sind weiters in der NISV für jeden Sektor spezifisch definiert (§§ 4 – 10 NISV). Den inhaltlichen Kern des NISG für Unternehmen bildet sein 5. Ab- 60 schnitt, der Verpflichtungen für Betreiber wesentlicher Dienste sowie darüber hinaus für Anbieter digitaler Dienste vorsieht. Diese umfassen zunächst die Verpflichtung, geeignete technische und organisatorische Sicherheitsvorkehrungen zu treffen (§ 17 Abs. 1 NISG), die in der NISV näher konkretisiert sind. Weiters sind Betreiber wesentlicher Dienste zur unverzüglichen Meldung von Sicherheitsvorfällen an das zuständige Computer-Notfallteam verpflichtet. Für Anbieter digitaler Dienste gelten gemäß § 21 NISG ähnliche Verpflichtungen, auch dann, wenn die Dienste nicht als wesentliche Dienste einzustufen sind. Außerhalb des NISG finden sich im österreichischen Recht kaum all- 61 gemeine Regelungen, die Datensicherheit im Detail regeln. Vereinzelt existieren bloß sektorenspezifische Regelungen, insbesondere etwa im Telekommunikations- (die TKG-DatensicherheitsVO) oder Gesundheitsbereich (etwa im Rahmen der Vorgaben des Gesundheitstelematikgesetzes bzw der -verordnung). Ansonsten gilt nur der allgemeine Standard des Art. 32 DSGVO, wonach angemessene Sicherheitsmaßnahmen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten“ zu implementieren sind. Weitergehende Verpflichtungen können sich dabei schließlich aus dem Zivilrecht ergeben, etwa aus vertraglichen Treuepflichten gegenüber von Vertragspartnern. 2. Kartellrechtliche Herausforderungen a) Marktbeobachtung Die digitale Transformation der Wirtschaft im Rahmen der Industrie 62 4.0 bringt umfassende Veränderungen mit sich und führt zu zahlreichen neuen (kartell)rechtlichen Fragestellungen. Charakteristische Merkmale von Industrie 4.0-Anwendungen sind die umfassende Sammlung und Nutzung von externen und von Prozessdaten (Stichwort „Big Data“) sowie die Vernetzung von Marktteilnehmern. Derartige Initiativen be201

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

inhalten regelmäßig erhebliche Effizienzpotenziale, versprechen die Entstehung von neuen Anwendungen sowie Geschäftsmodellen und können Marktzutritte für potenzielle Wettbewerber erleichtern. Insofern fällt die Beurteilung vieler der im Rahmen der Industrie 4.0 auftretenden Anwendungen aus kartellrechtlicher Perspektive zunächst grundsätzlich positiv aus. Dessen unbeschadet gehen insbesondere mit Datenerhebung, -nutzung und -zugang sowie Vernetzung von Marktteilnehmern kartellrechtliche Fragestellungen einher. Diese treten über die gesamte Wertschöpfungskette auf, beginnend bei F&E-Kooperationen und der Verwertung von SEP-geschützten Technologien im Rahmen von Forschung und Entwicklung, der Zusammenführung von großen Datenmengen in Form von Data Pools in der Produktion, dem Einsatz digitaler B2B-Plattformen und der Nutzung von Algorithmen im Kontext von Vermarktung sowie der Erhebung und Verwendung von Nutzerdaten z. B. bei der Kundennachsorge. In sämtlichen Verfahrensschritten treten kartellrechtliche Fragestellungen auf, deren vertiefte Diskussion den Rahmen des vorliegenden Formats sprengen würde. Vor diesem Hintergrund untersucht der folgende Abschnitt einige typischerweise in diesem Zusammenhang auftretende Fallgruppen mit besonderer praktischer Relevanz und weist auf entsprechende Risikopotenziale in den Bereichen digitale B2B-Plattformen, Data Pools, F&E-Kooperationen, SEPs sowie die Erhebung von Kundendaten hin. b) Digitale B2B-Plattformen 63 Digitale B2B-Plattformen treten in der Praxis mittlerweile regelmäßig auf und sind ein Schwerpunkt kartellrechtlicher Fragestellungen.140 In Deutschland hat sich das Bundeskartellamt („BKartA“) insbesondere im Kontext der „XOM Metals“-Entscheidung141 grundlegend mit der kartellrechtlich zulässigen Ausgestaltung von digitalen B2B-Plattformen auseinandergesetzt. Ein zentraler Aspekt war auch hier die Frage, ob und in welchem Umfang eine solche Plattform den Austausch wettbewerbssensibler Informationen ermöglichen kann. Jüngst hat das BKartA auch die

140 Bundeskartellamt Arbeitspapier „Marktmacht von Plattformen und Netzwerken“, 2016, abrufbar: https://www.bundeskartellamt.de/SharedDocs/ Publikation/DE/Berichte/Think-Tank-Bericht-Kurzzusammenfassung.pdf?__ blob=publicationFile&v=2, (Datum des letzten Abrufes: 25.3.2021); Bundesministerium für Wirtschaft und Energie, Ergebnispapier Industrie 4.0 – Kartellrechtliche Betrachtungen, S. 9, 28, 38, 41 ff.; Hoffer/Lehr, NZKart 2019, 10; Reimers/Brack/Modest, NZKart 2018, 453; Tamke, NZKart 2018, 503; Bundeskartellamt vom 27.2.2018, B5-1/18-001. 141 Bundeskartellamt, Fallbericht vom 27.3.2018, B5-1/18-01.

202

SMART FACTORY

Zulässigkeit von Handelsplattformen für Mineralöl-142 bzw. für Agrarprodukte143 sowie für Sportartikel144 untersucht und letztlich bestätigt. Das BKartA erkennt insoweit an, dass von digitalen B2B-Plattformen grundsätzlich effizienzsteigernde Wirkungen ausgehen. So bestehe die Möglichkeit durch effizienz- und innovationssteigernde Kooperationen, kostengünstigere Produkte herzustellen und Produktionsabläufe zu verbessern. Dessen ungeachtet hat das BKartA bestimmte Voraussetzungen definiert, um den kartellrechtlichen Anforderungen zu genügen: Erstens muss durch Implementierung struktureller Maßnahmen sicher- 64 gestellt sein, dass kein Zugriff auf wettbewerbssensible Daten von Wettbewerbern möglich ist. Hierdurch soll ein kartellrechtswidriger Informationsaustausch zwischen den auf der Plattform aktiven Unternehmen ausgeschlossen werden. Derartige Maßnahmen können etwa in sog. Chinese Walls (strukturelle, d.h. räumliche und IT-seitige Trennung bestimmter Bereiche) bestehen oder durch den Verzicht auf Informationszugangsrechte, etwa auf Grundlage des GmbHG, umgesetzt werden. Zweitens dürfen vor dem individuellen Login Preise für Kunden auf der Plattform nicht sichtbar sein. Durch dieses Erfordernis soll eine zu hohe Transparenz von wettbewerbsrelevanten Parametern verhindert werden, da insbesondere auf oligopolistisch geprägten Märkten stets das Risiko einer Vereinheitlichung von Konditionen und Preisen besteht. Drittens muss die Plattform organisatorisch, strukturell und personell von etwaigen auf der Plattform tätigen Unternehmen getrennt sein. Mit diesem Erfordernis soll sichergestellt werden, dass ein Unternehmen, das eine digitale B2B-Plattform betreibt, nicht gleichzeitig auf dieser selbst aktiv ist und auf diese Weise wettbewerbssensible Informationen seiner Wettbewerber erhält. Ferner beinhaltet die am 19.1.2021 in Deutschland in Kraft getretene und 65 auch als „Digitalisierungsgesetz“ bezeichnete 10. GWB-Novelle zahlreiche neue Regelungen für die Digitalwirtschaft. Unter anderem wurde die klassische Missbrauchsaufsicht konkretisiert und um internetspezifische Kriterien erweitert. So ist zukünftig bei der Bewertung von Marktmacht auch der Zugang zu wettbewerbsrelevanten Daten und eine mögliche „Intermediationsmacht“ von (digitalen) Plattformen zu be142 Bundeskartellamt, Fallbericht vom 14.5.2020, B8-94/19. 143 Unamera, abrufbar unter https://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2020/05_02_2020_Unamera.html?nn=3591568, (Datum des letzten Abrufes: 24.7.2021). 144 Intersport, abrufbar unter https://www.bundeskartellamt.de/SharedDocs/Meldung/DE/Pressemitteilungen/2020/25_06_2020_Intersport.html?nn=3591568, (Datum des letzten Abrufes: 24.7.2021).

203

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

rücksichtigen. Daneben erhält das BKartA umfassende Eingriffsbefugnisse, etwa die Möglichkeit, Unternehmen, denen aufgrund ihrer strategischen Stellung und ihrer Ressourcen eine besondere marktübergreifende Bedeutung für den Wettbewerb zukommt, bestimmte Verhaltensweisen vorbeugend zu untersagen. Derartige Verhaltensweisen können etwa die Selbstbevorzugung von konzerneigenen Diensten oder die Behinderung des Marktzutritts von Dritten durch die Verarbeitung wettbewerbsrelevanter Daten sein. c) Data Pools 66 Data Pools betreffen die Sammlung und Zusammenführung von externen und Prozessdaten, um auf dieser Basis Effizienzpotenziale heben zu können. Bei dem Begriff handelt es sich nicht um eine offizielle Terminologie, allerdings hat er sich – jedenfalls im praktischen Gebrauch – etabliert. Von Data Pools spricht man insoweit, wenn entweder (i) mehrere selbständige Unternehmen bestimmte Daten in einem Pool zusammenführen und nutzen oder (ii) Daten zusammengeführt werden, die bereits innerhalb eines Unternehmens vorliegen. Data Pools zielen letztlich darauf ab, vorhandene Daten (effizienter) zu nutzen, um z. B. Kosten zu senken, Zeitersparnisse zu erzielen, neue Produkte und optimierte Angebote zu entwickeln, Ursachen für Fehlfunktionen, Probleme und Defekte – ggf. in Echtzeit – zu beheben und vieles mehr. 67 Insbesondere in Bezug auf Data Pools, bei denen unabhängige, d.h. miteinander im Wettbewerb stehende Unternehmen kooperieren, stellen sich kartellrechtliche Fragestellungen. In dem Verfahren Insurance Ireland145 hat sich die Europäische Kommission („Kommission“) mit der Zulässigkeit eines Data Pools verschiedener irischer Versicherungen beschäftigt und hier insbesondere die Fragen beleuchtet, inwiefern dieser Data Pool zu einem unzulässigen Informationsaustausch zwischen Wettbewerbern führt und ob die bestehenden Zugangsregelungen wettbewerbskonform sind oder gegebenenfalls zu einer Diskriminierung einzelner Marktteilnehmer führen (können). Die kartellrechtliche Zulässigkeit solcher Konstruktionen hängt stark von der individuellen Ausgestaltung ab. Klar ist insoweit, dass der Austausch wettbewerbssensibler Informationen auf das absolut notwendige Minimum beschränkt und durch die Erzielung von Effizienzen aufgewogen werden können muss. Je nach Marktstruktur kann es überdies erforderlich sein, die Teilnahme an einem solchen

145 Pressemitteilung der EU Kommission vom 14.5.2019, https://ec.europa.eu/ commission/presscorner/detail/en/IP_19_2509 (Datum des letzten Abrufes: 24.7.2021).

204

SMART FACTORY

Pool – jedenfalls im Grundsatz – auch sämtlichen weiteren interessierten Wettbewerbern zu ermöglichen. Auch die Zusammenführung bereits konzernintern vorgehaltener Daten 68 kann kartellrechtliche Bedenken hervorrufen. Dies mag zunächst überraschen, da ein solcher Vorgang – vermeintlich – rein intern abläuft und keine Berührung zu Wettbewerbern aufweist. Bei genauerer Betrachtung zeigt sich allerdings, dass auch bereits im Konzernverbund vorliegende Informationen durchaus wettbewerbssensibel sein können. Sofern ein Unternehmen beispielsweise mit einem Wettbewerber im Rahmen eines Joint-Ventures kooperiert und in diesem Zusammenhang wettbewerbssensible Informationen des Kooperationspartners erhält, kann die unregulierte Zusammenführung und Nutzung solcher Informationen, insbesondere durch operative Einheiten, letztlich zu einem indirekten Informationsaustausch führen. Ferner können sich auch weitere Fragen in vertikaler Hinsicht stellen, etwa im Kontext des zweigleisigen Vertriebs. Hier ist stets zu beachten, dass der selbst vertreibende Hersteller mit seinen selbständigen Händlern im Wettbewerb gegenüber dem Endkunden steht. Ein Austausch wettbewerbssensibler Daten zwischen Hersteller und Händler im Rahmen eines Data Pools kann daher ebenfalls kartellrechtlich kritisch sein. Im Übrigen kann die Möglichkeit eines Herstellers, über Data Pools standardisiert extrem detaillierte Endkundeninformationen der Händler zu nutzen auch Fragen hinsichtlich einer möglichen Beeinflussung von Verkaufspreisen des selbständigen Händlers aufwerfen. Das systematische Monitoring von Verkaufspreisen durch den Hersteller wird vom BKartA sehr kritisch gesehen. Auch insoweit dürfte es stark von den Umständen des Einzelfalles abhängen, ob und ggf. in welchem Umfang ein Data Pool kartellrechtskonform ausgestaltet ist. d) Algorithmen Kaum ein Thema beschäftigt sowohl die Kommission als auch nationale 69 Wettbewerbsbehörden wie das BKartA aktuell so intensiv wie das Thema Algorithmen.146 Unter anderem hat das BKartA gemeinsam mit der französischen Wettbewerbsbehörde (Autorité de la concurrence; „ADLC“) der kartellrechtlichen Bewertung von Algorithmen eine eigene Untersuchung gewidmet.147

146 Ebers, NZKart 2016, 554; Göhsl, WuW 2018, 121; Künstner, GRUR 2019, 36. 147 Gemeinsame Studie „Algorithms and Competition“ des BKartA und der Autorité de la Concurrence, November 2019, abrufbar in englischer Sprache unter: https://www.bundeskartellamt.de/SharedDocs/Publikation/EN/

205

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

70 Bislang hat sich eine verbindliche Definition für Algorithmen noch nicht etabliert. Das BKartA und die ADLC definieren Algorithmen gemäß der Definition von Wilson und Keil aus dem Jahr 1999.148 Somit sind Algorithmen, einer weiten Definition entsprechend, eine Folge von einfachen und/oder präzise definierten Operationen, die in einer genauen Reihenfolge ausgeführt werden sollten, um eine bestimmte Aufgabe oder einen Typus von Aufgaben zu erfüllen oder ein bestimmtes Problem oder bestimmten Typus von Problemen zu lösen.149 71 Aus kartellrechtlicher Sicht stellen sich im Kontext von Algorithmen verschiedene Fragen. Zum einen steht im Fokus, ob eine originäre Kommunikation zwischen Algorithmen denkbar ist, die eine – für ein kartellrechtswidriges Verhalten erforderliche – menschliche Kommunikation ersetzt. Abgesehen von der Frage, ob der Tatbestand des Kartellverbots eine solche Maschinenkommunikation überhaupt erfassen würde, ist schon fraglich, ob die Technik bereits so weit fortgeschritten ist, dass eine tatsächliche Kommunikation zwischen künstlicher Intelligenz überhaupt möglich ist. Kommunikation meint in diesem Zusammenhang daher nicht lediglich das Reagieren entsprechend der zugrundeliegenden Programmierung, sondern eine originäre Kommunikation im Sinne eines eigenständigen KI-Austausches. Aktuell sind dazu weder Verfahren bzw. Untersuchungen von Kartellbehörden noch ein tatsächlicher Einsatz einer solchen Technik bekannt. Insofern dürfte diese Fallgruppe vor allem ein mögliches Zukunftsszenario darstellen. Daneben wird diskutiert, ob die Nutzung von – durch Menschen programmierte – (Preis-) Algorithmen, die wechselseitig aufeinander reagieren, etwa durch Preisanhebungen, als eine Form des sog. Signalling gewertet werden kann. Diese von der Kommission in der jüngeren Vergangenheit etablierte Fallgruppe von Kartellverstößen ist ohnehin bisher in ihren Konturen nur schwer greifbar. Im Wesentlichen basiert Signalling auf der Annahme, dass sich zwei oder mehr selbständige Unternehmen nicht Berichte/Algorithms_and_Competition_Working-Paper.html?nn=3591568, (Datum des letzten Abrufes: 24.3.2021). 148 „An algorithm is an unambiguous, precise, list of simple operations applied mechanically and systematically to a set of tokens or objects (e.g. configurations of chess pieces, numbers, cake ingredients, etc.). The initial state of the tokens is the input; the final state is the output“, Wilson & Keil, The MIT Encyclopedia of the Cognitive Sciences, 2001, 1. 149 Gemeinsame Studie „Algorithms and Competition“ des BKartA und der Autorité de la Concurrence, S. 3 abrufbar in englischer Sprache unter: https://www. bundeskartellamt.de/SharedDocs/Publikation/EN/Berichte/Algorithms_and_ Competition_Working-Paper.html?nn=3591568, (Datum des letzten Abrufes: 24.3.2021).

206

SMART FACTORY

unmittelbar abstimmen, aber durch Signale in den Markt, etwa in Form von öffentlichen Presseerklärungen etc., indirekt auf ein bestimmtes zukünftiges Marktverhalten einigen. Im Kontext von Algorithmen wird insoweit diskutiert, ob die Preissetzung durch den einen Algorithmus sowie die entsprechende – der Programmierung folgende – Reaktion des anderen Algorithmus als ein solches Signalling gewertet werden kann. Daneben existiert die Fallgruppe der wissentlichen Verwendung identischer Algorithmen durch verschiedene Wettbewerber. Hintergrund dieser Fallgruppe ist die Konstellation, dass zwei Wettbewerber, vermittelt durch einen Dritten, etwa einen Softwarehersteller als Anbieter eines bestimmten Algorithmus, wissentlich und willentlich einen identischen Algorithmus, etwa zur Optimierung von Ersatzteilpreisen, verwenden, was letztlich dazu führen kann, dass die Preise für diese Produkte zwischen den Wettbewerbern vereinheitlicht werden. Hierzu soll es laut Medienberichterstattung bereits eine Untersuchung der Kommission im Bereich Kfz-Ersatzteile gegeben haben.150 Ferner führt die spanische Wettbewerbsbehörde seit Februar 2020 ein Ermittlungsverfahren gegen verschiedene Immobilienmakler und Vermittlungsportale für Immobilien aufgrund des Verdachts der Preisabstimmung durch die Nutzung von (möglicherweise identischen) Preisalgorithmen.151 Diese Fallgruppe dürfte in der Regel ein sog. Hub & Spoke-Kartell darstellen, bei welchem zwei (oder mehr) Wettbewerber kooperieren, vermittelt durch eine dritte Partei, etwa den Anbieter des entsprechenden Algorithmus. e) F&E-Kooperationen Forschungs- & Entwicklungskooperationen sind aufgrund der typischer- 72 weise hohen Kosten im Kontext von F&E sowie der zu erwartenden Synergien aus solchen Kooperationen auch im Rahmen der Digitalökonomie häufig zu beobachten. Im Bereich des autonomen Fahrens kooperieren aktuell etwa Daimler und BMW sowie auch Hyundai Mobis und Yandex, u. a. bei der Entwicklung der Autonomiestufen 3 (Bedingungsautomatisierung) und 4 (Vollautomatisierung).152 Während F&E-Kooperationen 150 https://www.spiegel.de/auto/aktuell/eu-kommission-prueft-moeglichesautoteilekartell-um-renault-psa-und-nissan-a-1254515.html, (Datum des letzten Abrufes: 24.7.2021). 151 Comisòn Nacional de los Mercados y la Competencia („CNMC“), Pressemitteilung vom 19.2.2020, abrufbar unter: https://www.cnmc.es/sites/default/files/editor_contenidos/Notas%20de%20prensa/2020/2020219%20 NP%20Intermediation%20Market%20EN.pdf, (Datum des letzten Abrufes: 24.7.2021). 152 Nica, BMW and Daimler Announce Agreement for Autonomous Driving R&D, 28.2.2019, https://www.bmwblog.com/2019/02/28/bmw-and-daim-

207

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

in vielen Fällen erhebliche Effizienzpotenziale aufweisen und damit aus wettbewerblicher Sicht grundsätzlich positiv betrachtet werden,153 gehen sie auf der anderen Seite mit latenten kartellrechtlichen Risiken einher. 73 Aus Sicht der europäischen und deutschen Wettbewerbsbehörden sind bestimmte F&E-Aktivitäten grundsätzlich wettbewerbsrechtlich unbedenklich. Zunächst weisen F&E-Kooperationen zwischen nicht miteinander im Wettbewerb stehenden Unternehmen im Allgemeinen keine wettbewerbsbeschränkenden Auswirkungen auf.154 Auch Vereinbarungen über gemeinsame Forschungsarbeiten, insbesondere in einem eher frühen Stadium, oder die gemeinsame Weiterentwicklung von Forschungsergebnissen werden üblicherweise nicht vom Kartellverbot erfasst, wenn sie wirksamen Wettbewerb in Bezug auf Innovation nicht wesentlich verringern.155 Das gleiche gilt in Bezug auf die Auslagerung der eigenen Forschung auf spezialisierte Unternehmen, Forschungsinstitute oder Hochschulen, da diese regelmäßig nicht in die Verwertung der Ergebnisse involviert sind.156 74 Häufig gehen F&E-Vereinbarungen aber mit ein- oder wechselseitigen Einschränkungen der beteiligten Parteien einher, z. B. in Gestalt von Wettbewerbsverboten oder Verwertungsbeschränkungen. Insoweit geht die Kommission allerdings davon aus, dass wettbewerbsbeschränkende Auswirkungen üblicherweise erst dann in einem relevanten Maße eintreten, wenn die beteiligten Unternehmen einen bestimmten Grad an Marktmacht erreichen. Auf Grundlage der Gruppenfreistellungsverordnung für Forschungs- und Entwicklungsvereinbarungen („F&E-GVO“)157

153

154 155

156 157

208

ler-announce-agreement-for-autonomous-driving-rd/ (Datum des letzten Abrufes: 24.7.2021); Krok, Hyundai Mobis and Yandex reveal 2020 Sonata self-driving prototype, cnet, https://www.cnet.com/roadshow/news/hyundaimobis-yandex-2020-sonata-self-driving-prototype/ (Datum des letzten Abrufes: 24.7.2021). Europäische Kommission, Leitlinien zur Anwendbarkeit von Artikel 101 AEUV auf Vereinbarungen über horizontale Zusammenarbeit, 2011/C 11/01 („Horizontalleitlinien“) Rz. 2. Horizontalleitlinien Rz. 130. Vgl. Europäische Kommission, Verordnung (EU) Nr. 1217/2010 der Kommission über die Anwendung von Artikel 101 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union auf bestimmte Gruppen von Vereinbarungen über Forschung und Entwicklung Rz. 6; Horizontalleitlinien Rz. 129. Horizontalleitlinien Rz. 131. Europäische Kommission, Verordnung (EU) Nr. 1217/2010 der Kommission über die Anwendung von Artikel 101 Absatz 3 des Vertrags über die Arbeitsweise der Europäischen Union auf bestimmte Gruppen von Vereinbarungen über Forschung und Entwicklung.

SMART FACTORY

sind derartige Einschränkungen zwischen Wettbewerbern daher „gruppenweise“ freigestellt, wenn der gemeinsame Marktanteil der Beteiligten 25 % nicht übersteigt.158 Selbst bei einer Überschreitung dieses Werts muss eine F&E-Kooperation aber nicht zwangsläufig unzulässig sein. Insofern kommt stets auch eine Befreiung vom Kartellverbot aufgrund einer sog. Einzelfreistellung nach Art. 101 Abs. 3 AEUV159 in Betracht, wenn die entsprechenden Voraussetzungen erfüllt sind, d.h. insbesondere der Nachweis von Effizienzgewinnen (z. B. Kosteneinsparungen bei der Entwicklung oder Entwicklung verbesserter oder neuer Produkte) sowie der entsprechenden Partizipation von Verbrauchern daran und der Unerlässlichkeit der Beschränkung zu Realisierung der Kooperation. Die aktuelle Fassung der F&E-GVO wird (ebenso wie auch die sog. Spe- 75 zialisierungs-GVO160 sowie die sog. Vertikal-GVO161) im Jahr 2022 auslaufen. Eine vor diesem Hintergrund von der Kommission im Dezember 2019 initiierte Konsultation soll klären, ob die F&E-GVO weiterhin ihrer zugedachten Funktion gerecht wird, insbesondere in Bezug auf Effektivität, Effizienz, Relevanz und Mehrwert.162 f) Standard Essential Patents Standard Essential Patents („SEP“) stellen für die jeweiligen Patentin- 76 haber einen erheblichen ökonomischen Wert dar, weil sie regelmäßig in hohen Lizenzzahlungen durch die Nutzer der lizensierten Technologie münden. Insbesondere im Kontext der Digitalwirtschaft kommt SEP eine überragende Bedeutung zu, wie sich u. a. an den Verfahren Sam-

158 Zusätzlich zu den Marktanteilsschwellen, sieht die F&E-GVO weitere Kriterien vor, die erfüllt sein müssen, damit eine F&E-Vereinbarung von der Gruppenfreistellung profitieren kann. 159 Vertrag über die Arbeitsweise der Europäischen Kommission. 160 Verordnung (EU) Nr. 1218/2010 der Kommission vom 14. Dezember 2010 über die Anwendung von Art. 101 Abs. 3 AEUV auf bestimmte Gruppen von Spezialisierungsvereinbarungen. 161 Verordnung (EU) Nr. 330/2010 der Kommission vom 20. April 2010 über die Anwendung von Art. 101 Abs. 3 AEUV auf Gruppen von vertikalen Vereinbarungen und abgestimmten Verhaltensweisen. 162 Eine Zusammenfassung der vorläufigen Bewertungen durch Marktteilnehmer und Institutionen ist unter https://ec.europa.eu/competition/consultations/2019_hbers/HBERs_consultation_summary.pdf abrufbar, (Datum des letzten Abrufes: 24.7.2021).

209

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

sung vs. Apple163, Huawei vs. ZTE164 oder Microsoft vs. Motorola165 ablesen lässt. Da SEPs daneben aber vielfältige Möglichkeiten eröffnen, die Marktbedingungen zu beeinflussen, haben sie im Laufe der vergangenen Jahre auch aus kartellrechtlicher Sicht kontinuierlich an Bedeutung gewonnen. Dabei stand die Frage im Zentrum, unter welchen Bedingungen die Verweigerung einer Lizenzerteilung in Bezug auf ein SEP den Missbrauch einer marktbeherrschenden Stellung i.S.d. Art. 102 AEUV bzw. der §§ 18 ff. GWB begründen kann. 77 Der BGH hatte sich erstmals ausführlich mit der Frage missbräuchlicher Lizenzverweigerung im Rahmen seiner Entscheidung Orange-Book-Standard auseinandergesetzt.166 Die Entscheidung betraf u. a. die Frage, welche Anforderungen an das Lizenzangebot des Lizenzierungspetenten zu stellen sind, welches der SEP-Inhaber nicht ablehnen darf, ohne sich dem Vorwurf des Missbrauchs einer marktbeherrschenden Stellung auszusetzen (sog. Zwangslizenzeinwand). Nach Ansicht des BGH erfordert die Geltendmachung des Zwangslizenzeinwands zum einen ein unbedingtes Angebot auf Abschluss eines Lizenzvertrages durch den Lizenzsucher und zum anderen „muss der Lizenzsucher, wenn er den Gegenstand des Patents bereits benutzt, bevor der Patentinhaber sein Angebot angenommen hat, diejenigen Verpflichtungen einhalten, die der abzuschließende Lizenzvertrag an die Benutzung des lizenzierten Gegenstands knüpft.“167 78 Auf europäischer Ebene hatte sich die Kommission zunächst im Rahmen der Entscheidungen Motorola Inc. und Samsung Electronics Co. Ltd.168 zu den insoweit relevanten Fragestellungen geäußert. Im Vergleich zum BGH stellte die Kommission letztlich geringere Anforderungen an die Begründetheit des Zwangslizenzeinwands und verlangte kein konkretes Lizenzangebot des Lizenzierungspetenten. Sie ließ vielmehr die ernsthafte Bereitschaft des Unternehmens ausreichen, über eine Lizenz zu fairen, angemessenen und nicht diskriminierenden Bedingungen (Fair, Reasonable And Non-Discriminatory – FRAND) zu verhandeln.

163 Vgl. etwa Kommission, Entscheidung vom 29.4.2014, AT.39939 – Samsung – Enforcement of UMTS Standard Essential Patents. 164 EuGH v. 16.7.2015 – C-170/13 – Huawei vs. ZTE. 165 696 F.3d 872 (9th Cir. 2012) – Microsoft Corp. V. Motorola Inc. 166 BGH v. 6. 5.2009 – KZR 39/06 (OLG Karlsruhe) Orange-Book-Standard. 167 BGH v. 6. 5.2009 – KZR 39/06 (OLG Karlsruhe) Orange-Book-Standard Rz. 29. 168 Kommission, Pressemitteilung v. 29.4.2014, abrufbar unter https://ec.europa. eu/commission/presscorner/detail/en/IP_14_490, (Datum des letzten Abrufes: 24.7.2021).

210

SMART FACTORY

Schließlich hat auch der Europäische Gerichtshof in der Rechtssache 79 Huawei Technologies169 auf ein Vorabentscheidungsersuchen des Landgerichts Düsseldorf zu der Thematik Stellung bezogen. In seinem Urteil statuiert der EuGH einen detaillierten fünfphasigen Verhandlungsablauf, der von den Parteien des Rechtsstreits vorprozessual einzuhalten ist. Dies umfasst u. a. eine Verletzungsanzeige des SEP-Inhabers, die Lizensierungsbereitschaft des Verletzers sowie ein konkretes Lizenzangebot zu FRAND-Bedingungen.170 Im Gegensatz zum BGH sieht der EuGH allerdings nicht den Lizenzsucher, sondern den SEP-Inhaber in der Pflicht, ein solches FRAND-Lizenzangebot zu unterbreiten. Hintergrund ist, dass sich der betreffende SEP-Inhaber selbst verpflichtet hat, Dritten eine Lizenz zu FRAND-Bedingungen zu erteilen. Werden die erforderlichen Verfahrensschritte nicht eingehalten, riskiert der Lizenzierungspetent, mit seinem Einwand der missbräuchlichen Verweigerung der Lizenzerteilung nicht durchzudringen und zur Unterlassung und gegebenenfalls zum Rückruf verurteilt zu werden. Auf der anderen Seite riskiert der SEP-Inhaber bei Nichteinhaltung des fünfphasigen Verhandlungsverfahrens, dass seine Unterlassungsklage als rechtsmissbräuchlich abgewiesen wird. Im Nachgang zu dieser Entscheidung haben verschiedene Instanzgerich- 80 te, insbesondere die Landgerichte Düsseldorf und Mannheim, einzelne vom EuGH aufgestellte Anforderungen weiter konkretisiert. Daneben stellte das OLG Karlsruhe jüngst fest, dass ein SEP-Inhaber seinen Obliegenheiten in der Regel genügt, wenn er ein Angebot unterbreitet, das für den durchschnittlichen Lizenznehmer FRAND-Bedingungen entspricht und das Angebot in angemessener Weise erläutert. Auf der anderen Seite besteht nach Auffassung des Gerichts eine Obliegenheit des Lizenzsuchers, ein Gegenangebot zu unterbreiten, wenn das Lizenzangebot des SEP-Inhabers nicht klar und eindeutig FRAND-widrig ist und der SEP-Inhaber den Lizenzsucher durch die Erläuterung seines Angebots in die Lage versetzt hat, seinerseits ein Gegenangebot zu FRAND-Bedingungen zu unterbreiten.171 Dessen ungeachtet sind eine Reihe zentraler Fragen weiterhin ungeklärt. 81 Weitgehend offen ist zum Beispiel, wie die Lizenzbedingungen inhaltlich FRAND-konform zu bestimmen sind. Ebenfalls nicht abschließend geklärt ist, welche konkreten Anforderungen an den Verletzungshinweis des Patentinhabers als Teil des zwingenden fünfphasigen Verhandlungs169 EuGH v. 16.7.2015 – C-170/13, Huawei Technologies, ECLI:EU:C:2015:477. 170 EuGH v. 16.7.2015 – C-170/13, Huawei Technologies, ECLI:EU:C:2015:477 Rz. 61 ff. 171 OLG Karlsruhe v. 9.12.2020 – 6 U 103/19.

211

Thorsten Ammann/Stefan Panic/Gregor Schroll/Annika Wanderer

verfahrens zu stellen sind. Aufgrund der hohen praktischen Relevanz von SEPs, welche perspektivisch weiter zunehmen dürfte, werden sich Kartellbehörden und Gerichte auch zukünftig verstärkt mit der Thematik auseinandersetzen müssen. g) Der Erwerb von Unternehmen 82 Im Laufe der letzten Dekade waren im Kontext von Industrie 4.0- und Big Data-bezogenen Geschäftsmodellen vermehrt großvolumige Akquisitionen zu beobachten, die keine fusionskontrollrechtliche Freigabe durch die zuständigen Wettbewerbsbehörden erforderten. Dies war dem Umstand geschuldet, dass die jeweiligen Zielunternehmen keine ausreichend hohen Umsätze generiert hatten, um die jeweiligen Fusionskontrollschwellenwerte zu überschreiten. Häufig betreffen Übernahmen in der Tech-Branche kleine Unternehmen mit geringen oder keinen Umsätzen bzw. teilweise sogar Verlusten, aber innovativen und disruptiven Geschäftsmodellen. Aus Sicht der erwerbenden Unternehmen stellt die Übernahmen von solchen Startups mit hohem Entwicklungspotential oft eine einfache Möglichkeit dar, sich spezifisches Knowhow und/oder Daten zu verschaffen oder schlicht möglichen zukünftigen Wettbewerb zu unterbinden. 83 Der solchen „Einhörnern“ trotz dieser Umstände zugeschriebene Wert lässt sich leicht an den gezahlten Kaufpreisen ablesen, die erheblich sind und sich mitunter auf mehrere Milliarden Euro belaufen. Zu den bekanntesten Übernahmen in diesem Bereich gehören der Erwerb von WhatsApp durch Facebook für ca. USD 19 Mrd., der Erwerb von Nest Labs durch die Google Mutter, Alphabet Co. für ca. USD 3,2 Mrd. und der Erwerb von LinkedIn durch Microsoft Inc. für ca. USD 26 Mrd. 84 Übernahmen, wie die von WhatsApp, Nest Lab und LinkedIn, werfen komplexe kartellrechtliche Fragen auf, die angesichts der signifikanten ökonomischen und gesellschaftlichen Auswirkungen eine immer größere Bedeutung gewinnen. Insbesondere kann in diesem Zusammenhang relevant sein, ob und gegebenenfalls auf welche Weise derartige Übernahmen von Unternehmen mit datenbasierten Geschäftsmodellen horizontale, vertikale oder konglomerate Effekte auf den Wettbewerb haben können.172 Der Erwerb der Kontrolle über möglicherweise exklusive Datenressourcen kann dazu führen, dass marktbeherrschende Stellungen 172 So auch u. a. diskutiert worden in Crémer/Montjoye/Schweitzer, Competition policy for the digital era abrufbar unter https://ec.europa.eu/competition/publications/reports/kd0419345enn.pdf, (Datum des letzten Abrufes: 24.7.2021).

212

SMART FACTORY

entstehen. Diese Fragestellung warf die Kommission u. a. im Zusammenhang mit der Übernahme von LinkedIn durch Microsoft auf, gab den Zusammenschluss aber letztlich frei.173 Eine ähnliche Thematik beschäftigte die Kommission kürzlich im Rahmen der Übernahme des Fitnessuhren-Spezialisten Fitbit durch Google. Trotz zahlreich artikulierter Bedenken, dass Googles Zugang zu den Fitbit-Datensätzen zu Wettbewerbsbeschränkungen führen könnte, stimmte die Kommission dem Vorhaben schließlich zu. Allerdings wurde die Freigabe in diesem Fall mit der Auflage verbunden, dass Google über Fitbit-Geräte generierte Daten nicht zur Optimierung des Google-Anzeigengeschäfts nutzen darf und Nutzern ferner die Möglichkeit einräumen muss, die Verwendung von Daten für Dienste wie Google Maps und Youtube zu untersagen.174 Sowohl der deutsche als auch der österreichische Gesetzgeber haben auf 85 die skizzierten Entwicklungen durch die Einführung zusätzlicher, verringerter Aufgreifschwellen in der Fusionskontrolle reagiert. Zusätzlich zu den weiterhin bestehenden Aufgreifschwellen, die sich ausschließlich am Umsatz der beteiligten Unternehmen orientieren, richten sich die neuen Aufgreifschwellen neben dem Umsatz auch nach dem Wert der Transaktion. Letzterer bemisst sich insbesondere nach dem Wert der Gegenleistung für das erworbene Unternehmen. Überschreitet dieser EUR 400 Mio. (Deutschland) bzw. EUR 200 Mio. (Österreich) und liegen weitere Voraussetzungen wie z. B. „erhebliche Inlandsaktivität“ vor, unterliegt das Zusammenschlussvorhaben der Fusionskontrolle – selbst wenn eines der beteiligten Unternehmen keine oder nur sehr geringe Umsätze in Deutschland bzw. in Österreich erzielt.175 Die Gesetzgeber erhoffen sich hierdurch die Schließung der dargestellten Schutzlücken beim Erwerb von umsatzschwachen, aber ökonomisch bedeutenden Startups, insbesondere im Kontext der Digitalökonomie.

173 Europäische Kommission, M.8124 – Microsoft/LinkedIn, 6.12.2016. 174 Vgl. Kommission, Pressemitteilung vom 17.12.2020, abrufbar unter https:// ec.europa.eu/commission/presscorner/detail/de/IP_20_2484, (Datum des letzten Abrufes: 24.7.2021). 175 Für weitere Einzelheiten vgl. den Leitfaden Transaktionswert-Schwellendes des BKArtA und der BWB, abrufbar unter https://www.bundeskartellamt. de/SharedDocs/Publikation/DE/Leitfaden/Leitfaden_Transaktionsschwelle. html, (Datum des letzten Abrufes: 24.7.2021).

213

Bericht des Fachausschuss Firmenjurist(inn)en Roland Bömer* I. Mitglieder des Fachausschuss II. Tätigkeit des Fachausschuss in den Jahren 2019/2020 III. Arbeitstreffen des Fachausschuss 1. am 10.5.2019 bei der Cellent GmbH (a Wipro Company)

2

2. am 15.11.2019 bei der Deutschen Telekom/T-Systems 5 3. bei der Microsoft Deutschland GmbH in München 6

3

IV. Inhaltlicher Diskurs außerhalb der Arbeitstreffen 7

1

4

V. Danksagung

8

I. Mitglieder des Fachausschuss Mitglieder dieses Fachausschuss sind mehr als 130 Firmenjurist(inn) 1 en, die in Unternehmen der IT-, Telekommunikations- und Neue-Medien-Branche tätig sind. II. Tätigkeit des Fachausschuss in den Jahren 2019/2020 Der Fachausschuss beschäftigte sich in den Jahren 2019/2020 mit aktu- 2 ellen rechtlichen Fragen der IT-, Telekommunikations- und Neue-Medien-Branche sowie mit konkreten juristischen Fallgestaltungen, die insbesondere Firmenjurist(inn)en betreffen (wie z. B. E-Commerce, Gestaltung von elektronischen Vertriebswegen, Urheberrecht, Sicherheit der elektronischen Zahlung, moderne Gestaltung von flexiblen Arbeitszeitmodellen, Datenschutz etc.). Darüber hinaus diskutierten die Mitglieder dieses Fachausschuss praktische und organisatorische Probleme, die sich in der täglichen Arbeit von Firmenjurist(inn)en stellen (z. B. neue Datenschutz-Grundverordnung (DSGVO), Einsatz technischer Hilfsmittel in der Rechtsabteilung, Outsourcing von Legal Services, Verbot privater Emails am Arbeitsplatz, arbeitsrechtliche Folgen von Corona, Flexibles Büro und Home Office etc.).

*

Dr. Roland Bömer, Rechtsanwalt & Wirtschaftsmediator (IHK), Red Hat GmbH.

215

Roland Bömer

III. Arbeitstreffen des Fachausschuss 3 Die Höhepunkte des Fachausschuss waren die Arbeitstreffen, die jeweils von ca. 30 – 40 Mitgliedern besucht wurden: 1. am 10.5.2019 bei der Cellent GmbH (a Wipro Company) 4 Das Treffen fand in Fellbach (bei Stuttgart) mit folgenden Themen statt: –

Begrüßung der Teilnehmer*innen & Vorstellung Cellent und Wipro,

–

Norbert Spinner, Associate General Counsel – Head of Legal Europe, Wipro Technologies: „Datenbasierte Geschäftsmodelle – Challenges (z. B. „Community-based Parking“ Service)“,

–

Susanne Eisenmann, LL.M, Legal Services Business Sector Mobility Solutions, Robert Bosch GmbH, Stuttgart: „Praxisnahe Berücksichtigung von internationalen Buchführungsgrundsätzen bei der Vertragsverhandlung“,

–

Christian Ringeling, Senior Central European Counsel, Sage Germany: „Gedankenlesen – Magie – Wisenschaft – Datenschutz. Den einen hilft sie, bei anderen wird eine neue Technik zur Überwachung eingesetzt“

–

Alexander Eichler, Rechtsanwalt, formerly IBM & Salesforce Legal: „Die Datenschutz-Compliance in Rahmen von globalen Digitalisierungsprojekten; Bin ich Processor oder Controller? Und wenn ja, wie viele?“,

–

Dr. Claudio G. Chirco, Rechtsanwalt, Legal Counsel Data Privacy Office, PricewaterhouseCoopers GmbH: Diskussion der Teilnehmer*innen über andere aktuelle Themen; Zusammenfassung & Ausblick: moderiert von Dr. Roland Bömer, Rechtsanwalt & Wirtschaftsmediator (IHK), Red Hat GmbH.

2. am 15.11.2019 bei der Deutschen Telekom/T-Systems 5 Das Treffen fand in Bonn mit folgenden Themen statt: –

Besuch im Security Operation Center (SOC) der Deutschen Telekom;

–

Einführung und Begrüßung der Teilnehmer,

–

moderiert von Dr. Markus Franke, VP Contracting Excellence & Central Risk Office, T-Systems International GmbH;

–

„Artificial Intelligence und Ethik – Bonanza wie im wilden Westen kontra ethische Grundsätze“,

216

Bericht des Fachausschuss Firmenjurist(inn)en

–

Christof Höfner, Senior Legal Counsel, Zurich Insurance Company Ltd.: „MaRisk – Mindestanforderungen der BaFin an das Risikomanagement von Banken (z. B. Outsourcing)“,

–

Michael Richartz, Rechtsabteilung, Deutsche Telekom AG: „Praktische Erfahrungen mit dem Auskunftsrecht nach Art 15 DSGVO“

–

Stefan F. Limbacher, LL.M, European Data Protection Officer, Olympus Europa SE: Diskussion der Teilnehmer*innen über andere aktuelle Themen; Zusammenfassung & Ausblick; moderiert von Dr. Roland Bömer, Rechtsanwalt & Wirtschaftsmediator (IHK), Red Hat GmbH.

3. bei der Microsoft Deutschland GmbH in München Das Treffen musste in 2020 zwei Mal verschoben werden und soll statt- 6 finden, sobald die Corona-Lage dies wieder zulässt. Dann sollen folgende Themen behandelt werden: –

Begrüßung der Teilnehmer & Vorstellungsrunde,

–

moderiert von Dr. Jochen Engelhardt, Legal Director – Central and Eastern Europe, Microsoft;

–

„Microsoft: gestern, heute, morgen – wohin die digitale Reise geht“,

–

Dr. Jochen Engelhardt, Legal Director – Central and Eastern Europe, Microsoft;

–

„Legal Tech oder Legal Brain: Kommt der Roboterjurist wirklich?“,

–

Dr. Daniel Biene, LL.M. (New York), Geschäftsführer, Germany & Switzerland, Axiom;

–

„Software-Entwicklung und Datenschutz/Datensicherheit“,

–

Dr. Gregor Rutow, LL.M., Legal Counsel, Data Protection/Compliance Officer, Allianz Digital Health;

–

„Das neue Geheimnisschutzgesetz – Umsetzung in der Praxis“,

–

Marie-Joline Buchholz, LL.M., Rechtsabteilung, Nassauische Sparkasse;

–

Zusammenfassung & Ausblick,

–

moderiert von Dr. Roland Bömer, Rechtsanwalt & Wirtschaftsmediator (IHK), Red Hat GmbH.

217

Roland Bömer

IV. Inhaltlicher Diskurs außerhalb der Arbeitstreffen 7 Neben den genannten Arbeitstreffen waren die Mitglieder dieses Fachausschuss in regelmäßigem E-Mail-Kontakt zu aktuellen Themen. Insbesondere zur Datenschutz-Grundverordnung (DSGVO) und den notwendigen Implementierungsschritten in Unternehmen tauschten die Mitglieder intensiv ihre Meinung aus. V. Danksagung 8 Die Mitglieder des Fachausschuss Firmenjurist(inn)en bedanken sich beim Vorstand der DGRI noch einmal dafür, dass ihnen durch diesen Fachausschuss ein Forum exklusiv für Kolleg(inn)en mit nachgewiesener Tätigkeit in Unternehmen geboten wird.

218

Bericht des Fachausschuss Outsourcing Thomas Thalhofer*/Lars Lensdorf** I. Einfluss der Corona-Pandemie auf die Tätigkeit des Fachausschuss

1

II. Financial Services Sektor als Thema der nächsten Veranstaltung 3

I. Einfluss der Corona-Pandemie auf die Tätigkeit des Fachausschuss Wie viele Aspekte des privaten, öffentlichen und gesellschaftlichen Le- 1 bens war auch die wissenschaftliche Tätigkeit des Fachausschuss Outsourcing der Deutschen Gesellschaft für Recht und Informatik (DGRI) im Jahr 2020 von der Corona-Pandemie gezeichnet. Die ursprünglich für Mai 2020 geplante Veranstaltung des Fachaus- 2 schuss fiel in die Zeit kurz nach dem ersten Lockdown in Deutschland und musste daher ersatzlos entfallen. Die Leitung des Fachausschuss, Dr. Lars Lensdorf und Dr. Thomas Thalhofer, beschränkte sich daher im Jahr 2020 auf die Planung der weiteren Aktivitäten des Ausschuss, sobald aufgrund von Lockerungen größere Veranstaltungen wieder möglich sind. Für den Fall, dass die Pandemie andauert, zieht der Fachausschuss auch digitale Formate in Betracht. II. Financial Services Sektor als Thema der nächsten Veranstaltung Inhaltlich wird sich der Fachausschuss in der nächsten Veranstaltung 3 erstmals seit 2015 wieder dem Outsourcing im Financial Services Sektor zuwenden und dabei die neuesten Entwicklungen aufgreifen. Während neue Technologien, die zuletzt durch die Corona-Pandemie 4 noch verstärkte Digitalisierungswelle, neue Konkurrenten und wachsender Kostendruck die Financial Services-Branche vor immer neue Herausforderungen stellen, zeichnet sich an der „Regulierungsfront“ keine Entspannung ab. So haben in letzter Zeit die regulatorischen Anforderungen eher zu- als abgenommen. Insbesondere die bereits im Februar 2019 von *

Dr. Thomas Thalhofer, Rechtsanwalt und Partner der Kanzlei Noerr in München, dort Leiter der Praxisgruppe Digital Business, Co-Leiter Fachausschuss Outsourcing bei der DGRI. ** Dr. Lars Lensdorf, Rechtsanwalt und Partner der Kanzlei Covington & Burling, Frankfurt, Co-Leiter Fachausschuss Outsourcing bei der DGRI.

219

Thomas Thalhofer/Lars Lensdorf

der European Banking Authority (EBA) veröffentlichten „Guidelines on outsourcing arrangements“ sowie die im November 2019 von der EBA veröffentlichten „Guidelines on ICT and security risk management“ haben auch auf Seiten der Bundesanstalt für Finanzdienstleistungen (BaFin) verstärkte Aktivitäten ausgelöst. Von besonderer Bedeutung sind dabei die Ende 2020 veröffentlichten und zunächst zur Konsultation gestellten Entwürfe der Neufassungen von den „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) sowie der „Mindestanforderungen an das Risikomanagement“ (MA RISK (BA)), mit denen die Anforderungen der EBA auf nationaler Ebene umgesetzt werden sollen und die nationale Aufsicht die Zügel im Bereich der regulatorischen Anforderungen für IT- und Auslagerungsverträge nochmals anzieht. Auch aus der Mandatsarbeit wird deutlich, dass die BaFin bei großen IT-Vorhaben, vor allem im Cloud Services-Bereich, derzeit intensive Prüfungen durchführt. 5 Der Fachausschuss plant daher eine entsprechende Veranstaltung mit hochkarätigen Referenten aus dem Bereich der IT-Provider, spezialisierten Outsourcing-Beratern sowie der Bankenseite im zweiten Halbjahr 2021.

220

Bericht des Fachausschuss Softwareschutz Malte Grützmacher* I. Fachausschusssitzungen im Jahr 2019 1. Erste Fachausschusssitzung

1 2

2. Zweite Fachausschusssitzung

3

II. Entwicklungen im Jahr 2020

4

Literatur: Grützmacher/Lejeune/Schneider-Brodtmann/Stögmüller, Stellungnahme der DGRI zum Referentenentwurf eines Gesetzes zur verbesserten Durchsetzung des Anspruchs der Urheber und der ausübenden Künstler auf angemessene Vergütung – Für Softwareindustrie weder Problemanalyse noch Zielsetzung überzeugend, CR 2016, 138 – 140; Gülker, Umsetzung der DSM-Richtlinie: Umgehungsschutz für Kopierschutz bei Computerprogrammen? Warum die Selbsthilfe zulässig ist und nach dem UrhG-RefE auch bleibt, CR 2021, 66 – 72; Hoppen/von Welser, Nachweis von Urheberrechten an Source Code mittels Git – Was Online-Plattformen wie GitHub zur urheberrechtlichen Wertung beisteuern können, CR 2020, 350 – 360; Imhof, Miturheberschaft ohne Beteiligung an der Software-Codierung – Prozessuale Hürden bei Klageantrag und Darlegungslast, CR 2020, 709 – 712; Scholz, Zur indirekten und automatisierten Nutzung von userbasiert lizenzierter Software – Eine Bewertung aus urheber- und vertragsrechtlicher Sicht, CR 2019, 417 – 424.

I. Fachausschusssitzungen im Jahr 2019 Der Fachausschuss „Softwareschutz“ hat im Berichtszeitraum zwei 1 Fachausschutzsitzungen abgehalten: 1. Erste Fachausschusssitzung Die erste Sitzung zum Thema „Indirekte Nutzung von Software“ fand 2 am 30.1.2019 in Frankfurt am Main statt. Es referierten Rechtsanwalt Dr. Michael Karger, TCI Rechtsanwälte (München) sowie Rechtsanwalt Dr. Jochen Scholz, Bender Harrer Krevet Rechtsanwälte (Freiburg). Dabei beleuchtete Herr Dr. Karger die Fragestellung aus der Warte des Softwareanwenders. Er stellte dar, warum aus seiner Sicht der Anwender zumindest in bestimmten Konstellationen vergütungsfrei IT-Systeme von Drittanbietern an ERP-Systeme, etwa von SAP, anbinden kann und warum ihm dieses nach § 69d UrhG erlaubt ist. Demgegenüber vertei*

Dr. Malte Grützmacher, Co-Leiter Fachausschutz „Softwareschutz“, Rechtsanwalt und Fachanwalt für IT-Recht, CMS Hasche Sigle, Hamburg.

221

Malte Grützmacher

digte Herr Dr. Scholz die Position der Anbieter, die sich zumeist auf ihre Lizenzbedingungen berufen und insofern eine zusätzliche Vergütung für die sog. indirekten Nutzer fordern. Im Kern argumentierte er damit, dass die in § 69d UrhG hineingelesene Freiheit der Nutzung von Schnittstellen gem. § 69e UrhG noch nicht bedeute, dass diese Nutzung auch kostenlos erfolgen müsse. Dieses ergebe sich aus § 69e UrhG nicht. Die Details dieser Argumentation sind näher nachzulesen in dem auf Basis des Vortrags von Herrn Dr. Scholz entstandenen und in der CR veröffentlichten Aufsatz mit dem Titel „Zur indirekten und automatisierten Nutzung von userbasiert lizenzierter Software“1. 2. Zweite Fachausschusssitzung 3 Eine zweite Fachausschusssitzung in München beschäftigte sich sodann am 24.6.2019 mit dem Thema „GitHub und Open Source Software – Aktuelle urheberrechtliche Fragen der Open Source Software und insbesondere des Nachweises der Aktivlegitimation“. Es referierten aus technischer Sicht Herr Alex Hoppen, Informatikstudent an der RWTH Aachen, sowie Herr Rechtsanwalt Dr. Marcus von Welser, Patent- und Rechtsanwälte Vossius & Partner (München). Ausgangspunkt der Diskussion war die Fragestellung, inwieweit in großen teamgetriebenen Softwareprojekten, wie sie namentlich im Open Source-Bereich an der Tagesordnung sind, Angaben in Versionierungstools, namentlich etwa GitHub, eine Möglichkeit bieten, sich zum Beweis der Aktivlegitimation in Verletzungsprozessen auf § 10 UrhG zu berufen. In der Praxis relevant geworden und versucht worden ist dieses insbesondere durch einige Entwickler der Open Source Community, namentlich in den sog. Mc Hardy-Fällen2. Im Rahmen ihrer Referate stellten zunächst Herr Hoppen die technischen sowie dann Herr Dr. von Welser die rechtlichen Aspekte des Themas dar. Deutlich wurde, dass derartige Versionierungstools und Umgebungen durchaus einen gewissen Ansatz bieten, Indizien für eine Urheberschaft abzuleiten, dass die hinterlegten Informationen aber die strikten Voraussetzungen des § 10 UrhG nicht erfüllen können. Dementsprechend können derartige Versionierungstools allenfalls als Grundlage für eine weitere Beweiswürdigung dienen. Hintergrund ist

1 2

Scholz, CR 2019, 417 ff. Dazu LG Köln v. 17.7.2014 – 14 O 463/13, CR 2014, 706 m. Anm. Jaeger; siehe zur Antragsrücknahme vor dem OLG Köln https://www.cmshs-bloggt.de/ gewerblicher-rechtsschutz/urheberrecht/mc-hardy-zieht-antrag-zurueck-einsieg-fuer-open-source/, zuletzt abgerufen am 11.8.2021; siehe auch LG Hamburg v. 8.7.2016– 310 O 89/15, CR 2017, 364 und OLG Hamburg v. 28.2.2019– 5 U 146/16, CR 2019, 634.

222

Bericht des Fachausschuss Softwareschutz

hierbei insbesondere, dass schon kleinste, nicht urheberrechtsrelevante Änderungen durchaus zur Eintragung entsprechender Namen der Entwickler in GitHub führen, es also jeweils zudem noch erforderlich ist, zu analysieren, wer welche Teile der Software geschrieben hat. Nachzulesen sind entsprechende technische Überlegungen wie auch Details der rechtlichen Analyse in dem von den Referenten gemeinsam verfassten Aufsatz „Nachweis von Urheberrechten an Source Code mittels Git“3. Die Veranstaltung hat insofern eine Diskussion angestoßen, wie auch der in der Folge erschienene Aufsatz von Prof. Ralf Imhof, der auf die besagte Veröffentlichung Bezug nimmt, zeigt und in dem es um die Frage der Miturheberschaft ohne Beteiligung an der Software-Codierung und die prozessualen Hürden bei Klagantrag und Darlegungslast geht4. II. Entwicklungen im Jahr 2020 Während im Jahr 2020 sodann in der Folge die Ausschusstätigkeit coro- 4 nabedingt ruhen musste, ist der Gesetzgeber nicht untätig geblieben. So hat der Gesetzgeber zwischenzeitlich Ende 2020 einen ersten Entwurf für die Erweiterung bzw. Modifikation der §§ 69a ff. UrhG aufgrund der sog. DSM-Richtlinie5 veröffentlicht. Hierzu ist am 13.10.2020 ein erster Referentenentwurf eines Gesetzes zur Anpassung des Urheberrechts an die Erfordernisse des digitalen Binnenmarktes durch das BMJV veröffentlicht worden, der auch darauf abzielt, die §§ 69a Abs. 5, 69d, 69f sowie 69g Abs. 2 UrhG zu modifizieren, und mittlerweile in überarbeiteter Form seinen Weg ins Gesetz gefunden hat. Die weitere Rechtsentwicklung bleibt abzuwarten und wird durch den Ausschuss kritisch begleitet werden. Zu begrüßen ist insofern die Perpetuierung der Klarstellung des § 69a Abs. 5 UrhG auf der Linie der Stellungnahme des Ausschuss aus dem Jahr 20166. Zur kritischen Begleitung der Umsetzung im Bereich der Computerprogramme wird verwiesen auf den Aufsatz von Gülker7.

3 4 5

6 7

Hoppen/von Welser, CR 2020, 350 ff. Imhof, CR 2020, 709 ff. Richtline (EU) 2019/790 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinien 96/9/EG und 2001/29/ EG. Grützmacher/Lejeune/Schneider-Brodtmann/Stögmüller, CR 2016, 138 ff. Gülker, CR 2021, 66 ff.

223

Bericht des Fachausschuss Internet und eCommerce Holger Lutz*/Thomas Wilmer** I. Letzte Sitzung des Fachausschuss Internet und eCommerce II. Tätigkeit des Fachaussschuss Internet und eCommerce im Corona-Jahr 2020

III. Der Fachausschuss im Jahr 2021

3

1

2

I. Letzte Sitzung des Fachausschuss Internet und eCommerce Die letzte Sitzung des Fachausschuss Internet und eCommerce fand am 1 10.12.2019 in den Kanzleiräumen von Baker & McKenzie in Frankfurt/ Main statt. Auf der Tagesordnung stand das äußerst aktuelle Thema „Datenschutz im Internet und eCommerce – Was ist bei der Verwendung von Cookies und ähnlichen Technologien zu beachten?“. Frau RAin Dr. Nebel referierte zum Thema „Datenschutzrechtliche Probleme bei der Verwendung von Cookies und ähnlichen Technologien“. Danach stellte Herr Martin Buchter, LL.M. unter dem Titel „Aktuelles aus der Datenschutzbehörde“ zum Thema „Datenschutz im Internet und eCommerce“ aktuelle Themen in diesem Bereich aus Sicht der Datenschutzbehörde vor. II. Tätigkeit des Fachaussschuss Internet und eCommerce im Corona-Jahr 2020 Im Corona-Jahr 2020 plante der Fachausschuss Internet und eCommer- 2 ce eine Fachausschusssitzung zur Datenschutzkonformität von Onlineplattformen und insbesondere Videokonferenztools, die Corona-bedingt einen extremen Zulauf hatten, aber nahezu unmittelbar im Fokus der Datenschutzbehörden standen. Aufgrund der zweiten Corona-Welle und des dann erfolgenden weiteren Lock-Downs fiel die Veranstaltung aber letztendlich aus.

* Dr. Holger Lutz, Rechtsanwalt. ** Prof. Dr. Thomas Wilmer, Rechtsanwalt.

225

Holger Lutz/Thomas Wilmer

III. Der Fachausschuss im Jahr 2021 3 Im Jahr 2021 drängen sich aber wieder viele spannende Themen auf – angefangen beim neuesten Entwurf der ePrivacy Verordnung bis hin zur bereits in Kraft getretenen Plattform to Business Verordnung, dem von der Europäischen Kommission vorgeschlagenen Digital Services Act, dem gemeinsam mit diesem vorgeschlagenenen Digital Markets Act und last but not least die Gesetzentwürfe der Bundesregierung zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union sowie zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen.

226

Bericht des Fachausschuss Schlichtung Jürgen W. Goebel* I. Aufgabe des Fachausschuss Schlichtung

1

II. Jährliche Sitzung des Fachausschuss 2

I. Aufgabe des Fachausschuss Schlichtung Satzungsgemäß ist es Aufgabe des Fachausschuss Schlichtung, den Er- 1 fahrungsaustausch zwischen den Schlichtern zu fördern, Hinweise für die Fortschreibung der DGRI-Schlichtungsordnung zu geben, aktuelle Fragen der außergerichtlichen Streitbeilegung zu diskutieren, das Networking zwischen den Schlichtern zu betreiben und nicht zuletzt die DGRI-Schlichtungsstelle bei ihrer Arbeit zu unterstützen. II. Jährliche Sitzung des Fachausschuss Üblicherweise geschieht dies in einer Sitzung des Fachausschuss am Vor- 2 abend der DGRI-Jahrestagung. Im Jahr 2019 war der Fachausschuss in Berlin bei der Schlichtungsstelle bei Herrn Prof. Metzger zu Gast. Inhaltlich ging es dabei um das Thema „Lizenzverträge und Immaterialgüterrechte in Schiedsgerichtsverfahren“, das von Herrn Prof. Lehmann in hervorragender Weise beleuchtet wurde (siehe dazu der entsprechende Beitrag in diesem Jahrbuch). Im Jahr 2020 konnte, Corona-bedingt, die jährliche Sitzung des Fachausschuss leider nicht stattfinden. Im Rahmen des online-Formats der Jahrestagung war dafür kein Platz.

*

RA Prof. Dr. Jürgen W. Goebel, Sprecher des FA Schlichtung.

227

Bericht des Fachausschuss Telekommunikations- und Medienrecht Gerd Kiparski I. Aktivitäten des Fachausschuss

1

II. Ausblick auf bzw. Betrachtung des Jahres 2021

4

I. Aktivitäten des Fachausschuss Der Fachausschuss Telekommunikations- und Medienrecht hat sich im 1 vergangenen Jahr mit der rechtlichen Neuregelung des Telekommunikationsrechts befasst. Initial begann die Befassung des Fachausschuss im Jahr 2017 mit dem 2 Entwurf des europäischen Kodex für die elektronische Kommunikation (Richtlinie 1972/2018) („TK-Kodex“), zu dem eine Diskussionsveranstaltung veranstaltet und eine Stellungnahme für die DGRI verfasst wurde. Mit der Verabschiedung des TK-Kodex hat der EU-Richtliniengeber die bisherigen vier Richtlinien, die den europäischen Rechtsrahmen für die elektronische Kommunikation bilden, grundsätzlich überarbeitet und nunmehr in einer Richtlinie zusammengefasst. Der neue TK-Kodex war von den Mitgliedsstaaten bis zum 21.12.2018 in nationales Recht umzusetzen. Deutschland, wie auch andere Mitgliedsstaaten, ist die rechtzeitige Umsetzung in nationales Recht innerhalb der Umsetzungsfrist nicht gelungen. Bereits Anfang 2019 hat der deutsche Gesetzgeber Eckpunkte zur 3 TKG-Novelle 2019 veröffentlicht und damit den Diskussionsprozess zur Umsetzung des TK-Kodex in deutsches Recht begonnen. Dieser Diskussionsprozess wurde vorerst abgeschlossen durch die Veröffentlichung des Referentenentwurfs eines Telekommunikationsmodernisierungsgesetzes (TKModG) am 9.12.2020 und dem Beginn der Verbändeanhörung. Der Fachausschuss Telekommunikations- und Medienrecht hat für die DGRI zu dieser seit der TKG-Novelle 2004 umfassendsten Novellierung des TKG eine Stellungnahme gegenüber dem BMVI und BMWi abgegeben; die Stellungnahme ist im Gesetzgebungsverfahren auf der Webseite der Ministerien veröffentlicht worden. In seiner Stellungnahme weist der Fachausschuss insbesondere auf die im Gesetzesentwurf fehlende Umsetzungsfrist gerade für die aufwändig zu implementierenden Änderungen der kundenschützenden Vorschriften und auf fehlende Überleitungsregelungen hin. 229

Gerd Kiparski

II. Ausblick auf bzw. Betrachtung des Jahres 2021 4 Das Jahr 2021 ist wegen der Gesetzgebungsvorhaben um das TKModG, aber auch um das Telekommunikations- und Telemediendatenschutzgesetz (TTDSG) für den Fachausschuss ein bewegtes Jahr. Mit dem TTDSG hat der Gesetzgeber die datenschützenden Regelungen aus dem TKG und aus dem TMG herausgelöst und in ein eigenes Datenschutzstammgesetz überführt. Zugleich nimmt der Gesetzgeber notwendige Anpassungen an den telekommunikations-datenschützenden Regelungen zur Anpassung an die Vorgaben des Art. 95 DS-GVO vor. Ebenfalls erfolgen Änderungen aufgrund der jüngsten Rechtsprechung des BVerfG zur Bestandsdatenauskunft durch den „Entwurf eines Gesetzes zur Anpassung der Regelungen über die Bestandsdatenauskunft an die Vorgaben aus der Entscheidung des Bundesverfassungsgerichts vom 27. Mai 2020“ und Änderungen an den Anforderungen an technische Schutzmaßnamen im bisherigen § 109 TKG durch den „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“. Zudem passt der Gesetzgeber die Cookie-Regelungen an die Rechtsprechung des EuGH und des BGH an und übernimmt Art. 5 Abs. 3 ePrivacy-RL sehr wortgetreu in das TTDSG. Im novellierten TKG werden die Regelungen zum Kundenschutz erheblich umgestaltet und durch ein Minderungsrecht bei Schlechtleistung und pauschale Vertragsstrafenansprüche bei einem Anschlussausfall und bei einem versäumten Techniker-Termin ergänzt. Die Regelungen zum Universaldienst werden genutzt, um einen Anspruch auf breitbandiges Internet für Nutzer zu begründen. Die Neuregelung des TKG, aber gerade auch die des TTDSG haben wegen der Ausweitung ihres Anwendungsbereichs auf Over-the-Top-Anbieter (OTT-Anbieter) eine erhebliche Bedeutung. Erstmals werden auch Dienste, die keine Signalübertragung darstellen, sondern lediglich interpersonelle Telekommunikation anbieten, den anspruchsvollen Regelungen des Telekommunikationsdatenschutzes und auch des Telekommunikations-Kundenschutzes unterfallen. Das TKModG ist im Mai 2021 vom Bundestag und vom Bundesrat verabschiedet worden und wird zum 1.12.2021 in Kraft treten. Das TTDSG folgte dem TKModG nach und ist im Mai 2021 vom Bundestag verabschiedet worden. Es soll und muss zeitgleich mit dem TKModG am 1.12.2021 in Kraft treten, um eine Lücke in der Regulierung des Telekommunikationsdatenschutzes zu vermeiden. Der Fachausschuss Telekommunikations- und Medienrecht wird diese Gesetzesvorhaben weiter aktiv begleiten und plant eine Diskussionsveranstaltung dazu.

230

Bericht des Fachausschuss Datenschutz Robert Selk*/Sibylle Gierschmann** 1

2. Deutschland:

18

II. Arbeitssitzungen

5

V. EuGH-Rechtsprechung

22

III. Stellungnahmen

10

IV. Gesetzliche Entwicklungen 1. EU-Ebene:

12 13

I. Überblick

VI. Empfehlungen und Dokumente der Aufsichtsbehörden 38 VII. Ausblick

42

I. Überblick Der Datenschutz war auch im Berichtszeitraum 2019 bis 2020 in vielen 1 Bereichen ein Dauerthema: Im Mai 2019 war die DSGVO seit einem Jahr in Kraft und es konnte bereits eine Reihe von Erfahrungen gesammelt werden, nicht nur auf Unternehmensseite, vielmehr auch auf Seiten der Aufsichtsbehörden für den Datenschutz sowie den Gerichten. Aber auch der neu durch die DSGVO ins Leben gerufene Europäische Datenschutzausschuss (EDSA) nahm seine Arbeit auf bzw. setzte die Arbeit des Vorgängergremiums, der Art.-29-Datenschutzgruppe, fort. Zudem gab es wichtige EuGH-Urteile mit entsprechend weitreichenden Folgen, zuletzt im Juli 2020, als der EuGH das Privacy-Shield Abkommen der EU mit den USA für unwirksam erklärte, was die Praxis in den meisten Fällen mangels Alternativen vor schier unlösbare Probleme stellt, möchte (oder muss) man mit US-Dienstleistern weiterarbeiten. Auch gesetzgeberisch tat sich in Deutschland vor allem mit dem Ent- 2 wurf des TTDSG einiges, auf EU-Ebene hat man sich zur geplanten ePrivacy-Verordnung als Nachfolgerin der schon etwas angegrauten ePrivacy-Richtlinie 2002/58/EG lange in eine Sackgasse manövriert – Stand Anfang 2021 scheint sich aber wieder etwas zu tun. Im Jahre 2020 kam die Corona-Pandemie, die ganz erhebliche Daten- 3 schutzfragen mit sich brachte, nicht nur etwa in Form von Corona-Apps, sondern auch praktische Fragen etwa zu Gäste- oder Besucherlisten in

*

Dr. Robert Selk, LL. M., Rechtsanwalt, Fachanwalt für IT-Recht, Leiter des Fachausschuss. ** Prof. Dr. Sibylle Gierschmann, LL. M., Rechtsanwältin, Fachanwältin für Urheber- und Medienrecht, Co-Leiterin des Fachausschuss.

231

Robert Selk/Sibylle Gierschmann

Restaurants oder die Frage, ob und wie man als Arbeitgeber bei Mitarbeitern vor Betreten des Unternehmens deren Körpertemperatur messen durfte oder musste. 4 Der Corona-Pandemie war es auch geschuldet, dass der Fachausschuss Datenschutz der DGRI im Jahre 2020 keine Sitzung durchführen konnte, zu wechselnd war die Situation, zudem in den Bundesländern unterschiedlich und daher nicht zuverlässig einschätzbar und planbar. Gut, dass im Vorjahr in Stuttgart im Februar 2019 in der Konzernzentrale der Daimler AG eine sehr gut besuchte Sitzung des Ausschuss durchgeführt und – noch ganz ohne Corona – umfängliches Networking betrieben und der fachliche Austausch fortgeführt werden konnte. II. Arbeitssitzungen 5 Im Februar 2019 konnte die vorgenannte Arbeitssitzung des Fachausschuss Datenschutz dank der Einladung der Daimler AG in den dortigen Räumen des Hauptquartiers stattfinden. Es gelang, eine Reihe von spannenden Themen und Referenten zu organisieren: 6 Der Tag begann mit einem Vortrag des Konzern-Datenschutzbeauftragten der Daimler AG zu den „Innovationen der DSGVO in der Praxis“, in dem ein Rundumblick über die geschaffene Datenschutz-Organisation sowie die dies speziell im Fahrzeugbereich stellenden Datenschutzfragen gegeben wurde – wie etwa die damals noch besonders neue Joint-Controller-Thematik nach Art. 26 DSGVO, etwa in Bezug auf einen Fahrzeughersteller, den Werkstätten oder Kfz-Versicherern. 7 Der Leiter der Bußgeldstelle der Aufsichtsbehörde für den Datenschutz in Baden-Württemberg gab in seinem Vortrag einen Blick auf seine Praxis und stellte aktuelle Fragestellungen und die Feinheiten eines DSGVO -und Datenschutzbußgeldverfahrens vor – es gab viele neue Aspekte, die diskutiert wurden. 8 Es schloss sich ein Vortrag aus dem Beschäftigtendatenschutz an, der das Verhältnis der nationalen Norm des § 26 BDSG-neu zur DSGVO beleuchtete und die verschiedenen Facetten und Sichtweisen darstellte, auch mit Blick auf betriebsverfassungsrechtliche Fragenstellungen zur Mitbestimmung über § 87 Abs. 1 Nr. 6 BetrVG. 9 Der Tag endete mit einem Vortrag zur – im Jahre 2019 sehr virulent gewordenen – Fragestellung zur Abmahnfähigkeit von DSGVO-Verstößen, auch mit Blick und Vorstellung der damals neu eingeführten Muster-Feststellungsklage. 232

Bericht des Fachausschuss Datenschutz

III. Stellungnahmen Noch im Jahr 2018 verfasste der Fachausschuss eine Stellungnahme zum 10 Referentenentwurf zur Stärkung eines fairen Wettbewerbs, die an eine frühere Stellungnahme anknüpfte. In der Stellungnahme beschäftigten wir uns mit der Frage einer Begren- 11 zung der Klagebefugnis im UKlaG und führten aus, dass die DSGVO aus verschiedenen Gründen keine Marktverhaltensregelung sein könne. IV. Gesetzliche Entwicklungen In den Jahren 2019 und 2020 behielt der Fachausschuss die Entwicklun- 12 gen sowohl auf EU-Ebene zur DSGVO wie auch auf nationaler Ebene in Deutschland im Auge. 1. EU-Ebene: Nachdem die DSGVO im Jahre 2019 erst rund ein Jahr alt war, gab es 13 in diesem Jahr noch keine Bestrebungen der EU zu Anpassungen. Daher wurde mit Spannung die in 2020 gemäß Art. 97 Abs. 1 Satz 1 DSGVO veröffentlichte Evaluation der DSGVO der EU-Kommission erwartet, die aber keinen unmittelbaren Änderungsbedarf am Text der DSGVO sah. Zur selben Zeit äußerten sich eine Reihe von nationalen Aufsichtsbehörden im Sinne eines 2-Jahresrückblicks zur DSGVO, mit durchaus unterschiedlicher Tendenz. Spannend war ebenfalls die Beobachtung der Verhandlungen zu einer 14 neuen ePrivacy-Verordnung als Nachfolgerin der ePrivacy-Richtlinie 2002/58/EG. Noch im Jahr 2019 zeigte sich aber, dass die Verhandlungen innerhalb des Rats sehr kontrovers geführt wurden und im gesamten Jahr 2019 keine gemeinsame interne Position gefunden werden konnte – was sich leider auch im Jahre 2020 durchzog. Erst mit einer neuen Ratspräsidentschaft zum 1.1.2021 tat sich etwas und eine gemeinsame Position wurde veröffentlicht – womit das Gesetzgebungsverfahren seinen weiteren Lauf nehmen kann. Die Thematik rund um Cookies war eines der wichtigen Themen in die- 15 sen internen Ratsverhandlungen, mit Sicherheit auch dasjenige mit der größten Öffentlichkeitswirkung. Betrachtete man aber im Detail die Diskussionen innerhalb des Rats, 16 wurde auch klar, dass die Cookie-Thematik zwar noch präsent war, der Schwerpunkt aber schon lange bei ganz anderen der „großen“ Themen 233

Robert Selk/Sibylle Gierschmann

lag, wie dem „IoT- Internet of Things“ oder „m2m“, also der „Machine-to-Machine“-Kommunikation im Industrieumfeld. 17 Die Abgabe einer Stellungnahme durch den Fachausschuss wurde überlegt, aber mangels einheitlicher Position des Rates verworfen. 2. Deutschland: 18 Für Deutschland ist zu ergänzen, dass Ende 2019 das zweite Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) in Kraft trat, mit dem in Form eines Artikelgesetzes weit über 100 deutsche Fachgesetze an die DSGVO angepasst wurden. 19 Die Pläne für ein eigenes Beschäftigtendatenschutzgesetz dagegen wurden nicht weitergetrieben – Ende 2020 wurde aber das sog. „Betriebsräte-Stärkungsgesetz“ im Entwurf vorgestellt, das u. a. auch die Mitbestimmung des Betriebsrats bei technischen Einrichtungen anpassen würde und sogar eine eigene Norm für den Datenschutz im Betriebsrat vorsieht (§ 79a BetrVG-neu). Diese Norm wäre deswegen wichtig, weil damit der Streit, ob der Betriebsrat eine eigene verantwortliche Stelle ist oder nicht, geklärt wäre – er wäre kein eigener Verantwortlicher. Ungelöst bliebe aber die Frage, ob der Datenschutzbeauftragte des Unternehmens auch den Betriebsrat kontrolliert. Die vorgeschlagene Norm würde bislang lediglich vorsehen, dass sich Arbeitgeber und Betriebsrat gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften „unterstützen“. Problematisch ist dies vor allem auch deshalb, weil das Unternehmen als Verantwortlicher sehr wahrscheinlich der Adressat eines Bußgelds bei einem Datenschutzverstoß durch den Betriebsrat wäre. Das Management von Datenschutzrisiken im Unternehmen hätte damit weiterhin eine Lücke im System. 20 Am 10.2.2021 beschloss das Bundeskabinett den Entwurf eines „Gesetzes zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien“ (TTDSG). Bereits Ende 2020 war ein erster Entwurf dazu geleakt worden. Mit dem TTDSG sollen die bisher im Telekommunikationsgesetz (TKG) enthaltenen Bestimmungen zum Schutz des Fernmeldegeheimnisses und des Datenschutzes sowie die im Telemediengesetz (TMG) enthaltenen Bestimmungen zum Datenschutz zusammengeführt werden. Dabei enthält der Entwurf auch eine neue Regelung zur Cookie-Thematik und würde erstmals Rechte der Erben eines Endnutzers regeln. 21 Schließlich war das Jahr 2020 auch von den Brexit-Verhandlungen geprägt. Seit dem 1.1.2021 gehört das Vereinigte Königreich nicht mehr 234

Bericht des Fachausschuss Datenschutz

der Europäischen Union an. Zukünftig werden daher Datentransfers in das Vereinigte Königreich als Transfer in ein Drittland gem. Art. 44 ff. DSGVO angesehen. Das Handels- und Kooperationsabkommen sieht insoweit aber eine Übergangsfrist (bereits inklusive einer möglichen Verlängerung) bis zum 30.6.2021 vor. Erst dann besteht die Verpflichtung, die Übermittlung als Drittlandtransfer gem. Art. 46 DSGVO abzusichern (z. B. durch Standarddatenschutzklauseln). Eventuell wird dies aber nicht erforderlich sein, wenn es gelingt, vor diesem Zeitpunkt einen Angemessenheitsbeschluss zum Vereinigten Königreich gem. Art. 45 DSGVO zu verabschieden. V. EuGH-Rechtsprechung Besonders hervorzuheben sind die verschiedenen EuGH-Urteile zu 22 Datenschutzthemen, zu denen nachfolgend ein kurzer Überblick gegeben werden soll: In 2019 gab es das insgesamt dritte Urteil zur Joint Controller-Thematik 23 in Form des Facebook-Like Buttons und der Frage der gemeinsamen Verantwortlichkeit bei Einsatz des Buttons1. Zuvor schon erging im Jahre 2018 ein EuGH-Urteil zur Joint Controllership in Sachen „Zeugen Jehovas“2 sowie noch weiter zurückliegend, aber ebenfalls noch aus 2018 stammend ein Urteil des EuGH in Sachen ULD/Facebook zur Facebook Fanpage3. Trotz dieser drei EuGH-Urteile wurden die Fragen um die Joint Control- 24 lership nicht weniger – ganz im Gegenteil zeigt die Praxis gerade aufgrund dieser Urteile und der dortigen Vorgaben des EuGH, wie schwierig die Abgrenzung ist. Ebenfalls bemerkenswert war das Urteil des EuGH in Sachen Planet 494, 25 basierend auf einer BGH-Vorlage, die sich im Schwerpunkt mit Fragen zu Cookies und Datenschutz-Einwilligungen beschäftigte. Wenig überraschend urteilte der EuGH aber dazu, dass solche Einwilligungen nur per opt-in erteilt werden dürfen. Auch das im Anschluss fortgesetzte BGH-Verfahren und dessen Urteil barg nur noch wenig Überraschungen, gab das EuGH-Urteil das Ergebnis schon vor5.

1 2 3 4 5

EuGH v. 29.7.2019 – C-40/1 – Fashion ID. EuGH v. 10.7.2018 – C-25/17. EuGH v. 5.6.2018 – C-210/16. EuGH v. 1.10.2019 – C – 673/17. BGH v. 28.5.2020 – I ZR 7/16.

235

Robert Selk/Sibylle Gierschmann

26 Mit Spannung wurde dazu die Begründung des BGH erwartet, wie er die Anforderungen der ePrivacy-Richtlinie, hier in Form der Modifikation der sog. Cookie-Richtlinie 2009/136/EG, in das TMG hineinlesen würde. Denn dieses geht klar von einem opt-out-Modell, also einer Widerspruchslösung aus. Die Begründung des BGH dazu in seinem Urteil6 ist nicht einfach nachzuvollziehen. Das Ergebnis war jedenfalls, dass trotz oder gerade wegen der Regelungen dazu im TMG und deren richtlinienkonformen Auslegung und Anwendung dann knappe 10 Jahre nach Ablauf der 2-jährigen Umsetzungsfrist der Cookie-Richtlinie aus 2009 es auch in Deutschland gelang, das EU-Recht zur Anwendung zu bringen. 27 Im Alltag zeigte sich dies, dass spätestens ab dem BGH-Urteil7 in Sachen Planet49 nunmehr auch in Deutschland die meisten Webseiten auf Cookie-Banner umgestiegen sind, soweit nicht schon in den Vormonaten geschehen. 28 Der eigentliche Paukenschlag in der Rechtsprechung des EuGH erfolgte dann im Juli 2020, als der EuGH am 16.7.2020 das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam erklärte8 und damit der Datentransfer von Millionen von EU-Unternehmen zu US-Empfängern, vor allem auch US-Providern wie Google, Amazon, Microsoft, Oracle, Facebook, etc., die sich auf dieses Abkommen stützen, rechtswidrig wurde. 29 Überraschend war es freilich nicht, erklärte der EuGH doch schon rund 5 Jahre zuvor im Jahre 2015 in seiner Safe Harbor-Entscheidung9 das Vorgänger-Abkommen des Privacy Shield ebenfalls für unwirksam. Überraschend für viele war aber die Konsequenz der EuGH-Entscheidung zu Schrems II, also die sofortige Unwirksamkeit ohne jegliche Frist o.Ä. – genau genommen hatte der EuGH aber keine andere Wahl. 30 Es wäre eine politische Aufgabe in der Zeit von 2015 bis 2020 gewesen, nicht nur das Privacy-Shield-Abkommen auf stabilere Füße zu stellen, sondern vor allem auch das zweite große Standbein für Non-EU-/ EWR-Transfers, die EU-Standarddatenschutzklauseln, zu modernisieren. Dies plante die Kommission schon parallel zur Umsetzungszeit der DSGVO, kam jedoch bis heute noch nicht dazu, immerhin wurden Ende 2020 Entwürfe einer Neufassung der EU-Standarddatenschutzklauseln veröffentlicht und zur Diskussion gestellt.

6 7 8 9

BGH v. 28.5.2020 – I ZR 7/16. BGH v. 28.5.2020 – I ZR 7/16. EuGH v. 16.7.2020 – C-311/18 – Schrems II. EuGH v. 6.10.2015 – C-362/14.

236

Bericht des Fachausschuss Datenschutz

Das Schrems-II-Urteil des EuGH hat auch auf die aktuellen EU-Standard- 31 datenschutzklauseln immense Auswirkungen, denn die Begründung, mit der EuGH das Privacy Shield für unwirksam erachtet, lässt sich im Ergebnis inhaltsgleich auf die Standarddatenschutzklauseln – und übrigens auch Binding Corporate Rules (BCRs) – übertragen: Diese Argumentation ist, dass sich nationale Sicherheitsbehörden und Geheimdienste in den USA (und auch allen anderen Drittstaaten) nicht an die über das Privacy Shield erzielte „Selbst-Zertifizierung“ von US-Unternehmen und einem insofern freiwillig von diesen an den Tage gelegten EU-Datenschutzniveau halten, sondern ausschließlich und alleine an das US-Recht. Lässt dieses Zugriffe auf personenbezogene Daten zu, die bei US-Unternehmen liegen, aber aus der EU stammen, wird sich kein Geheimdienst dieser Welt an fremdes Recht halten, sondern eben nur an das eigene, jeweils nationale Recht. Und wenn dieses Zugriffe zulässt, die nicht den EU-Grundsätzen und Standards entsprechen, wird sich eine Sicherheitsbehörde von Selbst-Zertifizierungen nicht aufhalten lassen, genauso wenig wie von rein zwischen den beiden Vertragsparteien vereinbarten freiwilligen Datenschutzregeln, wie sie die Standarddatenschutzklauseln der EU oder BCRs „nur“ aufstellen. Dementsprechend stand das zweite Halbjahr des Jahres 2020 in der 32 Datenschutzwelt im Lichte des Schrems-II-Urteils und es wurden eine Vielzahl von Empfehlungen der Datenschutzbehörden veröffentlicht, im November 2020 dann auch langerwartet Empfehlungen des Europäischen Datenschutzausschuss (EDSA). Es war aber auch schnell klar, dass es im Ergebnis nur zwei Lösungen 33 geben kann: Die eine Lösung ist das Schaffen von technischen Verschlüsselungslö- 34 sungen dergestalt, dass die Daten, die ein EU-Unternehmen zu einem US-Provider gibt, weder von diesem noch von dortigen Geheimdiensten entschlüsselt oder gelesen werden können – denn dann droht der staatliche Zugriff schon technisch nicht. Dies mag bei „data at use“ und „data at rest“ noch gut möglich sein, die Musik spielt aber in der Praxis im Cloud- und SaaS-Bereich und bei „data at use“ ist es derzeit technisch (noch) kaum performant möglich, Daten „live“ im Gebrauch („at use“) zu verschlüsseln. Wenn sich rechtspolitisch aber nichts bewegt, wird wohl in Anbetracht der klaren Regelungen der Art. 44 ff. DSGVO kaum ein anderer Weg bleiben. Die andere Lösung wäre, wenn entweder die EU ihre Maßstäbe an Dritt- 35 staaten-Transfers reduziert, also die Art. 44 ff. DSGVO anpasst. Oder aber, dass die Drittstaaten, die in Frage kommen, zugunsten der EU ihre 237

Robert Selk/Sibylle Gierschmann

nationalen Sicherheits- und Geheimdienstgesetze an die EU-Grundwerte anpassen – beide Szenarien sind aktuell nicht realistisch: In der EU möchte keiner die DSGVO anfassen, zu viele andere Themen kämen sofort auf, zudem ist offen, welche Mehrheiten sich wie finden ließen. Und dass etwa China oder die USA ihre nationalen Sicherheitsgesetze freiwillig zugunsten der EU anpassen, ist noch viel unwahrscheinlicher. 36 Mangels Lösungen heißt es damit derzeit für die Unternehmen, zu versuchen, es zumindest „möglichst wenig schlecht“ zu machen, also so viele und umfangreiche Begleitmaßnahmen zu schaffen, mit denen ein (aus EU-Sicht rechtswidriger) Zugriff fremder staatlicher Behörden erschwert oder idealerweise ausgeschlossen werden kann. Ob dies den Datenschutzbehörden sowie Gerichten reichen wird, bleibt abzuwarten – allzu viel Hoffnung dürfte aber nicht bestehen, solange die Art. 44 ff. DSGVO nicht geändert werden, denn diese stellen klare Anforderungen auf. 37 Der Entwurf der EU-Kommission für neue Standarddatenschutzklauseln greift bereits einige der Bedenken der EuGH-Schrems-II-Entscheidung auf. Hier bleibt die weitere Entwicklung abzuwarten, da die Kommission derzeit noch damit beschäftigt ist, die Vielzahl der Stellungnahmen zu diesem Vorschlag abzuarbeiten. Insbesondere der EDSA kritisierte in seiner Gemeinsamen Stellungnahme mit dem Europäischen Datenschutzbeauftragten 2/2021 „on the European Commission’s Implementing Decision on standard contractual clauses for the transfer of personal data to third countries“, dass die Schrems-II-Entscheidung aus seiner Sicht nur zum Teil berücksichtigt wird. Vor allem lehnt der EDSA die Berücksichtigung „subjektiver“ Faktoren, wie die Wahrscheinlichkeit des Behördenzugriffs, als Bewertungskriterium ab. Er hält es für ausreichend, wenn die theoretische Möglichkeit eines solchen Zugriffs besteht. Damit stünde die Industrie vor dem Dilemma, dass jede Cloud-Anwendung mit amerikanischen Anbietern im Grunde unmöglich würde. Eine derart enge Auslegung des EuGH-Urteils hätte weitreichende Konsequenzen für die gesamte Wirtschaft. Dann bliebe als Lösung wohl nur eine den Anforderungen des EDSA genügende Verschlüsselung dergestalt, dass ein Zugriff von ausländischen Behörden technisch ausgeschlossen ist. VI. Empfehlungen und Dokumente der Aufsichtsbehörden 38 Zuletzt soll noch ein Blick auf die in den Jahren 2018 bis 2019 von den deutschen Aufsichtsbehörden in Form zahlreicher Handreichungen, Kurpapiere, Beschlüsse, Orientierungshilfen etc. veröffentlichten Dokumente zur DSGVO geworfen werden. In diesen Dokumenten stellen die Behörden ihre Sicht der Dinge dar. 238

Bericht des Fachausschuss Datenschutz

In der Wirtschaft und Praxis wurden diese Materialien zu einer wichtigen 39 Quelle, gerade weil und solange noch (höchstrichterliche) Urteile fehlen. Insofern ist auf die Webseite der DSK – Datenschutzkonferenz als Zusammenschluss der deutschen Aufsichtsbehörden zu verweisen10. Aber auch der EDSA nahm Fahrt auf und veröffentlichte eine Vielzahl 40 von Dokumenten und Hilfestellungen11, mit Datum vom 10.11.2020 auch die dringend erwarten „Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data“ zur Unterstützung der EU-Unternehmen betreffend der Schrems-II-Thematik. Wie schon die letzten Dokumente des EDSA stellte dieser auch dieses zur öffentlichen Diskussion und jedermann konnte dazu Stellung nehmen, ob und in welcher Form es eine angepasste Fassung geben wird, bleibt abzuwarten. Für die Praxis ferner sehr relevant sind die EDSA-Leitlinien 07/2020 „on 41 the concepts of controller and processor in the GDPR“, welche wichtige Hinweise für die Überarbeitung von Verträgen zur Auftragsverarbeitung und zur gemeinsamen Verantwortlichkeit enthalten. VII. Ausblick Für 2021 gibt es also spannende Themen: Wie geht es zu Schrems II wei- 42 ter? Wird die EU-Kommission in Bezug auf die USA zu einer neuen Angemessenheitsentscheidung kommen? Wird der EuGH noch explizit zu den EU-Standarddatenschutzklauseln entscheiden? Kommt in Deutschland das TTDSG sowie das Betriebsräte-Stärkungsgesetz? Auf EU-Ebene bleibt die ePrivacy-VO abzuwarten. Es dürfte zudem mit weiteren EuGH-Urteilen zum Datenschutz zu rechnen sein. Die Datenschutzwelt bleibt also spannend – die Aufgaben des Fachausschuss vielfältig.

10 https://www.datenschutzkonferenz-online.de/. 11 https://edpb.europa.eu/.

239

Die Schlichtungsstelle IT der DGRI – Überblick über die Tätigkeit der Jahre 2019 und 2020 Zora Witte* I. Vorstellung der Schlichtungsstelle IT II. Verfahren

III. Arbeitsschwerpunkte 1

IV. Verfahrensstand 2019/2020

9 12

7

I. Vorstellung der Schlichtungsstelle IT Die Schlichtungsstelle IT der Deutschen Gesellschaft für Recht und 1 Informatik (DGRI) wurde im Jahr 1991 eingerichtet, um ein Verfahren zur Lösung rechtlicher Konflikte im Rahmen technischer Sachverhalte anzubieten und weist somit mittlerweile eine fast dreißigjährige Erfahrung auf. Sie bietet Akteuren unterschiedlicher Wirtschaftsbereiche, unabhängig vom Streitwert und der Größe des Unternehmens, Konfliktlösungsmöglichkeiten an. Das IT-Schlichtungsverfahren weist einige Vorteile gegenüber staatli- 2 chen Gerichtsverfahren auf. Diese dauern meist lange und sind häufig mit hohen Kosten verbunden. Darüber hinaus finden sie grundsätzlich öffentlich statt und bieten keine besondere Expertise und Flexibilität bei der Entscheidungsfindung. Ein Schlichtungsverfahren stellt demgegenüber eine kostengünstige und effiziente Alternative dar. Die durchschnittliche Verfahrensdauer erfolgreich beendeter Verfahren beträgt ca. 7 Monate. Neben einer streitwertunabhängigen Einleitungsgebühr in Höhe von 1.000 Euro fallen lediglich Honorarkosten an, die sich nach dem tatsächlichen Arbeitsaufwand des Schlichtungsteams richten. Als neutrale, unabhängige Instanz sichert die Schlichtungsstelle ein vertrauliches Verfahren, sodass technisches Know-how und Unternehmensinterna geschützt bleiben. Zur Suche einvernehmlicher Lösungen wird ein fachlich kompetentes 3 Schlichtungsteam ausgewählt. Hierfür betreibt die Schlichtungsstelle IT

*

Zora Witte ist Wissenschaftliche Mitarbeiterin am Lehrstuhl für Bürgerliches Recht und Immaterialgüterrecht, insbesondere Gewerblicher Rechtsschutz, Humboldt-Universität zu Berlin und bei der Schlichtungsstelle der DGRI

241

Zora Witte

eine Datenbank, in der besonders qualifizierte IT-Sachverständige und im IT-Recht spezialisierte Juristen geführt werden. 4 Die durchgeführten Verfahren führen in weit mehr als der Hälfte der Fälle zu einer Einigung der Parteien. Kann eine einvernehmliche Lösung nicht erzielt werden, so können zumindest die mit dem Sachverhalt befassten IT-Sachverständigen in weitergehenden Verhandlungen oder zur Vorbereitung eines gerichtlichen Verfahrens eingesetzt werden. 5

6 Übersicht der Verfahrenszahlen der letzten Jahre

242

Die Schlichtungsstelle IT der DGRI

II. Verfahren Die Einleitung der Schlichtung erfolgt bei der Schlichtungsstelle IT der 7 DGRI durch die Einreichung eines Schlichtungsantrags. Wenn beide Parteien mit der Durchführung des Verfahrens einverstanden sind, findet das Verfahren statt. Die Schlichtungsstelle kontaktiert anschließend die beteiligten Parteien, um über das weitere Vorgehen zu informieren und dabei individuelle Wünsche zu berücksichtigen. Die Beteiligten werden schriftlich über den Vorschlag eines Schlichtungsteams informiert und können sich zunächst äußern. Wenn keine Einwände bestehen, kann das Schlichtungsverfahren auf das Schlichtungsteam übergehen. Von diesem Zeitpunkt an ist die Schlichtungsstelle nicht mehr unmittelbar am Verfahren beteiligt, steht aber weiterhin als Ansprechpartner zur Verfügung. Abhängig von der Ausgangssituation und der Mitwirkung der Parteien kann die Verfahrenseinleitung bereits innerhalb von drei bis vier Wochen abgeschlossen werden. Während im Jahr 2019 drei Schlichtungsanträge eingingen, konnten im 8 Jahr 2020 sogar sechs Verfahrenseingänge verzeichnet werden. Im Vergleich zu den Vorjahren (2016, 2017 und 2018) setzt sich die Tendenz steigender Verfahrenseingänge also fort. Insbesondere im Jahr 2020 konn243

Zora Witte

te an die im Gesamtvergleich hohen Verfahrenszahlen aus dem Jahr 2016 angeknüpft werden. III. Arbeitsschwerpunkte 9 Den inhaltlichen und zeitlichen Schwerpunkt der Arbeit der Schlichtungsstelle stellen die Vorbereitung, die Besetzung und Begleitung der Schlichtungsverfahren sowie die Beantwortung regelmäßig eingehender Anfragen dar. 10 Typische Streitfragen, die bei der Schlichtungsstelle eingehen, betreffen IT-Projektverträge unterschiedlicher Art, Softwareentwicklung, ERP-Systeme, Service Legal Agreements, Fragen des gewerblichen Rechtsschutzes und Urheberrechts, Datenschutz und IT-Security, Softwarelizenzierung, Websites und Domains und E-Commerce. 11 Einen weiteren Tätigkeitsschwerpunkt stellt die Öffentlichkeitsarbeit dar. In der Novemberausgabe 2020 der CR ist ein Beitrag zu Art. 12 der neuen EU-P2B-VO und zur Möglichkeit der Benennung von Schlichtungsstellen erschienen.1 Des Weiteren wurde ein Beitrag zu Schlichtungsverfahren im IT-Bereich in der Zeitschrift iX 2/2021 publiziert.2 Darüber hinaus wird die Webseite regelmäßig aktualisiert und eine Werbeanzeige in der CR implementiert. IV. Verfahrensstand 2019/2020 12 Im Jahr 2019 gingen drei Schlichtungsanträge ein. Von diesen führte einer zum Schlichtungsvergleich, während sich die Parteien eines anderen Antrags vor Verfahrensübergang einigten. Das dritte Verfahren aus 2019 ist derzeit noch im Gange. 13 Von den sechs eingegangenen Schlichtungsanträgen des Jahres 2020 führten fünf der Anträge zum Verfahrensübergang. In einem der Verfahren haben die Parteien bereits einen Schlichtungsvergleich unterzeichnet, sodass das Verfahren seinen Abschluss fand. In den vier weiteren Verfahren steht das Ergebnis noch aus. 14 Somit laufen aktuell fünf Verfahren aus den Jahren 2019 und 2020, sowie ein weiteres Verfahren aus 2018. 1 2

Metzger/Vetter/Witte, Art. 12 der neuen EU-P2B-Verordnung, CR 2020, 739– 743. Metzger/Vetter/Witte, Besser schlichten als richten – Schlichtungsverfahren bei Rechtsstreitigkeiten mit IT-Bezug, iX 2/2021, 102–106.

244

Art. 12 der neuen EU-P2B-Verordnung Die Benennung von Schlichtungsstellen als Mediatoren Axel Metzger*/Sven Vetter**/Zora Witte*** Hinweis: Dieser Beitrag wurde bereits in CR 2020, 739 veröffentlicht. Aufgrund seines Formats als Zeitschriftenbeitrag wurde auf ein Literaturverzeichnis verzichtet. I. Die neue P2B-Verordnung

1

II. Regelungen zur außergerichtlichen Streitbeilegung 6 III. Auslegung der Anforderungen aus Art. 12 P2B-VO 1. Schlichtungsstelle als Mediator 12

2. Vorteile der Nennung einer Schlichtungsstelle 16 3. Andere Fälle einer Mediationspflicht 24 4. Schlichtungsstelle der DGRI für den Bereich der IT-Schlichtung 27 IV. Zusammenfassung

31

Die neue Fairness und Transparenz-Verordnung schreibt in Artikel 12 Online-Vermittlungsdiensten zwingend vor, in ihren AGB Mediatoren zu nennen, mit denen sie bereit sind zusammenzuarbeiten, um mit gewerblichen Nutzern eine außergerichtliche Streitbeilegung durchzuführen. Der Beitrag untersucht die Frage, ob die Nennung einer Schlichtungs- oder Mediationsorganisation zur Erfüllung dieser Pflicht genügt. Die Nennung entsprechender Stellen ist für beide Seiten von Vorteil und sollte deshalb zugelassen werden.

*

Prof. Dr. jur. Axel Metzger, LL. M. (Harvard), Lehrstuhl für Bürgerliches Recht und Immaterialgüterrecht, insbesondere Gewerblicher Rechtsschutz, Humboldt-Universität zu Berlin; Leiter der Schlichtungsstelle der DGRI. ** Sven Vetter ist Wissenschaftlicher Mitarbeiter am Lehrstuhl und bei der Schlichtungsstelle. *** Zora Witte ist Wissenschaftliche Mitarbeiterin am Lehrstuhl und bei der Schlichtungsstelle.

245

Axel Metzger/Sven Vetter/Zora Witte

I. Die neue P2B-Verordnung 1 Seit dem 12.7.2020 gilt die Verordnung (EU) 2019/1150 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten (Platform-to-Business-VO, kurz: P2B-VO).1 Das Regelwerk soll einheitliche europäische Schutzstandards im Rechtsverhältnis zwischen Online-Vermittlungsdiensten bzw. Suchmaschinen und deren gewerblichen Nutzern schaffen. 2 Anbieter von Waren und Dienstleistungen sind beim Vertrieb ihrer Produkte häufig auf die von Online-Plattformen bereitgestellte Infrastruktur angewiesen.2 Die Plattformen verknüpfen die Inanspruchnahme ihrer Dienste in aller Regel mit einer Zustimmung zu ihren allgemeinen Geschäftsbedingungen (AGB). Der zunehmende Online-Handel verstärkt außerdem die Abhängigkeit gewerblicher Nutzer von den Online-Plattformen. Aufgrund der gestiegenen Bedeutung der Plattformen und der Angewiesenheit gewerblicher Nutzer auf deren Angebot ist auf Vorschlag der Europäischen Kommission eine spezielle Regulierung der Plattformen erfolgt. Die P2B-VO soll dazu beitragen, das Gleichgewicht in der Geschäftsbeziehung zwischen Online-Vermittlungsdiensten und gewerblichen Nutzern zu wahren oder wiederherzustellen, indem sie den Plattformen Vorgaben hinsichtlich ihrer AGB-Gestaltung macht und Transparenzpflichten auferlegt. 3 Nach Art. 1 Abs. 1 P2B-VO sowie den Erwägungsgründen 1 und 2 soll die Verordnung zu einem reibungslosen Funktionieren des Binnenmarktes beitragen. Der durch die Verordnung bezweckte Schutz gewerblicher Plattformnutzer kommt mittelbar auch den Verbrauchern zugute, die über die jeweiligen Plattformen vertriebene Waren oder Dienstleistungen der gewerblichen Nutzer nachfragen, vgl. Erwägungsgrund 3 P2BVO.3 Die Regelungen richten sich in erster Linie an Online-Vermittlungsdienste, teilweise auch an Online-Suchmaschinen. 4 Für die Regelungen zur Mediation, die im Folgenden näher beleuchtet werden, ist allein das Verhältnis gewerblicher Nutzer zu Online-Vermittlungsdiensten von Bedeutung. Online-Vermittlungsdienste sind nach der Legaldefinition des Art. 2 Nr. 2 P2B-VO Dienste der Informationsgesellschaft, die es gewerblichen Nutzern ermöglichen, Verbrauchern Waren oder Dienstleistungen anzubieten. Anbieter dieser Dienste können ge-

1 2 3

Abl. L 186, 11.7.2019, S. 57. Alexander, Anwendungsbereich, Regelungstechnik und einzelne Transparenzvorgaben der P2B-Verordnung, WRP 2020, 945. Zu den Zwecken der Verordnung siehe auch Alexander, WRP 2020, 945, 946.

246

Art. 12 der neuen EU-P2B-Verordnung

mäß Art. 2 Nr. 3 P2B-VO natürliche oder juristische Personen sein. Zwischen dem gewerblichen Nutzer und dem Diensteanbieter besteht ein Vertragsverhältnis. Erfasst vom Begriff des Online-Vermittlungsdienstes sind Online-Marktplätze, App-Stores, Preisvergleichsportale, Buchungsund Reservierungsportale sowie soziale Netzwerke, die Produkte präsentieren.4 Übersicht zu den Rechtsbeziehungen im Rahmen der P2B-VO:

5

II. Regelungen zur außergerichtlichen Streitbeilegung Neben grundsätzlichen Anforderungen an die AGB von Online-Vermitt- 6 lungsdiensten enthält die Verordnung in den Art. 11–13 P2B-VO Regelungen zur außergerichtlichen Streitbeilegung. Diese Vorschriften sollen dazu dienen, ein potenzielles Ungleichgewicht in der Vertragsbeziehung zwischen dem gewerblichen Nutzer und dem Plattformbetreiber zu beheben, indem Konfliktlösungsmöglichkeiten festgelegt werden, die beiden Parteien eine gleichrangige Beteiligung zusichern.5 Normadressaten der Regelungen zur außergerichtlichen Streitbeilegung sind Anbieter von Online-Vermittlungsdiensten:

4 5

Busch, Mehr Fairness und Transparenz in der Plattformökonomie? – Die neue P2B-Verordnung im Überblick, GRUR 2019, 788, 789. Paschke in Heckmann, jurisPK-Internetrecht, Kap. 4.3 Rz. 632.2.

247

Axel Metzger/Sven Vetter/Zora Witte

(1) Zum einen sollen diese ein internes Beschwerdemanagementsystem einrichten, Art. 11 Abs. 1 P2B-VO. (2) Zum anderen sind sie dazu aufgerufen, in ihren AGB zwei oder mehr Mediatoren zu benennen, mit denen sie bereit sind, im Falle etwaiger Streitigkeiten mit gewerblichen Nutzern zur außergerichtlichen Streitbeilegung zusammenzuarbeiten, Art. 12 Abs. 1 P2B-VO. 7 Ausgenommen von der Verpflichtung zur Einrichtung eines internen Beschwerdemanagementsystems und der Benennung von Mediatoren sind gem. Art. 11 Abs. 5, Art. 12 Abs. 7 P2B-VO Online-Vermittlungsdienste, bei denen es sich um kleine Unternehmen im Sinne des Anhangs zur Empfehlung 2003/361/EG handelt. Dies sind Plattformen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz oder Bilanzsumme nicht höher als 10 Millionen Euro ist. 8 Präferenz: Eine Konfliktlösung über das interne Beschwerdemanagementsystem hat grundsätzlich Vorrang gegenüber einer Mediation. Dies folgt aus Art. 12 Abs. 1 P2B-VO, wonach die Mediation bei Beschwerden eingesetzt werden soll, die nicht mit den in Art. 11 P2B-VO genannten Mitteln des internen Beschwerdemanagementsystems gelöst werden können. Gewerblichen Nutzern soll gemäß Art. 11 Abs. 1 UAbs. 2 P2BVO zunächst die Möglichkeit gewährt werden, ihre Beschwerden hinsichtlich einer Nichteinhaltung der durch die Verordnung auferlegten Pflichten, technischer Probleme oder Maßnahmen der Plattform im Zusammenhang mit ihrem Vermittlungsdienst direkt bei dem betreffenden Anbieter einzureichen. Können Konflikte nicht über das interne Beschwerdemanagementsystem gelöst werden, kommt die Mediation als Streitbeilegungsverfahren in Betracht. 9 Ziel: Das zweistufige System der Konfliktlösung ist darauf ausgelegt, Streitigkeiten möglichst außergerichtlich beizulegen. Es soll den Anbietern von Online-Vermittlungsdiensten Flexibilität beim Umgang mit Konflikten gewähren und den Verwaltungsaufwand reduzieren, vgl. Erwägungsgrund 38 P2B-VO. Gerichtsverfahren dauern häufig allein in erster Instanz über ein Jahr und verursachen für die beteiligten Parteien höhere Kosten als eine außergerichtliche Streitbeilegung.6 Darüber hinaus sind sie an gewisse Formalitäten gebunden, was eine flexible Konfliktlösung erschweren kann. Im Online-Bereich kommt hinzu, dass die Aufarbeitung und rechtliche Beurteilung speziell technischer Sachver6

Vgl. Erwägungsgrund 40 P2B-VO: „Die Mediation bietet Anbietern von Online-Vermittlungsdiensten und deren gewerblichen Nutzern eine Möglichkeit, Streitigkeiten zufriedenstellend beizulegen, ohne ein Gerichtsverfahren anstrengen zu müssen, das langwierig und kostspielig sein kann.“.

248

Art. 12 der neuen EU-P2B-Verordnung

halte die Ressourcen staatlicher Gerichte überschreiten können. Zwar können im Verfahren technische Sachverständige hinzugezogen werden. Die Erstellung spezieller Gutachten ist jedoch wiederum zeitaufwendig und verursacht zusätzliche Kosten. Die außergerichtliche Streitbeilegung bietet gegenüber einem Gerichts- 10 verfahren neben Zeit- und Kostenvorteilen eine größere Flexibilität sowie die Möglichkeit, von der technischen Kompetenz und praktischen Erfahrung der ausgewählten Mediatoren zu profitieren. Zudem ist eine einvernehmliche Lösung von Konflikten aufgrund des freiwilligen Charakters der Mediation (vgl. Art. 12 Abs. 3 P2B-VO) wahrscheinlicher als bei einem gerichtlichen Verfahren. Der Regelungszweck, gerichtliche Verfahren möglichst von vornherein 11 zu vermeiden, wird außerdem durch Art. 13 P2B-VO deutlich. Die Vorschrift enthält eine Aufforderung an Anbieter von Online-Vermittlungsdiensten, Organisationen zu gründen, die spezielle Mediationsdienste anbieten. Damit soll die außergerichtliche Streitbeilegung als kostengünstige und effiziente Alternative zum staatlichen Gerichtsverfahren zunehmend institutionalisiert und professionalisiert werden. III. Auslegung der Anforderungen aus Art. 12 P2B-VO 1. Schlichtungsstelle als Mediator Der Wortlaut des Art. 12 Abs. 1 P2B-VO legt nahe, dass als Mediatoren 12 natürliche Personen benannt werden sollen. Dort heißt es, dass zwei oder mehr Mediatoren von den Anbietern der Online-Vermittlungsdienste angegeben werden sollen, mit denen diese bereit sind, im Konfliktfall zusammenzuarbeiten. Daran anknüpfend stellt sich die Frage, ob auch die Benennung einer Schlichtungsstelle in den Nutzungsbedingungen des Plattformbetreibers den Anforderungen des Art. 12 P2B-VO genügt. Eine solche Angabe würde schließlich mittelbar auf sämtliche in der Datenbank der jeweiligen Schlichtungsstelle gelisteten Personen verweisen. Definition „Mediator“: Nach Art. 3 lit. b der Mediationsrichtlinie 13 2008/52/EG7 ist ein Mediator „eine dritte Person, die ersucht wird, eine Mediation auf wirksame, unparteiische und sachkundige Weise durchzuführen, unabhängig von ihrer Bezeichnung oder ihrem Beruf und der Art und Weise, in der sie für die Durchführung der Mediation benannt 7

Richtlinie 2008/52/EG des Europäischen Parlaments und des Rates vom 21. Mai 2008 über bestimmte Aspekte der Mediation in Zivil- und Handelssachen, Abl. L 136, 24.5.2008, S. 3.

249

Axel Metzger/Sven Vetter/Zora Witte

oder mit dieser betraut wurde.“ Eine Mediation ist nach der Legaldefinition in Art. 3 lit. a Satz 1 der Mediationsrichtlinie „ein strukturiertes Verfahren unabhängig von seiner Bezeichnung, in dem zwei oder mehr Streitparteien mit Hilfe eines Mediators auf freiwilliger Basis selbst versuchen, eine Vereinbarung über die Beilegung ihrer Streitigkeiten zu erzielen.“ Zwar handelt es sich bei einem Mediator demnach stets um eine natürliche Person. Allerdings spricht der Umstand, dass ein Mediator auf unterschiedliche Weise mit der Mediation betraut werden oder für deren Durchführung benannt werden kann, jedenfalls dafür, dass eine Benennung auch durch eine neutrale Schlichtungsstelle erfolgen kann. Damit könnte nicht zuletzt die maßgebliche Zielvorgabe, „ein strukturiertes Verfahren“ auf „wirksame, unparteiische und sachkundige Weise“ durchzuführen, gewährleistet werden. Dies wäre insbesondere dann der Fall, wenn die benannte Stelle über langjährige Erfahrung verfügt und eine Datenbank führt, um für jeden Einzelfall spezialisierte Mediatoren benennen zu können. Ein Verweis auf die Schlichtungsstelle würde stets einen Verweis auf eine Vielzahl qualifizierter Mediatoren enthalten. 14 Definition „öffentlicher Mediator“: Auch Erwägungsgrund 40 P2B-VO enthält bezüglich der Frage, ob die Benennung einer institutionalisierten Schlichtungsstelle den Anforderungen des Art. 12 P2B-VO genügt, keine eindeutige Aussage. Nach Satz 2 sollen Anbieter von Online-Vermittlungsdiensten „mindestens zwei private oder öffentliche Mediatoren“ benennen. Wer „öffentlicher Mediator“ ist, wird in der Verordnung allerdings nicht näher bestimmt. Die Beschreibung bezieht sich auf den Mediator selbst und nicht auf die Mediation, die ansonsten etwa als „öffentliches Verfahren“ oder „Mediation im öffentlichen Bereich“ verstanden werden könnte. Die Vermutung liegt nahe, dass ein solcher Mediator einer öffentlichen Institution angehören oder zumindest Mitglied in einem öffentlichen Verband sein muss. Nach dieser Lesart enthält Erwägungsgrund 40 P2B-VO immerhin einen mittelbaren Hinweis auf entsprechende Organisationen. 15 „Organisationsdienste“: Gem. Art. 13 P2B-VO kann die Kommission Online-Vermittlungsdienste beziehungsweise die sie vertretenden Organisationen und Verbände auffordern, Organisationsdienste zu gründen, die Mediationsdienste anbieten. Dies spricht ebenfalls für die Möglichkeit zur Nennung einer Schlichtungsstelle. Besteht die Möglichkeit zur Einrichtung von organisierten Stellen und wird deren Gründung von der Verordnung bzw. der Kommission sogar ausdrücklich gefordert, ist es nur konsequent, wenn ein Verweis auf eine ebensolche Stelle auch im Rahmen von Art. 12 P2B-VO möglich ist. Die Benennung von Mediatoren

250

Art. 12 der neuen EU-P2B-Verordnung

soll sicherstellen, dass für den Konfliktfall eine Anlaufstelle feststeht. Eine solche Anlaufstelle stellt eine Schlichtungsstelle gerade dar. 2. Vorteile der Nennung einer Schlichtungsstelle Die Benennung von Schlichtungsstellen bietet gegenüber der Nennung 16 von einzelnen Mediatoren erhebliche Vorteile für den Online-Vermittlungsdienst und seine Nutzer. Zwar müssen bei Nennung einer Schlichtungsstelle die Mediatoren erst ausgewählt werden und sind zuvor noch nicht bekannt. Sie sind dementsprechend auch nicht sofort erreichbar. Transparenz und Unmittelbarkeit der Bestimmung könnten somit beeinträchtigt sein. Das Argument der Unmittelbarkeit fällt gegenüber den Vorteilen der 17 Nennung einer Schlichtungsstelle allerdings nicht ins Gewicht. Professionelle Schlichtungsstellen bearbeiten Anfragen in der Regel sehr zügig, meist innerhalb eines Tages. Schließlich besteht gerade hierin ihre zentrale Aufgabe. Auch die Kommunikation zwischen der Schlichtungsstelle und angefragten Mediatoren verursacht kaum eine zeitliche Verzögerung, da die in der Datenbank geführten Personen hierauf vorbereitet sind. Im Übrigen müssten auch in den AGB genannte natürliche Personen erst angefragt werden. Werden diese – anders als bei der Vermittlung durch eine Schlichtungsstelle – nicht regelmäßig eingesetzt, könnte die vorbereitende Kommunikation mitunter sogar länger dauern als bei der Vermittlung durch eine Schlichtungsstelle. Hinsichtlich des Transparenzarguments ist einzugestehen, dass für ge- 18 werbliche Nutzer von Online-Vermittlungsdiensten bei der Angabe einer Schlichtungsstelle in den AGB noch nicht absehbar ist, welche natürlichen Personen letztlich zum Einsatz kommen könnten. Dieses Minus an Transparenz schafft aber ein Plus an Vertrauen und Neutralität: Es hat nicht der Vertragspartner selbst einzelne Personen bereits vorausgewählt, sondern die Auswahl der Mediatoren erfolgt durch eine neutrale Stelle, die hierfür professionelle Strukturen unterhält. Anders als bei der Benennung einzelner, natürlicher Personen durch den Online-Vermittlungsdienst, kann die Schlichtungsstelle ihrerseits auf die Benennung von Schlichtern achten, die aus der Sicht beider Parteien vertrauenswürdig und neutral sind. Auch können etwaige Interessenkonflikte im Vorfeld der Benennung abgeklärt werden. Die Benennung einer Schlichtungsstelle eröffnet für den Nutzer des Online-Vermittlungsdienstes also ein stärkeres Mitspracherecht bei der Benennung des Schlichters.

251

Axel Metzger/Sven Vetter/Zora Witte

19 Kostenfaktoren: Auch entstehen durch die Vermittlung durch eine solche Stelle als Dienstleistung kaum zusätzliche Kosten.8 Zu bedenken ist, dass Anbieter von Online-Vermittlungsdiensten häufig selbst erst einmal nach geeigneten Mediatoren recherchieren und diese um Erlaubnis zur Nennung in ihren AGB bitten müssen. Dies hat in der Praxis bereits dazu geführt, dass die Unternehmen bei spezialisierten Schlichtungsstellen um Rat fragen und dabei bereit sind, entsprechende Empfehlungen zu vergüten. Vor allem aber ist die Angabe natürlicher Personen denkbar unflexibel und bedarf regelmäßiger Prüfung und Anpassung. Hierdurch entstehen zusätzliche Kosten. Demgegenüber steht der Schlichtungsstelle eine Vielzahl hochspezialisierter Expertinnen und Experten unterschiedlicher Fachgebiete zur Verfügung, die in einer über viele Jahre aufgebauten und kontinuierlich erweiterten Datenbank geführt werden. Somit ist auch bei ungewöhnlichen technischen Fragestellungen die fachliche Kompetenz und Erfahrung jederzeit gewährleistet. Dies wiederum würde der in Erwägungsgrund 5 P2B-VO geäußerten Befürchtung Rechnung tragen, dass ein Mangel an spezialisierten Mediatoren besteht. Könnte auf eine Schlichtungsstelle verwiesen werden, wäre sichergestellt, dass besonders qualifizierte Mediatoren für den konkreten Einzelfall zur Verfügung stehen. 20 Eine organisierte Stelle, die solche Vermittlungsdienste schon seit vielen Jahren anbietet, kann im Konfliktfall stets zügige und professionelle Unterstützung bieten. Die bezweckte Vermeidung hoher Kosten durch langwierige Verhandlungen oder sogar gerichtliche Verfahren (nach gescheiterter Mediation) wird dadurch insgesamt wahrscheinlicher. Im Übrigen sind die Vermittlungsgebühren einer Schlichtungsstelle in der Regel überschaubar und machen im Vergleich zu der in jedem Fall zu zahlenden Vergütung für die eingesetzten Mediatoren nur einen geringen Anteil der Gesamtkosten aus, der sich aus den genannten Erwägungen schnell rentieren kann.9 8 9

A.A.: Töben, Mediationsklauseln, RNotZ 2013, 321, 325. Die Schlichtungsstelle IT der Deutschen Gesellschaft für Recht und Informatik (DGRI) verlangt beispielsweise eine streitwertunabhängige Einleitungsgebühr in Höhe von 1.000 Euro. Der Stundensatz für juristische Schlichterinnen und Schlichter sowie IT-Sachverständige beträgt zwischen 200 und 400 Euro. Zum Vergleich: In einer Modellrechnung für einen Fall mit einem Streitwert von 450.000 Euro, den ein juristischer Einzelschlichter mit einem Zeitaufwand von 40 Stunden bei einem Stundensatz von 250 Euro verhandelt, liegen die Gesamtkosten des Verfahrens bei 11.000 Euro – und damit kaum höher als die geschätzten Kosten eines gerichtlichen Verfahrens allein in erster Instanz und ohne technische Gutachten sowie deutlich niedriger als die Kosten eines DIS- oder ICC-Schiedsverfahrens.

252

Art. 12 der neuen EU-P2B-Verordnung

Freiwilligkeit: Art. 12 Abs. 3 P2B-VO betont ausdrücklich die Freiwillig- 21 keit der Mediation. Diese Freiwilligkeit ist umfassend zu verstehen und gilt für alle Aspekte der außergerichtlichen Streitbeilegung. Sie spricht demnach auch dafür, den Online-Vermittlungsdiensten einen gewissen Spielraum bei der Gestaltung der Mediatorenbenennung in den AGB zuzugestehen. Zweck der Mediationsregelungen ist es, Streitigkeiten beizulegen, ohne 22 ein langwieriges und kostenintensives Gerichtsverfahren anstrengen zu müssen, vgl. Erwägungsgrund 40 P2B-VO. Insbesondere soll durch die Benennung von Mediatoren der Einstieg in eine Mediation erleichtert werden. Die Abwicklung über eine Schlichtungsstelle stünde keinem der genannten Zwecke entgegen. Es wäre erkennbar, an wen sich die Parteien wenden könnten. Geeignete Personen könnten zügig und vertrauenswürdig vermittelt werden. Qualitätskontrolle: Auch Erwägungsgrund 16 und Art. 4 der Mediations- 23 richtlinie sprechen für die Möglichkeit zur Nennung einer Schlichtungsstelle. Demnach sollen die Mitgliedsstaaten wirksame Mechanismen zur Qualitätskontrolle in Bezug auf die Erbringung von Mediationsdiensten einrichten, insbesondere um die Vertraulichkeit und die Anerkennung von Mediationsverfahren zu sichern. Bei Inanspruchnahme der Mediationsdienste, die durch eine anerkannte Stelle vermittelt werden, sind diese Qualitätsstandards in besonderem Maße gesichert. 3. Andere Fälle einer Mediationspflicht Regelungen hinsichtlich alternativer Streitbeilegungsmechanismen 24 trifft auch die Verordnung über die Online-Streitbeilegung in Verbraucherangelegenheiten.10 Konflikte zwischen Verbrauchern und Unternehmern, die im Rahmen von Online-Kaufverträgen oder Online-Dienstleistungsverträgen auftreten, sollen über alternative Streitbeilegungsstellen gelöst werden, vgl. Erwägungsgründe 16 und 17 sowie Art. 2 Abs. 1 VO (EU) Nr. 524/2013. Die Parteien sollen sich nach Art. 9 Abs. 3 lit. a VO (EU) Nr. 524/2013 auf eine im Streitfall zuständige alternative Streitbeilegungsstelle einigen. Auch das Verbraucherstreitbeilegungsgesetz sowie beispielsweise § 111b 25 Abs. 1 Satz 1 EnWG sehen im Fall von Streitigkeiten zwischen Unternehmen und Verbrauchern die Anrufung einer Schlichtungsstelle vor. 10 Verordnung (EU) Nr. 524/2013 des Europäischen Parlaments und des Rates vom 21. Mai 2013 über die Online-Beilegung verbraucherrechtlicher Streitigkeiten, Abl. L 165, 18.6.2013, S. 1.

253

Axel Metzger/Sven Vetter/Zora Witte

26 Zwar betreffen die genannten Fälle das Verhältnis von Verbrauchern zu Unternehmern. Allerdings spricht die Möglichkeit der Benennung von Stellen in diesem Bereich dafür, dass es als besonders flexibel und effizient angesehen wird, Konflikte unter Zuhilfenahme einer Schlichtungsstelle zu lösen. Sehen sogar tendenziell strengere, verbraucherschützende Regelungen den Einsatz von Stellen vor, sollte dies erst recht für das Verhältnis zwischen Unternehmern gelten. 4. Schlichtungsstelle der DGRI für den Bereich der IT-Schlichtung 27 Für den vorliegenden Bereich sowie den IT-Bereich allgemein würde sich eine Nennung der Schlichtungsstelle IT der Deutschen Gesellschaft für Recht und Informatik (DGRI) anbieten. Die Schlichtungsstelle IT wurde im Jahr 1991 eingerichtet, um ein Verfahren zur Lösung rechtlicher Konflikte im Rahmen technischer Sachverhalte anzubieten und weist somit mittlerweile eine fast dreißigjährige Erfahrung auf. Insbesondere würde die Schlichtungsstelle IT die sich aus Art. 12 Abs. 2 P2B-VO ergebenden Voraussetzungen erfüllen. Als neutrale, unabhängige Instanz sichert sie ein vertrauliches Verfahren, sodass technisches Know-how und Unternehmensinterna geschützt bleiben. Darüber hinaus sind die Mediationsdienste für gewerbliche Nutzer erschwinglich, da die Kosten gering und kalkulierbar bleiben.11 28 Die durchschnittliche Verfahrensdauer erfolgreich beendeter Verfahren beträgt ca. 7 Monate. 29 Zur Suche einvernehmlicher Lösungen wird ein fachlich kompetentes Schlichtungsteam ausgewählt. Hierfür betreibt die Schlichtungsstelle IT eine Datenbank, in der besonders qualifizierte IT-Sachverständige und im IT-Recht spezialisierte Juristen geführt werden. 30 Die durchgeführten Verfahren führen in weit mehr als der Hälfte der Fälle zu einer Einigung der Parteien. Kann eine einvernehmliche Lösung nicht erzielt werden, so können zumindest die mit dem Sachverhalt befassten IT-Sachverständigen in weitergehenden Verhandlungen oder zur Vorbereitung eines gerichtlichen Verfahrens eingesetzt werden.

11 Vgl. Fn. 9.

254

Art. 12 der neuen EU-P2B-Verordnung

IV. Zusammenfassung Zwar legt der Wortlaut des Art. 12 P2B-VO nahe, dass natürliche Perso- 31 nen als Mediatoren benannt werden sollen. Ein Verweis auf eine organisierte Stelle und damit mittelbar auf die bei dieser gelisteten Mediatoren steht dem Sinn und Zweck der Regelung allerdings nicht entgegen. Im Konfliktfall stünde fest, an wen sich die Parteien wenden können. Über eine Schlichtungsstelle könnte das Ziel einer professionellen, unparteiischen und sachkundigen Konfliktlösung sogar besonders effizient verwirklicht werden. Die besseren Argumente sprechen mithin dafür, die Benennung einer Schlichtungsstelle im Rahmen des Art. 12 P2B-VO zuzulassen. Dies würde sowohl Anbietern von Online-Vermittlungsdiensten als auch den gewerblichen Nutzern dieser Dienste im Vergleich zur Benennung einzelner Mediatoren sogar einige Vorteile hinsichtlich Zeit- und Kostenaufwand, Flexibilität und Expertise bieten und damit den zentralen Erwägungen des Verordnungsgebers entsprechen.

255

Verfassungswandel durch Digitalisierung – Digitale Souveränität als verfassungsrechtliches Leitbild Enrico Peuker* I. Verfassungsversprechen II. Digitalisierung als Anstoß des Wandels III. Verfassungsdynamiken

1 4 7

IV. Verfassungswandel durch Digitalisierung 1. Phänomenologisches Verständnis des Verfassungswandels 10 2. Leitbild digitaler Souveränität a) Leitbilder im Verfassungsrecht 13 b) Digitale Souveränität als politisches Programm 15

c) Digitale Souveränität in den 21 Nachbarwissenschaften d) Digitale Souveränität als verfassungsrechtliches Leitbild 23 3. Digitale Infrastrukturen 28 a) Infrastrukturverantwortung und Breitbandausbau 29 b) IT-Sicherheit 32 4. „Digitale“ Grundrechte a) Grundrechtsentwicklungen 36 b) Interpretation 37

c) Innovation d) Kodifikation

39 40

Literatur: Bäcker, M., Die Vertraulichkeit der Internetkommunikation, in: Rensen/ Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts. Erörtert von den wissenschaftlichen Mitarbeitern. Band I, 2009, S. 99–136; Badura, Verfassungsänderung, Verfassungswandel, Verfassungsgewohnheitsrecht, in: Isensee/ Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland. Band VII: Normativität und Schutz der Verfassung – Internationale Beziehungen, 1992, § 160; Becker, U./Kersten, Phänomenologie des Verfassungswandels. Eine verfassungstheoretische und rechtsdogmatische Perspektiverweiterung anlässlich der demografischen Entwicklung, AöR 141 (2016), 1–39; Böckenförde, E.-W., Anmerkungen zum Begriff Verfassungswandel, in: Badura/Scholz (Hrsg.), Wege und Verfahren des Verfassungslebens. Festschrift für Peter Lerche zum 65. Geburtstag, 1993, S. 3–14; Böckenförde, T., Auf dem Weg zur elektronischen Privatsphäre. Zugleich Besprechung von BVerfG, Urteil v. 27.2.2008 – „Online-Durchsuchung“, JZ 2008, 925–939; Bollmann/Heibach (Hrsg.), Kursbuch Internet. Anschlüsse an Wirtschaft und Politik, Wissenschaft und Kultur, Reinbek 1998; Braun, Leitbilder im Recht, 2015; Brennen/Kreiss, Art. Digitalization, in: Klaus/Bruhn/Jensen u. a. (Hrsg.), The International Encyclopedia of Communication Theory and Philosophy,

*

PD Dr. Enrico Peuker, Berlin. Der Beitrag des Verfassers ist eine Kurzvorstellung seiner mit dem Wissenschaftspreis 2019 der Deutschen Stiftung für Recht und Informatik ausgezeichneten Habilitationsschrift, die 2020 unter gleichlautendem Titel in der Jus Publicum-Reihe des Tübinger Verlags Mohr Siebeck (Band 286) erschienen ist.

257

Enrico Peuker 2016; Britz, Informationelle Selbstbestimmung zwischen rechtswissenschaftlicher Grundsatzkritik und Beharren des Bundesverfassungsgerichts, in: Wolfgang Hoffmann-Riem, Offene Rechtswissenschaft. Ausgewählte Schriften von Wolfgang Hoffmann-Riem mit begleitenden Analysen, 2010, S. 561–596; Britz, Vertraulichkeit und Integrität informationstechnischer Systeme. Einige Fragen zu einem „neuen Grundrecht“, DÖV 2008, 411–415; Bronsema, Medienspezifischer Grundrechtsschutz der elektronischen Presse. Darstellung des Grundrechtsschutzes in der Europäischen Union und Entwicklung eines Lösungsansatzes für den Grundrechtsschutz aus Art. 5 Abs. 1 GG, 2008; Brosius-Gersdorf, Wettbewerb auf der Schiene? Zu den verfassungsrechtlichen Rahmenbedingungen für den Eisenbahnsektor im Vergleich zum Post- und Telekommunikationssektor, DÖV 2002, 275–283; Bryde, Verfassungsentwicklung. Stabilität und Dynamik im Verfassungsrecht der Bundesrepublik Deutschland, 1982; Bull, Informationelle Selbstbestimmung – Vision oder Illusion? Datenschutz im Spannungsverhältnis von Freiheit und Sicherheit, 2. Aufl. 2011; Busch/Jakobi, Die Erfindung eines neuen Grundrechts. Zu Konzept und Auswirkungen der „informationellen Selbstbestimmung“, in: Hönnige/Kneip/ Lorenz (Hrsg.), Verfassungswandel im Mehrebenensystem, 2011, S. 297–320; DauLin, Die Verfassungswandlung, 1932; Di Fabio, Grundrechtsgeltung in digitalen Systemen. Selbstbestimmung und Wettbewerb im Netz, 2016; Dickel/Schrape, Dezentralisierung, Demokratisierung, Emanzipation. Zur Architektur des digitalen Technikutopismus, Leviathan 43 (2015), 442–463; Dörr, Die Anforderungen an ein zukunftsfähiges Infrastrukturrecht, VVDStRL 73 (2014), 323–367; Eifert, Informationelle Selbstbestimmung im Internet. Das BVerfG und die Online-Durchsuchungen, NVwZ 2008, 521–523; Eifert, Grundversorgung mit Telekommunikationsleistungen im Gewährleistungsstaat, 1998; Enzensberger, Wehrt Euch!, in: Frank Schirrmacher (Hrsg.), Technologischer Totalitarismus. Eine Debatte, Berlin 2014, S. 70–74 (zuvor abgedruckt in FAZ v. 1.3.2014, Nr. 51, S. 9); Fischer/Hofer, Lexikon der Informatik, 15. Aufl. 2011; Franzius, Wo bleibt der Staat? Das Modell der Universaldienste und seine Alternativen, ZG 2010, 66–77; Freund, M., Infrastrukturgewährleistung in der Telekommunikation, NVwZ 2003, 408–415; Goldsmith, Jack L., Against Cyberanarchy, University of Chicago Law Review 65 (1998), 1199–1250; Greve, Access-Blocking – Grenzen staatlicher Gefahrenabwehr im Internet, 2012; Hermes, Staatliche Infrastrukturverantwortung. Rechtliche Grundstrukturen netzgebundener Transport- und Übertragungssysteme zwischen Daseinsvorsorge und Wettbewerbsregulierung am Beispiel der leitungsgebundenen Energieversorgung in Europa, 1998; Hesse, Grenzen der Verfassungswandlung, in: Horst Ehmke u. a. (Hrsg.), Festschrift für Ulrich Scheuner zum 70. Geburtstag, 1973, S. 123–141; Hesse, Die normative Kraft der Verfassung. Freiburger Antrittsvorlesung, Tübingen 1959; Hillgruber, Verfassungsrecht zwischen normativem Anspruch und politischer Wirklichkeit, VVDStRL 67 (2008), 7–56; Hoffmann-Riem, Selbstregelung, Selbstregulierung und regulierte Selbstregulierung im digitalen Kontext, in: Fehling/ Schliesky (Hrsg.), Neue Macht- und Verantwortungsstrukturen in der digitalen Welt, 2016, S. 27–51; Hoffmann-Riem, Freiheitsschutz in den globalen Kommunikationsinfrastrukturen, JZ 2014, 53–63; Hoffmann-Riem, Der grundrechtliche Schutz der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme, JZ 2008, 1009–1022; Hoffmann u. a., Die digitale Dimension der Grundrechte. Das Grundgesetz im digitalen Zeitalter, 2015; Holznagel, Die Zukunft der Mediengrundrechte in Zeiten der Konvergenz, MMR 2011, 1–2; Holznagel, Inter-

258

Verfassungswandel durch Digitalisierung netdienstefreiheit und Netzneutralität, AfP 2011, 532–329; Holznagel/Beine, Rechtsrahmen staatlicher Breitbandförderung. Herausforderungen für Bund, Länder und Kommunen im „Regelungsgestrüpp“, MMR 2015, 567–571; Hornung, Grundrechtsinnovationen, 2015; Hubig, Historische Wurzeln der Technikphilosophie, in: Hubig/Huning/Ropohl (Hrsg.), Nachdenken über Technik. Die Klassiker der Technikphilosophie und neuere Entwicklungen, 3. Aufl. 2013, S. 19–40; Jacob/Thiel, Einleitung, in: Jacob/Thiel (Hrsg.), Politische Theorie und Digitalisierung, 2017 S. 7–25; Jellinek, Verfassungsänderung und Verfassungswandlung. Eine staatsrechtlich-politische Abhandlung, 1906 (hier zitiert nach der von Walter Pauly 1996 im Goldbacher Keip-Verlag als Band 1 der Bibliothek des Öffentlichen Rechts herausgegebenen Fassung); Johnson/Post, Law and Borders. The Rise of Law in Cyberspace, Stanford Law Review 48 (1996), 1367–1402; Kersten, Anonymität in der liberalen Demokratie, JuS 2017, 193–203; Kersten, Universaldienste in einer schrumpfenden Gesellschaft, DVBl. 2006, 942–949; Koreng, Zensur im Internet. Der verfassungsrechtliche Schutz der digitalen Massenkommunikation, 2010; Koschmieder, Grundrechtliche Dynamisierungsprozesse. Zur verfassungsrechtlichen Reflexion gesellschaftlicher Entwicklungen von Partnerschaft und Familie durch grundrechtliche Tatbestände, 2016; Krisor-Wietfeld, Rahmenbedingungen der Grundrechtsausübung – insbesondere zu öffentlichen Foren als Rahmenbedingungen der Versammlungsfreiheit, 2016; van Laak, Der Begriff „Infrastruktur“ und was er vor seiner Erfindung besagte, Archiv für Begriffsgeschichte 41 (1999), 280–299; Laband, Die Wandlungen der deutschen Reichsverfassung. Vortrag gehalten in der Gehe-Stiftung zu Dresden am 16.3.1895, 1985; Leisterer, Internetsicherheit in Europa. Zur Gewährleistung der Netz- und Informationssicherheit durch Informationsverwaltungsrecht, 2018; Lenski, Personenbezogene Massenkommunikation als verfassungsrechtliches Problem. Das allgemeine Persönlichkeitsrecht in Konflikt mit Medien, Kunst und Wissenschaft, 2007; Lepsius, Das Computer-Grundrecht: Herleitung – Funktion – Überzeugungskraft, in: Roggan (Hrsg.), Online-Durchsuchungen. Rechtliche und tatsächliche Konsequenzen des BVerfG-Urteils vom 27.2.2008, Berlin 2008, S. 21–56; Lessig, The Zones of Cyberspace, Stanford Law Review 48 (1996), 1403–1411; Masing, Kontinuität und Diskontinuität: Die Verfassungsänderung, Der Staat 44 (2005), 1–17; Mecklenburg, Internetfreiheit, ZUM 1997, 525–543; Michael, Die verfassungswandelnde Gewalt, RW 2014, 426–480; Möhlen, Das Recht auf Versammlungsfreiheit im Internet. Anwendbarkeit eines klassischen Menschenrechts auf neue digitale Kommunikations- und Protestformen, MMR 2013, 221–230; Müller, Thesen zur Struktur von Rechtsnormen, ARPS 56 (1970), 493–509; Müller, Normstruktur und Normativität. Zum Verhältnis von Recht und Wirklichkeit in der juristischen Hermeneutik, entwickelt an Fragen der Verfassungsinterpretation, 1966; Neubert, Grundrechtliche Schutzpflichten des Staates gegen grundrechtsbeeinträchtigende Maßnahmen fremder Staaten am Beispiel der Überwachung durch ausländische Geheimdienste, AöR 140 (2015), 267–304; Papier, Rechtsstaatlichkeit und Grundrechtsschutz in der digitalen Gesellschaft, NJW 2017, 3025– 3031; Reents, Ausbau und Finanzierung einer flächendeckenden Breitbandversorgung in Deutschland, 2016; Rozek, Verfassungsrevision, in: Isensee/Kirchhof (Hrsg.), Handbuch des Staatsrechts der Bundesrepublik Deutschland. Band XII: Normativität und Schutz der Verfassung, 3. Aufl. 2014, § 257; Schelsky, Der Mensch in der wissenschaftlichen Zivilisation, 1961; Schlink, Die Bewältigung der wissenschaftlichen und technischen Entwicklungen durch das Verwaltungsrecht, VVDStRL 48

259

Enrico Peuker (1990), S. 235–264; Schmidt-Aßmann, Das allgemeine Verwaltungsrecht als Ordnungsidee. Grundlagen und Aufgaben der verwaltungsrechtlichen Systembildung, 2. Aufl., 2006; Schneider, H.-J. (Hrsg.), Lexikon der Informatik und Datenverarbeitung, 4. Aufl. 1997; Schoch, Öffentlich-rechtliche Rahmenbedingungen einer Informationsordnung, VVDStRL 57 (1998), 158–215; Sinder, Versammlungsfreiheit unter Pandemiebedingungen, NVwZ 2021, 103; Sonntag, IT-Sicherheit kritischer Infrastrukturen. Von der Staatsaufgabe zur rechtlichen Ausgestaltung, 2005; Steinmüller u. a., Grundfragen des Datenschutzes. Gutachten im Auftrag des Bundesministeriums des Innern, BT-Drs. VI/3826, S. 5–193; Steinmüller, Das informationelle Selbstbestimmungsrecht – Wie es entstand und was man daraus lernen kann, RDV 2007, 158–161; Thiel, Internet und Souveränität, in: Volk/Kuntz (Hrsg.), Der Begriff der Souveränität in der transnationalen Konstellation, 2014, S. 215–239; Vogelsang, Kommunikationsformen des Internetzeitalters im Lichte der Kommunikationsfreiheiten des Grundgesetzes, 2017; Volkmann, Leitbildorientierte Verfassungsanwendung, AöR 134 (2009), 157–196; Voßkuhle, Neue Verwaltungsrechtswissenschaft, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), Grundlagen des Verwaltungsrechts. Band I: Methoden, Maßstäbe, Aufgaben, Organisation, 2. Aufl. 2012, § 1; Voßkuhle, Gibt es und wozu nutzt eine Lehre vom Verfassungswandel?, Der Staat 43 (2004), 450–459; Voßkuhle, Der „Dienstleistungsstaat“. Über Nutzen und Gefahren von Staatsbildern, Der Staat 40 (2001), 495–523; Welzel, Virtuelle Versammlungsfreiheit in Zeiten der Pandemie, MMR 2021, 220; Wieacker, Recht und Automation, in: Bettermann/Zeuner (Hrsg.), Festschrift für Eduard Bötticher zum 70. Geburtstag am 29.12.1969, 1969, S. 383–404; Wihl, Die Entwicklung „neuer“ Grundrechte: Das Volkszählungs-Urteil und das Urteil zur Online-Durchsuchung, in: Grimm (Hrsg.), Vorbereiter – Nachbereiter? Studien zum Verhältnis von Verfassungsrechtsprechung und Verfassungsrechtswissenschaft, 2019, S. 307–338; Wißmann, Die Anforderungen an ein zukunftsfähiges Infrastrukturrecht, VVDStRL 73 (2014), 369–427; Wolff, Ungeschriebenes Verfassungsrecht unter dem Grundgesetz, 2000; Wu, Cyberspace Sovereignty? The Internet and the International System, Harvard Journal of Law & Technology 10 (1997), 647–666; Würtenberger, Verfassungsänderungen und Verfassungswandel des Grundgesetzes, in: Helmut Neuhaus (Hrsg.), Verfassungsänderungen. Tagung der Vereinigung für Verfassungsgeschichte in Hofgeismar vom 15. bis 17.3.2010, 2012, S. 287–305

I. Verfassungsversprechen 1 Verfassungen versprechen Stabilität. Als rechtliche Grundordnung des Gemeinwesens sollen sie den fluiden politischen und sozialen Prozessen Struktur und Orientierung vermitteln sowie Grenzen setzen. Indem eine Verfassung etwa änderungsfeste Gehalte bestimmt und prozedurale Revisionserschwernisse aufstellt, rüstet sie sich gegen allzu ungestüme Zugriffe des Zeitgeistes in Gestalt der verfassungsändernden Gewalt. Der Schutz des Vertrauens in die Unverbrüchlichkeit der Verfassung ist nach einer klassischen Lesart aber kein Selbstzweck, sondern Funktionsbedingung ihrer normativen Kraft. Der normative Geltungs- und Gestaltungsanspruch der Verfassung werde durch faktische Änderungen der Macht-

260

Verfassungswandel durch Digitalisierung

verhältnisse oder sonstiger Rahmenbedingungen im Verfassungsstaat abgelöst, wo wirklich oder vermeintlich zwingende tatsächliche Erfordernisse höher bewertet würden als die geltenden normativen Regelungen.1 Nicht minder klassisch und plausibel ist jedoch der Hinweis auf die dro- 2 hende Versteinerung des Verfassungsrechts infolge einer unterbliebenen Anpassung an veränderte Rahmenbedingungen. Wo die Verfassung zum Fossil erstarrt, hemmt sie notwendige Verfassungsentwicklungen „aus der erloschenen Autorität längst verstorbener Generationen“2, provoziert Umgehungsstrategien und büßt ihr Steuerungspotential ein. Aus dieser Warte erweist sich die Anpassungsfähigkeit einer Verfassung an geänderte Verhältnisse als der eigentliche Garant ihrer Kontinuität und Legitimität. Daher gilt gleichermaßen: Verfassungen verlangen Flexibilität. Deutlicher noch: Die Verfassung gewinnt ihre Stabilität gerade durch Flexibilität. Es besteht somit ein Verweisungszusammenhang von Stabilität und Fle- 3 xibilität sowie von Verfassung und Verfassungswirklichkeit, der einen Ausgleich zwischen den widerstreitenden Prinzipien aufgibt und durch den sich eine Dynamik von Verfassung und Verfassungsrecht durch maßvolle, aber hinreichende Anpassungen an geänderte Verhältnisse in der Verfassungswirklichkeit entfaltet. II. Digitalisierung als Anstoß des Wandels Die Digitalisierung bewirkt grundlegende Veränderungen im Verfas- 4 sungsstaat des Grundgesetzes, deren umfassende Analyse bislang aussteht. Die hier vorgestellte Studie versteht Digitalisierung nicht vorrangig in einem technischen Sinne als die Überführung messbarer analoger Größen in diskrete, häufig binär codierte und damit computerlesbare Werte.3 Digitalisierung dient vielmehr als Chiffre für einen umfassenden gesellschaftlichen und kulturellen Wandel, der durch die Entwicklung neuer digitaler informations- und kommunikationstechnischer Systeme angestoßen wurde und der sich im Bedeutungszuwachs dieser Systeme für die private und die öffentliche Kommunikation manifestiert. Kennzeichen dieser Digitalisierung im weiten Sinne sind die Dynamik der technischen Entwicklung, die Vernetzung der digitalen Endgeräte, die 1 2 3

Hesse, Die normative Kraft der Verfassung, S. 16. Masing, Der Staat 44 (2005), 1, 12. Vgl. Art. Digitalisieren, in: Schneider (Hrsg.), Lexikon der Informatik und Datenverarbeitung; Art. digital, Digital, in: Fischer/Hofer, Lexikon der Informatik, S. 243; vgl. auch die Ausführungen von Brennen/Kreiss, Art. Digitalization, in: Jensen u. a. (Hrsg.), The International Encyclopedia of Communication Theory and Philosophy, zum Stichwort digitalization.

261

Enrico Peuker

Konvergenz von Infrastrukturen, Endgeräten und Diensten, die Ubiquität der Informations- und Kommunikationstechnik sowie die Datafizierung. 5 Die Digitalisierungsforschung steht im Kontext einer langen technikphilosophischen Debatte, deren Ursprünge bis in die Antike reichen. Das „Nachdenken über Technik“4 bewegt sich dabei grob skizziert zwischen zwei Polen, die sich als Technikutopie und Technikdystopie bzw. Technikoptimismus und Technikpessimismus beschreiben lassen und die jeweils das Verhältnis des Menschen und seiner Gesellschaft zum technischen Fortschritt thematisieren – hier in Gestalt eines ausweglosen technischen Determinismus aller Lebensbereiche, dort durch die Annahme der universellen Gestaltbarkeit der technischen Entwicklung durch den Menschen.5 Und so registrieren zeitgenössische Analysen auf der einen Seite „überaus populäre[…] Medienutopien […], die mit Digitalisierung und Internet in den Mittelpunkt des gesamtgesellschaftlichen Zukunftsdiskurses gerückt sind“ und in denen sich „in einem besonderen Maße – vorderhand jeder Ideologie unverdächtig – technische Potentialerwartungen und gesellschaftliche Transformationsvorstellungen [verbinden], die mit schillerndem Revolutionsvokabular belegt werden“6. Auf der anderen Seite stehen kulturpessimistische Einschätzungen der Digitalisierung, die etwa in dem sonderbaren Rat einer (dauerhaften) digitalen Abstinenz münden.7 6 Die Rechtswissenschaft sollte diese Diskussionen aufmerksam verfolgen. Dann hätte sich zwar die früh geäußerte Besorgnis bewahrheitet, „daß es auch bei der rechtlichen Beurteilung von Computerfragen ohne übermäßigen theoretischen Aufwand nicht abgehen wird“8. Diesen theoretischen Aufwand sollte sie aber nicht scheuen, um auch technikphilosophisch informierte rechtswissenschaftliche Konzepte für die Beantwortung der mit der Digitalisierung verbundenen Rechtsfragen ent-

4 5 6 7 8

So der Titel des Sammelbands von Hubig/Huning/Ropohl über die Klassiker der Technikphilosophie und neuere Entwicklungen. Vgl. Hubig, in: Hubig/Huning/Ropohl (Hrsg.), Nachdenken über Technik, S. 19, 39. Dickel/Schrape, Leviathan 43 (2015), 442, 443 m. w. N. So bei Enzensberger, in: Schirrmacher (Hrsg.), Technologischer Totalitarismus, S. 70 ff. Wieacker, FS Bötticher, S. 383 (389), freilich mit Blick auf das rechts-„theoretische Gewichtestemmen“; dort auch schon die Warnung vor „dem starken futurologischen Pathos der Informationstheorie […], von dem sich freihalten muß, wer die praktischen und sozialen Aufgaben des Rechts im Auge behalten will“ (S. 386).

262

Verfassungswandel durch Digitalisierung

wickeln zu können. Dabei ist sie jedoch gut beraten, eine realistische Einschätzung zugrunde zu legen, die zu einseitigen Versprechungen im Hinblick auf die Digitalisierung ebenso Distanz hält wie zu überzeichneten Befürchtungen. Ohnehin kennt das Recht kein Diktat der Technik.9 Ein solches negierte den Modus des Politischen, das zu organisieren wiederum Aufgabe der Verfassung ist. Vielmehr hat die in der von Helmut Schelsky10 ausgelösten Technokratiedebatte gewonnene Einsicht, die zwar die Legitimität der Technik anerkennt, aber die normative Verantwortung des Menschen für die technische Entwicklung betont, noch immer Bestand. Mit Blick auf den freiheitlichen Verfassungsstaat des Grundgesetzes muss es der Verfassungsrechtswissenschaft deshalb darum gehen, freiheitsermöglichende wie freiheitsgefährdende Potentiale der Digitalisierung zu erkennen und hierauf Antworten des Verfassungsrechts auf der Grundlage eines dynamischen Verfassungsverständnisses zu formulieren. III. Verfassungsdynamiken Ausgangspunkt der Untersuchung ist die These, dass die Digitalisierung 7 phänomenologisch beschreibbare Veränderungen auslöst, zu denen sich Verfassung und Verfassungsrecht verhalten müssen. Diese These impliziert zunächst ein dynamisches Verfassungsverständnis, das sich im bereits angesprochenen Spannungsverhältnis zwischen Stabilität und Flexibilität der Verfassung ebenso wie zwischen Normativität und Faktizität bzw. Verfassung und Verfassungswirklichkeit entfaltet. Mit der Totalrevision der Verfassung, der punktuellen Verfassungsände- 8 rung, der geänderten Verfassungsinterpretation und dem Verfassungswandel hat die Verfassungsrechtswissenschaft unterschiedliche Instrumente analysiert, die den Verweisungszusammenhang zwischen den genannten Prinzipien moderieren können. Unter ihnen nimmt der Verfassungswandel eine hervorgehobene Stellung ein, die allerdings durch seinen häufig als „schillernd“ beschriebenen Charakter begründet ist.11 Der deutschen Staatsrechtslehre ist der Verfassungswandel eigentümlich

9 Beschränkung des Rechts auf eine „katechontische Funktion“ gegenüber der technischen Entwicklung bei Schlink, VVDStRL 48 (1990), 235 (259 f.); dagegen Schmidt-Aßmann, Das allgemeine Verwaltungsrecht als Ordnungsidee, 1. Kap. Rz. 32. 10 Schelsky, Der Mensch in der wissenschaftlichen Zivilisation, S. 20 ff. 11 Exemplarisch Hillgruber, VVDStRL 67 (2008), 7, 34; Koschmieder, Grundrechtliche Dynamisierungsprozesse, S. 38; Rozek, in: Isensee/Kirchhof (Hrsg.), HStR XII3, § 257 Rz. 4.

263

Enrico Peuker

fremd geblieben. Wo sie den Verfassungswandel mit Verweis auf die von der Verfassung ausdrücklich vorgesehene Möglichkeit einer Verfassungsänderung und deren spezifische Rationalität und Legitimation nicht ohnehin als unzulässig verwirft, spricht sie ihm jedenfalls Konturenschärfe sowie methodischen Selbststand ab und verweist auf das unklare Verhältnis zur Verfassungsinterpretation.12 9 Im Verfassungsstaat des Grundgesetzes gibt aber gerade die Digitalisierung Anlass, den Verfassungswandel als Mittel einer dynamischen Verfassungsanpassung genauer in den Blick zu nehmen. Denn obwohl der Verfassunggeber die mit dem weiten Begriff der Digitalisierung in Bezug genommenen Folgen nicht absehen konnte, hat der verfassungsändernde Gesetzgeber bislang lediglich mit zwei punktuellen Verfassungsänderungen (Art. 87f, 91c GG) auf sie reagiert. Als funktionales Äquivalent zur Verfassungsänderung steht daher der Verfassungswandel im Zentrum der hier vorgestellten Untersuchung, da er ebenso wie die Verfassungsänderung in der Lage ist, politische, soziale oder technologische Entwicklungen in der Verfassungswirklichkeit normativ zu verarbeiten. IV. Verfassungswandel durch Digitalisierung 1. Phänomenologisches Verständnis des Verfassungswandels 10 Mit Blick auf die Digitalisierung setzt dies allerdings eine Fortentwicklung der Lehre vom Verfassungswandel voraus. Während sich Arbeiten zum Verfassungswandel vor dem Inkrafttreten des Grundgesetzes zunächst auf eine empirische Bestandsaufnahme von Fällen beschränkten, in denen der Verfassungszustand vom Verfassungstext abwich, und später typologische Zuordnungen einzelner Fälle leisteten13, unternahm die Staatsrechtslehre in der Bonner Republik eine Dogmatisierung des Verfassungswandelbegriffs. Gestützt auf die normtheoretische Unterscheidung zwischen Normprogramm und Normbereich14 konzeptionalisierte sie den Verfassungswandel als norminternen, textbezogenen Vorgang, der im Kontext einer spezifischen Verfassungsordnung steht und bei dem eine Interpretationsänderung eine Inhaltsänderung der Verfassungsnorm ohne Textänderung in einem methodisch halbwegs vorgezeichneten Rah-

12 Vgl. nur Voßkuhle, Der Staat 43 (2004), 450 ff. 13 Vgl. Laband, Wandlungen der deutschen Reichsverfassung, S. 2 ff.; Jellinek, Verfassungsänderung und Verfassungswandlung, S. 3 ff.; Dau-Lin, Verfassungswandlung, S. 19 ff. 14 Müller, Normstruktur und Normativität, 168 ff.; Müller, ARSP 56 (1970), 493, 503 ff.

264

Verfassungswandel durch Digitalisierung

men bewirkt.15 Dadurch erhielt sie einen juristisch operationalisierbaren Begriff für politisch-rechtliche Veränderungen des Verfassungszustands eines Staates. Dieses enge Verständnis des Verfassungswandels gewährleistete den Anschluss an die allgemeinen Grundsätze der Rechtsauslegung und der Rechtsquellenlehre sowie die Kompatibilität zum gesicherten Bestand verfassungsrechtlicher Methodik und Dogmatik.16 Der Preis für diese Dogmatisierung des Verfassungswandels ist jedoch seine starke Kontextualität17: strukturelle Entwicklungen jenseits einer einzelnen Verfassungsnorm geraten aus dem Blick, der sich zudem auf den Beitrag des Bundesverfassungsgerichts zum Verfassungswandel und auf die Berechtigung des Gerichts zur Rechtsfortbildung verengt. Das reicht aber nicht aus, um die mit der Digitalisierung verbundenen 11 strukturellen Veränderungen normativ zu rezipieren. Erst eine Neukonzeptionalisierung des Verfassungswandels erlaubt es, auch solche strukturellen Wandlungen der Verfassungswirklichkeit in den Blick zu nehmen, die sich zwar außerhalb einer einzelnen Verfassungsnorm vollziehen, aber gleichwohl Rückwirkungen für deren Auslegung und Anwendung zeitigen können. Der weite phänomenologische Begriff des Verfassungswandels bezeichnet alle Veränderungen im Sinn der Verfassung, die nicht förmliche Verfassungsänderung sind18, d.h. alle Entwicklungen des rechtlichen Sinngehalts von Verfassungsnormen, -prinzipien, -institutionen und -strukturen durch eine neue Verfassungsinterpretation, eine neue Verfassungspraxis oder einen neuen Verfassungskontext19. Ein Programm, das die Phänomenologie des Verfassungswandels ernst 12 nimmt, sich dabei aber nicht auf eine bloß empirische Bestandsaufnahme von Verfassungswandlungen beschränkt, kann gerade auch strukturelle Wandlungen jenseits einer einzelnen Verfassungsnorm aus rechtswissenschaftlicher Warte analysieren und dabei die methodischen, legitimatorischen und dogmatischen Desiderate des engen rechtsdogmatischen Verständnisses erfüllen. In methodischer Hinsicht bringt es den strukturellen Verfassungswandel mit Hilfe eines verfassungsrechtlichen Leitbilds auf einen Begriff, der durch Verfassungsinterpretation zu konkretisieren ist; in legitimatorischer Hinsicht erkennt es die Beiträge auch 15 Hesse, FS Scheuner, S. 123, 126; Böckenförde, FS Lerche, S. 1, 6; Bryde, Verfassungsentwicklung, S. 21, 254; Badura, in: Isensee/Kirchhof (Hrsg.), HStR VII1, § 160 Rn. 13; Wolff, Ungeschriebenes Verfassungsrecht, S. 98; Würtenberger, in: Neuhaus (Hrsg.), Verfassungsänderungen, S. 287, 295. 16 Pauly, in: Jellinek, Verfassungsänderung und Verfassungswandlung, S. IX. 17 Vgl. Böckenförde, FS Lerche, S. 1, 4; Michael, RW 2014, 426, 432 f. 18 Definition bei Bryde, Verfassungsentwicklung, S. 22. 19 Definition bei Becker/Kersten, AöR 141 (2016), 1, 14 f.

265

Enrico Peuker

anderer Akteure als das Bundesverfassungsgericht als konstitutiv für den Verfassungswandel an; in dogmatischer Hinsicht bemüht es sich um die Angabe von Grenzen des weit verstandenen Verfassungswandels. 2. Leitbild digitaler Souveränität a) Leitbilder im Verfassungsrecht 13 Dem phänomenologischen Begriff des Verfassungswandels geht es darum, auch strukturelle Wandlungen der Verfassung zu erfassen, die sich gerade nicht in einem Interpretationswandel einer einzelnen Verfassungsnorm erschöpfen. Um solche strukturellen Wandlungen rechtswissenschaftlich analysieren zu können, bedarf es eines Ordnungsinstruments, das mindestens drei Funktionen erfüllen muss: In heuristischer Hinsicht soll es rückblickend strukturelle wie punktuelle Wandlungen begrifflich bündeln und vorausschauend künftigen Entwicklungen den Weg weisen. In methodischer Hinsicht muss es offen und anschlussfähig für Konkretisierungen sein, aus denen sich einzelne normative Handlungsanleitungen oder Rechtsfolgen ergeben können. In dogmatischer Hinsicht muss es schließlich die Auslegung einzelner Verfassungsnormen oder die Abwägung widerstreitender Prinzipien anleiten können.20 14 Als ein solches Ordnungsinstrument rücken Leitbilder in den Blick. Sie entfalten eine Deutungs-, Erklärungs- und Orientierungsfunktion, indem sie eine Brücke zwischen Verfassungsrecht und Verfassungswirklichkeit schlagen und eine Grundlage für den interdisziplinären Austausch über Wandlungsphänomene bilden.21 In den Rationalitätsverlusten durch Komplexitätsreduktion, der manipulativen Verwendung, den Herleitungs- und Begründungsdefiziten bei einer nur notdürftigen Anbindung an den Verfassungstext und der Beliebigkeit in der Rechtsanwendung liegen die Gefahren und Ambivalenzen der Arbeit mit verfassungsrechtlichen Leitbildern.22 Durch Begründungs-, Anwendungs- und Schrankenregeln ist gleichwohl der Weg zu einer leitbildorientierten Verfassungsanwendung eröffnet.23

20 Ähnlich Becker/Kersten, AöR 141 (2016), 1, 23. 21 Mit unterschiedlichen Akzentuierungen Volkmann, AöR 134 (2009), 157, 178 ff.; Voßkuhle, Der Staat 40 (2001), 495, 506 ff.; Helleberg, Leitbildorientierte Verfassungsauslegung, S. 213 ff.; Braun, Leitbilder im Recht, S. 172 ff. 22 Braun, Leitbilder im Recht, S. 174 ff.; Helleberg, Leitbildorientierte Verfassungsauslegung, S. 231 ff.; Voßkuhle, Der Staat 40 (2001), 495, 509; Voßkuhle, in: Hoffmann-Riem/Schmidt-Aßmann/Voßkuhle (Hrsg.), GVwR I, § 1 Rz. 42; Volkmann, AöR 134 (2009), 157, 177. 23 Volkmann, AöR 134 (2009), 157, 185 ff.; Braun, Leitbilder im Recht, S. 193 ff.

266

Verfassungswandel durch Digitalisierung

b) Digitale Souveränität als politisches Programm Die mit der Digitalisierung verbundenen strukturellen Wandlungen las- 15 sen sich am besten im verfassungsrechtlichen Leitbild digitaler Souveränität erfassen, das für die Verantwortung und die Legitimität des Staates unter den Bedingungen der Digitalisierung steht. Erstmals als Reaktion auf die Überwachungsskandale im Internet geprägt, tauchte der Begriff der digitalen Souveränität bald als Schlagwort in digitalpolitischen Debatten und Programmen auf, wo er – ohne eine Reflexion konzeptioneller Grundlagen – in infrastruktureller, wirtschaftspolitischer, individualrechtlicher und wissenspraktischer Hinsicht entfaltet wurde. Die infrastrukturelle Dimension digitaler Souveränität beschreibt zu- 16 nächst das Vorhandensein eines flächendeckenden und leistungsfähigen Verbindungsnetzes als Grundvoraussetzung sämtlichen (staatlichen wie privaten) Handelns im digitalen Raum (Funktionalität). Die Digitalpolitik zielt dementsprechend schon länger auf den Ausbau von leitungsgebundenen sowie drahtlosen Hochgeschwindigkeitsnetzen, der vor allem privatwirtschaftlich im hoheitlich regulierten, Anreize vermittelnden Rahmen bewerkstelligt werden soll, für den aber letztlich der Staat verantwortlich zeichnet.24 Zudem ist hier die Gewährleistung von Cybersicherheit angesprochen (Integrität), die die Bundesregierung im Jahr 2016 in einem eigenen Strategiepapier dargelegt hat. Sie adressiert die einerseits durch die steigende Komplexität sowie Interdependenz der eingesetzten Technik und andererseits durch ständig wandelnde Bedrohungen gekennzeichnete Cyber-Gefahrenlage, bei der Schäden nicht nur im Cyber-Raum, sondern auch in der gesellschaftlichen, der wirtschaftlichen, der politischen oder der persönlichen Sphäre eintreten können.25 In wirtschaftspolitischer Hinsicht meint digitale Souveränität die Be- 17 herrschung digitaler Schlüsseltechnologien und technologischer Schlüsselkompetenzen durch deutsche und europäische Wirtschaftsakteure. In entscheidenden Bereichen müssten Unternehmen etwa nach Ansicht des Bundeswirtschaftsministeriums sowohl wirtschaftlich als auch technologisch eine Marktposition besitzen, die es ihnen erlaube, ihre Geschäftsmodelle weiterzuentwickeln und neue Dienstleistungen sicher anzubieten. Dazu gehöre, dass bestimmte digitale Schlüsseltechnologien in Deutschland und Europa beherrscht oder wenigstens verstanden werden sollten. Dies setze den Erwerb relevanter Soft- und Hardwarekom24 Vgl. Bundesregierung, Digitale Agenda 2014–2017, S. 9 f.; Bundesministerium für Wirtschaft und Energie, Leitplanken Digitaler Souveränität, S. 2. 25 Bundesministerium des Innern, Cyber-Sicherheitsstrategie für Deutschland 2016, S. 7.

267

Enrico Peuker

petenzen voraus und müsse im Verbund von Staat, betroffenen Branchen und Stakeholdern vorangetrieben werden.26 18 Als Träger digitaler Souveränität hat die Digitalpolitik nicht nur den Staat identifiziert, sondern auch und gleichermaßen den Einzelnen. Die individuelle digitale Souveränität bezeichne die Handlungs- und Entscheidungsfähigkeit des Einzelnen, „in der digitalen Welt in verschiedenen Rollen zu agieren, nämlich als Marktteilnehmer, als Konsumentenbürger einer Gesellschaft sowie als ‚Prosumer‘ in Netzwerken“. Der Begriff verweise darüber hinaus auf die Rechte und Pflichten von Bürgern im staatlichen Ordnungsrahmen und unterstreiche die Rahmenbedingungen, unter denen das Individuum frei, kompetent und verantwortungsvoll digitale Medien und Dienste nutzen könne und somit in die Lage versetzt werde, aktiv als Bürger an einer digitalen Gesellschaft teilzuhaben.27 19 Einen ebenso individuellen, wenngleich nicht juridischen Bezug hat die wissenspraktische Dimension digitaler Souveränität. Aus dieser Warte bedeutet digitale Souveränität, dass sich jeder Einzelne auf Grundlage einer mit der technologischen Entwicklung Schritt haltenden digitalen Kompetenz28 in der digitalen Gesellschaft selbstbestimmt verwirklichen kann.29 26 Bundesministerium für Wirtschaft und Energie, Leitplanken Digitaler Souveränität, S. 7. Ähnlich Di Fabio, Grundrechtsgeltung in digitalen Systemen, S. 23. 27 Sachverständigenrat für Verbraucherschutz, Digitale Souveränität, S. 3, dort auch das Zitat. 28 Digitale Kompetenz umfasst nach der Definition der Europäischen Kommission im Anhang ihres Vorschlags für eine Empfehlung des Rates zu Schlüsselkompetenzen für lebenslanges Lernen vom 17.1.2018 (KOM(2018) 24 endg.) „die sichere, kritische und verantwortungsvolle Nutzung von und Auseinandersetzung mit digitalen Technologien für die allgemeine und berufliche Bildung, die Arbeit und die Teilhabe an der Gesellschaft. Sie beinhaltet Informations- und Datenkompetenz, Kommunikation und Zusammenarbeit, die Erstellung digitaler Inhalte (einschließlich Programmieren), Sicherheit (einschließlich digitales Wohlergehen und Kompetenzen in Verbindung mit Cybersicherheit) und Problemlösung. […]“. In ihrer Strategie „Bildung in der digitalen Welt“ (2016), S. 15 ff., zählt die Kultusministerkonferenz sechs ganz ähnliche Kompetenzbereiche auf (Suchen, Verarbeiten und Aufbewahren von Informationen; Kommunizieren und Kooperieren; Produzieren und Präsentieren; Schützen und sicher Agieren; Problemlösen und Handeln; Analysieren und Reflektieren), die sich an den auf europäischer Ebene entwickelten Kompetenzen orientieren. 29 Vgl. Bundesregierung, Digitale Agenda 2014–2017, S. 23; Sachverständigenrat für Verbraucherschutz, Digitale Souveränität, S. 14 f.

268

Verfassungswandel durch Digitalisierung

Obwohl die Digitalpolitik der Europäischen Union kompetenzbedingt 20 vor allem auf die Verwirklichung eines europäischen digitalen Binnenmarktes ausgerichtet ist30, greift zunehmend das Konzept einer europäischen digitalen Souveränität Platz. Sie ist nicht nur auf Aspekte der Cybersicherheit beschränkt, die gleichwohl in ersten offiziellen Verlautbarungen der europäischen Organe, Einrichtungen und sonstigen Stellen der EU den konzeptionellen Anknüpfungs- bzw. Ausgangspunkt darstellt. Digitale Souveränität in Europa öffnet sich vielmehr auch jenen Dimensionen, die bereits auf nationalstaatlicher Ebene entfaltet worden sind. Insgesamt erweist sich das Konzept der digitalen Souveränität daher in zunehmendem Maße auch auf europäischer Ebene als anschlussfähig. c) Digitale Souveränität in den Nachbarwissenschaften Digitale Souveränität ist indes nicht nur eine digitalpolitische Pro- 21 grammformel, sondern zunehmend auch Gegenstand nachbarwissenschaftlicher Reflexionen. Das Nachdenken über digitale Souveränität erscheint dort vor allem als Renaissance-Projekt, als Wiedergeburt eines zuvor (einseitig) für tot erklärten Begriffes. Insbesondere die normativen und empirischen Sozialwissenschaften bemühen sich darum, die Überhöhungen des Digitalen in den Anfangsjahren des Internet31 wieder einzufangen und Souveränität als Prinzip politischer Ordnung sowie die Steuerungsfähigkeit von Recht (und anderen Instrumenten) im Internet zu rehabilitieren. Hierzu legen sie offen, dass die seinerzeit zugrunde gelegten Annahmen unterkomplex und häufig irreführend waren, zumal sich auch das Internet zwischenzeitlich fortentwickelt hat und wissenschaftliche Ernüchterung auch aus demokratietheoretischer Warte im Hinblick auf das politische Partizipationspotential netzwerkgestützter digitaler Kommunikation eingetreten ist.32 Widerlegt ist auch die früher prominent vertretene These des Internet Exceptionalism, die die Unmöglichkeit rechtlicher Steuerung im Internet durch souveräne Staaten damit begründete, dass die Globalität und Anonymität des Internet 30 Siehe v.a. die Mitteilung der Kommission an das Europäische Parlament, den Rat, den Europäischen Wirtschafts- und Sozialausschuss und den Ausschuss der Regionen „Strategie für einen digitalen Binnenmarkt für Europa“, KOM(2015) 192 endg. 31 Exemplarisch Barlow, „A Cyberspace Independence Declaration“, im Volltext abrufbar unter https://www.eff.org/de/cyberspace-independence, auf deutsch abgedruckt und mit kritischen Anmerkungen versehen bei Bollmann/Heibach (Hrsg.), Kursbuch Internet, S. 119 ff. 32 Vgl. Thiel, in: Volk/Kuntz (Hrsg.), Der Begriff der Souveränität in der transnationalen Konstellation, S. 215, 220 ff.; Hansel, ZFAS 2010, 357 ff.; Jacob/Thiel, in: Jacob/Thiel (Hrsg.), Politische Theorie und Digitalisierung, S. 7, 11 ff.

269

Enrico Peuker

Souveränitätsemanationen durch Rechtsetzung, Rechtsanwendung und Rechtsprechung in territorial abgegrenzten Hoheitsräumen unmöglich machten.33 22 Wissenschaftliche Analysen registrieren vielmehr zum einen die Wiederkehr des Staates im Netzdiskurs, „[d]essen Kompetenz zur Rechtsetzung, Regulierung und Ordnungsbildung […] sich als beständiger und notwendiger erwiesen [hat] als von den Internetpionieren behauptet und dessen demokratietheoretischen Meriten […] nicht so obsolet [sind] wie zunächst angenommen“. Zum anderen diagnostizieren sie einen damit einhergehenden Wandel von Staatlichkeit34, der sich etwa in der Vielzahl neuer Governance-Arrangements unter Einbeziehung technischer Experten und zivilgesellschaftlicher Akteure zeige, die in den Rechtswissenschaften beispielsweise unter dem Stichwort der regulierten Selbstregulierung verhandelt werden35. d) Digitale Souveränität als verfassungsrechtliches Leitbild 23 Die rechtswissenschaftliche Diskussion kann an die digitalpolitischen und nachbarwissenschaftlichen Debatten anknüpfen. Dabei bildet der verfassungstheoretische und dogmengeschichtliche Hintergrund des Souveränitätsbegriffs den Resonanzraum für die Erörterung der digitalen Souveränität als verfassungsrechtliches Leitbild. Vom verfassungstheoretischen Souveränitätskonzept unterscheidet sich das hier geprägte Leitbild digitaler Souveränität indes durch seine konstitutive Deutungsoffenheit: es will nicht Konturen schärfen, sondern Komplexität reduzieren; es zielt (vorerst) nicht auf ein konsistentes Theoriegebäude, sondern will als heuristisches Instrument rechtswissenschaftlichen Suchbewegungen eine Richtung geben. 24 In diesem Sinne soll das verfassungsrechtliche Leitbild digitaler Souveränität hier für die Verantwortung und die Legitimität des Staates unter den Bedingungen der Digitalisierung stehen. Aus der Warte des Verfassungsrechts interessieren dabei vor allem die infrastrukturelle sowie

33 Vgl. etwa Johnson/Post, Standford Law Review 48 (1996), 1367, 1370 ff.; unmittelbar dagegen Lessig, Stanford Law Review 48 (1996) 1403, 1405 ff.; Wu, Harvard Journal of Law & Technology 10 (1997), 647, 649 ff.; Goldsmith, University of Chicago Law Review 65 (1998), 1199 ff. 34 Thiel, in: Volk/Kuntz (Hrsg.), Der Begriff der Souveränität in der transnationalen Konstellation, S. 215, 233. 35 Dazu exemplarische Überblicke bei Greve, Access-Blocking, S. 108 ff.; Hoffmann-Riem, in: Fehling/Schliesky (Hrsg.), Neue Macht- und Verantwortungsstrukturen in der digitalen Welt, S. 27, 44 ff.

270

Verfassungswandel durch Digitalisierung

die individualrechtliche Dimension der digitalen Souveränität, die in der politischen Debatte bereits adressiert worden sind. Das Leitbild verweist auf diejenigen punktuellen wie strukturellen Veränderungen des Verfassungsrechts, die die Digitalisierung angestoßen hat. Da ein verfassungsrechtliches Leitbild erst durch seine Konkretisierung im Wege der Verfassungsinterpretation an Kontrast und Überzeugungskraft gewinnt, zeichnet die Studie die am Leitbild digitaler Souveränität orientierten Verfassungswandlungen anhand der verfassungsrechtlichen Aspekte digitaler Infrastrukturen sowie dem Grundrechtsschutz in der digitalen Welt nach. Ausdrückliche normative Anknüpfungspunkte des Leitbilds der digita- 25 len Souveränität im Grundgesetz sind freilich schwer zu benennen. Eine „allenfalls notdürftig[e] Anbindung an den Text“ ist andererseits auch nicht untypisch für verfassungsrechtliche Leitbilder.36 Hier rücken zunächst zwei durch Verfassungsänderungen eingefüg- 26 te Normen in den Blick. Art. 87f GG bildet die verfassungsrechtliche Grundlage für die Privatisierung des vormals in bundeseigener Verwaltung geführten Post- und Telekommunikationswesens und erlegt dem Staat die Gewährleistungsverantwortung hinsichtlich flächendeckend angemessener und ausreichender Dienstleistungen auf. Art. 91c GG stellt im Wesentlichen die Kompetenz- und Koordinierungsnorm für die Verwaltungszusammenarbeit von Bund und Ländern bei der Planung, der Errichtung und dem Betrieb öffentlicher Informations- und Kommunikationstechnik dar. Beide Normen thematisieren die infrastrukturelle Dimension der digitalen Souveränität. Digitale Souveränität verwirklicht sich aber auch in der Verpflichtung 27 des Staates zum Schutz von Individualrechtsgütern unter den Bedingungen der Digitalisierung, die sich aus dem objektiv-rechtlichen Gehalt der jeweiligen Grundrechte ergeben kann, dort aber nicht ausdrücklich geregelt, sondern durch Auslegung zu ermitteln ist. Digitalisierungsspezifische Grundrechte finden sich nicht im Verfassungstext, sondern wurden vom Bundesverfassungsgericht aus der Zusammenschau der Art. 2 Abs. 1 und Art. 1 Abs. 1 GG entwickelt. Das 1983 entwickelte Grundrecht auf informationelle Selbstbestimmung gilt auch der überkommenen Lehre vom Verfassungswandel als Paradebeispiel eines solchen Wandels, ebenso wahrt das 2008 erkannte Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Distanz zum Verfassungstext.

36 Volkmann, AöR 134 (2009), 157, 170.

271

Enrico Peuker

3. Digitale Infrastrukturen 28 Das Leitbild digitaler Souveränität verweist auf den enormen Bedeutungswandel digitaler Infrastrukturen, die hier Telekommunikationsinfrastrukturen sowie die auf ihnen erbrachten Dienste bezeichnen sollen. Wie andere Infrastrukturen auch sind sie ein unabdingbares Mittel der sozialen, wirtschaftlichen und politischen Integration eines Gemeinwesens und zugleich Bedingung der Möglichkeit der Verwirklichung individueller Freiheitsrechte.37 a) Infrastrukturverantwortung und Breitbandausbau 29 Art. 87f Abs. 1 GG weist dem Bund daher die Gewährleistungsverantwortung für die Telekommunikationsinfrastruktur in Form einer Gewährleistung von flächendeckend angemessenen und ausreichenden Dienstleistungen im Bereich der Telekommunikation zu, nachdem er infolge der Privatisierung und Liberalisierung des Telekommunikationssektors aus der unmittelbaren Erfüllungsverantwortung entlassen wurde. Als Staatszielbestimmung legt die Norm den Staat verfassungsrechtlich verbindlich auf ein bestimmtes Ziel – die Gewährleistung von flächendeckend angemessenen und ausreichenden Dienstleistungen im Bereich der Telekommunikation – fest, ohne konkrete Gewährleistungsinstrumente vorzugeben. 30 Durch die offene Tatbestandsformulierung („angemessene“ und „ausreichende“ Dienstleistungen), die Verankerung einer Beobachtungspflicht des Gesetzgebers, der zur kontinuierlichen Überprüfung und dynamischen Fortentwicklung der Grundversorgung im Bereich der Telekommunikation angehalten ist38, und die Koppelung mit dem Wettbewerbsprinzip in Abs. 2 Satz 1 ist Art. 87f Abs. 1 GG ein idealer Rezeptor für den Bedeutungszuwachs breitbandiger Telekommunikationsinfrastrukturen. Dieser Offenheit des Art. 87f Abs. 1 GG für einen dynamischen Wandel wird jedoch nicht gerecht, wer die Infrastrukturverantwortung durch Verfassungsinterpretation auf einen Universaldienst verengt. Als nachlaufendes Regulierungsinstrument, das auf eine am telekommu-

37 Aus begriffshistorischer Perspektive van Laak, Archiv für Begriffsgeschichte 41 (1999), 280, 290; vgl. auch Hermes, Staatliche Infrastrukturverantwortung, S. 324 ff.; Schoch, VVDStRL 57 (1998) 158, 198; Kersten, DVBl. 2006, 942, 944; Dörr, VVDStRL 73 (2014), 323, 337 f.; Wißmann, VVDStRL 73 (2014), 369, 371, 385, 421. 38 Eifert, Grundversorgung mit Telekommunikationsleistungen im Gewährleistungsstaat, S. 204 ff.; Möstl, in: Maunz/Dürig (Hrsg.), GG, Art. 87f Rz. 89; Windthorst, in: Sachs (Hrsg.), GG, Art. 87f Rz. 20.

272

Verfassungswandel durch Digitalisierung

nikativen status quo orientierte Grundversorgung zielt, entfaltet der Universaldienstmechanismus kaum Anreiz- und Steuerungswirkung für einen nachhaltigen Breitbandausbau, der den telekommunikativen Grundbedürfnissen der Benutzer auch in Zukunft noch gerecht werden kann. Hiervon zeugt nicht zuletzt die Tatsache, dass das Universaldienstregime seinen prominenten Platz in den §§ 17 ff. des Zweiten Teils des TKG 1996 räumen musste und sich seit dem TKG 2004 in §§ 78 ff. TKG wiederfindet. Mit dem Bedeutungsschwund kontrastiert freilich die Aufmerksamkeit, die die Literatur dem Universaldienstmechanismus bei der Erörterung der verfassungsrechtlichen Infrastrukturverantwortung schenkt.39 Wer die grundgesetzliche Infrastrukturverantwortung also auf die Vor- 31 gabe eines Universaldienstes reduziert, verweist das Verfassungsrecht im Zukunftsspiel um den Breitbandausbau auf die Zuschauertribüne. Wo der Infrastrukturverantwortung des Art. 87f Abs. 1 GG aber im Lichte des verfassungsrechtlichen Leitbilds digitaler Souveränität eine gewandelte Auslegung als Optimierungsrecht40 zugrunde gelegt wird, kann auch das Verfassungsrecht eine normative Steuerungswirkung beim Ausbau leistungsfähiger digitaler Infrastrukturen entfalten. Eine solche Auslegung ergänzt den Gedanken der am telekommunikativen status quo orientierten, staatlich zu gewährleistenden Grundversorgung am verfassungsrechtlichen Maßstab des Untermaßverbots um den Gedanken einer staatlichen Verantwortung für den Ausbau digitaler Infrastrukturen, die auch technologischen Neuentwicklungen und künftigen Bedürfnissen ihrer Benutzer gerecht werden können. Diese Deutung bewegt sich im Rahmen einer methodisch zulässigen Auslegung des Art. 87f Abs. 1 GG und richtet die staatliche Infrastrukturverantwortung auf die infrastrukturelle Versorgung in der Gegenwart wie auf die Vorsorge für die Zukunft gleichermaßen aus. Als Optimierungsinstrumente kommen die legislative Ausgestaltung eines Wege- und Mitbenutzungsrechtsregimes, die exekutive Regulierung von Mobilfunkfrequenzen, die Subventionierung 39 Zutreffend bemerkt Möstl, in: Maunz/Dürig (Hrsg.), GG, Art. 87f Rz. 80, dass das Universaldienstkonzept traditionell als Herzstück des staatlichen Grundversorgungsauftrags in Art. 87f Abs. 1 GG angesehen (so etwa bei Freund, NVwZ 2003, 408, 411; Franzius, ZG 2010, 66, 67) oder sogar völlig mit ihm gleichgesetzt wird (so etwa bei Windthorst, in: Sachs [Hrsg.], GG, Art. 87f Rz. 8 ff.; wohl auch Brosius-Gersdorf, DÖV 2002, 275, 277; Kühling, in: Kahl/ Waldhoff/Walter [Hrsg.], BK GG, Art. 87f Rz. 59). 40 Das wurde – soweit ersichtlich – zuerst von Möstl, in: Maunz/Dürig (Hrsg.), GG, Art. 87f Rz. 66, vertreten; ihm zustimmend Reents, Ausbau und Finanzierung einer flächendeckenden Breitbandversorgung in Deutschland, S. 217; ebenso Holznagel/Beine, MMR 2015, 567, 569.

273

Enrico Peuker

des Breitbandausbaus in den Grenzen des europäischen Beihilfenrechts und die Koordinierung ergänzender Fördermaßnahmen von Ländern und Kommunen in Betracht.41 b) IT-Sicherheit 32 Der mit der Digitalisierung im weiten Sinne beschriebene allgegenwärtige Bedeutungszuwachs vernetzter informationstechnischer Systeme lässt sich auch an der stetigen Zunahme der gegen sie gerichteten Angriffe ablesen, von denen Parlamente, Regierungen und Verwaltungen, Telekommunikations- oder Energieunternehmen wie Privatanwender gleichermaßen betroffen sind.42 IT-Sicherheit ist daher seit einiger Zeit Gegenstand digitalpolitischer Agenden und legislativer Maßnahmen auf nationaler und europäischer Ebene. Sie wird dort jeweils als ein Aspekt digitaler Souveränität begriffen und rückt als solcher auch stärker in das öffentliche Bewusstsein. Die Verfassung indes schweigt auf den ersten Blick zu diesen Fragen. Und tatsächlich findet sich im Grundgesetz keine ausdrückliche Verankerung der IT-Sicherheit. Literatur und Rechtsprechung haben auf IT-Sicherheit bezogene staatliche Schutzpflichten daher vor allem als objektiv-rechtliche Gehalte von Grundrechten entwickelt, vorrangig gestützt auf die Kommunikations- und Medienfreiheiten des Art. 5 Abs. 1 GG sowie das Fernmeldegeheimnis des Art. 10 Abs. 1 Var. 3 GG.43 Mit dem aus Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG abgeleiteten Grundrecht auf Gewährleistung der (Vertraulichkeit und) Integrität informationstechnischer Systeme hat das Bundesverfassungsgericht dem Einzelnen sogar ein subjektives Abwehrrecht gegen die staatliche Infiltration seiner informationstechnischen Systeme an die Hand gegeben.44 33 Den im verfassungsrechtlichen Leitbild digitaler Souveränität thematisierten Bedeutungswandel der IT-Sicherheit spiegelt jedoch auch eine dynamische Auslegung der Infrastrukturverantwortung des Art. 87f Abs. 1 GG wider. Der Wortlaut des Art. 87f Abs. 1 GG enthält zwar keinen unmittelbaren Hinweis auf die IT-Sicherheit als Gegenstand der staatlichen Infrastrukturverantwortung. Auch ein Blick auf die Entstehungsgeschichte der Vorschrift zeigt, dass dem verfassungsändernden Gesetzge41 Im Überblick Möstl, in: Maunz/Dürig (Hrsg.), GG, Art. 87f Rz. 85; ausführlich Reents, Ausbau und Finanzierung einer flächendeckenden Breitbandversorgung in Deutschland, S. 95 ff., 294 ff. 42 Aktuelle Übersicht über die Gefährdungslage der IT-Sicherheit in Verwaltung, Wirtschaft und Gesellschaft bei Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2019, S. 7 ff. 43 Vgl. nur Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 106 ff. m. w. N. 44 BVerfG v. 27.2.2008 – 1 BvR 370/07 u. a., BVerfGE 120, 274.

274

Verfassungswandel durch Digitalisierung

ber bei der Einführung des Art. 87f GG im Jahr 1994 vor allem die Gefahr einer Unterversorgung mit telekommunikativen Dienstleistungen als eine mögliche Folge der Privatisierung und Liberalisierung des Telekommunikationssektors vor Augen stand, nicht aber Fragen der IT-Sicherheit, die ohnehin erst später in das Blickfeld der Öffentlichkeit rücken sollten.45 Eine am verfassungsrechtlichen Leitbild digitaler Souveränität orientierte dynamische Auslegung des Art. 87f Abs. 1 GG ermöglicht aber nicht nur, ein auf den Ausbau von zukunftstauglichen, leistungsfähigen Infrastrukturen gerichtetes Optimierungsrecht des Gesetzgebers verfassungsrechtlich zu begründen. Es erlaubt auch, die IT-Sicherheit stärker als einen Gegenstand der staatlichen Infrastrukturverantwortung zu akzentuieren und damit dem vom verfassungsändernden Gesetzgeber nicht vorhersehbaren Bedeutungszuwachs der IT-Sicherheit Rechnung zu tragen.46 Dogmatischer Anknüpfungspunkt für eine solche Auslegung ist das 34 Merkmal der Angemessenheit der Dienstleistung. Dessen offener Wortlaut ist nicht nur auf die Qualität der Dienstleistung im Sinne einer bestimmten Übertragungsbandbreite zu reduzieren. Vielmehr gehört „[z]u einer angemessenen Qualität […] auch ein Schutz vor Ausspähung, Manipulation oder sonstigen durch die Telekommunikation ermöglichten Beeinträchtigungen.“47 Organisatorisch-prozeduraler Ausdruck der so verstandenen Infrastruk- 35 turverantwortung ist vor allem ein – teils unionsrechtlich vorgezeichneter48 – dauerhafter Steuerungs- und Sicherungsauftrag an den Gesetzgeber (Art. 87f Abs. 1 GG: „nach Maßgabe eines Bundesgesetzes“), einen Rahmen bereitzustellen, der eine kontinuierliche Beobachtung der Entwicklung der IT-Sicherheit und die Vornahme ggf. erforderlicher Nach-

45 Vgl. BT-Drs. 12/7269, S. 5, 10. 46 Einen entsprechenden Verfassungswandel deutet Hoffmann-Riem, JZ 2014, 53, 58 an. 47 Überzeugend Hoffmann-Riem, JZ 2014, 53, 58; zustimmend Wolff, in: Hömig/Wolff, GG, Art. 87f Rz. 3; ebenso Leisterer, Internetsicherheit in Europa, S. 39 f. 48 Vgl. die sog. NIS-Richtlinie 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, ABl. 2016 L 194/1, sowie die als Rechtsakt zur Cybersicherheit bezeichnete Verordnung 2019/881 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik, ABl. 2019 L 151/15.

275

Enrico Peuker

besserungs- und Korrekturmöglichkeiten gewährleistet.49 Verschiedene institutionalisierte Foren zielen auf Information und Koordination hinsichtlich aktueller Entwicklungen der IT-Sicherheit zwischen Bund, Ländern, Wirtschaft und Gesellschaft. 4. „Digitale“ Grundrechte a) Grundrechtsentwicklungen 36 Das verfassungsrechtliche Leitbild digitaler Souveränität thematisiert zudem die Rechtsstellung des Einzelnen unter den Bedingungen der Digitalisierung. Während bisherige Reaktionen von Rechtsprechung und Wissenschaft auf digitalisierungsbedingte Veränderungen beim Grundrechtsschutz aber eher durch punktuelle Suchbewegungen als durch ein theoretisch oder dogmatisch kohärentes Konzept gekennzeichnet sind, bietet ein phänomenologisches Verständnis des am Leitbild digitaler Souveränität orientierten Verfassungswandels eine punktuelle Veränderungen transzendierende Perspektive auf die Grundrechtsentwicklung. Die vorgestellte Untersuchung entwickelt hierfür ein Drei-Stufen-Modell der Grundrechtsentwicklung aus Interpretation, Innovation und Kodifikation. Dieses Modell erlaubt es, Wandlungen und innovative Lösungsansätze zu ordnen und differenziert zu bewerten. Interpretation, Innovation und Kodifikation sind dabei als heuristische Kategorie zu verstehen, die gestufte Antworten auf einen steigenden grundrechtlichen Entwicklungsbedarf als Folge der Digitalisierung formulieren. b) Interpretation 37 Auf der Stufe der Interpretation ist durch Auslegung zu ermitteln, inwieweit Grundrechte auf digitale Sachverhalte anwendbar sind, die zum Zeitpunkt des Inkrafttretens des Grundgesetzes noch nicht absehbar waren.50 So registriert etwa das Versammlungsgrundrecht neuartige digitale Kollektivitätsformen, die sich an den einzelnen Merkmalen des verfassungsrechtlichen Versammlungsbegriffs messen lassen müssen und die eine veränderte Auslegung, mithin einen Wandel des Grundrechts nahelegen, wenn sie funktional äquivalent zu ihren „analogen Pendants“ 49 So schon Sonntag, IT-Sicherheit kritischer Infrastrukturen, S. 131; ebenso Leisterer, Internetsicherheit in Europa, S. 39 f. Einfachgesetzliche Konkretisierung v.a. durch das BSIG. 50 Vgl. Hoffmann u. a., Die digitale Dimension der Grundrechte, S. 20; ähnlich der Ansatz von Di Fabio, Grundrechtsgeltung in digitalen Systemen, S. 6, „betroffene Grundrechte mit ihrem Geltungsanspruch in digitalen Systemen durchzumustern“.

276

Verfassungswandel durch Digitalisierung

sind.51 Eine solche funktionale Äquivalenz ist zwar nicht bei „virtuellen Sit-Ins“ in Form von Distributed-Denial-of-Service-Attacken gegeben, da die einzelnen Teilnehmer mangels Kenntnis voneinander nicht untereinander kommunizieren können und außenstehende Nutzer der Website keine Kenntnis von der Online-Demonstration erlangen, sondern lediglich die Verzögerung des Website-Zugriffs bzw. die Unmöglichkeit des Zugriffs feststellen, so dass auch keine Vermittlung der Meinung der Versammlungsteilnehmer nach außen möglich ist.52 Anders liegt der Fall bei virtuellen Treffen in virtuellen Welten zum Zwecke der öffentlichen Meinungsbildung und -kundgabe.53 Ohne größere Kontroversen hat sich dagegen die grundrechtliche Dyna- 38 mik bei dem Fernmeldegeheimnis des Art. 10 Abs. 1 Var. 3 GG entfaltet. Der technische Wandel führt hier nicht nur zu einer Dynamisierung des Schutzbereichs, der damit auch neuartige Übertragungstechniken umfasst, sondern ebenso zu einem Bedeutungszuwachs objektiv-rechtlicher Gehalte des Grundrechts in Form von Schutzpflichten gegen Zugriffe von fremden Staaten oder nicht-staatlichen Dritten auf die private Kommunikation.54 Das Leitbild digitaler Souveränität rückt diesen Funktionswandel des Fernmeldegeheimnisses in ein prominenteres Licht und adressiert damit gewandelte Gefährdungslagen, die durch „die Verfügbarkeit der Daten und deren Nutzung [sowie] die Zahl der eingeschalteten Netzbetreiber und Diensteanbieter, der Nutzungs- und Zugriffsmöglichkeiten befugter wie unbefugter Dritter“55 verursacht werden. c) Innovation Grundrechtsinnovationen treten auf den Plan, wenn die Möglichkeiten 39 der Interpretation vorhandener Grundrechte nicht ausreichen, um neuen Freiheitsgefährdungen zu begegnen. Ein phänomenologisches Verständ51 Ausführlich Möhlen, MMR 2013, 221, 223 ff.; Welzel, MMR 2021, 220 ff.; zur vermeintlichen „Digitalisierungsfeindlichkeit der Versammlungsfreiheit“ dagegen bei Sinder, NVwZ 2021, 103 f. 52 Vgl. AG Frankfurt v. 1.7.2005 – 991 Ds 6100 Js 226314/01, MMR 2005, 863, 866; zustimmend Möhlen, MMR 2013, 221, 224; ähnlich Hoffmann u. a., Die digitale Dimension der Grundrechte, S. 168 f.; Vogelsang, Kommunikationsformen des Internetzeitalters, S. 136 ff. 53 Möhlen, MMR 2013, 221, 227; ebenso Hoffmann u. a., Die digitale Dimension der Grundrechte, S. 171 f.; Krisor-Wietfeld, Rahmenbedingungen der Grundrechtsausübung, S. 185 ff.; Kersten, JuS 2017, 193, 198; Vogelsang, Kommunikationsformen des Internetzeitalters, S. 110 ff. mit umfangreichen Nachweisen zur Gegenansicht. 54 Neubert, AöR 140 (2015), 267, 273 ff.; Papier, NJW 2017, 3025, 3026 f. 55 Gusy, in: von Mangoldt/Klein/Starck (Hrsg.), GG, Art. 10 Rz. 23.

277

Enrico Peuker

nis des Verfassungswandels kann dabei insbesondere die Pluralität der Akteurskonstellation in den Blick nehmen. So war etwa das Volkszählungsurteil56, in dem das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung erkannte, maßgeblich durch wissenschaftliche Vorarbeiten geprägt57 und von einer breiten zivilgesellschaftlichen Debatte begleitet58, ohne dass die bisweilen wortgleichen Übernahmen im Volkszählungsurteil ausgewiesen worden wären. Auch bildete es nur eine Zwischenstation der dynamischen Fortentwicklung des Grundrechts in wissenschaftlichen Kontroversen und durch einfachgesetzliche Ausgestaltung, aber auch durch das Bundesverfassungsgericht selbst.59 Offen ist, ob und inwieweit das Bundesverfassungsgericht die wissenschaftliche Kritik an seiner zweiten Grundrechtsinnovation, dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme künftig rezipieren wird.60 Anderen wissenschaftlichen Innovationen wie der Medienfreiheit61 oder der Internetdienstefreiheit62 blieb die bundesverfassungsgerichtliche Anerkennung bislang versagt.

56 BVerfG v. 15.12.1983 – 1 BvR 209/83 u. a., BVerfGE 65, 1. 57 Neben dem Gutachten von Steinmüller u. a., Grundfragen des Datenschutzes, veröffentlicht in BT-Drs. VI/3826, S. 5 ff., vor allem die Kommentierung von Podlech, in: AK GG2, Art. 2 Abs. 1 Rz. 45 ff. Vgl. hierzu mit umfassender Einordnung in den zeitgenössischen rechts- und sozialwissenschaftlichen Diskurs Wihl, in: Grimm (Hrsg.), Vorbereiter – Nachbereiter?, S. 307 ff.; s. auch Bull, Informationelle Selbstbestimmung, S. 22 ff.; Hornung, Grundrechtsinnovationen, S. 266 ff. Aus Beteiligtenperspektive Steinmüller, RDV 2007, 158 ff. 58 Busch/Jakobi, in: Hönnige/Kneip/Lorenz (Hrsg.), Verfassungswandel im Mehrebenensystem, S. 297, 300. 59 Überblick zum Streitstand bei Britz, in: Hoffmann-Riem, Offene Rechtswissenschaft, S. 561, 562 ff., 592 ff.; Folgerechtsprechung in BVerfG v. 4.4.2006 – 1 BvR 518/02, BVerfGE 115, 320, 342; BVerfG v. 13.6.2007 – 1 BvR 1550/03 u. a., BVerfGE 118, 168, 184 f.; BVerfG v. 27.2.2008 – 1 BvR 370/07, BVerfGE 120, 274, 312; BVerfG v. 10.3.2008 – 1 BvR 2388/03, BVerfGE 120, 351, 360. 60 BVerfG v. 27.2.2008 – 1 BvR 370/07, BVerfGE 120, 274; zur Kritik etwa Britz, DÖV 2008, 411, 413; Eifert, NVwZ 2008, 521 f.; Lepsius, in: Roggan (Hrsg.), Online-Durchsuchungen, S. 21, 28 ff.; Bull, Informationelle Selbstbestimmung, S. 56; dagegen aber Hoffmann-Riem, JZ 2008, 1009, 1015 ff.; Bäcker, in: Rensen/Brink (Hrsg.), Linien der Rechtsprechung des Bundesverfassungsgerichts, S. 99, 119 ff.; Böckenförde, JZ 2008, 925, 928. 61 Lenski, Personenbezogene Massenkommunikation als verfassungsrechtliches Problem, S. 70 ff.; Bronsema, Medienspezifischer Grundrechtsschutz der elektronischen Presse, S. 172 ff.; Koreng, Zensur im Internet, S. 98 ff.; Greve, Access-Blocking, S. 77 ff. 62 Mecklenburg, ZUM 1997, 525; Holznagel, AfP 2011, 532; Holznagel, MMR 2011, 1.

278

Verfassungswandel durch Digitalisierung

d) Kodifikation Unter dem Grundgesetz sind eigenständige Grundrechtskodifikationen, 40 die mehrere Grundrechtsinnovationen in einem separaten Textkorpus versammeln, wegen des Inkorporationsgebots gemäß Art. 79 Abs. 1 Satz 1 GG ausgeschlossen. Als verfassungspolitische Reaktionsmöglichkeiten verdienen wissenschaftliche, politische oder zivilgesellschaftliche Kodifikationsentwürfe aus der Warte eines phänomenologisch verstandenen Verfassungswandels gleichwohl Beachtung, weil sie künftige Entwicklungen des Verfassungstexts vorzeichnen können und dementsprechend eine wissenschaftliche Reflexion aufgeben. Am Beispiel der von einer privaten Initiative entworfenen „Charta der Digitalen Grundrechte der Europäischen Union“63 verdeutlicht die Studie die theoretischen, dogmatischen und redaktionellen Herausforderungen sowie Grenzen einer selbständigen Grundrechtskodifikation.

63 https://digitalcharta.eu (Abrufdatum: 10.5.2021).

279

Datenprivatrecht Philipp Hacker* I. Einleitung

1

II. Interdisziplinäre Grundlagen und regulatorische Risiken 3 1. Potenziale vernetzter Datenverarbeitung 4 2. Rechtliche Herausforderungen: Multirelationalität, Marktversagen und heterogene Präferenzen 5 III. Ubiquitäre Vernetzung und Datenschutzrecht 9 1. Ermöglichungsstrukturen 10 a) Recht auf Datenübertragung 11 b) Einwilligung und Vertrag: das Dilemma individueller Kontrolle 12 aa) Rechtsunsicherheit für rationale Parteien: das Kopplungsverbot 13 bb) Fehlen von Voraussetzungen materieller Privatautonomie 16 2. Regulatorische Strukturen 18

IV. Der Einfluss des allgemeinen Privatrechts 1. Zum Verhältnis von DS-GVO und Privatrecht 2. Datenbezogene Privatautonomie im BGB a) Dogmatik der Einwilligung b) Grenzen der Privatautonomie aa) § 134 BGB bb) Inhaltskontrolle 3. Deliktsrecht

21 22 23 24 26 27 28 29

V. Reformperspektiven: technische und rechtliche Gestaltungsmöglichkeiten 31 1. Rechtsdurchsetzung durch Technik 32 2. Technikgestaltung durch Recht 33 a) Verbesserung der Präferenzkommunikation 34 b) Herstellung reeller Wahlmöglichkeiten 36 VI. Fazit

38

Literatur: Acquisti/John/Loewenstein, What is Privacy Worth?, Working Paper, 2009, http://pages.stern.nyu.edu/~bakos/wise/papers/wise2009–6a1_paper.pdf, zuletzt abgerufen am 9.7.2021; Acquisti/Taylor/Wagman, The Economics of Privacy, 54 Journal of Economic Literature 2016, 442; Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679, WP 248 rev.01, 2017; Ayres/Gertner, Filling Gaps in Incomplete Contracts: An Economic Theory of Default Rules, 99 Yale Law Journal 1989, 87; Becker, Ein Recht auf datenerhebungsfreie Produkte, JZ 2017, 171; Ben-Shahar/Chilton, Simplification of Privacy Disclosures: An Experimental Test, 45 Journal of Legal Studies 2016, S41; Billhardt et al., Agreement technologies for coordination in smart cities, 8 Applied Sciences 2018, Article 816, 1; Braun et al., INFORMATIK 2019: 50 Jahre Gesellschaft für Informatik – Informatik für Gesellschaft 2019; Brei*

Prof. Dr. Philipp Hacker, LL. M. (Yale).

281

Philipp Hacker ner/Sriram/Subrahmanian, AAAI Spring Symposium Series 2018, 107; Buchner, Informationelle Selbstbestimmung im Privatrecht, 2006; Calo, Digital Market Manipulation, 82 George Washington Law Review, 2014, 995; Clifford/Ausloos, Data Protection and the Role of Fairness, 37 Yearbook of European Law 2018, 130; ConPolicy, Wege zur besseren Informiertheit im Datenschutz, 2018; Costa-Cabral/ Lynskey, Family ties: the intersection between data protection and competition in EU Law, 54 Common Market Law Review 2017, 11; Cranor, Necessary but not sufficient: Standardized mechanisms for privacy notice and choice, 10 Journal on Telecommunications & High Technology Law 2012, 273; Crémer/de Montjoye/ Schweitzer, Competition Policy for the Digital Era, Bericht, 2019, 8; Das et al., Personalized Privacy Assistants for the Internet of Things: Providing Users with Notice and Choice, 17(3) IEEE Pervasive Computing 2018, 35; Datenethikkommission, Gutachten der Datenethikkommission, 2019, 147; DeNardis, The Internet in Everything, 2020; Efroni et al., Privacy Icons: A Risk-Based Approach to Visualisation of Data Processing, 5 European Data Protection Law Review 2019, 352; Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, 2. Aufl. 2018; Engeler, Das überschätzte Kopplungsverbot, ZD 2018, 55; Engert, Regelungen als Netzgüter: Eine Theorie der Rechtsvereinheitlichung im Vertragsrecht, AcP 218 (2018) 304; Ernst, Die Einwilligung nach der Datenschutzgrundverordnung, ZD 2017, 110; European Commission, A Digital Single Market Strategy for Europe – Analysis and Evidence, Commission Staff Working Document, SWD (2015) 100 final; European Data Protection Board, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, Version 2.0, 2019; Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten zum 71. Deutschen Juristentag, 2016; de Franceschi, Digitale Inhalte gegen personenbezogene Daten in Schmidt-Kessel/Kramme (Hrsg.), Geschäftsmodelle in der digitalen Welt, 2017, 113; Franzen, Privatrechtsangleichung durch die Europäische Gemeinschaft, 1999; Furrer, Die Sperrwirkung des sekundären Gemeinschaftsrechts auf die nationalen Rechtsordnungen, 1994; Gierschmann/ Schlender/Stentzel/Veil (Hrsg.), Kommentar Datenschutz-Grundverordnung, 2017; Goanta/Mulders, ‘Move Fast and Break Things’: Unfair Commercial Practices and Consent in Social Media, Journal of European Consumer and Market Law 2019, 136; Gola (Hrsg.), DS-GVO, 2. Aufl. 2018; Golland, Das Kopplungsverbot in der Datenschutz-Grundverordnung, MMR 2018, 130; Grünberger, Verträge über digitiale Güter, AcP 218 (2018), 213; Grundmann, Regulierung und Privatrecht in: Privatrechtsdogmatik im 21. Jahrhundert, Festschrift Canaris, 2017, 907; Grundmann, On the Unity of Private Law – From a Formal to a Substance Based Concept of Private Law, 6 European Review of Private Law 2010, 1055; Hacker, Die Digitalisierung als Herausforderung für das Verbraucherrecht in Leyens et al. (Hrsg.), Smart Regulation, 2021; Hacker, Regulating the Economic Impact of Data as Counter-Performance: From the Il-legality Doctrine to the Unfair Contract Terms Directive in Lohsse/ Schulze/Staudenmayer (Hrsg.), Data as Counter-Perfomance: Contract Law 2.0?, 2020, 47; Hacker, Datenprivatrecht, 2020; Hacker, Daten als Gegenleistung: Rechtsgeschäfte im Spannungsfeld von DS-GVO und allgemeinem Vertragsrecht, ZfPW 2019, 148; Hacker, Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies against Algorithmic Discrimination under EU Law, 55 Common Market Law Review 2018, 1143; Hacker, Personal Data, Exploitative Contracts, and Algorithmic Fairness: Autonomous Vehicles Meet the Internet of Things, 7 Internatio-

282

Datenprivatrecht nal Data Privacy Law 2017, 266; Hacker/Petkova, Reining in the Big Promise of Big Data. Transparency, Inequality, and New Regulatory Frontiers, 15 Northwestern Journal of Technology and Intellectual Property 2017, 1; Hansen/Limniotis, Recommendations on shaping technology according to GDPR provisions. Exploring the notion of data protection by default, ENISA Report, 2018; Härting, „Dateneigentum“ – Schutz durch Immaterialgüterrecht?, CR 2016, 646; Heinzke/Engel, Datenverarbeitung zur Vertragserfüllung – Anforderungen und Grenzen, ZD 2020, 189; Helberger, Profiling and Targeting Consumers in the Internet of Things, in Schulze/ Staudenmayer (Hrsg.), Digital Revolution: Challenges for Contract Law in Practice, 2016, 135; Hellgardt, Regulierung und Privatrecht, 2016; Herfurth, Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO, ZD 2018, 514; Hermstrüwer, Contracting Around Privacy: The (Behavioral) Law and Economics of Consent and Big Data, 8 JIPITEC 2017, 9; Hermstrüwer, Informationelle Selbstgefährdung, 2016; Hoofnagle/Kesari/Perzanowski, The Tethered Economy, 87 George Washington Law Review 2019, 783; Hoofnagle/Whittington, Free: Accounting for the Costs of the Internet’s Most Popular Price, 61 UCLA Law Review 2014, 606; Huthmacher, Der Vorrang des Gemeinschaftsrechts bei indirekten Kollisionen, 1985; Indenhuck/ Britz, Vom Datenschutzrecht zum Datenschuldrecht – Neue Leitlinien zur Verarbeitung personenbezogener Daten bei Online-Dienstleistungen, BB 2019, 1091; Köhler, Datenschutz – eine neue Aufgabe für das Wettbewerbsrecht?, ZD 2019, 285; Körber/Kühling (Hrsg.), Regulierung-Wettbewerb-Innovation, 2017; Krohm/Müller-Peltzer, Auswirkungen des Kopplungsverbots auf die Praxistauglichkeit der Einwilligung, ZD 2017, 551; Kühling/Buchner (Hrsg.), DS-GVO/BDSG, 3. Aufl. 2020; Kühling/Klar/Sackmann, Datenschutzrecht, 4. Aufl. 2018; Langhanke, Daten als Leistung, 2018; Langhanke/Schmidt-Kessel, Consumer Data as Consideration, EuCML 2015, 218; Libert, An Automated Approach to Auditing Disclosure of Third-Party Data Collection in Website Privacy Policies, Proceedings of the 2018 World Wide Web Conference, 207; Lin et al., Modeling Users’ Mobile App Privacy Preferences, 10th Symposium on Usable Privacy and Security (SOUPS) 2014, 199; Lippi et al., CLAUDETTE:an automated detector of potentially unfair clauses in online terms of service, 27 Artificial Intelligence and Law 2019, 117; Lippi et al., Automated Detection of Unfair Clauses in Online Consumer Contracts, Legal Knowledge and Information Systems (JURIX) 2017; McCarthy, New Directions in Privacy, 6 I/S: A Journal of Law and Policy 2011, 425; McDonald/Cranor, The Cost of Reading Privacy Policies, 4 I/O Journal of Law and Policy for the Information Society 2008, 543; Metzger, Dienst gegen Daten: Ein synallagmatischer Vertrag, AcP 216 (2016), 817; Metzger, A Market Model for Personal Data: State of the Play under the New Directive on Digital Content and Digital Services in Lohsse/Schulze/Staudenmayer (Hrsg.), Data as Counter-Performance: Contract Law 2.0?, 2020, 25; Mischau, Daten als „Gegenleistung“ im neuen Verbrauchervertragsrecht, ZEuP 2020, 335; Monopolkommission, Wettbewerbspolitik: Herausforderung digitale Märkte, Sondergutachten 68, 2015; Obar/Oehldorf-Hilsch, The biggest lie on the Internet: ignoring the privacy policies and terms of service policies of social networking services, 21 Information, Communication & Society 2018, 1; Ohly, UWG-Rechtsschutz bei Verstößen gegen die Datenschutz-Grundverordnung?, GRUR 2019, 686; Pałka/Lippi, Big Data Analytics, Online Terms of Service and Privacy Policies in Vogl (Hrsg.), Research Handbook on Big Data Law, https://ssrn.com/abstract=3347364, zuletzt abgerufen am 9.7.21; Pappachan et al., Towards privacy-awa-

283

Philipp Hacker re smart buildings: Capturing, communicating, and enforcing privacy policies and preferences, IEEE 37th International Conference on Distributed Computing Systems Workshops (ICDCSW) 2017, 193; Paulus, Die automatisierte Willenserklärung, JuS 2019, 960; Peifer, Das Recht auf Vergessenwerden – ein neuer Klassiker vom Karlsruher Schlossplatz, GRUR 2020, 34; Pertot (Hrsg.),Rechte an Daten, 2020; Podszun, Der Verbraucher als Marktakteur: Kartellrecht und Datenschutz in der „Facebook“-Entscheidung des BGH, GRUR 2020, 1268; Qiu/Wang/Rubin, Proceedings of the 27th ACM SIGSOFT International Symposium on Software Testing and Analysis 2018; Reidenberg et al., Trustworthy Privacy Indicators: Grades, Labels, Certifications, and Dashboards, 96 Washington University Law Review 2019, 1409; Riechert, Dateneigentum – ein unauflösbarer Interessenkonflikt?, DuD 2019, 353; Riehm, Freie Widerrufbarkeit der Einwilligung und Struktur der Obligation Daten als Gegenleistung?, in Pertot (Hrsg.), Rechte an Daten, 2020, 175; Robrahn/Bremert, Interessenskonflikte im Datenschutzrecht, ZD 2018, 291; Sadeh et al., The Usable Privacy Policy Project, The Usable Privacy Policy Project, Technical Report, CMUISR-13–119, 2013; Santos et al., Legal and ethical implications of applications based on agreement technologies: the case of auction-based road intersections, Artificial Intelligence and Law 2020, 385; Sattler, Personenbezogene Daten als Leistungsgegenstand, JZ 2017, 1036; Schemmel, Anmerkung zu OLG Frankfurt a. M.: Unwirksamkeit des Verkaufs von Adressdaten wegen fehlender Einwilligung der Adressinhaber, BB 2018, 723; Schmidt-Kessel, Right to Withdraw Consent to Data Processing – Effect on Contract, in Lohsse/Schulze/Staudenmayer (Hrsg.), Data as Counter-Performance: Contract Law 2.0?, 2020, 129; Schmidt-Kessel/Grimm, Unentgeltlich oder entgeltlich? – Der vertragliche Austausch von digitalen Inhalten gegen personenbezogene Daten, ZfPW 2017, 84; Schwartz, Property, Privacy, and Personal Data, 117 Harvard Law Review 2004, 2055; Schweitzer, Datenzugang in der Datenökonomie: Eckpfeiler einer neuen Informationsordnung, GRUR 2019, 569; Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 2019; Specht, Daten als Gegenleistung – Verlangt die Digitalisierung nach einem neuen Vertragstypus?, JZ 2017, 763; Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 2012; Specht/Herold, Roboter als Vertragspartner?, MMR 2018, 40; Spindler/Schuster (Hrsg.), Recht der elektronischen Medien, 4. Aufl. 2019; Starke, EU-Grundrechte und Vertragsrecht, 2016; Staudenmayer, Auf dem Weg zum digitalen Privatrecht – Verträge über digitale Inhalte, NJW 2019, 2497; Stiftung Datenschutz, Neue Wege bei der Einwilligung im Datenschutz, 2017; Strandburg, Free fall: The online market’s consumer preference disconnect, University of Chicago Legal Forum, 2013, 95; Sydow (Hrsg.), Europäische Datenschutzgrundverordnung, 2. Aufl. 2018; Taeger/Gabel (Hrsg.), DSGVO BDSG, 3. Aufl. 2019; Teubner, Digitale Rechtssubjekte? Zum privatrechtlichen Status autonomer Softwareagenten, AcP 182 (2018), 155; Uebele, Datenschutzrecht vor Zivilgerichten, GRUR 2019, 694; United States Government Accountability Office, Internet of Things, 2017; Utz et al., (Un)informed Consent: Studying GDPR Consent Notices in the Field, 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19); Vogl (Hrsg.), Research Handbook on Big Data Law, im Erscheinen; Wachter/Mittelstadt/Russell, Why Fairness Cannot Be Automated: Bridging the Gap Between EU Non-Discrimination Law and AI, Working Paper, 2020, https:// ssrn.com/abstract=3547922, zuletzt abgerufen am 9.7.2021; Wendehorst, Die Digitalisierung und das BGB, NJW 2016, 2609; Wendehorst, Verbraucherrelevante Prob-

284

Datenprivatrecht lemstellungen zu Besitz- und Eigentumsverhältnissen beim Internet der Dinge, Rechtsgutachten für Sachverständigenrat für Verbraucherfragen beim Bundesministerium der Justiz und für Verbraucherschutz, 2016; Wendehorst/Graf von Westphalen, Der Entwurf neuer Leitlinien des Europäischen Datenschutzausschusses 2/2019 betreffend die Auslegung von Art. 6 Abs. 1 lit. b DSGVO, ZIP 2019, 1937; Wendehorst/Graf von Westphalen, Das Verhältnis zwischen Datenschutz-Grundverordnung und AGB-Recht, NJW 2016, 3745; Willis, Why Not Privacy by Default?, 29 Berkeley Technology Law Journal 2014, 61; Wright/De Hert, Introduction to Privacy Impact Assesment, in Wright/De Hert (Hrsg.), Privacy Impact Assessment, 2012, 3; Zaeem/German/Barber, PrivacyCheck: Automatic Summarization of Privacy Policies Using Data Mining 18(4) ACM Transactions on Internet Technology (TOIT) 2018, Article 53; Zech, „Industrie 4.0“ – Rechtsrahmen für eine Datenwirtschaft im digitalen Binnenmarkt, GRUR 2015, 1151; Zibuschka/Nofer/Hinz, Zahlungsbereitschaft für Datenschutzfunktionen intelligenter Assistenten, Multikonferenz Wirtschaftsinformatik (MKWI) 2016, 1391; Ziegler/Menon/Annichino, IoT Privacy and Security in Smart Cities, in Ziegler (Hrsg.), Internet of Things Security and Data Protection, 2019, 149; Zimmeck et al., Proceedings on Privacy Enhancing Technologies 2019 (3); Zuiderveen Borgesius, Strengthening legal protection against discrimination by algorithms and artificial intelligence, The International Journal of Human Rights 2020, 1572.

I. Einleitung Die Digitalisierung der Wirtschaft bedingt, dass in immer mehr Trans- 1 aktionen personenbezogene Daten einen zentralen Austauschfaktor darstellen. Während dieser phänomenologische Grundtatbestand mittlerweile unstreitig sein dürfte, sind die rechtlichen Konsequenzen dieser Transformation des Wirtschaftsgefüges noch keineswegs abschließend geklärt. Dies gilt insbesondere für die komplexe und spannungsreiche Beziehung des unionalen Datenschutzrechts zum allgemeinen Privatrecht. Die vom Verfasser vorgelegte Habilitationsschrift leistet zu dieser Verhältnisbestimmung einen Beitrag, der dogmatische Analyse einerseits und interdisziplinäre Rechtsforschung andererseits verknüpfen soll.1 In methodischer Hinsicht erscheint beides notwendig: So muss zum einen für Aussagen über Möglichkeit und Notwendigkeit des Rückgriffs auf Figuren und Tatbestände des allgemeinen Privatrechts innerhalb datenbasierter Austauschverhältnisse geklärt werden, wie weit der Anwendungsvorrang des Unionsrechts reicht und inwiefern umgekehrt zentrale datenschutzrechtliche Konzepte wie die Einwilligung in die Dogmatik des BGB eingebettet werden können. Zum anderen ist für die Entwicklung von Ansätzen zur Reform des geltenden Rechts ein Blick auf technisch-informatische Möglichkeiten und auf mögliche Formen von Marktversagen in der digitalen Wirtschaft unabdingbar. 1

Hacker, Datenprivatrecht.

285

Philipp Hacker

2 Dabei kann die Arbeit auf umfängliche Untersuchungen zurückgreifen, die unter dem Begriff des „Datenschuldrechts“ in jüngerer Zeit zu den Auswirkungen ubiquitärer Datenverarbeitung auf privatrechtliche Schuldverhältnisse angestellt wurden.2 Zugleich ist jedoch klar, dass die Reibungspunkte zwischen Datenschutzrecht und Privatrecht nicht auf das Schuldrecht beschränkt sind, sondern weitere Bereiche des BGB, daneben jedoch auch spezifisch wirtschaftsrechtliche Materien wie das Lauterkeits-,3 das Antidiskriminierungs-4 und das Kartellrecht5 umfassen. Daraus ein kohärentes, rechtsgebietsübergreifend verknüpftes und zugleich interdisziplinär fundiertes Recht des Umgangs mit Daten in privatrechtlichen Kontexten – ein Datenprivatrecht – zu formen, ist eine zentrale Herausforderung für die Bewältigung der digitalen Transformation durch die Rechtswissenschaft. Dabei muss sich der folgende Beitrag auf den Kernbereich eines derartigen Datenprivatrechts fokussieren, der im Schnittbereich von allgemeinem Privatrecht (insbesondere Rechtsgeschäftslehre und Schuldrecht) und unionalem Datenschutzrecht liegt. 2

3

4

5

Begriffsprägend Schmidt-Kessel, Daten als Gegenleistung in Verträgen über die Bereitstellung digitaler Inhalte, Folien zum Vortrag vom 3.5.2016, Folie 7, https://www.bmjv.de/SharedDocs/Downloads/DE/Praesentationen/05032016_ digitalesVertragsrecht_Schmidt_Kessler.html, zuletzt abgerufen am 9.7.21; bereits zuvor in der Sache Langhanke/Schmidt-Kessel, EuCML 2015, 218, 220 ff.; siehe ferner etwa Metzger, AcP 216 (2016), 817; Wendehorst, NJW 2016, 2609; Sattler, JZ 2017, 1036; Schmidt-Kessel/Grimm, ZfPW 2017, 84, 102 ff.; Langhanke, Daten als Leistung; Datenethikkommission, Gutachten der Datenethikkommission, 2019, 147; Indenhuck/Britz, BB 2019, 1091; Staudenmayer, NJW 2019, 2497; Riechert, DuD 2019, 353, 360; Hacker, ZfPW 2019, 148; Mischau, ZEuP 2020, 335; siehe auch die Beiträge in Pertot (Hrsg.), Rechte an Daten. Siehe dazu etwa Helberger in Schulze/Staudenmayer (Hrsg.), Digital Revolution: Challenges for Contract Law in Practice, 135; Goanta/Mulders, Journal of European Consumer and Market Law 2019, 136; Uebele, GRUR 2019, 694, 697 f.; Köhler, ZD 2019, 285, 285; Ohly, GRUR 2019, 686, 688 ff.; de Franceschi in Schmidt-Kessel/Kramme (Hrsg.), Geschäftsmodelle in der digitalen Welt, 113, 131 f.; Hacker, Die Digitalisierung als Herausforderung für das Verbraucherrecht in Leyens et al. (Hrsg.), Smart Regulation. Siehe dazu etwa Wachter/Mittelstadt/Russell, Why Fairness Cannot Be Automated: Bridging the Gap Between EU Non-Discrimination Law and AI, Working Paper, 2020, https://ssrn.com/abstract=3547922, zuletzt abgerufen am 9.7.21; Zuiderveen Borgesius, Strengthening legal protection against discrimination by algorithms and artificial intelligence, The International Journal of Human Rights 2020, DOI: 10.1080/13642987.2020.1743976; Hacker, 55 Common Market Law Review, 1143. Siehe etwa Podszun, GRUR 2020, 1268; Costa-Cabral/Lynskey, 54 Common Market Law Review 2017, 11; Robertson, 57 Common Market Law Review 2020, 161; Crémer/de Montjoye/Schweitzer, Competition Policy for the Digital Era, Bericht, 2019, 8.

286

Datenprivatrecht

II. Interdisziplinäre Grundlagen und regulatorische Risiken Mit Blick auf Fragen der Regulierung der digitalen Wirtschaft erscheint 3 insbesondere der Blick über die Fachgrenzen hinweg auf die Informatik einerseits und die Ökonomik andererseits lohnend. In technischer Hinsicht ist zu konstatieren, dass drei Basistechnologien (Tracking-Technologien; Künstliche Intelligenz; und das Internet der Dinge) zunehmend verschmolzen werden zu einem im Entstehen begriffenen Internet of Everything,6 das eine ubiquitäre Vernetzung von Personen und Objekten mit datenbasierten Analyseprozessen verknüpft. Daten werden so in eine Dauerschleife eingespeist, in der Datenerhebung, Echtzeitanalyse, Veränderung des Produktangebots und erneute Messung der Reaktion darauf unmittelbar ineinander übergehen. 1. Potenziale vernetzter Datenverarbeitung Zu einem Regulierungsproblem wird dieser Befund, weil damit einer- 4 seits erhebliches Potenzial, andererseits aber auch spezifische Risiken einhergehen. Dabei ist zunächst nicht zu übersehen, dass die nahtlose Verbindung von unterschiedlichen Geräten im Internet der Dinge und der Einsatz von Daten als ökonomische Gegenleistung durchaus erhebliche Gewinne auf individueller wie auch sozialer Ebene bedingen können: Eine präzisere Präferenzerfüllung7 kann so gepaart werden mit einer Kaufkraftsteigerung durch die Aufstockung des Verbraucherbudgets um die eigenen Daten.8 Dem wohnt gar eine egalitäre Tendenz inne: Mit den eigenen Daten kann jede Person im Grundsatz in gleicher Weise „bezahlen“, unabhängig von ihrer Vermögens- und Einkommenssituation im Übrigen. Auf sozialer Ebene wird dies vervollständigt durch Effizienzgewinne, die durch Vernetzung, präzisere Steuerung und Bedarfsvorhersage erzielt werden können.9

6 7 8 9

Breiner/Sriram/Subrahmanian, AAAI Spring Symposium Series 2018, 107; DeNardis, The Internet in Everything. Hoofnagle/Kesari/Perzanowski, 87 George Washington Law Review 2019, 783, 804. Metzger in Lohsse/Schulze/Staudenmayer (Hrsg.), Data as Counter-Performance: Contract Law 2.0?, 25, 42. European Commission, A Digital Single Market Strategy for Europe – Analysis and Evidence, Commission Staff Working Document, SWD (2015) 100 final, 57; Zech, GRUR 2015, 1151, 1151 f.; United States Government Accountability Office, Internet of Things, 2017, 19 f.

287

Philipp Hacker

2. Rechtliche Herausforderungen: Multirelationalität, Marktversagen und heterogene Präferenzen 5 Diesem Potenzial zunehmender Einspeisung von Daten in Transaktionsprozesse stehen jedoch ökonomische und soziale Risiken gegenüber, die drei spezifische regulatorische Herausforderungen bedingen. Erstens ist personenbezogenen Daten in besonderer Weise ein Drittbezug eingeschrieben: Sie gewinnen ihren wirtschaftlichen Wert typischerweise erst durch Übermittlung an oder Analyse durch Drittunternehmen, die außerhalb der Achse des vertraglichen Hauptaustausches stehen. Diese Multirelationalität10 übersteigt das primäre Vertrags- und Nutzungsverhältnis und stellt das grundsätzlich auf bilateralen Austausch ausgerichtete System des tradierten Schuldrechts vor erhebliche Herausforderungen. 6 Zweitens geht der zunehmende Einsatz von personenbezogenen Daten in wirtschaftlichen Austauschprozessen mit der Gefahr von Marktversagen einher. Dabei können vier unterschiedliche Typen identifiziert werden:11 Informationsasymmetrie infolge rationaler Ignoranz von Informationen über Datenverarbeitung;12 verhaltensökonomische Verzerrungen bei der Informationsverarbeitung;13 Externalitäten durch Kollektiveffekte der Datenverarbeitung;14 und schließlich eine Unschärfe des Datenpreissignals infolge der Unbestimmtheit des Marktwertes von Daten.15 Diese vier Kategorien von Marktversagen sind nicht nur empirisch gut belegt, sondern legen zudem nahe, dass auf individueller Ebene die Erfüllung der materiellen Voraussetzungen für die Inanspruchnahme von Privatautonomie keineswegs garantiert werden kann. Dem Recht fällt damit die Aufgabe zu, diesen Risiken adäquat zu begegnen, ohne zugleich das

10 Buchner, Informationelle Selbstbestimmung im Privatrecht, 221 ff.; Hacker, Datenprivatrecht, 55 f. 11 Näher Hacker, Datenprivatrecht, 59 ff. 12 McDonald/Cranor, 4 I/O Journal of Law and Policy for the Information Society 2008, 543; Obar/Oehldorf-Hilsch, 21 Information, Communication & Society 2018, 1, 14. 13 Hermstrüwer, Informationelle Selbstgefährdung, 233 ff.; Acquisti/Taylor/ Wagman, 54 Journal of Economic Literature 2016, 442. 14 McCarthy, 6 I/S: A Journal of Law and Policy 2011, 425, 445 ff.; Hermstrüwer, 8 JIPITEC 2017, 9 Rz. 12; Ben-Shahar, 11 Journal of Legal Analysis, 2019, 104, 112 ff.; Barocas/Levy, Washington Law Review (im Erscheinen), https://ssrn. com/abstract=3447384, zuletzt abgerufen am 9.7.2021. 15 Schweitzer in Körber/Kühling (Hrsg.), Regulierung-Wettbewerb-Innovation, 269, 276; Bundeskartellamt, Beschluss vom 6.2.2019, B6–22/16 Rz. 571; Hacker in Lohsse/Schulze/Staudenmayer (Hrsg.), Data as Counter-Perfomance: Contract Law 2.0?, 47, 48 ff.

288

Datenprivatrecht

genannte Potenzial von datenbasierten Austauschprozessen zunichte zu machen. Die Komplexität der Regulierungsaufgabe wird schließlich drittens da- 7 durch erhöht, dass innerhalb der Bevölkerung die Präferenzen hinsichtlich der Relevanz von Datenschutz in Abwägung mit den geschilderten Vorteilen der Datenverarbeitung sehr heterogen verteilt sind.16 Dies stellt das Recht vor die weitere Herausforderung, es Personen mit hohen Datenschutzpräferenzen zu ermöglichen, wirksame Kontrolle über die eigenen Daten bei gleichzeitiger Teilhabe an zentralen Marktprozessen auszuüben, zugleich jedoch für Personen mit niedrigen Datenschutzpräferenzen rechtssichere Formen des Einsatzes ihrer Daten als Budgeterweiterung anzubieten. Diese Unterscheidung von regulatorischen Risiken (Multirelationalität 8 von Datenverarbeitung; Marktversagen) einerseits und Präferenzdurchsetzung andererseits spiegelt sich auch in den rechtlichen Strukturen, welche das unionale Datenschutzrecht und das allgemeine Privatrecht prägen. Zwar folgen Datenschutzrecht und allgemeines Privatrecht zunächst gänzlich unterschiedlichen Paradigmata: Während im Datenschutzrecht ein generelles Verbot mit spezifischen Erlaubnistatbeständen vorherrscht (Art. 6 Abs. 1 DS-GVO), operiert das Privatrecht bekanntlich mit einer allgemeinen Handlung- und Vertragsfreiheit (§ 311 Abs. 1 BGB), die lediglich spezifische Schranken der Privatautonomie kennt. Nichtsdestoweniger lassen sich in beiden Bereichen, wenngleich in unterschiedlicher Verteilung, sowohl ermöglichende als auch regulatorische Normtatbestände ausmachen:17 Während diese primär die Einhegung spezifischer Risiken bewirken sollen, haben jene die Schaffung der materiellen Voraussetzungen für die Inanspruchnahme von Privatautonomie zum Ziel und stützen damit die effektive Durchsetzung von Präferenzen am Markt.

16 Acquisti/John/Loewenstein, What is Privacy Worth?, Working Paper, 2009, http://pages.stern.nyu.edu/~bakos/wise/papers/wise2009-6a1_paper.pdf, 26, zuletzt abgerufen am 9.7.2021; Lin et al., 10th Symposium on Usable Privacy and Security (SOUPS) 2014, 199, 205 f.; Hermstrüwer, Informationelle Selbstgefährdung, 353 f. 17 Zur Unterscheidung dieser Normkategorien näher Grundmann, 6 European Review of Private Law 2010, 1055, 1063–1066; Hellgardt, Regulierung und Privatrecht, 46 ff. Starke, EU-Grundrechte und Vertragsrecht, 36 ff.; Grundmann in Festschrift Canaris, 907, 910.

289

Philipp Hacker

III. Ubiquitäre Vernetzung und Datenschutzrecht 9 Von der Warte des Privatrechts betrachtet, mag das Datenschutzrecht zunächst als primär regulatorisch geprägtes Rechtsgebiet wahrgenommen werden. Dies würde jedoch die vielfältigen und in der Rechtspraxis überaus bedeutsamen Ermöglichungsstrukturen verkennen, die auch dem unionalen Datenschutzrecht einbeschrieben sind. Diese finden sich insbesondere im Tatbestand der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), der vertragserforderlichen Datenverarbeitung (Art. 6 Abs. 1 lit. b DS-GVO) und des Rechts auf Datenübertragung (Art. 20 DS-GVO). 1. Ermöglichungsstrukturen 10 Jenseits aller Einzelprobleme offenbaren diese Ermöglichungsstrukturen jedoch erhebliche Defizite im rechtlichen wie auch tatsächlichen Bereich. a) Recht auf Datenübertragung 11 Das Recht auf Datenübertragung setzt seinerseits funktionierende Wettbewerbsstrukturen voraus, die es selbst weder garantieren noch schaffen kann. Letztlich ist es insoweit auf eine effektive Durchsetzung des Kartellrechts angewiesen, die im Rahmen der digitalen Wirtschaft mittlerweile bekanntlich einen gänzlich eigenen Forschungszweig darstellt. Gerade in Bereichen, die von erheblichen Netzwerkeffekten geprägt sind, wie etwa bei sozialen Medien, fehlt es jedoch regelmäßig an funktional äquivalenten Alternativangeboten, die das Recht auf Datenübertragung attraktiv machen und effektivieren könnten.18 b) Einwilligung und Vertrag: das Dilemma individueller Kontrolle 12 Durch Einwilligung und Vertrag können individuelle Akteure hingegen zumindest theoretisch Datenverarbeitungsprozesse privatautonom freigeben und steuern. Bei näherem Hinsehen offenbart sich jedoch, dass diese zentralen Ermöglichungstatbestände an einer doppelten Dysfunktionalität leiden, dem Dilemma individueller Kontrolle im Datenschutzrecht. aa) Rechtsunsicherheit für rationale Parteien: das Kopplungsverbot 13 Einerseits ist es rationalen Parteien mit niedrigen Datenschutzpräferenzen kaum möglich, rechtssicher hinsichtlich ihrer Daten zu kontrahieren und damit ihre Budgetrestriktionen zu erweitern. Grund dafür ist insbe18 Vgl. etwa Schweitzer, GRUR 2019, 569, 574.

290

Datenprivatrecht

sondere die Unsicherheit hinsichtlich der Interpretation des Kopplungsverbots nach Art. 7 Abs. 4 DS-GVO und des parallel zu interpretierenden Erforderlichkeitsmaßstabs nach Art. 6 Abs. 1 lit. b DS-GVO.19 Der Europäische Datenschutzrechtsausschuss20 hat sich hier, wie auch erhebliche Teile der Literatur,21 für eine objektive Lesart ausgesprochen, die Daten nur dann als für die Vertragserfüllung erforderlich ansieht, wenn diese gerade den zentralen, für den vertraglichen Austausch charakteristischen Leistungsaspekten dienen. Im Rahmen von Verträgen mit sozialen Netzwerken könnte damit eine Fokussierung des Merkmals der Erforderlichkeit auf die technische Bereitstellung des Zugangs zum Netzwerk erreicht werden. Der Einsatz von Daten etwa für personalisierte Werbung, mithin also für die ökonomisch zentralen Aspekte der Datenverarbeitung, würde damit außerhalb des Bereichs der Vertragserforderlichkeit liegen und dem Kopplungsverbot unterfallen. Problematisch erscheint daran jedoch nicht nur, dass eine Beschränkung 14 auf besonders zentrale Aspekte der Vertragsdurchführung Wortlaut und Systematik der genannten Normen kaum zu entnehmen ist; vielmehr bereitet auch die Ermittlung der charakteristischen Leistungen in komplexen digitalen Austauschprozessen, die typischerweise bestehende Vertragstypen transzendieren, erhebliche Probleme.22 Immerhin leben derartige Produkte von datenintensiven Formen der Personalisierung, was regelmäßig in den Vertragsbedingungen auch zentral als Leistungsbeschreibung kommuniziert wird. Diese diffizile Abgrenzung vermeidet ein streng subjektiver Erforderlichkeitsmaßstab,23 unter den all jene Daten fallen, die zur Erfüllung von jeglichen wirksam vereinbarten Pflichten des datenschutzrechtlich Verantwortlichen, unter Ausblendung etwaiger Nutzerpflichten, notwendig sind. Das Risiko eines derartigen subjektiven Maßstabs liegt allerdings in der 15 möglichen Vereinbarung artifiziell weiterer Leistungspflichten allein zu Zwecken der Datenverarbeitung. Daher fällt nach diesem Verständnis dem allgemeinen Privatrecht, hier insbesondere der AGB-rechtlichen

19 Dazu näher Hacker, Datenprivatrecht, 182 ff.; Engeler, ZD 2018, 55. 20 European Data Protection Board, Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects, Version 2.0, 8.10.2019 Rz. 27, 30. 21 Wendehorst/Graf von Westphalen, ZIP 2019, 1937; Buchner/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 7 DS-GVO Rz. 49 f.; Kühling/Klar/Sackmann, Datenschutzrecht, Rz. 501; Golland, MMR 2018, 130, 130. 22 Engeler, ZD 2018, 55, 57; Indenhuck/Britz, BB 2019, 1091, 1094. 23 Engeler, ZD 2018, 55, 58; Heinzke/Engel, ZD 2020, 189, 191 f.; Hacker, ZfPW 2019, 148, 183.

291

Philipp Hacker

Klauselkontrolle, die Aufgabe zu, der Wirksamkeit individueller Leistungspflichten Grenzen zu ziehen. Rechtsmethodisch hätte dies den Vorteil, dass eine derartige Aufgabe aus vergleichender Perspektive vielleicht eher durch das allgemeine Privatrecht als das Datenschutzrecht bewältigt werden kann, da letzteres für die Unterscheidung und Bewertung komplexer vertragsrechtlicher Konstruktionen kaum Anhaltspunkte bietet. Bereits aus dieser knappen Diskussion erhellt jedoch einmal mehr, dass die Überlassung von Daten zum Zwecke personalisierter Werbung – mithin die zentrale Funktionsvariante des Einsatzes von Daten in der digitalen Wirtschaft – auch durch rationale und informierte Akteure erheblicher Rechtsunsicherheit ausgesetzt ist. Dies stellt die erste Dysfunktionalität des datenschutzrechtlichen Ermöglichungsregimes dar. bb) Fehlen von Voraussetzungen materieller Privatautonomie 16 Hinzu kommt andererseits, dass rationale Parteien mit niedrigen Datenschutzpräferenzen, die in derartiger Weise ihre Daten als Budgeterweiterung einsetzen möchten, nur einen (wohl minoritären) Teil der Nutzer darstellen. Beschränkt rationale Akteure hingegen werden an einer effektiven Ausübung von individueller Kontrolle durch mannigfaltige verhaltensökonomische Effekte und Informationsüberlastung gehindert.24 Parteien mit hohen Datenschutzpräferenzen hingegen leiden unter negativen Externalitäten von Datenverarbeitung, die sie selbst bei äußerster Zurückhaltung hinsichtlich der Offenlegung von Informationen zum Objekt von Inferenzen machen können.25 Zudem mangelt es regelmäßig an funktional äquivalenten, datenschonenden Alternativen. Darauf wird noch zurückzukommen sein. 17 Es bleibt jedoch die Feststellung, dass rationale Akteure mit niedrigen Datenschutzpräferenzen hinsichtlich ihrer Daten nicht rechtssicher privatautonom agieren können und es hinsichtlich der übrigen Akteure an den ökonomischen und rechtstatsächlichen Voraussetzungen für die wirksame Inanspruchnahme materieller Privatautonomie fehlt. Heterogenität der Regulierungsadressaten und der Datenschutzpräferenzen wird damit nur unzureichend normativ abgebildet. 2. Regulatorische Strukturen 18 Die regulatorischen Strukturen des Datenschutzrechts können diese Unsicherheiten ebenfalls nicht beseitigen. Die Interessenabwägungsklausel

24 Siehe Fn. 12 f. 25 Siehe Fn. 14.

292

Datenprivatrecht

nach Art. 6 Abs. 1 lit. f DS-GVO weist zwar ein hohes Maß an Flexibilität auf, ist jedoch dringend auf interpretatorische Konkretisierung durch den EuGH, Leitlinien des Europäischen Datenschutzausschuss und genehmigte Verhaltensregeln angewiesen. Ihr kommt gerade vor dem Hintergrund der rechtlichen und tatsächlichen Beschränkungen von Einwilligung und Vertrag als Erlaubnistatbestand eine zentrale Rolle für die Regulierung der Datenflüsse in der digitalen Wirtschaft zu.26 Man mag dies begrüßen oder bedauern; in den kommenden Jahren wird an einer Konkretisierung der sich daraus ergebenden Maßstäbe kaum ein Weg vorbeiführen. Hier wird man jeweils auf die spezifischen datenschutzrechtlichen Risiken, die sich aus der jeweiligen Konstellation ergeben, abstellen müssen.27 Eine zentrale und zugleich begrüßenswerte Neuerung im Rahmen der 19 regulatorischen Strukturen des Datenschutzrechts stellt schließlich der Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen gemäß Art. 25 DS-GVO dar. Dieser erfährt seine Rechtfertigung nicht nur durch seine Wirkung als penalty default,28 sondern gerade auch durch die angesprochenen negativen Externalitäten der Datenverarbeitung, die durch datenschutzfreundliche Technikgestaltung zumindest abgemildert werden können. Gemeinsam mit den neuen Regelungen zur Datenschutz-Folgenabschätzung29 sind sie wichtige Anreize, Rechtsdurchsetzung nicht nur durch ex post-Sanktionen, sondern zunehmend auch durch Technikgestaltung ex ante zu denken. Gerade in diesem Bereich ist die Engführung von Informatik und Rechtswissenschaft daher unabdingbar.30

26 Schweitzer in Körber/Kühling (Hrsg.), Regulierung-Wettbewerb-Innovation, 269, 281 ff. 27 Dazu genauer Herfurth, ZD 2018, 514; Robrahn/Bremert, ZD 2018, 291; Hacker, Datenprivatrecht, 275 ff. 28 Grundlegend zu penalty defaults Ayres/Gertner, 99 Yale Law Journal 1989, 87, 94, 97 ff.; zu Art. 25 DS-GVO in diesem Kontext Schwartz, 117 Harvard Law Review 2004, 2055, 2100; Willis, 29 Berkeley Technology Law Journal 2014, 61 (89); Hermstrüwer, 8 JIPITEC 2017 9 Rz. 10. 29 Dazu etwa Article 29 Data Protection Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679, WP 248 rev.01, 2017; Wright/De Hert in Wright/De Hert (Hrsg.), Privacy Impact Assessment, 3. 30 Siehe nur Hansen/Limniotis, Recommendations on shaping technology according to GDPR provisions. Exploring the notion of data protection by default, ENISA Report, 2018.

293

Philipp Hacker

20 Bereits dieser kurze Überblick zeigt jedoch, dass datenbasierten Geschäftsmodellen, aber auch der Entwicklung des Internets der Dinge durchaus enge datenschutzrechtliche Grenzen gesetzt sind. Diese lassen sich grundsätzlich auf zwei Wegen überwinden. Zum einen können Anbieter das datenschutzrechtliche Kopplungsverbot ausschalten, indem sie neben einer datenintensiven eine datenschonende, monetär finanzierte Alternative anbieten. Damit ist die Vertragserfüllung insgesamt nicht mehr von einer Einwilligung im Bereich der datenintensiven Variante abhängig und die Einwilligung kann vor dem Kopplungsverbot bestehen. Begrüßenswert ist, dass derartige Angebote jedenfalls in einigen Bereichen (zum Beispiel Nachrichtenwebseiten) zunehmend Fuß fassen. Andererseits können Anbieter Pflichten zur Personalisierung von Produkten und zur Anzeige von personalisierten Werbeformaten in ihre AGB aufnehmen. Dies würde bei Wirksamkeit derartiger Pflichten (und subjektivem Erforderlichkeitsmaßstab) jedenfalls gegenüber den jeweiligen Vertragspartnern den Weg über Art. 6 Abs. 1 lit. b DS-GVO eröffnen. Hinsichtlich dieses Erlaubnistatbestands fehlt jedoch in der DS-GVO eine dem Einwilligungsregime in Breite und Tiefe vergleichbare Adressierung datenschutzrechtlicher Risiken. IV. Der Einfluss des allgemeinen Privatrechts 21 Gerade mit Blick auf Vertragsbedingungen ist mithin das unionale Datenschutzrecht dringend auf die Ergänzung durch regulatorische Strukturen des allgemeinen Privatrechts angewiesen, um einen sachgerechten Ausgleich zwischen Privatautonomie und Risikoadressierung zu schaffen. 1. Zum Verhältnis von DS-GVO und Privatrecht 22 Zunächst wirft dies jedoch die entscheidende Frage auf, inwiefern auf das allgemeine Privatrecht neben der DS-GVO überhaupt zurückgegriffen werden kann. Diese Verhältnisbestimmung ist insoweit komplex, als Teile des allgemeinen Privatrechts (zum Beispiel des AGB-Rechts) selbst unionsrechtlich determiniert sind. Daher muss in methodischer Hinsicht streng zwischen einem möglichen Anwendungsvorrang des Unionsrechts vor rein mitgliedstaatlichem Recht einerseits und einer Sachintegration von unterschiedlichen, jeweils jedoch unionsrechtlich geprägten Rechtsbereichen andererseits unterschieden werden.31 In der Sache jedoch lassen sich für beide Konstellationen im Ausgangspunkt Kriterien erarbeiten, die auf eine sachgerechte Adressierung der jeweils

31 Ausführlich dazu Hacker, Datenprivatrecht, 314.

294

Datenprivatrecht

in Rede stehenden Risiken rekurrieren. Maßgeblich ist dabei, ob auf unionsrechtlicher Ebene (Anwendungsvorrang) oder innerhalb eines spezifischen Rechtsgebiets (Sachintegration) ein bestimmtes Risiko abschließend behandelt wurde. Dies ist letztlich nur durch Auslegung des jeweiligen Unionsrechtsakts zu ermitteln. Mitgliedstaatliche Regelungen können neben der DS-GVO nach hier vertretener Ansicht mit Blick auf datenbezogene Austauschverhältnisse Anwendung finden, wenn sie erstens ein eigenständiges, in der DS-GVO nicht abschließend behandeltes Risiko adressieren (Risikospezifizität)32 und zweitens mit den grundsätzlichen Zielsetzungen der DS-GVO vereinbar sind (Zielkompatibilität).33 Im Verbund sorgen diese beiden Kriterien im Rahmen des Anwendungsvorrangs des Unionsrechts dafür, dass mitgliedstaatliche Regelungen die inhaltliche Zielsetzung und Harmonisierungswirkung des Unionsrechtsakts nicht gefährden, zugleich aber Lücken des unionsrechtlichen Instruments durch mitgliedstaatliches Recht aufgefangen werden können.34 2. Datenbezogene Privatautonomie im BGB In sachlicher Hinsicht ist jedoch zwischen der Einwilligung einerseits 23 und dem die Datenverarbeitung gegebenenfalls erlaubenden Vertrag andererseits streng zu differenzieren. Hier greift jedenfalls grundsätzlich nicht nur ein Trennungs-, sondern auch ein Abstraktionsprinzip.35 Eine Verzahnung kann jedoch etwa dergestalt erfolgen, dass eine Verpflichtung zur Abgabe einer Einwilligungserklärung oder auch zur Überlassung von personenbezogenen Daten, kumulativ oder alternativ, als Gegenleistung vereinbart wird.36 Daraus ergeben sich in Anbetracht der Widerruf-

32 Furrer, Die Sperrwirkung des sekundären Gemeinschaftsrechts auf die nationalen Rechtsordnungen, 101–103 und 105 ff., besonders 125; Franzen, Privatrechtsangleichung durch die Europäische Gemeinschaft, 46; BVerfG v. 6.11.2019 – 1 BvR 276/17, GRUR 2020, 88 Rz. 79 – Recht auf Vergessen II; EuGH v. 16.12.1997 – C-104/96 (Rabobank) – Rz. 24. 33 Siehe etwa EuGH v. 6.6.2019 – C-58/18 (Schyns) – Rz. 45; Franzen, Privatrechtsangleichung durch die Europäische Gemeinschaft, 655. 34 Vgl. EuGH v. 21.9.1983 – verb. Rs. 205 bis 215/82 (Deutsche Milchkontor) – Rz. 21; Huthmacher, Der Vorrang des Gemeinschaftsrechts bei indirekten Kollisionen, 183. 35 Metzger, AcP 216 (2016), 817, 831 f.; Specht, JZ 2017, 763, 765 f.; Langhanke, Daten als Leistung, 163 ff. 36 KG v. 21.3.2019 – 23 U 268/13, BeckRS 2019, 8570 Rz. 43; siehe auch BGH v. 14.3.2017 – VI ZR 721/15, NJW 2017, 2119 Rz. 22 – Robinson Liste; BTDrucks. 17/13951, 72; Hacker, ZfPW 2019, 148, 159; Specht, JZ 2017, 763, 764; vgl. auch LG Berlin v. 16.1.2018 – 16 O 341/15, MMR 2018, 328 Rz. 51;

295

Philipp Hacker

lichkeit der Einwilligung mannigfache dogmatische Folgefragen, die an dieser Stelle nicht im Einzelnen beleuchtet werden können.37 a) Dogmatik der Einwilligung 24 Unter Berücksichtigung der soeben skizzierten methodischen Vorgaben kann die datenschutzrechtliche Einwilligungserklärung jedoch in die zivilrechtliche Rechtsgeschäftslehre integriert werden. Sie stellt nach hier vertretener Auffassung eine geschäftsähnliche Handlung dar,38 da ihre maßgeblichen Rechtsfolgen nicht eo ipso, sondern infolge der Anordnung durch die DS-GVO eintreten. Zugleich sperrt der Anwendungsvorrang der DS-GVO jedoch eine pauschale analoge Anwendung der Rechtsgeschäftslehre des BGB. Ein Rückgriff kann immer nur punktuell und nach Maßgabe der dargestellten zweistufigen Prüfung erfolgen. 25 Exemplarisch zeigt sich dies an der Stellvertretung beim Akt der Einwilligung: Diese ist nach hier vertretener Auffassung zulässig,39 mangels sie ausgestaltender Vorschriften in der DS-GVO jedoch im Einzelnen analog §§ 164 ff. BGB zu beurteilen. Weitere Bereiche der einwilligungsbezogenen Rechtsgeschäftslehre können jedoch auch aus der DS-GVO selbst entwickelt werden, so etwa Kriterien für die Abgabe und die Entbehrlichkeit eines Zugangs (Entäußerungstheorie). Zu Zustandekommen und Wirksamkeit von Verträgen finden sich hingegen in der DS-GVO keine Anhaltspunkte, sodass insoweit vollumfänglich, mit lediglich punktuellen Modifizierungen durch Wertungen der DS-GVO, auf das Vertragsrecht des BGB zurückgegriffen werden kann und muss. Problematisch ist hier insbesondere der Vertragsschluss zwischen Anbietern und Drittnutzern von IoT-Geräten.40 Insoweit der Vertrag hier als Substitut für eine Einwilligungserklärung fungiert, muss das datenschutzrechtliche Gebot

37

38 39

40

EuGH v. 29.7.2019 – C-40/17 (Fashion ID) – Rz. 80; zur Wirksamkeit der Einwilligung als Geschäftsgrundlage des Vertrags ferner Hacker, Datenprivatrecht, 227 f., 409 ff. Hierzu zuletzt Schmidt-Kessel in Lohsse/Schulze/Staudenmayer (Hrsg.), Data as Counter-Performance: Contract Law 2.0?, 129; Riehm in Pertot (Hrsg.), Rechte an Daten, 175; siehe auch Hacker, Datenprivatrecht, 211 ff. So auch etwa Gierschmann in Gierschmann/Schlender/Stentzel/Veil, Kommentar Datenschutz-Grundverordnung, Art. 7 Rz. 46. So auch Buchner/Kühling in Kühling/Buchner, DS-GVO/BDSG, Art. 7 DSGVO Rz. 31; Ingold in Sydow, Europäische Datenschutzgrundverordnung, Art. 7 DS-GVO Rz. 19; aA Ernst, ZD 2017, 110, 111; Schulz in Gola, DS-GVO, Art. 7 DS-GVO Rz. 8 f. Hierzu ausführlich Grünberger, AcP 218 (2018), 213, 280 ff.; Engert, AcP 218 (2018) 304, 344 ff.; Wendehorst, Verbraucherrelevante Problemstellungen zu Besitz- und Eigentumsverhältnissen beim Internet der Dinge, Rechtsgutach-

296

Datenprivatrecht

der Unmissverständlichkeit, Art. 4 Nr. 11 DS-GVO, auf die Willenserklärung des Drittnutzers übertragen werden,41 sodass nicht bereits jede Nutzung von IoT-Infrastruktur als Annahme eines Angebots auf Abschluss eines Nutzungsvertrags gedeutet werden kann. b) Grenzen der Privatautonomie Privatautonomer Gestaltung, durch Einwilligung und Vertrag, ist jedoch 26 auch im Bereich datenbasierter Austauschverhältnisse eine Grenze gezogen durch jene Normen, die man als regulatorischen Teil des BGB bezeichnen könnte. aa) § 134 BGB Besonders umstritten ist gegenwärtig etwa, inwieweit die Datenschutz- 27 rechtswidrigkeit einer Datenverarbeitung auf den dieser Verarbeitung zu Grunde liegenden Vertrag gemäß § 134 BGB durchschlägt.42 Man wird hier jedenfalls im Grundsatz zwischen Verträgen mit der betroffenen Person und solchen mit Dritten unterscheiden müssen. Bei ersteren spricht nach hier vertretener Ansicht aus teleologischer Perspektive viel dafür, die Wirksamkeit des Vertrags trotz Datenschutzrechtswidrigkeit der Verarbeitung aufrechtzuerhalten. Denn sonst würde die betroffene Person doppelt bestraft, indem ihr – neben der rechtswidrigen Verarbeitung – auch vertragliche Primär- und Sekundäransprüche vorenthalten würden. Bei Verträgen mit Dritten hingegen entfällt dieses zentrale Argument, sodass jedenfalls bei signifikanten Datenschutzrechtsverstößen in der Regel der Vertrag nach § 134 BGB nichtig sein dürfte, um eine Perpetuierung und Verstärkung datenschutzrechtlicher Risiken im Wege etwa des Datenhandels zu vermeiden.43 Denkbar wäre jedoch eine Genehmigung durch die betroffene Person sowie die Anwendung von § 139 BGB, wenn

ten für Sachverständigenrat für Verbraucherfragen beim Bundesministerium der Justiz und für Verbraucherschutz, 2016, 5 f., 72 ff. 41 Hacker, Datenprivatrecht, 388 ff. 42 Siehe für eine Datenschutzrechtsakzessorietät des Vertrags insbesondere Faust, Digitale Wirtschaft – Analoges Recht: Braucht das BGB ein Update?, Gutachten zum 71. Deutschen Juristentag, 8, 16; Heckmann/Paschke in Ehmann/ Selmayr, Datenschutz-Grundverordnung, Art. 7 Rz. 30; wohl auch Langhanke/ Schmidt-Kessel, EuCML 2015, 218, 220 f.; zum BDSG a. F. Specht, Konsequenzen der Ökonomisierung informationeller Selbstbestimmung, 178 f. 43 So im Ergebnis auch OLG Frankfurt v. 24.1.2018 – 13 U 165/16 –, BB 2018, 720, 722; zustimmend Schemmel, BB 2018, 723.

297

Philipp Hacker

ein Erlaubnistatbestand nur hinsichtlich einiger Daten eines größeren Datensatzes vorliegt.44 bb) Inhaltskontrolle 28 Rationaler Ignoranz von Einwilligung und Vertragsbedingungen kann insbesondere durch eine Inhaltskontrolle begegnet werden, die sich maßgeblich nach den §§ 305 ff. und 138 BGB richtet. Auch wenn hier vieles im Einzelnen umstritten ist, so kann doch letztlich nicht in Abrede gestellt werden, dass in Anbetracht des expliziten Verweises im 42. Erwägungsgrund der DS-GVO auf die Klauselrichtlinie der AGB-Kontrolle eine eigenständige Bedeutung gegenüber dem Datenschutzrecht zukommen muss,45 die der BGH bislang nicht anerkennt.46 Gerade für die oben angesprochenen weiten Leistungspflichten bedeutet dies, dass das Fehlen eines wirksamen Datenpreissignals durch eine behutsame, marktkonforme, an der Aziz-Rechtsprechung des EuGH47 orientierte Kontrolle des Äquivalenzprinzips nach Maßgabe von § 307 Abs. 1 Satz 1 und § 138 Abs. 1 BGB kompensiert werden muss.48 Artifiziell weiten Leistungspflichten etwa, die gegenüber den am Markt praktizierten Standards keine Vorteile für den Nutzer bieten und mit der Hauptleistungspflicht des Anbieters inkonnex sind, kann so die Wirksamkeit und damit auch die datenschutzrechtliche Legitimationswirkung versagt werden.49 § 138 Abs. 1 BGB implementiert zudem eine „datenbasierte laesio enormis“, die allerdings erst dann eingreift, wenn einer umfangreichen Datenüberlassung ein funktional stark begrenztes oder mit geringem Marktwert versehenes Produkt gegenübersteht.50 3. Deliktsrecht 29 Schließlich steht das Deliktsrecht vor zum Teil signifikanten Umwälzungen, da Art. 82 DS-GVO nunmehr einen Direktanspruch der betroffenen Person gegen den Verantwortlichen für die Verletzung unionalen 44 Der Verfasser dankt Frau Prof. Christiane Wendehorst für wertvolle Diskussionen zu diesen Fragestellungen. 45 Wendehorst/Graf von Westphalen, NJW 2016, 3745, 3748 f.; Clifford/Ausloos, 37 Yearbook of European Law 2018, 130, 170; Indenhuck/Britz, BB 2019, 1091, 1093. 46 BGH v. 16. 7. 2008 –- VIII ZR 348/06, NJW 2008, 3055 Rz. 15, 19 – Payback; BGH v. 11. 11. 2009 – VIII ZR 12/08, NJW 2010, 864 Rz. 16 – HappyDigits. 47 EuGH v. 14.3.2013 – C-415/11 (Aziz) – Rz. 69. 48 Dazu genauer Hacker, Datenprivatrecht, 447 ff. 49 Hacker, ZfPW 2019, 148, 190 f. 50 Hacker, Datenprivatrecht, 487 ff.

298

Datenprivatrecht

Datenschutzrechts vorsieht. Nach hier vertretener Auffassung ist dieser Anspruch als lex specialis zu qualifizieren gegenüber gleichgerichteten Normen des mitgliedstaatlichen Deliktsrechts.51 Dies bedingt insbesondere, dass die Bedeutung des allgemeinen Persönlichkeitsrechts mitgliedstaatlicher Prägung erheblich abnehmen wird: Art. 82 DS-GVO ist insoweit vorrangig, wenn die Persönlichkeitsrechtsverletzung mit einer Verarbeitung personenbezogener Daten in Zusammenhang steht, was unter den Bedingungen der digitalen Wirtschaft häufig der Fall sein wird. Zwar will das Bundesverfassungsgericht in seiner Entscheidung Recht auf Vergessen I strikt zwischen Äußerungssachverhalten, die nach allgemeinem Persönlichkeitsrecht zu beurteilen seien, und Datenverarbeitungsvorgängen, die dem Recht auf informationelle Selbstbestimmung unterfielen, trennen.52 Dies beruht jedoch auf einem zumindest für das Unionsrecht überholten Verständnis des Datenschutzrechts als Schutz primär vor der Preisgabe von Daten und intransparenten Datenverarbeitungsprozessen ohne Berücksichtigung des kommunikativen Zusammenhangs.53 Vielmehr wird man anerkennen müssen, dass alle maßgeblichen Gesichtspunkte, die im Rahmen der Interessenabwägung des allgemeinen Persönlichkeitsrechts relevant werden, auch im Datenschutzrecht regelmäßig zu beachten sind (vor allem Art. 6 Abs. 1 lit. f, aber auch lit. a DS-GVO). Diese dogmatische Weichenstellung führt in der Konsequenz zu einer signifikanten Verschiebung der Letztentscheidungskompetenz über äußerungsrechtliche Sachverhalte auf die europäische Ebene, konkret zum EuGH. Ob damit in der Sache viel gewonnen ist, mag man allerdings bezwei- 30 feln. Zwar sieht Art. 82 DS-GVO ohne weitere Voraussetzungen den Ersatz immateriellen Schadens sowie erhebliche Beweiserleichterungen im Bereich des Verschuldens vor,54 sodass Betroffene grundsätzlich bessergestellt sind als nach deutschem allgemeinen Persönlichkeitsrecht. Nichtsdestoweniger droht angesichts von Bagatellschäden und durch Rechtsunsicherheit generiertem Prozessrisiko eine rationale Apathie der Geschädigten. Ob die neuen kollektiven und öffentlichen Durch51 Ähnlich für § 7 BDSG a. F. Buchner, Informationelle Selbstbestimmung im Privatrecht, 300; aA Gola/Piltz in Gola, DS-GVO, Art. 82 Rz. 25 f.; Moos/ Schefzig in Taeger/Gabel, DSGVO BDSG, Art. 82 DS-GVO Rz. 103; differenzierend Boehm in Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, Art. 82 DS-GVO Rz. 32. 52 BVerfG v. 6.11.2019 – 1 BvR 16/13, GRUR 2020, 74 Rz. 79 ff. – Recht auf Vergessen I. 53 Vgl. auch Peifer, GRUR 2020, 34, 36; ferner EuGH v. 6.11.2003 – C-101/01 (Lindqvist) – Rz. 48. 54 Art. 82 Abs. 3 DS-GVO.

299

Philipp Hacker

setzungsmechanismen des Datenschutzrechts hinreichende Abschreckungswirkung entfalten, bleibt eine – nicht zuletzt angesichts der umstrittenen Klagebefugnis55 – spannende Zukunftsfrage. Insgesamt jedoch führt die verstärkte Kontrolle von Einwilligung, Vertragsbedingungen und Datenverarbeitungsprozessen durch regulatorische Komponenten des BGB zu einer Verschiebung der Kontrollinstanzen, weg vom individuellen Nutzer hin zu Behörden und Gerichten. V. Reformperspektiven: technische und rechtliche Gestaltungsmöglichkeiten 31 Um angesichts dieser tektonischen Verschiebungen auf technischer und Durchsetzungsebene Privatautonomie und individuelle Kontrolle in hochvernetzten Umgebungen erhalten bzw. wiederherstellen zu können, bedarf es daher sowohl in technischer als auch in rechtlicher Hinsicht neuer Gestaltungsoptionen. Einige zentrale Bausteine solcher Rechtsdurchsetzung durch Technik und Technikgestaltung durch Recht seien hier herausgegriffen. 1. Rechtsdurchsetzung durch Technik 32 In technischer Hinsicht birgt insbesondere die aktive Nutzung von Techniken maschinellen Lernens zur Kontrolle von Datenschutzerklärungen,56 Vertragsbedingungen57 und Verarbeitungsprozessen58 erhebliches Potenzial. Diese automatisierte Rechtmäßigkeitskontrolle wird gegenwärtig in verschiedenen Projekten auf technischer Ebene verfeinert und 55 Siehe die Vorlage zum EuGH durch BGH v. 28.5.2020 – I ZR 186/17, GRUR 2020, 896. 56 Siehe etwa Sadeh et al., The Usable Privacy Policy Project, Technical Report, CMU-ISR-13–119, 2013; Tomuro/Lytinen/Hornsburg, Proceedings of the Sixth ACM Conference on Data and Application Security and Privacy 2016, 133; sowie der PrivacyCheck von Zaeem/German/Barber, 18(4) ACM Transactions on Internet Technology (TOIT) 2018, Article 53; Zusammenfassung auch bei Pałka/Lippi in Vogl (Hrsg.), Research Handbook on Big Data Law, im Erscheinen, https://ssrn.com/abstract=3347364, Teil 3.2 zuletzt abgerufen am 9.7.2021. 57 Lippi et al., Automated Detection of Unfair Clauses in Online Consumer Contracts, Legal Knowledge and Information Systems (JURIX), 145; Lippi et al., 27 Artificial Intelligence and Law 2019, 117. 58 Zimmeck et al., Proceedings on Privacy Enhancing Technologies 2019 (3), 66; Libert, Proceedings of the 2018 World Wide Web Conference, 207; Qiu/Wang/ Rubin, Proceedings of the 27th ACM SIGSOFT International Symposium on Software Testing and Analysis 2018, 176.

300

Datenprivatrecht

ermöglicht einzelnen Nutzern, aber auch Aufsichtsbehörden59 und zur kollektiven Rechtsdurchsetzung befähigten Organisationen,60 aus der Vielzahl von Dokumenten und Prozessen diejenigen herauszufiltern, bei denen ein Anfangsverdacht hinsichtlich der Verletzung des unionalen Datenschutzrechts oder des AGB-Rechts besteht. Hierfür kann etwa automatisiert der Inhalt einer Datenschutzerklärung mit den tatsächlich durch eine App oder Webseite generierten Datenflüssen abgeglichen werden.61 Gar nicht in der Datenschutzerklärung erwähnte Übermittlungen, etwa an Drittorganisationen, legen eine Verletzung des Datenschutzrechts nahe. Ferner können Nutzer bereits jetzt Vergleichsportale nutzen, die Unterschiede zwischen einzelnen Datenschutzerklärungen aufbereiten und visualisieren.62 2. Technikgestaltung durch Recht Derartige Anwendungen werden gegenwärtig zwar laufend verbessert, 33 sind jedoch noch nicht in allen Fällen voll ausgereift und werden zudem nur von einer Minderheit der betroffenen Person genutzt. Diese Strategien bedürfen daher einer Unterstützung durch Rechtsnormen, welche die effektive Inanspruchnahme materieller Privatautonomie befördern. In diesem Kontext lassen sich zwei zentrale Regelungsziele unterscheiden: die Verbesserung der Einwilligung und Kommunikation von Präferenzen einerseits und die Herstellung reeller Wahlmöglichkeiten andererseits. a) Verbesserung der Präferenzkommunikation Hinsichtlich der Verbesserung der Einwilligung werden bislang ins- 34 besondere transparenz- und verhaltensbasierte Ansätze stark gemacht. Zu beiden finden sich in der DS-GVO mit der Pflicht zur transparenten, verständlichen Kommunikation insbesondere unter Einbeziehung von Icons (Art. 12 Abs. 1 und 7 DS-GVO) sowie der Pflicht zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DS-GVO) durchaus begrüßenswerte Ansätze. Empirische Studien legen jedoch nahe, dass auch verbesserte Transparenz nur einer klei59 Siehe zur Kooperation mit der FTC Zimmeck et al., Proceedings on Privacy Enhancing Technologies 2019 (3), 66, 80. 60 Zur Kooperation mit Verbraucherzentralen, siehe Braun et al., INFORMATIK 2019: 50 Jahre Gesellschaft für Informatik – Informatik für Gesellschaft 2019, 407, 410. 61 Siehe die Nachweise in Fn. 58. 62 Siehe https://explore.usableprivacy.org/?view=machine; https://pribot.org/, zuletzt abgerufen am 9.7.2021.

301

Philipp Hacker

nen Minderheit zu tatsächlich informierteren Entscheidungen verhilft.63 Privacy nudges wiederum bewirken zwar in der Tat erhebliche Verschiebungen zum Beispiel in der Auswahl von Cookies,64 laufen jedoch tendenziell durch ihre Unidirektionalität den Datenschutzpräferenzen zumindest einer größeren Nutzergruppe zuwider. 35 Angesichts dieser Limitationen und der Herausforderungen, die ein heraufziehendes Internet of Everything für individuelle Datensouveränität bereithält, erscheinen aus hiesiger Perspektive technologiebasierte Ansätze vielversprechend, die Wege zu einer automatisierten Kommunikation von Datenschutzpräferenzen ermöglichen.65 So könnte die Heterogenität dieser Präferenzen normativ abgebildet und zugleich die Überforderung des Einzelnen durch automatisierte oder gar autonome Analyse der jeweiligen Verarbeitungsumgebung abgemildert werden. Zentrales Vehikel derartiger Ansätze sind automatisierte oder semi-autonome Datenschutzrechtsassistenten,66 also Applikationen, die individuelle Präferenzen registrieren oder gar selbstständig errechnen und diese an datenverarbeitende Geräte und Instanzen kommunizieren. So könnte etwa eine derartige App eine Datenverarbeitung im Kontext eigener IoT-Geräte weitestgehend erlauben, zugleich aber einer Analyse durch Applikationen beim Besuch eines fremden Smart Homes einen Riegel vorschieben. Die Entwicklung von Smart Cities zeigt die Dringlichkeit derartig technologiebasierter Kontrollsysteme, wenn nicht die Nutzer selbst in stark vernetzten Umgebungen im Minutentakt mit Einwilligungsaufforderungen und Datenschutzerklärungen konfrontiert werden sollen.67 In rechtlicher Hinsicht muss dann sichergestellt sein, dass derartige Präferenzkommunikation auf empfangsbereite Schnittstellen trifft und zudem rechtswirksam Willenserklärungen bzw. Einwilligun-

63 Siehe etwa Ben-Shahar/Chilton, 45 Journal of Legal Studies 2016, S41; ConPolicy, Wege zur besseren Informiertheit im Datenschutz, 2018, 2, 48, 51. 64 Utz et al., 2019 ACM SIGSAC Conference on Computer and Communications Security (CCS ’19), 1, 9. 65 Siehe etwa Efroni et al., 5 European Data Protection Law Review 2019, 352, 357; Ziegler/Menon/Annichino in Ziegler (Hrsg.), Internet of Things Security and Data Protection, 149, 165 f.; Stiftung Datenschutz, Neue Wege bei der Einwilligung im Datenschutz, 35; Hermstrüwer, 8 JIPITEC 2017, 9 Rz. 44, 59 f. 66 Zibuschka/Nofer/Hinz, Multikonferenz Wirtschaftsinformatik (MKWI) 1391, 1394 f.; Pappachan et al., IEEE 37th International Conference on Distributed Computing Systems Workshops (ICDCSW) 2017, 193; Das et al., 17(3) IEEE Pervasive Computing 2018, 35, 36. 67 Vgl. United States Government Accountability Office, Internet of Things, 2017, 33 f.

302

Datenprivatrecht

gen übermittelt. Dies lässt sich nach hier vertretener Auffassung bereits nach geltendem Recht über eine Analogie zu §§ 164 ff. BGB bewerkstelligen,68 ist jedoch stark umstritten.69 Insofern wäre eine Klarstellung in der neuen ePrivacy-Verordnung äußerst wünschenswert.70 b) Herstellung reeller Wahlmöglichkeiten Die hier genannten Formen verbesserter Transparenz und Kommunika- 36 tion von Präferenzen versagen jedoch dort, wo präferenzkonforme Wahlmöglichkeiten schlichtweg nicht bestehen. In erheblichen Bereichen der digitalen Wirtschaft ist dies gegenwärtig für Nutzer mit hohen Datenschutzpräferenzen der Fall. Abhilfe schaffen könnte hier ein bereits seit längerer Zeit gefordertes Recht auf eine datenschonende Option, das es Nutzern ermöglichen würde, statt mit ihren Daten mit konventionellem Geld zu bezahlen.71 Dieses müsste jedoch nicht nur sektorspezifisch implementiert, sondern auch mit Begleitmaßnahmen versehen werden, um seine Effektivität sicherzustellen. Zentrales Desiderat wäre hier die Kopplung eines derartigen Rechts mit einem privacy score, der in Form einer Zahl zum Beispiel zwischen eins und zehn angibt, wie stark die datenschutzrechtlichen Risiken der einzelnen Optionen ausgeprägt sind. Nur durch eine derartige radikale Informationskondensierung ließe sich eine wirklich informierte Wahl zwischen den einzelnen Alternativen angesichts rationaler Unkenntnis und verhaltensökonomischer Effekte zumindest signifikant wahrscheinlicher machen. Zugleich würde eines der zentralen Defizite der digitalen Wirtschaft – das Fehlen eines präzisen, vergleichbaren Datenpreises – überwunden.

68 Genauer Hacker, Datenprivatrecht, 610 ff.; ebenso im Ergebnis Teubner, AcP 182 (2018), 155, 181 f.; Specht/Herold, MMR 2018, 40, 43. 69 Kritisch etwa Spindler in Spindler/Schuster, Recht der elektronischen Medien, Vorbemerkung zu §§ 116 ff. Rz. 7; Paulus, JuS 2019, 960, 965. 70 Siehe dazu nun Artikel 4a Abs. 2 des Kompromissentwurfs der deutschen Ratspräsidentschaft: Council of the European Union, Proposal for a Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), Interinstitutional File: 2017/0003(COD). 71 Vorschläge etwa bei Strandburg, University of Chicago Legal Forum, 2013, 95, 170; Hoofnagle/Whittington, 61 UCLA Law Review 2014, 606, 661 f.; Calo, 82 George Washington Law Review, 2014, 995, 1047 f.; Monopolkommission, Wettbewerbspolitik: Herausforderung digitale Märkte, Sondergutachten 68, 2015 Rz. 338; Becker, JZ 2017, 171, 175 ff.; Hacker/Petkova, 15 Northwestern Journal of Technology and Intellectual Property 2017, 1, 20 ff.; Hacker, 7 International Data Privacy Law 2017, 266, 280 ff.

303

Philipp Hacker

37 Die besondere Herausforderung dieses Vorschlags besteht dementsprechend in der zuverlässigen technischen Generierung eines derartigen, eindimensionalen privacy score.72 Hierfür sind jedoch bereits erste Prototypen entwickelt worden, die Grundlage für einen Standardisierungsprozess sein könnten.73 Die für einen funktionierenden Marktmechanismus zentrale Reduzierung von Preisunschärfe könnte so einhergehen mit informierteren und womöglich am Ende gar rationaleren Entscheidungen. Dem Einwand, dass so eine Zwei-Klassen-Datengesellschaft entstehe,74 lässt sich entgegenhalten, dass auch in der datenintensiven Variante das geltende Datenschutzrecht unverändert fortbestehen würde, sodass letztlich niemand etwas verlieren, aber doch manch einer etwas gewinnen würde (Pareto-Verbesserung). Ein Recht auf eine völlig kostenlose Leistung kann hingegen niemand beanspruchen. Das Recht auf eine datenschonende Option würde zumindest die Möglichkeit bieten, zwischen einer Zahlung durch Daten und einer Zahlung durch Geld zu wählen – wobei diese Wahlmöglichkeit wiederum durch technologische Assistenten ausgeübt werden könnte (agreement technologies).75 VI. Fazit 38 Insgesamt zeigt sich damit, dass Recht und Technik – und damit auch Rechtswissenschaft und Informatik – nur gemeinsam die vielfältigen Herausforderungen, vor welche die digitale Wirtschaft zeitgemäße Regulierung stellt, bewältigen können. Ein Patentrezept existiert dabei nicht. Vielmehr werden vielfältige Regelungen – transparenz-, verhaltens- und technologiebasierter Natur – ineinandergreifen müssen, um wenigstens in einer maschinell mediierten Form individuelle Kontrolle und materielle Privatautonomie in hochvernetzten Umgebungen zu gewährleisten. Denn dieses für eine freiheitliche Gesellschaft zentrale Ziel sollten wir nicht vorschnell aufgeben.

72 Reidenberg et al., 96 Washington University Law Review 2019, 1409, 1419 f., 1430 ff. 73 Cranor, 10 Journal on Telecommunications & High Technology Law 2012, 273, 291 ff.; Weinberg, Protecting Your Personal Data Has Never Been This Easy, DuckDuckGo (23.1.2018), https://spreadprivacy.com/privacy-simplified/; http://privacygrade.org/; https://useguard.com, zuletzt abgerufen am 9.7.2021. 74 Härting, CR 2016, 646, 648 f.; Krohm/Müller-Peltzer, ZD 2017, 551, 553. 75 Zu diesen Technologien Santos et al., Artificial Intelligence and Law 2020, 385; Billhardt et al., 8 Applied Sciences 2018, Article 816, 1, 6 ff.

304

Selbstauferlegte Gedankenlosigkeit algorithmenbasierter Kriminalitätskontrolle Lucia Sommerer* I. Hintergrund II. Aktualität

1 3

III. Überblick: Verfassungsrechtliche Grenzen des personenbezogenen Predictive Policing 4 1. Informationelle Selbstbestimmung 5 a) Streubreite 7 b) Nähe zu Persönlichkeitsprofilen 8

2. Transparenzgebot: Rechtsstaatsprinzip 3. Diskriminierungsverbot

11 15

IV. Gesamtgesellschaftliche Risiken: Selbstauferlegte Gedankenlosigkeit

18

V. Kontroll- und Transparenzinfrastrukturen 21 VI. Ausblick

25

Literatur: Ahlstrom/Longo, Human Factors Design Standard for Acquisition of Commercial-off-the-Shelf Subsystems, Non-Developmental Items, and Developmental Systems, 2003 abrufbar unter https://perma.cc/4LCC-9WR9, zuletzt abgerufen am 1.5.2021; Almerud/Alapack/Fridlund/Ekebergh, Beleaguered by Technology: Care in Technologically Intense Environments, Nursing Philosophy 2008, 55; Arzt, Stellungnahme zum FlugDaG, A-Drs. 18(4)689 F, 2017; Berger, Politik und Technik: Der Beitrag der Gesellschaftstheorien zur Technikbewertung, 1991; Brendecke, Imperium und Empirie: Funktionen des Wissens in der spanischen Kolonialherrschaft, 2009; Bröhmer, Transparenz als Verfassungsprinzip: Grundgesetz und Europäische Union, 2004; Bundeskriminalamt, Neues Instrument zur Risikobewertung von potentiellen Gewaltstraftätern, Presseinformation v. 2.2.2017, abrufbar unter https://perma.cc/Z89V-CF75, zuletzt abgerufen am 1.5.2021; Burrell, How the Machine „Thinks“ – Understanding Opacity in Machine Learning Algorithms, Big Data & Society 2016, 1; Citron, Technological Due Process, Wash. L. Rev. 2007, 1249; Cummings, Automation and Accountability in Decision Support System Interface Design, Journal of Technology Studies 2006, 23; Cummings, The social and ethical impact of decision support interface design, in: Karwow-

*

Dr. Lucia Sommerer, LL.M. (Yale), wissenschaftliche Mitarbeiterin und Habilitandin am Lehrstuhl für Strafrecht und Kriminologie von Prof. Dr. Katrin Höffler an der Georg-August-Universität Göttingen sowie Affiliate Fellow des Information Society Project der Yale Law School (USA). Der Beitrag basiert auf der Doktorarbeit der Autorin (Sommerer, Predictive Policing), ausgezeichnet mit dem diesjährigen Wissenschaftspreis der Deutschen Stiftung für Recht und Informatik (DSRI) sowie mit dem ersten Platz des Deutschen Studienpreises der Körber-Stiftung.

305

Lucia Sommerer ski (Hrsg.), International Encyclopedia of Ergonomics and Human Factors, Bd. 1, 2. Aufl. 2006, 1249; Ebers/Heinze/Krügel/Steinrötter (Hrsg.), Rechtshandbuch Künstliche Intelligenz und Robotik, 2020; Eifert, Das Allgemeine Persönlichkeitsrecht des Art. 2 I GG, JURA 2015, 1181; Epping, Grundrechte, 8. Aufl. 2019; Feeley/Simon, The New Penology: Notes on the Emerging Strategy of Corrections and Its Implications, Criminology 1992, 449; Floridi, Distributed morality in an information society, Science and Engineering Ethics 2013, 727; Floridi, Faultless responsibility: on the nature and allocation of moral responsibility for distributed moral actions, Phil. Trans. R. Soc. A 2016, 374: 20160112; Freeman, Algorithmic Injustice: How the Wisconsin Supreme Court Failed to Protect Due Process Rights in State V. Loomis, NCJL & Tech. On. 2016, 75; Fröhlich/Spiecker, Können Algorithmen diskriminieren?, Verfassungsblog v. 26.12.2018, abrufbar unter https:// perma.cc/9GVX-X564, zuletzt abgerufen am 1.5.2021; Gigerenzer/Engel (Hrsg.), Heuristics and the Law, 2006; Hegel, Phänomenologie des Geistes (Werke in zwanzig Bänden), 1970; Hessischer Landtag Zwischenbericht des Untersuchungsausschusses 19/3, 2019, abrufbar unter https://perma.cc/G698-DDLZ, zuletzt abgerufen am 1.5.2021; Hildebrandt, Preregistration of machine learning research design. Against P-hacking, in: Bayamlıog˘lu/Baraliuc/Janssens/Hildebrandt (Hrsg.), Being Profiled: Cogitas Ergo Sum, 2018; Hildebrandt, Who Needs Stories if You Can Get the Data? ISPs in the Era of Big Number Crunching, Philos. Technol. 2011, 371; Kroll/Huey/Barocas/Felten/Reidenberg/Robinson/Yu, Accountable Algorithms, U. Pa. L. Rev. 2017, 633; Manzey, Systemgestaltung und Automatisierung, in: Badke-Schaub/Hofinger/Lauche (Hrsg.), Human Factors – Psychologie sicheren Handelns in Risikobranchen, 2. Aufl. 2012, 333; Meyer, Kriminalwissenschaftliche Prognoseinstrumente im Tatbestand polizeilicher Vorfeldbefugnisse, JZ 2017, 429; Mosier/Skitka/Heers/Burdick, Automation Bias: Decision Making and Performance in High-Tech Cockpits, Int. J. Aviat. Psychol. 1998, 47; Parasuraman, Designing automation for human use: empirical studies and quantitative models, Ergonomics 2000, 931; Parasuraman/Riley, Humans and automation: Use, misuse, disuse, abuse, Human factors 1997, 230; Rademacher, Predictive Policing im deutschen Polizeirecht, AöR 2017, 366; Rich, Machine Learning, Automated Suspicion Algorithms, and the Fourth Amendment, U. Pa. L. Rev. 2016, 871; Rusteberg, Zwischen modernem Sicherheitsrecht und klassischem Polizeirecht – Die Entscheidungen zur automatisierten Kennzeichenkontrolle, Verfassungsblog v. 7.2.2019, abrufbar unter https://perma.cc/DU6Y-TN67, zuletzt abgerufen am 1.5.2021; Sachs (Hrsg.), Grundgesetz, Kommentar, 9. Aufl. 2021; Scherzberg, Die Öffentlichkeit der Verwaltung, 2000; Skitka/Mosier/Burdick, Accountability and Automation Bias, Int. J. Hum. Comput. Stud. 2000, 701; Skitka/Mosier/Burdick, Does Automation Bias Decision-Making?, Int. J. Hum. Comput. Stud. 1999, 991; Skitka/Mosier/Burdick/Rosenblatt, Automation bias and errors: are crews better than individuals?, Int. J. Aviat. Psychol. 2000, 85; Sommerer, Personenbezogenes Predictive Policing. Kriminalwissenschaftliche Untersuchung über die Automatisierung der Kriminalprognose, 2020; Stephanus, Platonis opera quae extant omnia 1578; Tischbirek, AI and Discrimination: Discriminating against Discriminatory Systems, in: Wischmeyer/Rademacher (Hrsg.), Regulating Artificial Intelligence, 2020, 103; Trithemius, De laude scriptorum manualium, 1492 – Zum Lob der Schreiber, 1973; Trute, Grenzen des präventionsorientierten Polizeirechts in der Rechtsprechung des Bundesverfassungsgerichts, Die Verwaltung 2009, 85;

306

Algorithmenbasierte Kriminalitätskontrolle Wischmeyer, Regulierung intelligenter Systeme, AöR 2018, 1; Zittrain, The Hidden Costs of Automated Thinking, The New Yorker v. 23.6.2019, abrufbar unter https://perma.cc/LTW7-RRHS, zuletzt abgerufen am 1.5.2021.

I. Hintergrund Inwieweit ist unsere Zukunft vorbestimmt? Kann Vorbestimmtes auch 1 vorausgesagt werden? Dies sind Fragen, die die Menschheit seit jeher umtreiben. Von der Konsultation des Delphischen Orakels der Antike bis hin zum modernen datengestützten Staat – stets wollen wir wissen, was die Zukunft für uns bereithält. Zur Beantwortung dieser Frage in ihrer jüngsten Ausformung wird nun seit einiger Zeit auf prädiktive Algorithmen zurückgegriffen. Prädiktive Algorithmen, d. h. computergestützte Systeme mit dem Ziel, menschliches Verhalten vorauszusagen, sind in unserem Alltag allgegenwärtig. Jeder, der eine Suchmaschine verwendet, sich um einen Kredit bewirbt oder online ein Produkt kauft, setzt sich prädiktiven Algorithmen aus. Nun werden prädiktive Algorithmen von der Polizei auch zur Vorhersage individuellen kriminellen Verhaltens herangezogen; einzelnen Personen wird dabei mit Hilfe algorithmischer Datenverarbeitung ein Risikoscore (z. B. 60 % oder „hoch“, „mittel“, „gering“) für zukünftige Straftatbegehung zugeschrieben (sog. personenbezogenes Predictive Policing – kurz: PPP). Dies ist eine Entwicklung, die angesichts ihres transformativen Potentials als „algorithmische Wende“1 der Kriminalitätskontrolle bezeichnet werden kann. Der narrative Rahmen, Verbrechen zu unterbinden, bevor sie geschehen, ist verlockend. Doch darf er Wissenschaft und Praxis nicht blind machen für die tatsächlichen Beschränkungen prädiktiver Algorithmen und die Risiken dieser Form der „Unsicherheitsabsorption“2 für Gesellschaft und Rechtsstaat. Die rechtliche Zulässigkeit des personenbezogenen Predictive Policing 2 in Deutschland ist kritisch zu bewerten (III., Rz. 4). Selbst bei Einhaltung enger rechtlicher Grenzen wohnen dem Einsatz der neuen Technologien im Interesse von Effizienz und Neutralität bisher wenig beachtete gesamtgesellschaftliche Risiken inne, die Kriminalitätskontrolle und Gesellschaft vor grundlegend neue Herausforderungen stellen. Insbesondere droht die Gesamtheit der Herausforderungen bei unreflektiertem Einsatz und Ausdehnung der Technologie, die Kriminalitätskontrolle in eine „selbstauferlegte (algorithmische) Gedankenlosigkeit“ zu führen (IV., Rz. 18). D. h. das System der Kriminalitätskontrolle droht durch den bisher nicht hinreichend regulierten Einsatz von Predictive Policing eine 1 2

In Anlehnung an den „actuarial turn“ von Feeley/Simon, Criminology 1992, 449; s. ausführlich Sommerer, Predictive Policing, S. 260 ff. S. Meyer, JZ 2017, 429 ff.

307

Lucia Sommerer

algorithmische Entscheidungsarchitektur zu schaffen, die es dem Menschen – sowohl einzelnen Polizisten vor Ort als auch den Entscheidungsträgern der Kriminalpolitik – erleichtert, eigenes Denken auszuschalten, sich der Verantwortung für ihr Handeln zu entledigen und in diesem Sinne „gedankenlos“ zu handeln. Um diesen Risiken zu begegnen, bedarf es des Aufbaus einer neuen Kontrollinfrastruktur für algorithmische Kriminalprognosen (V., Rz. 21). Dieser Beitrag versteht sich als Überblick über die Thematik, wobei schon aus Platzgründen die Herausforderungen im Mittelpunkt stehen, während für die skizzierten juristisch-kriminologischen Antworten im Detail auf die von der Autorin andernorts vorgenommene Ausarbeitung3 verwiesen wird. II. Aktualität 3 Die Aktualität der Thematik kann dabei nicht überbewertet werden. Wenn sich auch die Technik heute noch in der Entwicklungsphase befindet, so erlaubt das Fluggastdatengesetz4 seit 2017 mit dem Fluggastdatenmusterabgleich das personenbezogene Predictive Policing in Deutschland.5 Ebenfalls seit 2017 setzt das Bundeskriminalamt mit dem System RADAR-iTE eine Vorstufe des personenbezogenen Predictive Policing im Bereich des islamistischen Terrorismus ein,6 und 2018 änderte Hessen sein Polizeigesetz,7 um den Einsatz der Software Palantir Gotham zu ermöglichen,8 die in den USA bereits zum personenbezogenen Predictive Policing verwendet wurde. Keines der Projekte konnte bei seiner Einführung auf eine umfängliche juristisch-kriminologische Aufbereitung in Deutschland zurückblicken. Durch die Einführung einer neuen Technologie ohne vorangegangenen und begleitenden wissenschaftlichen Diskurs können sich in die Technologie und ihre Verwendung in der Praxis jedoch problematische Modalitäten und Grundannahmen einschleifen,

3 4 5 6

7 8

Sommerer, Predictive Policing. Gesetz über die Verarbeitung von Fluggastdaten zur Umsetzung der Richtlinie (EU) 2016/681 v. 6.6.2017 (BGBl. I, 1484) (FlugDaG). § 4 FlugDaG; s. ausführlich Sommerer, Predictive Policing, S. 96 ff. S. Bundeskriminalamt, Presseinformation v. 2.2.2017, abrufbar unter https:// perma.cc/Z89V-CF75, zuletzt abgerufen am 1.5.2021; Rechtsgrundlage für den Einsatz ist § 18 Abs. 1 Nr. 4 BKAG; s. ausführlich Sommerer, Predictive Policing, S. 85 ff. Neueinführung von § 25a Abs. 1 HSOG. Hessischer Landtag, Zwischenbericht des Untersuchungsausschusses 19/317 ff.; s. ausführlich Sommerer, Predictive Policing, S. 90 ff.

308

Algorithmenbasierte Kriminalitätskontrolle

denen im Nachhinein nur noch schwer beizukommen ist.9 Es geht dabei nicht nur darum, Rechtskonformität der Technologie sicherzustellen, sondern zur demokratischen Diskussion zu stellen, welche Wertentscheidungen überhaupt in einer Technologie verkörpert werden sollen. Ist eine Technologie einmal eingeführt, lässt sich ihre Ausgestaltung nicht mehr im selben Maße beeinflussen. Entscheidende Weichenstellungen sind dann bereits ohne Berücksichtigung rechtlich-kriminologischer Erwägungen getroffen. Einer Überrumpelung der Gesellschaft, eben ohne wissenschaftliche Bearbeitung und diskursiven Prozess im Vorfeld, auf dem Gebiet der algorithmenbasierten Kriminalitätskontrolle gilt es entgegenzuwirken. III. Überblick: Verfassungsrechtliche Grenzen des personenbezogenen Predictive Policing Wissensbestände als solche mögen latente Machtchancen darstellen, 4 doch die Verbindung von „Imperium und Empirie“10, wie sie beim polizeilichen Einsatz von Algorithmen stattfindet, ist nicht selbstverständlich, sondern beruht auf gezielten Aneignungs-, Verarbeitungsund Anwendungsprozessen. Im Sinne einer demokratisch-distributiven Machtorganisation bedürfen gerade diese konkreten Prozesse rechtlicher Begleitung und Einhegung. Es sollen an dieser Stelle die verfassungsrechtlichen Garantien informationelle Selbstbestimmung (1., Rz. 5), Transparenzgebot (2., Rz. 11) und Diskriminierungsverbot (3., Rz. 15) herausgegriffen werden. 1. Informationelle Selbstbestimmung Aus dem Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 5 i. V. m. Art. 1 Abs. 1 GG) – Eifert nennt es das „zentrale Grundrecht in der digitalen Welt“11 – folgt dabei, in Anlehnung an die Rechtsprechung des BVerfG zur Rasterfahndung,12 dass personenbezogenes Predictive

9 Wischmeyer, in: Ebers et al. (Hrsg.), Rechtshandbuch Künstliche Intelligenz und Robotik, § 21 Rz. 6 warnt allgemein bzgl. des Einsatzes von Algorithmen durch die Exekutive davor, dass die technologische Entwicklung „unreflektiert“ auf die Verwaltung durchschlägt. 10 Vgl. bereits Brendecke, Imperium und Empirie: Funktionen des Wissens in der spanischen Kolonialherrschaft. 11 Eifert, JURA 2015, 1181. 12 BVerfG v. 4.4.2006 – 1 BvR 518/02, BVerfGE 115, 320 = MMR 2006, 531; a. A. Rademacher, AöR 2017, 366, 397, wonach die Rspr. zur Rasterfahndung wegen der größeren Präzision des Predictive Policing nicht anwendbar sei.

309

Lucia Sommerer

Policing, das eine Vielzahl sensibler Daten über Bürger verarbeitet, nur bei Vorliegen einer hinreichend konkreten Gefahr13 und nur zum Schutz hochrangiger Rechtsgüter14 eingesetzt werden darf, sowie, dass ausreichend Kontrollen15 die Rechtskonformität des Verfahrens sicherzustellen haben.16 6 Hierfür spricht die besondere Eingriffsintensität der Verfahren, die sich ergibt aus einer Zusammenschau von: Heimlichkeit, Streubreite, der Automatisierung der Auswertung von Massendaten und der damit einhergehenden Nähe zur Erstellung von Persönlichkeitsprofilen, die das BVerfG bereits im Volkszählungsurteil für unzulässig erklärt hat.17 a) Streubreite 7 Zur automatisierten Kennzeichenerfassung entschied das BVerfG zwar zunächst, dass sich diese Eingriffsintensität nur auf tatsächliche „Kennzeichen-Treffer“ bezieht; kein Eingriff sollte bei denjenigen Personen vorliegen, bei denen ein Abgleich negativ ausfällt und deren Daten unverzüglich gelöscht würden.18 Doch davon ist das BVerfG 2018 ganz bewusst abgerückt.19 Ein Eingriff in das Recht auf informationelle Selbstbestimmung ist nun auch laut BVerfG bei der Rasterfahndung unabhängig davon zu bejahen, ob eine Person einen Treffer oder einen sofort wieder gelöschten „Nicht-Treffer“ darstellt.20 Auch für PPP muss dementsprechend gelten, dass ein Eingriff in das Recht auf informationelle Selbstbestimmung für jede Person vorliegt, zu der ein Risikoscore erstellt wird, unabhängig davon, ob es sich um einen niedrigen oder hohen Score han13 Vgl. grundsätzlich zur Rasterfahndung BVerfG v. 4.4.2006 – 1 BvR 518/02, BVerfGE 115, 320, Ls. 1 und 2. 14 Vgl. zuletzt zur Rasterfahndung BVerfG v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244 = NJW 2019, 827, Ls. 5, 833. 15 Vgl. BVerfG v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244 = NJW 2019, 827, 835 ff. 16 S. ausführlich Sommerer, Predictive Policing, S. 154 ff. 17 BVerfG v. 15.12.1983 – 1 BvR 209/83, 1 BvR 484/83, 1 BvR 440/83, 1 BvR 420/83, 1 BvR 362/83, 1 BvR 269/83, BVerfGE 65, 1, 53. 18 BVerfG v. 11.3.2008 – 1 BvR 2074/05, 1 BvR 1254/07, BVerfGE 120, 378, 402. 19 BVerfG v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244 = NJW 2019, 827, Ls. 1, 829; möglicherweise bringt sich das Gericht mit dieser Entscheidung bereits bewusst „in Stellung“ für künftige Verfahren zur Polizeitechnologie, einschließlich automatisierte Gesichtserkennung und personenbezogenes Predictive Policing, so Rusteberg, Verfassungsblog v. 7.2.2019, abrufbar unter https://perma.cc/DU6Y-TN67, zuletzt abgerufen am 1.5.2021. 20 BVerfG v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244 = NJW 2019, 827, Ls. 1, 829 f.

310

Algorithmenbasierte Kriminalitätskontrolle

delt. Denn das Bewerten auch von Personen mit letztendlich niedrigem Risikoscore („Nicht-Treffer“ also) wird in PPP-Systemen ganz bewusst vorgenommen.21 Die Einbeziehung der Daten auch von Personen, deren Abgleich letztlich zu einem niedrigen Score führt, erfolgt nicht etwa zufällig, ungezielt oder allein technikbedingt, sondern ist notwendiger und gewollter Bestandteil des PPP-Systems.22 Aufgrund dieser intentionalen Motivation ist bei der Rasterfahndung wie beim PPP von einem Eingriff auch bei Nicht-Treffern auszugehen. Die große Anzahl der so von einem Grundrechtseingriff betroffenen Personen erhöht dabei die Eingriffsintensität der Maßnahme. b) Nähe zu Persönlichkeitsprofilen Je mehr einzelne Datenpunkte im Rahmen des PPP verwendet werden, 8 desto größer ist schließlich die Gefahr, dass es zum Erstellen von Persönlichkeitsprofilen kommt. Zwar wird mitunter argumentiert, dass das BVerfG hier grundsätzlich fehlginge, vor der Bildung von Persönlichkeitsprofilen zu warnen, denn der Datenabgleich bei der Rasterfahndung23 und auch der Musterabgleich des Predictive Policing habe nichts mit einer Persönlichkeitsprofilerstellung zu tun;24 dem ist jedoch zu widersprechen. Indem ein verhaltensbezogenes Muster von in der Vergangenheit kriminell Tätigen (bzgl. z. B. Reisebewegungen, Zahlungsart, krimineller Vergangenheit, Drogenkonsum, Daten sozialer Netzwerke etc.) erstellt und sodann nach Vergleichbarkeit mit diesem Muster unter neu zu beurteilenden Personen gesucht wird, werden die neu zu Beurteilenden mit einem bestehenden Persönlichkeitsprofil in Verbindung gebracht. Es besteht somit bei PPP durchaus die Gefahr, eine Person systematisch bzgl. zahlreicher Aspekte ihres Lebens auszuforschen. Indem ein Algorithmus beim Musterabgleich Gruppeninformationen ermittelt und sie Einzelnen zuschreibt, entsteht ein Persönlichkeitsbild des Bewerteten, das sein Recht auf Selbstdarstellung ebenso gewichtig beeinträchtigen kann wie die Auswertung vieler Einzelangaben zu dieser Person.25 Aus dieser Bewertung ergibt sich, dass PPP allenfalls dann eingesetzt 9 werden kann, wenn sich eine Sachlage bereits auf eine konkrete Gefahr hin zugespitzt hat, jedoch die vermutlichen Täter noch nicht bekannt 21 Vgl. BVerfG v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244 = NJW 2019, 827, 830. 22 Vgl. BVerfG v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244 = NJW 2019, 827. 23 Trute, Die Verwaltung 2009, 85, 100. 24 Rademacher, AöR 2017, 366, 380. 25 Fröhlich/Spiecker Verfassungsblog v. 26.12.2018, abrufbar unter https://perma.cc/ 9GVX-X564, zuletzt abgerufen am 1.5.2021.

311

Lucia Sommerer

sind. PPP könnte zudem zur Ressourcenallokation angewandt werden, wenn aus Sicht der Polizei bei mehreren bekannten Personen (z. B. in einer Gefährder-Datenbank) eine konkrete Gefahr vorliegt, jedoch nur genug Ressourcen zum polizeilichen Eingriff bei einzelnen Personen vorhanden sind. 10 Der Fluggastdatenmusterabgleich unterliegt wegen seiner Anlasslosigkeit dabei verfassungsrechtlichen Bedenken. Die Begrenzung nur auf Personen, die das Verkehrsmittel Flugzeug nutzen, vermag diese Bedenken nicht auszuräumen, denn angesichts der Häufigkeit von Flugreisen (jedenfalls jenseits einer Pandemie) in fast allen Bevölkerungsschichten kann man davon sprechen, dass nahezu die gesamte Bevölkerung hierdurch einem anlasslosen, wenn auch zeitlich und räumlich begrenzten, Predictive Policing ausgesetzt ist.26 2. Transparenzgebot: Rechtsstaatsprinzip 11 Aus dem Rechtsstaatsprinzip fließt zudem ein Verbot der Verwendung systemimmanent intransparenter Algorithmen zur Kriminalitätskontrolle, d. h. der Verwendung von Algorithmen, deren innere Zusammenhänge selbst von Experten im Nachhinein nicht mehr im Detail nachvollzogen werden können.27 Dies schließt somit z. B. den zukünftigen Einsatz neuronaler Netze, einer besonders intransparenten Form künstlicher Intelligenz, für personenbezogenes Predictive Policing aus. 12 Wird die Intransparenz eines algorithmischen Systems kritisiert, so ist i. d. R. gemeint, dass gewisse Informationen zu einem algorithmischen Ablauf (z. B. Trainingsdaten, Input- und Zielvariable, Vorhersagegenauigkeit, Fehlerraten, Quellcode, Grund einer Korrelation etc.) für bestimmte Personen oder für schlechthin alle unzugänglich bzw. unverständlich sind. Man kann dabei drei kumulativ oder einzeln vorliegende „Schichten“ der Intransparenz, d. h. der Unzugänglichkeit von Informationen unterscheiden:28 Unzugänglichkeit qua bewusster Geheimhaltung (z. B. Geschäftsgeheimnis), Unzugänglichkeit qua fehlendem Fachwissen (nur Computerexperten, nicht jedoch Bürger, Polizisten, Richter verstehen den Algorithmus) und die bereits genannte Unzugänglichkeit qua systemimmanenter Komplexität29 (selbst Computerexperten können die 26 27 28 29

So Arzt, 2017, 11. S. ausführlich Sommerer, Predictive Policing, S. 194 ff.; 238 ff.; 240 f. S. ausführlich Sommerer, Predictive Policing, S. 198 ff. Kroll et al., U. Pa. L. Rev. 2017, 633, 638; Rich, U. Pa. L. Rev. 2016, 871, 886 („machine learning tends to create models that are so complex that they become ‘black boxes’, where even the original programmers of the algorithm have

312

Algorithmenbasierte Kriminalitätskontrolle

Schritte des Algorithmus im Detail nicht nachvollziehen). Während die Intransparenzen erster und zweiter Form sich beheben lassen durch das Einführen von Offenlegungspflichten und das Hinzuziehen von Experten, birgt die dritte Form besondere Herausforderungen für das Rechtsystem. Es ist auch diese letzte Schicht an Intransparenz, die die Narrative der algorithmischen Entscheidungsfindung als Blackbox30 und undurchschaubares Orakel am stärksten antreibt. So kann es sein, dass ein Programmierer eines Algorithmus feststellt, 13 dass ein Algorithmus derart trainiert wurde, dass er anhand einer bestimmten Anzahl von Inputvariablen stets mit großer Sicherheit ein Ereignis vorhersagen kann, es jedoch nicht ersichtlich ist, welche der Inputvariablen, genauer welche Kombination der Variablen für das Eintreten eines Ereignisses am entscheidendsten sind bzw. ist. Der Output eines Systems kann nicht mehr mit Sicherheit einem bestimmten Input zugeordnet werden.31 In dieser Situation kann nicht nur keine Aussage über die Kausalität eines Ereignisses getroffen werden (dies ist bei statistischen Korrelationen nie der Fall32), sondern es kann nicht einmal eine Aussage über die genaue Korrelation getroffen werden. Eine solche Intransparenz tritt bei der besonders schwer erklärbaren Untergruppe des maschinellen Lernens, den neuronalen Netzen auf. Sie kann jedoch auch auftreten, wenn an sich im Einzelnen gut erklärbare Formen künstlicher Intelligenz wie Entscheidungsbäume in großer Zahl verwendet werden (sog. Random-Forest-Ansatz), sodass die Zusammenhänge auch hier für Programmierer nicht mehr nachvollziehbar sind.33 Der Einsatz derart systemintransparenter Systeme in der Kriminalitäts- 14 kontrolle steht im Widerspruch zum Rechtsstaatsprinzip (Art. 20 Abs. 3 GG), aus welchem sich eine Pflicht ergibt zur Vorhersehbarkeit von Verwaltungshandeln für die Bürger34 sowie die Pflicht, eine nachträgliche

30 31 32 33

34

little idea exactly how or why the generated model creates accurate predictions“); Rademacher, AöR 2017, 366, 388 nennt diese Schicht fehlende „Plausibilität“ einer Prognose. Zur Abträglichkeit des Begriffs der „Blackbox“ für die juristische Diskussion Sommerer, Predictive Policing, S. 195 ff. Vgl. auch Hildebrandt, Philos. Technol. 2011, 371, 375 ff. Ausführlich zur mangelnden Kausalität Sommerer, Predictive Policing, S. 102 ff. Burrell, Big Data & Society 2016, 1 (Algorithms „are opaque in the sense that if one is a recipient of the output of the algorithm (the classification decision), rarely does one have any concrete sense of how or why a particular classification has been arrived at from inputs.“). Scherzberg, Die Öffentlichkeit der Verwaltung, S. 321 ff.; Bröhmer, Transparenz als Verfassungsprinzip: Grundgesetz und Europäische Union, S. 159.

313

Lucia Sommerer

Gewaltenkontrolle der Exekutive durch effektiven Rechtsschutz zu ermöglichen (Art. 20 Abs. 3 GG i. V. m. Art. 19 Abs. 4 GG).35 Damit einher geht ein rechtsstaatliches Begründungsgebot von Verwaltungshandeln:36 Der Staat muss in der Lage bleiben, sich selber und seinen Bürgern die Gründe für sein Handeln im Einzelnen zu erläutern, jenseits eines bloßen Verweises im Sinne von: „Unser Algorithmus hat es so berechnet“. 3. Diskriminierungsverbot 15 Personenbezogenes Predictive Policing ist schließlich entgegen weit verbreiteter Annahmen nicht von Natur aus neutraler und objektiver als Entscheidungen menschlicher Polizeibeamter, sondern reproduziert bestehende gesellschaftliche Vorurteile, z. B. gegenüber Minderheiten, wenn diese Vorurteile in den Daten, die dem jeweiligen Algorithmus zugrunde liegen, nicht erkannt und beseitigt werden.37 Diskriminierungen können dabei auf verschiedene Wege in einen Algorithmus gelangen: vom Datenauswahlprozess für die Fallbasis (aus welchen Daten der Vergangenheit sollen statistische Korrelationen extrahiert werden?), Festlegung der Zielvariablen (was soll vorausgesagt und wie quantifiziert werden?), Festlegung der Inputvariablen (welche Merkmale korrelieren mit Kriminalität?) sowie Kalibrierung und Überwachung des Lernprozesses (z. B. Einstellung der Fehlerrate: Wie viel „harmlose“ Personen werden fehlerhaft mit einem hohen Risikoscore belegt, um eine tatsächlich „gefährliche“ Person aufzuspüren?). All diese Entscheidungen können von Programmiererinnen und Programmierern bewusst genutzt werden, um bestimmte Gesellschaftsgruppen zu diskriminieren und eigene diskriminierende Absichten dabei hinter der vermeintlichen Objektivität der Zahlen zu verbergen (sog. „Masked Discrimination“).38 Doch häufiger werden Programmiererinnen und Programmierer Diskriminierungen unbewusst in einen Algorithmus einschreiben. Da sich eine Einschreibung von Diskriminierung im Designprozess ex ante nie zu 100 % vermeiden lässt,39 ist es umso wichtiger, Hersteller zu verpflichten, aktiv nach Diskriminierungen in ihren Systemen zu suchen und dies durch Dritte kontrollieren zu lassen. 16 Mit Blick auf eine Verletzung des verfassungsrechtlichen Diskriminierungsverbots (Art. 3 GG) besteht angesichts der Komplexität und der 35 36 37 38

Scherzberg, Die Öffentlichkeit der Verwaltung, S. 328 ff. Wischmeyer, AöR 2018, 1, 54 ff. S. ausführlich Sommerer, Predictive Policing, S. 170 ff. Vgl. Tischbirek, in: Wischmeyer/Rademacher (Hrsg.), Regulating Artificial Intelligence, S. 103, Rz. 4. 39 Wischmeyer, AöR 2018, 1, 28.

314

Algorithmenbasierte Kriminalitätskontrolle

Intransparenz der verwendeten algorithmischen Systeme zudem die Gefahr, dass der Überprüfungsmaßstab der Gerichte zu einer bloßen Willkürkontrolle verkümmert,40 d. h. dem Staat ein weiter Entscheidungsspielraum bei der Auswahl und Bewertung von Korrelationen zugestanden wird, und der Überprüfungsmaßstab von Ungleichbehandlungen damit hinter die gegenwärtige Intensität gerichtlicher Kontrollen zurückgeworfen wird. Einer solchen Entwicklung ist entgegenzuwirken. Das BVerfG hat sich in den letzten Jahr(zehnt)en ganz bewusst vom Maßstab einer Willkürkontrolle entfernt, wonach in der Vergangenheit noch jeder nicht völlig willkürlich erscheinende vernünftige Grund ausreichte,41 um eine Ungleichbehandlung zu rechtfertigen.42 Bei Unterscheidungen anhand personenbezogener Merkmale in einem Kontext, der auch in andere Freiheitsrechte eingreift, ist nun nach dem BVerfG von den Gerichten ein besonders strenger Rechtfertigungsmaßstab anzulegen.43 Es muss deshalb auch im Rahmen von PPP sichergestellt werden, dass dem Staat weiterhin eine gesteigerte Darlegungs- und Beweislast im grundrechtssensiblen Bereich der Kriminalitätskontrolle zukommt. Einer Aushöhlung des Diskriminierungsverbots durch nur schwer einsehbare und verständliche Algorithmen muss in zwei Schritten entgegengewirkt werden: Erstens hat eine stärkere Sensibilisierung der Gerichte für statistisches, computerwissenschaftliches Wissen zu erfolgen,44 und zweitens sollte die Diskriminierungskontrolle von Algorithmen nicht alleine individuellen Gerichtsverfahren überlassen werden, sondern muss von einer unabhängigen staatlichen Stelle systematisch45 und präventiv, also vor der Rechtsverletzung, vorgenommen werden. Insgesamt stellt personenbezogenes Predictive Policing damit ein Risiko 17 im Sinne einer Aushöhlung einer Vielzahl verfassungsrechtlicher Garantien dar. Es ist deshalb in Deutschland nur unter Einhaltung der in V., Rz. 21 zu skizzierenden Transparenz- und Kontrollinfrastrukturen zu gestatten.

40 41 42 43

S. ausführlich Sommerer, Predictive Policing, S. 193. Vgl. Epping, Grundrechte, S. 795. Nußberger, in: Sachs, GG, Art. 3 Rz. 33. BVerG v. 21.6.2011 – 1 BvR 2035/07, BVerfGE 129, 49, 68 f. (BAföG-Teilerlass) „Eine strengere Bindung des Gesetzgebers kann sich auch aus den jeweils betroffenen Freiheitsrechten ergeben“; s. Überblick der Kriterien zur Bestimmung der Maßstabsstrenge bei Nußberger, in: Sachs, GG, Art. 3 Rz. 90 ff. 44 Vgl. Tischbirek, in: Wischmeyer/Rademacher (Hrsg.), Regulating Artificial Intelligence, S. 103, Rz. 44 f. („paradigm of knowledge creation“). 45 Vgl. Tischbirek, in: Wischmeyer/Rademacher (Hrsg.), Regulating Artificial Intelligence, S. 103, Rz. 45.

315

Lucia Sommerer

IV. Gesamtgesellschaftliche Risiken: Selbstauferlegte Gedankenlosigkeit 18 Selbst bei Einhaltung des rechtlichen Rahmens wohnen personenbezogenem Predictive Policing und der dadurch angestoßenen „algorithmischen Wende“ der Kriminalitätskontrolle Risiken für Gesellschaft und Rechtsstaat inne. Die hier vertretene These lautet: Die Verwendung algorithmengestützter Entscheidungssysteme mindert die Verantwortungsübernahme der Anwender für darauf gestützte Handlungen und droht, sie in eine selbstauferlegte „Gedankenlosigkeit“ zu führen. 19 Obwohl algorithmengestützte Systeme zunächst nur als ein dem Nutzer untergeordnetes Werkzeug konzipiert wurden, kann ihnen in der Praxis eine umfassendere Bedeutung zugemessen werden. Sie können eine Rolle ähnlich einer dem Nutzer übergeordneten Autoritätsfigur annehmen,46 wie die eines Vorgesetzten, dessen „Anordnungen“ ohne Hinterfragen ausgeführt werden.47 Algorithmische Systeme zur Straftatprognose unterscheiden sich von sonstigen von der Polizei verwendeten Werkzeugen wie z. B. Waffen oder Technik der akustischen Wohnraumüberwachung darin, dass ihnen gerade das Potenzial innewohnt, den menschlichen Entscheidungsfindungsprozess – auch wenn dies aus rechtlicher Sicht nicht gewollt ist – faktisch vollständig zu ersetzen. Studien zu Entscheidungsunterstützungssystemen im medizinischen Bereich sowie bei Flugzeugpiloten48 haben gezeigt, dass es Menschen tatsächlich sehr schwerfällt, sich gegen das Ergebnis algorithmischer Berechnungen ähnlich derer des personenbezogenen Predictive Policing zu entscheiden,

46 Vgl. als beliebtes Beispiel für die Interaktion von Mensch und Technik in diesem Sinne Hegels „Herrschaft und Knechtschaft“, worin er die Vorrangigkeit des Mittels gegenüber seinem Zweck beschrieb, Hegel, Phänomenologie des Geistes, S. 145 ff.; s. zur Rezeption heute etwa Almerud et al., Nursing Philosophy 2008, 55, 56; Berger, Politik und Technik: Der Beitrag der Gesellschaftstheorien zur Technikbewertung, S. 39 ff. 47 Vgl. auch die von Floridi beschriebene Verteilung moralischer Verantwortung in algorithmischen Systemen, die dazu führt, dass sich im Ergebnis niemand verantwortlich fühlt, da jeder Beteiligte nur einen für sich betrachtet vernachlässigbar erscheinenden Beitrag zu einem Ergebnis geleistet hat. Floridi, Phil. Trans. R. Soc. A 2016, 374: 20160112, Floridi, Science and Engineering Ethics 2013, 727, 728 („the macroscopic and growing phenomenon of global moral actions and non-individual responsibilities, resulting from the ‘invisible hand’ of systemic interactions among multiagent systems (comprising several agents, not all necessarily human) at a local level“). 48 Vgl. Manzey, in: Badke-Schaub et al. (Hrsg.), Human Factors – Psychologie sicheren Handelns in Risikobranchen, S. 333, 333; vgl. auch zur Entscheidungsunterstützung für Flugzeugpiloten Skitka/Mosier/Burdick, Int. J. Hum. Comput. Stud. 1999, 991; Mosier et al., Int. J. Aviat. Psychol. 1998, 47, 63.

316

Algorithmenbasierte Kriminalitätskontrolle

und zwar selbst dann, wenn das Ergebnis des Algorithmus eigentlich nur einen von mehreren Entscheidungsfaktoren darstellen sollte. Dieses als Automation Bias49 bezeichnete Phänomen führt dazu, dass Menschen es unterlassen, zusätzlich zu einem algorithmischen Ergebnis selbstständig Informationen einzuholen und zu bewerten, und sogar deutlich gegen das Ergebnis des Algorithmus sprechende Anhaltspunkte bewusst ignorieren.50 Der eigenen Expertise wird dabei weniger vertraut als dem Ergebnis des komplexen, undurchsichtigen algorithmischen Prozesses, das dem Menschen mit der gesetzten Selbstverständlichkeit des Faktischen entgegentritt. Dies gilt umso mehr, wenn mit Blick auf Zeitdruck und Rationalisierung die Entscheidung gegen „die Maschine“ einen erhöhten Zeit- und Rechtfertigungsaufwand mit sich bringt als die Entscheidung mit „der Maschine“. Im Ergebnis führt dies dazu, dass algorithmische Berechnungen, die lediglich als Entscheidungsunterstützung (d.h. als bloßes Werkzeug) gedacht waren, faktisch die Entscheidung des Menschen völlig determinieren,51 und der Mensch die eigene Verantwortung an die algorithmische Vorgabe auslagert. Die Kontrolle einer algorithmischen Entscheidung durch einen Menschen läuft ins Leere.52 In dieser Konstellation wird letztendlich der Algorithmus mit seiner vermeintlich sicheren Wahrscheinlichkeit zur entscheidenden Autoritätsfigur. Der menschliche Handelnde gibt sich angesichts der Zumutung einer Entscheidung einer „Gedankenlosigkeit“ anheim. Unsicherheit fordert vom Menschen normative Entscheidungen, die er sich durch die Gewiss-

49 Cummings, Journal of Technology Studies 2006, 23, 25 („humans have a tendency to disregard or not search for contradictory information in light of a computer-generated solution that is accepted as correct“.); grundlegend Mosier et al., Int. J. Aviat. Psychol. 1998, 47; Skitka et al., Int. J. Hum. Comput. Stud. 1999, 991; Skitka/Mosier/Burdick, Int. J. Hum. Comput. Stud. 2000, 701, s. auch Parasuraman/Riley, Human factors 1997, 230; zu Ansätzen Automation Bias durch gezielte Sensibilisierung der Nutzer für das Phänomen entgegenzuwirken: Ahlstrom/Longo, Short Human Factors Design Standard for Acquisition of Commercial-off-the-Shelf Subsystems, Non-Developmental Items, and Developmental Systems, S. Kap. 3, 20; s. jedoch kritisch ggü. langfristig möglichen Erfolgen Skitka et al., Int. J. Hum. Comput. Stud. 1999, 991, 1004. 50 Z. B. Skitka et al., Int. J. Hum. Comput. Stud. 2000, 701; Skitka et al., Int. J. Aviat. Psychol. 2000, 85; Mosier et al., Int. J. Aviat. Psychol. 1998, 47; Skitka et al., Int. J. Hum. Comput. Stud. 1999, 991; Parasuraman, Ergonomics 2000, 931. 51 Cummings, in: Karwowski (Hrsg.), International Encyclopedia of Ergonomics and Human Factors, S. 1249, 7. 52 Vgl. Citron, Wash. L. Rev. 2007, 1249, 1277.

317

Lucia Sommerer

heit, die der Algorithmus zu bieten scheint, abnehmen lässt.53 Je stärker ein Prozess automatisiert wird, desto leichter kann es bei Menschen zu Gedankenlosigkeit und Gleichgültigkeit gegenüber seinen Ergebnissen kommen. Je stärker die Kriminalitätskontrolle automatisiert wird, desto leichter ist es für das System nutzende Beamtinnen und Beamte, sich für auf Grundlage des Systems vollzogene Handlungen nicht mehr verantwortlich zu fühlen. Vorkehrungen gegen das Eintreten einer solchen Verantwortungsentledigung sind bisher in keinem in Deutschland eingesetzten Predictive Policing System getroffen worden. 20 Zusammenfassend ist festzuhalten, dass algorithmengestützte Entscheidungssysteme der Logik ihrer Struktur nach dazu neigen, die Gedankenlosigkeit der Nutzer zu fördern, d. h., dazu zu führen, dass Nutzer keine umfassende Abwägung aller Faktoren einer Situation vornehmen und die Folgen ihrer Handlungen nicht vollumfänglich bedenken. Selbstauferlegt ist diese Gedankenlosigkeit insofern zu nennen, als wir uns als Gesellschaft in der algorithmischen Wende etwa mit personenbezogenem Predictive Policing sehenden Auges selbst in ein System begeben, das Gedankenlosigkeit fördert. V. Kontroll- und Transparenzinfrastrukturen 21 Diesen mit personenbezogenem Predictive Policing einhergehenden Risiken einer Gedankenlosigkeit sowie eine Aushöhlung verfassungsrechtlicher Garantien ist durch neue Kontroll- und Transparenzinfrastrukturen entgegenzutreten.54 Diese neuen Strukturen müssen dabei Entwicklungs- wie auch Einsatzmodalitäten prädiktiver Algorithmen umfassen und auf systemischer wie individueller Ebene einer Gedankenlosigkeit entgegenwirken. Es ist von zentraler Bedeutung, eine bewusste Ausgestaltung algorithmischer Systeme nicht erst im Stadium des Einsatzes in Angriff zu nehmen, sondern bereits das Entwicklungsstadium zu lenken.55 Denn die wichtigsten Weichenstellungen eines algorithmischen Systems finden im Entwicklungsstadium statt. 22 Die neuen Infrastrukturen haben dabei eine Transparenz-Trias von öffentlichen Registrierungspflichten, subjektiven Betroffenenrechten und staatlichen Kontrollstellen zu umfassen. Erstens sind auf dem Wege der

53 Vgl. Engel/Gigerenzer, in: Gigerenzer/Engel (Hrsg.), Heuristics and the Law, 2006, S. 1, 13. 54 S. ausführlich Sommerer, Predictive Policing, S. 344 ff. 55 Vgl. auch Fröhlich/Spiecker Verfassungsblog v. 26.12.2018, abrufbar unter https://perma.cc/9GVX-X564, zuletzt abgerufen am 1.5.2021.

318

Algorithmenbasierte Kriminalitätskontrolle

Protokollierung festzuhaltende Entscheidungen der Designphase eines Algorithmus sowie seine abstrakten Wirkprinzipien noch vor Einsatz des Algorithmus in öffentlich einsehbarer Weise bei einer staatlichen Registrierungsstelle zu hinterlegen.56 Zweitens ist dem einzelnen Betroffenen einer algorithmischen Analyse Zugang zu einer Begründung seines spezifischen Ergebnisses zu geben. Und Drittens hat, zusätzlich zu diesen Offenlegungspflichten, als Kernstück der neuen Transparenzinfrastrukturen eine systematische staatliche Kontrolle von personenbezogenem Predictive Policing stattzufinden, sowohl vor seinem ersten Einsatz, als auch in regelmäßigen Abständen während des Einsatzes. Eine neu zu schaffende57 staatliche Kontrollstelle hat dabei den Algorithmus systematisch u. a. auf Verletzungen des Rechts auf informationelle Selbstbestimmung und des Diskriminierungsverbotes zu untersuchen. Darüber hinaus hat die Kontrollstelle eigene Standards u. a. für Prognosegenauigkeit und Fehlerrate (wie viele fälschlich als „hochgefährlich“ eingestufte Menschen sind akzeptabel, um eine tatsächlich „hochgefährliche“ Person durch den Algorithmus aufzuspüren?) festzulegen und deren Einhaltung zu überprüfen. Die weitere Entwicklung von personenbezogenen Predictive Policing 23 Systemen in Deutschland sollte erst nach Schaffung solch einheitlicher Standards vorgenommen werden, denn erst die Ausarbeitung von präzisen Qualitätsstandards macht eine klare Sanktionierung mangelhafter Systeme möglich.58 Hersteller von personenbezogenen Predictive Policing Systemen können ihr Modelltraining nur unter Einhaltung entsprechender Kriterien optimieren, wenn diese zuvor einheitlich festgelegt wurden. Laufende Predictive Policing Programme sollten bis zur Einführung einer Kontrollinfrastruktur gestoppt werden. Zusätzlich zu diesen systemischen Anforderungen sind auf individueller 24 Ebene in Zusammenarbeit mit Psychologen und Technikwissenschaftlern Schulungen für Polizistinnen und Polizisten zu entwickeln, um im Umgang mit den Algorithmen Automation Bias zu begegnen. Ins-

56 Vgl. auch Zittrain The New Yorker v. 23.6.2019, abrufbar unter https://perma. cc/LTW7-RRHS, zuletzt abgerufen am 1.5.2021, spricht von der treuhänderischen Hinterlegung („escrow“) der Daten bei Universitäten und Forschungseinrichtungen; Hildebrandt, in: Bayamlıog˘lu et al. (Hrsg.), Being Profiled: Cogitas Ergo Sum, 102 ff. spricht von der Registrierung beim „Open Science Framework“, einer Onlineplattform, um Forschungsprozesse zu dokumentieren und transparent zu gestalten. 57 S. für organisatorisch-strukturelle Überlegungen diesbezüglich Sommerer, Predictive Policing, S. 212 f. 58 Wischmeyer, AöR 2018, 1, 25.

319

Lucia Sommerer

titutionell ließe sich eine Pflicht hierzu etwa mit der Schaffung eines „Automation Bias“-Beauftragten bei der Polizei unterstützen. Ein bloßer schriftlicher Hinweis jedenfalls auf die Schwächen des Algorithmus neben jedem algorithmischen Ergebnis, wie in den USA vom Wisconsin Supreme Court gefordert,59 kann alleine nicht ausreichen, die hier wirkenden komplexen psychologischen Mechanismen zu brechen.60 VI. Ausblick 25 Wie dargelegt, wohnen personenbezogenem Predictive Policing grundlegend transformative Auswirkungen auf die Kriminalitätskontrolle und den Umgang der Gesellschaft mit Kriminalität als Ganzes inne. Eine einmal eingeführte und sich bewährende personenbezogene Predictive Policing Technologie hat das Potential, auch in andere Bereiche der Kriminalitätskontrolle übertragen zu werden. Ein einmal zu präventiven Zwecken von der Polizei implementiertes System könnte etwa ohne große technische Änderungen zur repressiven Polizeiarbeit zur Aufklärung von Straftaten verwendet oder für Risikoprognosen vor Gericht herangezogen werden. Die detaillierte Auseinandersetzung mit den rechtlichen und tatsächlichen Grenzen prädiktiver Algorithmen bei der Polizei und mit der Frage nach Kontrollinfrastrukturen, verspricht somit Erkenntnisse, die auch jenseits des Polizeirechts nutzbar sein werden. 26 Die eben skizzierten Herausforderungen müssen dabei bereits heute adressiert werden. Es mag zwar sein, dass zukünftige Generationen oder zumindest deren wohlsituierte Eliten amüsiert schmunzeln werden, wenn sie auf unsere kritischen Analysen einer algorithmengesteuerten Kriminalitätskontrolle im frühen 21. Jahrhundert zurückblicken. Möglicherweise empfinden sie dabei das gleiche Vergnügen, mit dem wir heute Warnungen Platons vor der Technologie des Schreibens61 oder Trithemius vor den Auswirkungen der Druckerpresse lesen.62 Es plagten die Warnenden Sorgen, dass sich der Kontrollverlust, der mit der systematischen und massenweisen Verlagerung von Wissensproduktion und -speicherung von Individuen auf externe Medien verbunden ist, negativ auf Mensch und Gesellschaft auswirken würde. Ein weniger begünstigtes Segment zukünftiger Gesellschaften, das aus Bürgern bestehen wird, die nicht in der Lage waren, von digitalen Fortschritten zu profitieren, und 59 State v. Loomis, 881 N.W.2d 749 (WI 2016), Rz. 66. 60 S. kritisch zum Ansatz des Wisconsin Supreme Court bereits z. B. Freeman, NCJL & Tech. On. 2016, 75, 95 f. 61 Platon, in: Stephanus 1578, 275a (Phaidros); 341b-e; 344c-d (Siebter Brief). 62 Trithemius, De laude scriptorum manualium, 1492 – Zum Lob der Schreiber.

320

Algorithmenbasierte Kriminalitätskontrolle

unter negativen algorithmischen Annahmen über sich zu leiden haben, werden auf die Weichenstellungen dieses Jahrhunderts jedoch möglicherweise vorwurfsvoller zurückblicken und die Frage stellen, warum keine Sicherungen für Rechtsstaatlichkeit und Grundrechtsschutz in die neuen Technologien mit aufgenommen wurden. Die vorgestellte Infrastruktur für algorithmengesteuerte Systeme in der Kriminalitätskontrolle soll einen ersten Schritt zur Schaffung solcher (rechtlicher und technischer) Sicherungen bereits im Stadium des Algorithmendesigns darstellen.

321

DGRI Jahreschronik 2019/2020 Romy Fiolka* I. 26. Drei-Länder-Treffen 2019 (27. – 29.6.2019, Krems) II. DGRI-Jahrestagung (7. – 9.11.2019, Berlin)

1 12

III. Geplantes 27. Drei-LänderTreffen (25. – 27.6.2020, Freiburg)

21

IV. DGRI Jahrestagung (12.11.– 13.11.2020, digital)

22

V. 20. + 21. DSRI-Herbstakademie, Bremen 2019/digital 2020) 29 VI. 1. 2. 3.

Aktivitäten der Fachausschüsse Fachausschuss Softwareschutz Fachausschuss Datenschutz Fachausschuss der Firmenjuristen 4. Fachausschuss Vertragsrecht

33 34 35 36 40

5. Fachausschuss Schlichtung 6. Fachausschuss Internet & eCommerce

41 42

VII. Stellungnahmen der DGRI

43

VIII. Schlichtungsstelle IT

44

IX. Journal of Intellectual Property, Information Technology and eCommerce Law (JIPITEC) 45 X. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt

47

XI. Preise und Auszeichnungen

52

XII. Wissenswertes aus der DGRI 1. Mitgliederentwicklung 54 2. Personalia 55 3. Geschäftsstelle 59

I. 26. Drei-Länder-Treffen 2019 (27. – 29.6.2019, Krems) Das 26. Drei-Länder-Treffen 2019 fand in Kooperation mit der Do- 1 nau-Universität Krems statt und ermöglichte eine länderübergreifende Diskussion über vier aktuelle Themenblöcke – Smart Factory, Digitaler Zwilling, Datenschutz- und Wettbewerbsrecht sowie ein Update im Ländervergleich. Die Tagung begann am Freitag mit einem Grußwort von Prof. Dr. Vik- 2 toria Weber (Vizerektorin für Forschung, Donau-Universität Krems) und Prof. Dr. Clemens Appl (Donau-Universität Krems). Anschließend führte Prof. Dr. Dr. Walter Blocher (Universität Kassel) in das Hauptthema ein. Im Mittelpunkt der Case Study „Smart Factory/Data Lakes“ stand ein 3 Smart Car, das unter Verwendung von künstlicher Intelligenz und Big *

Ass. iur. Romy Fiolka, geb. Richter, Geschäftsführerin der DGRI, Frankfurt am Main.

323

Romy Fiolka

Data zur Selbstoptimierung fähig ist. RA Dr. Thorsten Amman (DLA Piper, Köln) referierte anhand des Fallbeispiels über die rechtliche Qualifikation von Daten, die divergierenden Zielsetzungen von Big Data und Datenschutz sowie über Cyber-Sicherheit und haftungsrechtliche Aspekte. RA Dr. Gregor Schroll (DLA Piper, Köln) ergänzte dies um die wettbewerbsrechtliche Problematik und legte ein besonderes Augenmerk auf Data Pooling, Data Lakes, digitale Plattformen und Preisalgorithmen. 4 Die Parallele aus österreichischer Sicht zogen Stefan Panic und Annika Wanderer (DLA Piper, Wien), die die wettbewerbsrechtliche Auseinandersetzung im Hinblick auf Forschungs- und Entwicklungskooperationen, den Unternehmenserwerb sowie den Informationsaustausch in den Mittelpunkt stellten. 5 RAin Dr. Monique Sturny (Walder Wyss, Zürich) erläuterte die wesentlichen Unterschiede des schweizerischen Kartellrechts im Vergleich zu den europäischen Regelungen und legte den Fokus auf die sehr hohen Meldeschwellen hinsichtlich der Zusammenschlusskontrolle, auf den Marktbeherrschungstest sowie auf die notwendige Erweiterung des Abredebegriffs in Bezug auf tacit collusion. 6 Unter der Moderation von Prof. Dr. Herbert Zech (HU Berlin) fand ein Impulsvortrag von Sebastian Louven (Universität Oldenburg) und RA Dr. Carlo Piltz (reuschlaw, Berlin) zu den Verflechtungen zwischen Wettbewerbs- und Datenschutzrecht statt. 7 Im Anschluss folgte eine Podiumsdiskussion zu diesem Thema mit Dr. Irene Sewczyk (Bundeskartellamt, Bonn), Dr. Maximilian Diem (Bundeswettbewerbsbehörde, Wien), Andreas Zavadil (Datenschutzbehörde, Wien), Sebastian Louven und RA Dr. Carlo Piltz. 8 Unter der Moderation von RAin Dr. Veronika Fischer folgte als dritter Themenblock ein Update im Ländervergleich, beginnend mit der Darstellung der aktuellen Rechtslage in Österreich. Eva Sainitzer (Oracle Austria GmbH) und RA Dr. Andreas Seling (DORDA Rechtsanwälte GmbH, Wien) befassten sich mit der Umsetzung der Know-How-RL, der NIS-RL sowie mit den Gesetzesänderungen im MarkenSchG und stellten einige höchstgerichtliche Judikate dar. 9 Anhand ausgewählter Entscheidungen aus der Schweiz berichtete RAin Caroline Gaul (Walder Wyss, Zürich) über die Haftung von Access und Host Providern, die Gültigkeit der Einwilligung für die Weitergabe von Daten bei einer Gesundheits-App sowie die Anwendbarkeit der DSGVO in der Schweiz.

324

DGRI Jahreschronik 2019/2020

Das Länderupdate Deutschland von Jun.-Prof. Dr. Linda Kuschel (Buce- 10 rius Law School, Hamburg) umfasste ausgewählte Fragen zum Urheberrecht, u. a. die Möglichkeit einer Schutzfrist-Verlängerung für gemeinfreie Werke durch den Leistungsschutz und die Geheimhaltung einer Stellungnahme als Sprachwerk. Sie vervollständigte den Bericht mit Ausführungen zu dem unklaren Verhältnis von Datenschutzrecht und Lauterkeitsrecht. Der Samstag stand unter dem Thema „Der Digitale Zwilling“ und wurde 11 von Prof. Dr. Dr. Walter Blocher moderiert. Zunächst gab Dr.-Ing. Peter Hoppen (Streitz Hoppen und Partner, Brühl) einen Überblick über die wesentlichen Konzepte und technischen Grundlagen. In Vorträgen von Univ.-Prof. Ing. Dr. Clemens Appl, Krems, Dr. Sonja Dürager, Wien, und Jürg Schneider, Zürich, wurden immaterialgüterrechtliche, vertragsrechtliche und haftungsrechtliche Fragen betrachtet und dabei auch die österreichische und schweizerische Perspektive in die Diskussion eingebracht. II. DGRI-Jahrestagung (7. – 9.11.2019, Berlin) Die DGRI-Jahrestagung 2019 stand unter dem Oberthema „Daten Frei- 12 heit Sicherheit“ und fand im Logenhaus in Berlin statt. „Stärkt oder schwächt Digitalisierung den mühsam errungenen demokratischen Rechtsstaat mit seinen Grundrechten, Freiheiten und sicheren Lebensverhältnissen?“ – mit dieser zentralen Fragestellung war die Jahrestagung 30 Jahre nach dem Berliner Mauerfall am genius loci angekündigt worden. In fünf Themenblöcken lieferten die Vorträge zu Social-Credit-Systemen, Cybersicherheit und Datenethik, wettbewerbs- und prozessrechtlichen Fragen sowie zu den Schlagworten „Legal Tech“ und „Künstliche Intelligenz“ (KI) wertvolle Beiträge für die weitere rechtspolitische Diskussion. Prof. Dr. Louisa Specht-Riemenschneider (Rheinische Friedrich-Wil- 13 helms-Universität Bonn) eröffnete als Moderatorin den ersten Themenkomplex „E-Mauern: Unfreiheit by design“. Prof. Dr. Stein Ringen (University of Oxford und King’s College London) veranschaulichte in seinem Vortrag „The Perfect Dictatorship – China’s Social Credit System“, wie neue Technologien in China eingesetzt werden, um automatisch und ohne menschlichen Einfluss umfassende Informationen über Privatpersonen zu sammeln. Prof. Dr. Thomas Wischmeyer (Universität Bielefeld) wechselte anschließend die Perspektive und ging der Frage nach, wie Technik nicht nur zur Unrechts-, sondern auch umgekehrt zur Rechtsverwirklichung im demokratischen Rechtsstaat beitragen kann. 325

Romy Fiolka

14 Der zweite Abschnitt „Daten und Sicherheit“ widmete sich unter der Moderation von Prof. Dr. Dirk Heckmann (Technische Universität München) den Themen Cybersicherheit und Cyberkriminalität. 15 RAin Dr. Veronika Fischer moderierte den dritten Themenblock „Datenrecht und Datenethik“. Prof. Dr. Heike Schweitzer, LL.M. (Humboldt-Universität zu Berlin) präsentierte zunächst die Arbeitsergebnisse der von der Bundesregierung eingesetzten „Kommission Wettbewerbsrecht 4.0“. Prof. Dr. Christiane Wendehorst, LL.M. (Universität Wien) berichtete als Co-Vorsitzende über die Arbeitsergebnisse der ebenfalls 2018 von der Bundesregierung eingesetzten „Datenethikkommission“. 16 RAin Prof. Dr. Sibylle Gierschmann, LL.M. (Gierschmann Legal, Hamburg) vervollständigte das Gesamtbild mit einer praktischen Perspektive auf Datenverträge in der anwaltlichen Beratung. 17 Der vierte Themenblock widmete sich in zwei parallelen Sitzungen aktuellen Entwicklungen in den Bereichen Legal Tech und Prozessrecht. Der Workshop „Legal Tech – Anwalt 2025“ wurde moderiert von RA Prof. Dr. Peter Bräutigam (Noerr, München). In drei Impulsvorträgen referierten Zoë Andreae (Lecare, Hamburg), Julia Mergenthaler (CMS Hasche Sigle, Berlin) und Dr. Christina-Maria Leeb (HEUSSEN, München) über innovative Veränderungen in der Rechtsdienstleistungsbranche und die gesetzlichen Grundlagen des anwaltlichen Berufsrechts. Andreae und Mergenthaler präsentierten verschiedene „Legal Tech Tools“ aus dem Angebot spezialisierter Start-ups sowie dem Arbeitsalltag einer internationalen Kanzlei. 18 Im parallelen Panel, das RA Jörg Wimmers, LL.M. (Taylor Wessing, Hamburg) moderierte, standen prozessrechtliche Fragen im Mittelpunkt der Diskussion. Zunächst besprach RA Thorsten Feldmann, LL.M. (JBB, Berlin) in seinem Vortrag über die „Waffengleichheit im Verfügungsverfahren“ zwei Beschlüsse des BVerfG vom 30.9.2018 (1 BvR 1783/17 und 1 BvR 2421/17) zu den Erwiderungsmöglichkeiten des Antragsgegners im Verfahren der einstweiligen Verfügung. Anschließend referierte RA Dr. Florian Winzer (Heuking Kühn Lüer Wojtek, Frankfurt am Main) über die unzureichenden Möglichkeiten des Geheimnisschutzes im allgemeinen Zivilprozess, die auch im Schiedsverfahren nur teilweise verbessert werden könnten. 19 Den zweiten Konferenztag eröffnete RA Dr. Matthias Baumgärtel (EWE TEL, Oldenburg). In der Folge präsentierte Rechtsreferendar Jonas Botta (Deutsches Forschungsinstitut für öffentliche Verwaltung, Speyer) seinen auf der DSRI-Herbstakademie 2019 als Best Speech ausgezeichneten Rechtsvergleich zwischen dem ab 1.1.2020 geltenden California Consu326

DGRI Jahreschronik 2019/2020

mer Privacy Act (CCPA) und der europäischen Datenschutz-Grundverordnung (DSGVO). Den fünften und abschließenden Themenblock mit dem Titel „Freiheit 20 trotz KI“ moderierte Prof. Dr. Dr. Walter Blocher (Universität Kassel). Zur Einleitung stellte Blocher zwei aktuelle Beispiele aus der Praxis vor: den Online-Übersetzungsdienst DeepL sowie GauGAN, eine KI-basierte Anwendung von NVIDIA, die – gewissermaßen in umgekehrter Bilderkennung – aus wenigen Strichen und Flächen ganze Bilder erstellt. Eine instruktive Einführung präsentierte anschließend der Computerlinguist Dr. Aljoscha Burchardt (Deutsches Forschungszentrum für Künstliche Intelligenz, Berlin) mit seiner Keynote „KI und Maschinelles Lernen – Auf dem Boden der Tatsachen“. Im zweiten Vortrag des Themenblocks besprach RA Dr. Malte Grützmacher, LL.M. (CMS Hasche Sigle, Hamburg) die Frage nach der Haftung von automatisierten Systemen. Hieran anknüpfend referierte Prof. Dr. Herbert Zech (Humboldt-Universität zu Berlin, Direktor des Weizenbaum-Instituts für die vernetzte Gesellschaft) über KI-Risiken und gewährte damit einen Einblick in seine Forschungsarbeit für das Gutachten zum 73. Deutschen Juristentag in Hamburg 2020. Der fünfte Themenblock wurde abgerundet durch das Referat von RAin Isabell Conrad (SSW, München) zum Verhältnis von Arbeitnehmerdatenschutz und KI. III. Geplantes 27. Drei-Länder-Treffen (25. – 27.6.2020, Freiburg) Die Planungen für das Drei-Länder-Treffen 2020 waren bereits in den 21 letzten Zügen, als das Corona-Virus Europa erreichte und seine Auswirkungen das alltägliche Leben weitgehend einschränkten. Auch die DGRI musste verantwortungsvoll mit der Situation umgehen und ihren Teil zu einer Eindämmung der Übertragung von Mensch zu Mensch beitragen. Leider wurden daher die bereits sehr weit fortgeschrittenen Planungen für das Dreiländertreffen 2020 in Freiburg abgebrochen und die Veranstaltung abgesagt. Zu groß war das Risiko von Infektionen während der Konferenz. IV. DGRI Jahrestagung (12.11. – 13.11.2020, digital) Die Jahrestagung 2020 fand vom 12. bis 13.11.2020 statt und stand auf 22 Grund der Covid19-Pandemie unter dem zentralen Zusatz digital+. Sie ist die erste Tagung der DGRI, die ausschließlich digital stattfand und damit den erforderlichen Kontaktbeschränkungen Tribut zollte.

327

Romy Fiolka

23 Die Tagung stand unter dem Titel „Digitale Souveränität – Vision oder Trugbild?“. Nach der Eröffnungsansprache durch den Vorsitzenden der DGRI Prof. Dr. Dirk Heckmann (Technische Universität München), begrüßte die österreichische Bundesministerin für Digitalisierung und Wirtschaft Margarete Schramböck die Teilnehmer der Tagung in einer Videobotschaft. 24 Danach begann der erste Themenblock der Jahrestagung, der sich zwei Themenkomplexen widmete. Zum einen der Souveränität des Staates im Zuge der Digitalisierung und zum anderen der Souveränität des Einzelnen im digitalen Raum. Den Beginn in diesen Themenblock machte Prof. Dr. Henrike Weiden, die sich mit dem Digital Service Act Package und dessen möglichen Folgen auseinandersetzte. Anschließend fokussierte sich Paul Nemitz, Mitglied der Europäischen Kommission, auf die Souveränität des Einzelnen in der vernetzten Gesellschaft. Ministerialrat im Bundesministerium der Justiz und für Verbraucherschutz Matthias Schmid führte sodann in die Plattformregulierung und Haftung im Zuge der Umsetzung von Art. 17 DSM-RL ein. 25 Im Anschluss an die Vorträge beantworteten die Referenten die zahlreich gestellten Fragen der Teilnehmer und so entstanden interaktive, angeregte Diskussionen. 26 Den krönenden Abschluss des Tages machte dann die Digital-Gala am Abend. Zunächst wurden die diesjährigen Gewinner des DSRI-Wissenschaftspreises ausgezeichnet. Dr. Ursula Widmer (Dr. Widmer & Partner), als Vorsitzende des Stiftungsrates der DSRI, hielt eine wunderbare Laudatio auf die Gewinner Dr. Lucia Sommerer und Prof. Dr. Philipp Hacker. 27 Der zweite Tag der Jahrestagung begann mit dem zweiten Themenblock der Tagung unter dem Titel „Enforcement vs. Meinungsfreiheit“. Den Anfang machte Dr. Lieselotte Locher (Bundeskartellamt). Sie erläuterte die durchgeführte Sektoruntersuchung von Nutzerbewertungen bzw. sogenannten Fake-Bewertungen im Zuge des Wettbewerbsrechts. Der zweite Vortrag in diesem Themenblock wurde von Prof. Dr. Marc Liesching von der HTWK Leipzig gehalten. Er setzte sich mit Hass und Terror im Internet und der Neufassung des NetzDG in der praktischen Anwendung auseinander. 28 Der letzte Themenblock der diesjährigen Jahrestagung stand unter dem Thema des Softwarerechts. Das Team mit Michael Deubert und Dr. Stefan Lewe (PwC Deutschland) referierte über die Bilanzierung von Software-Lizenzen und Cloud-Diensten unter Anwendung des HGB. Den letzten Vortrag der diesjährigen Jahrestagung hielt Prof. Dr. Georg Picht von der Universität Zürich über Software als Sicherungsgegenstand. 328

DGRI Jahreschronik 2019/2020

V. 20. + 21. DSRI-Herbstakademie, Bremen 2019/digital 2020) Die 20. Herbstakademie fand vom 11. – 14.9.2019 in Bremen statt und 29 stand unter dem Motto „Die Macht der Daten und Algorithmen – Regulierung von IT, IoT und KI“, sie war mit rund 350 überwiegend jungen TeilnehmerInnen wieder sehr gut besucht. Erneut wurde ein besonders herausragender Vortrag als Best Speech der Herbstakademie 2019 ausgezeichnet. Der Preisträger Jonas Botta hielt seinen Vortrag mit dem Titel „Der California Consumer Privacy Act und die DSGVO: Ein transatlantisches Zwillingspaar“ auch auf der DGRI-Jahrestagung. Daneben wurden an Herrn Spittka und Herrn Wagner zwei Preise für die besten schriftlichen Beiträge vergeben. Erstmals wurde auf der Herbstakademie ein praxisnahes Workshop-For- 30 mat von der DGRI ausgerichtet (DGRI Best Practice Workshop). Unter Anleitung von RA Sebastian Dienst (Kanzlei Noerr) wurden Reaktionsstrategien auf ein simuliertes Data-Breach-Szenario in einem Unternehmen unter der DSGVO entwickelt. Aufgrund des interaktiven Formats war die Teilnehmerzahl auf max. 30 Personen beschränkt. Der Workshop wurde von den TeilnehmerInnen sehr gut angenommen und dient der DGRI als vielversprechende Kommunikationsplattform für junge Juristen und Juristinnen, die sich auf der DSRI-Herbstakademie treffen. Leider konnte die 21. DSRI-Herbstakademie in 2020 nicht in der tradi- 31 tionellen Form mit den vielfältigen Möglichkeiten des fachlichen Austausches, der persönlichen Begegnungen und mit attraktiven Angeboten im Rahmenprogramm durchgeführt werden. Stattdessen wurde die Tagung als virtuelle Konferenz mit etwa 70 aus- 32 gewählten Vorträgen zum Informationstechnologierecht abgehalten. Den Tagungsband erhielten alle angemeldeten Teilnehmer wie gewohnt vor Beginn der Konferenz. Darüber hinaus fanden am 9. und 10.9.2020 virtuelle Podiumsdiskussionen im Netz zu aktuellen informationsrechtlichen Themen statt. VI. Aktivitäten der Fachausschüsse Die DGRI-Fachausschüsse trafen sich in den Berichtsjahren 2019/2020 33 zu insgesamt sechs Sitzungen. 1. Fachausschuss Softwareschutz Der Fachausschuss kam am 30.1.2019 bei der CMS Hasche Sigle in 34 Frankfurt am Main zusammen. Auf der Agenda stand das zentrale 329

Romy Fiolka

Thema „Indirekte Nutzung von Software“, zu dem Dr. Michael Karger, TCI Rechtsanwälte, und Dr. Jochen Scholz, Bender Harrer Krevet Rechtsanwälte, referierten. 2. Fachausschuss Datenschutz 35 Am 14.2.2019 traf sich der Fachausschuss Datenschutz zum Thema „DSGVO: Erfahrung und Praxisaustausch“ bei der DAIMLER AG in Stuttgart. Referenten Dr. Joachim Rieß und Andreas Agard diskutierten über das Thema „Innovation der DSGVO in der Praxis“. Herr Benjamin Bäßler, Leiter der Bußgeldstelle Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg warf „Aktuelle Fragestellungen und Feinheiten eines Bußgeldverfahrens“ auf. Der Leiter des Fachausschuss Dr. Robert Selk, LL.M. griff das Thema „Beschäftigtendatenschutz: Verhältnis § 26 BDSG und DSGVO, Vorgaben für BVs“ auf. Den Abschluss fand die Sitzung unter der Überschrift „Musterfeststellungsklage, Abmahnfähigkeit und DSGVO“ vorgestellt von RAin Anna Amam. 3. Fachausschuss der Firmenjuristen 36 Die Firmenjuristen trafen sich am 10.5.2019 bei der Cellent GmbH (a Wipro Company) in der Nähe von Stuttgart und griffen eine Vielzahl von Themenpunkten auf. 37 „Datenbasierte Geschäftsmodelle – Challenges“ unter dem Beispiel von „Community-based Parking“ Service mit anschließender Diskussion wurde von Susanne Eisenmann, LL.M geleitet. Anschließend berichtete Herr Christian Ringeling von „Praxisnaher Berücksichtigung von internationalen Buchführungsgrundsätzen bei der Vertragsverhandlung“. Unter der Überschrift „Gedankenlesen – Magie – Wisenschaft – Datenschutz – Den einen hilft sie, bei anderen wird eine neue Technik zur Überwachung eingesetzt“ referierte daraufhin RA Alexander Eichler. Den Abschluss der Tagung fand RA Dr. Claudio G. Chirco mit dem seinem Vortrag „Die Datenschutz-Compliance im Rahmen von globalen Digitalisierungsprojekten – Bin ich Processor oder Controller? Und wenn ja, wie viele?“. 38 Das zweite Jahrestreffen der Firmenjuristen wurde am 15.11.2019 bei der Zentrale Deutsche Telekom, T-Systems International GmbH in Bonn abgehalten. Zunächst erhielten die Teilnehmer eine Führung durch das Security Operation Center (SOC). Danach referierte Christof Höfner über „Artificial Intelligence und Ethik – Bonanza wie im wilden Westen kontra ethische Grundsätze“. Anschließend referierte Michael Richartz, zum „MaRisk – Mindestanforderungen der BaFin an das Risikomanagement von Banken (z. B. Outsourcing)“. Stefan F. Limbacher, LL.M, nahm 330

DGRI Jahreschronik 2019/2020

die „Praktischen Erfahrungen mit dem Auskunftsrecht nach Art. 15 DSGVO“ in den Blick. Ein bereits geplantes Treffen der Firmenjuristen im Jahr 2020 bei Micro- 39 soft Deutschland in München musste auf Grund der Pandemielage zweimal verschoben werden und wird auf www.dgri.de annonciert, sobald ein solches Treffen wieder möglich ist. 4. Fachausschuss Vertragsrecht Der Fachausschuss Vertragsrecht befasste sich ebenfalls am 10.5.2019 bei 40 CMS Hasche Sigle in Frankfurt am Main mit den zwei Themenschwerpunkten „Blockchain-Lösungen zur Sicherung des geistigen Eigentums und von Innovationsprozessen“ und „Vertragsgestaltung im Kontext von Blockchains“. Hierzu referierten Jean-Maxime Rivière, Co-Founder & Business Developer von Bernstein www.bernstein.io und RA Dr. Markus Kaulartz, Senior Associate bei CMS Hasche Sigle in München. 5. Fachausschuss Schlichtung Der Fachausschuss Schlichtung befasste sich am 7.11.2019 in Berlin mit 41 Lizenzverträgen und Immaterialgüterrechten in Schiedsverfahren. Die Sitzung diente der Standortbestimmung und Diskussion denkbarer Zukunftsmodelle für die Schlichtung im Bereich IT. Herr Prof. Dr. Michael Lehmann (Max-Planck-Institut für Innovation und Wettbewerb) referierte dazu in seinem Vortrag über den Umgang mit Lizenzverträgen und Immaterialgüterrechten im Rahmen von Schiedsgerichtsverfahren. Im weiteren Verlauf der Sitzung erfolgte ein Bericht über die aktuelle Verfahrensstatistik und die Aktivitäten der Schlichtungsstelle IT der DGRI. Die eingesetzten Schlichter erhielten Gelegenheit, über ihre Erfahrungen mit dem Schlichtungsverfahren zu berichten. Auf diese Weise diente die Sitzung des Fachausschuss zugleich dem produktiven Austausch. 6. Fachausschuss Internet & eCommerce Eine Sitzung des Fachausschuss Internet & eCommerce fand am 42 10.12.2019 zum Thema „Datenschutz im Internet und eCommerce – Was ist bei der Verwendung von Cookies und ähnlichen Technologien zu beachten?“ bei Baker & McKenzie in Frankfurt am Main statt. Unter der Moderation der Fachausschussleiter Dr. Holger Lutz, LL.M. und Prof. Dr. Thomas Wilmer referierten RAin Dr. Michaela Nebel, sowie Martin Buchter, LL.M., Referent beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit.

331

Romy Fiolka

VII. Stellungnahmen der DGRI 43 Die DGRI hat im Jahr 2020 durch den Fachausschuss TK- und Medienrecht eine Stellungnahme zum Telekommunikationsmodernisierungsgesetz veröffentlicht, die im Tagungsband abgedruckt ist. VIII. Schlichtungsstelle IT 44 Die Schlichtungsstelle ist Ansprechpartner in allen Fragen bezüglich des von der DGRI bereitgestellten Instruments zur Beilegung von Streitigkeiten mit informations- und kommunikationstechnischem Bezug und beantwortet regelmäßig Anfragen zum Ablauf des Schlichtungsverfahrens. Neben der Betreuung der laufenden Verfahren obliegt der Schlichtungsstelle IT die Pflege der Schlichterdatenbank und der Erfahrungsaustausch mit den Schlichtungsteams. Mehr dazu finden Sie im Bericht der Schlichtungsstelle in diesem Jahrbuch. IX. Journal of Intellectual Property, Information Technology and eCommerce Law (JIPITEC) 45 Die Kooperation mit der JIPITEC als Open Access Journal und Forum für die international ausgerichtete Analyse des europäischen Rechts wurde in den Berichtsjahren 2019/2020 weiter fortgesetzt. Die Beiträge des Journals sind frei abrufbar unter www.jipitec.eu und werden bei HeinOnline im Volltext gelistet. Zudem werden sie bei SCOPUS, der weltweit größten Abstract- und Zitationsdatenbank für peer-reviewte wissenschaftliche Literatur, gelistet. 46 In 2019/2020 erschienen sechs Online-Journale mit insgesamt 44 wissenschaftlichen Beiträgen. Insgesamt wurden in diesen Jahren ca. 3,2 Mio. (2019) bzw. 4,2 Mio. (2020) Zugriffe und ca. 43.000 (2019) bzw. 68.000 (2020) Downloads verzeichnet, davon entfielen ca. 430.000 (2019) bzw. 350.000 (2020) Seitenabrufe auf Europa. Unter den außereuropäischen Ländern verzeichnen die USA mit 875.000 (2019) bzw. 1.2 Mio. (2020) Zugriffen die meisten Besucher. X. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt 47 Die Zusammenarbeit mit dem Publikationsorgan der DGRI wurde auch in den Berichtsjahren 2019 und 2020 fortgesetzt. Im Rahmen dieser Kooperation wurde die gemeinsame Veranstaltungsreihe insbesondere mit

332

DGRI Jahreschronik 2019/2020

den Kölner Tagen zum IT-Recht und den Kölner Tagen Datenschutzrecht gestaltet. Unter der Tagungsleitung von RA Prof. Dr. Jochen Schneider und Prof. Dr. 48 Herbert Zech widmeten sich die Kölner Tage IT-Recht am 28./29.3.2019 der Umorientierung in Leistungsketten und der Vertragspraxis. Die Kölner Tage Datenschutzrecht fanden am 27./28.6.2019 statt. Sie 49 wurden von RA Prof. Niko Härting und RA Dr. Flemming Moos geleitet und befassten sich mit der Umsetzung der DSGVO und ersten Praxiserfahrungen dessen in Europa. Die Kölner Tage Datenschutzrecht im Jahr 2020 fanden am 25./26.6.2020 50 statt und wurden wieder von RA Prof. Niko Härting und RA Dr. Flemming Moos geleitet. Sie befassten sich mit der DSGVO im Praxistext und waren eine der ersten Hybridveranstaltungen in Deutschland und fanden sowohl on site als auch remote statt. Unter der Tagungsleitung von Prof. Dr. Axel Metzger, LL.M. und RA 51 Prof. Dr. Fabian Schuster fanden die Kölner Tage IT-Recht 2020 pandemiebedingt verschoben am 1./2.9.2020 als Hybridveranstaltung unter dem Thema Vertragsrecht im Wandel statt. XI. Preise und Auszeichnungen Der Wissenschaftspreis der Deutschen Stiftung für Recht und Informatik 52 (DSRI) wurde 2019 an Dr. Enrico Peuker (Humboldt-Universität zu Berlin) für dessen Habilitationsschrift „Verfassungswandel durch Digitalisierung. Digitale Souveränität als verfassungsrechtliches Leitbild“ durch Rechtsanwältin Dr. Ursula Widmer (Vorsitzende des DSRI-Stiftungsrates) beim festlichen Abendessen der DGRI-Jahrestagung verliehen. In 2020 wurde der DSRI-Wissenschaftspreis an zwei Preisträger vergeben. 53 Zum einen erhielt Dr. Lucia Sommerer, LL.M. den Preis für Ihre Dissertation „Personenbezogenes Predictive Policing – Kriminalwissenschaftliche Untersuchung über die Automatisierung der Kriminalprognose“. Außerdem durfte sich Prof. Dr. Philipp Hacker über den Preis zu seiner Habilitationsschrift „Datenprivatrecht – Neue Technologien im Spannungsfeld von Datenschutzrecht und BGB“ freuen. Beide Preise werden im Rahmen der Jahrestagung digital+ der DGRI durch Rechtsanwältin Dr. Ursula Widmer übergeben Die Preisträger haben eine Zusammenfassung ihrer ausgezeichneten Arbeiten im Tagungsband veröffentlicht. Der Wissenschaftspreis ist mit 2.000 EUR dotiert und wird von der DGRI zur Verfügung gestellt. 333

Romy Fiolka

XII. Wissenswertes aus der DGRI 1. Mitgliederentwicklung 54 Per 1.12.2020 belief sich die Zahl der Mitglieder auf 839, davon 30 Firmen- und 809 Einzelmitgliedschaften. 2. Personalia 55 Prof. Dr. Peter Bräutigam (stellv. Vorsitzender), sowie RA Dr. Mathias Baumgärtel, RA Jörg Wimmers und Prof. Dr. Herbert Zech wurden von der Mitgliederversammlung 2019 für eine weitere Amtsperiode von 2 Jahren wieder in den Vorstand der DGRI gewählt. 56 RA Dr. Matthias Scholz wurde durch den Vorstand während der Mitgliederversammlung 2019 als Beiratsvorsitzender bestellt. 57 Kassenprüfer sind für das Jahr 2020 Prof. Dr. Stefan Ernst und Jan Spoenle. 58 Nach mehr als fünf Jahren hat RAin Dr. Veronika Fischer die Geschäftsführung der DGRI im März 2020 abgegeben, um sich beruflich fortzuentwickeln. Ebenso hat der Vorsitzende Prof. Dr. Dirk Heckmann seinen Vorsitz Anfang 2021 nach fast 13 Jahren Vorstandstätigkeit niedergelegt, die Laudatio von Peter Bräutigam ist im Tagungsband abgedruckt. Der Vorstand hat aus seiner Mitte Prof. Dr. Walter Blocher als neuen Vorsitzenden der DGRI ernannt, eine Wahl zum Vorsitzenden bleibt der nächsten Mitgliederversammlung, welche für das erste Quartal 2021 geplant ist, vorbehalten. In 2020 fand coronabedingt keine Mitgliederversammlung statt. 3. Geschäftsstelle 59 Die Geschäftsstelle wurde im März 2020 von Ass. iur. Romy Richter übernommen. Federführend wurde durch sie die DGRI-Jahrestagung 2020, sowie die Geschäftsübernahme von RAin Dr. Veronika Fischer organisiert und koordiniert. Die Geschäftsstelle ist Ansprechpartner für Mitglieder, Kooperationspartner und Sponsoren und kümmert sich um die Organisation der Veranstaltungen der DGRI, den Kontakt mit den Mitgliedern, Fachausschüssen und Kooperationen sowie um die Buchhaltung und den Jahresabschluss. Im Februar 2021 wurde Romy Richter zur Geschäftsführerin der DGRI bestellt.

334

Laudatio für Prof. Dr. Dirk Heckmann zum Abschied als Vorstandsvorsitzender der DGRI 13.11.2020

Peter Bräutigam* Sehr geehrter Herr Vorstandsvorsitzender, lieber Dirk,

1

liebe Teilnehmerinnen und liebe Teilnehmer, Lass uns nun zu Deiner Verabschiedung, lieber Dirk, kommen. Und bevor wir das machen, möchte ich die Gelegenheit ganz kurz nutzen, Dir nochmals von ganzem Herzen zu Deinem 60. Geburtstag zu gratulieren. Verabschiedung am Freitag, den 13.11. nach 13 Jahren DGRI Vorstandstätigkeit Nach der ursprünglichen Planung wäre die Verabschiedung ja um 13 Uhr 2 vorgesehen gewesen. Aufgrund zeitlicher Straffung konnten wir das nun ein bisschen vorverlegen. Aber im Programm steht es noch: „Verabschiedung von Prof. Dr. Dirk Heckmann nach 13 Jahren im DGRI-Vorstand, davon 6 Jahre als dessen Vorstandsvorsitzender“. Das verrät doch schon sehr viel über Dich und Deine Arbeitsweise – nicht nur was Deine zeitliche Verweildauer bei der DGRI – sondern auch was den genauen Zeitpunkt Deiner Verabschiedung betrifft. Dies findet nach der Planung – und es ist Deine Planung – am 13.11.2020 um 13 Uhr nach 13 Jahren DGRI-Vorstandstätigkeit statt. Um es auf die Spitze zu treiben, ist das auch noch ein Freitag. Also ein Freitag, der 13. um 13 Uhr am 13.11. nach 13 Jahren Vorstandstätigkeit. All das ist kein Zufall, sondern genau so gewollt – wie zum Beispiel auch Deine Büttenrede „Der Richter und sein Hacker“ am Vorabend des 11.11. bei der DGRI-Jahreskonferenz 2017, die natürlich in der Karnevalshochburg Köln stattfand. Symbolik der Zahl 13 Freitag, der 13. um 13 Uhr nach 13 Jahren DGRI-Vorstandstätigkeit – 3 das hat Symbolik und zeugt auch von Deiner Kreativität, von Deiner Gestaltungskraft und von Deinem Gestaltungswillen. Kommen wir zur Symbolik.

*

RA Prof. Dr. Peter Bräutigam.

335

Peter Bräutigam

4 Die Zahl 13 ist ja für Abergläubische eine Unglückszahl und Freitag der 13. deshalb kritisch. Und es ist ja auch richtig: Wir sind sehr unglücklich darüber, dass Du jetzt schon den Vorstand und Vorsitz der DGRI verlassen wirst. Aber, Freitag der 13. erfordert von allen, insbesondere von den Abergläubischen unter uns, erhöhte Spannkraft und Aufmerksamkeit und für mich war die 13 nie eine Unglückszahl. Vielmehr trug ich in meiner Jugend im Basketballteam immer die Rückennummer 13. Die war nämlich frei. Wir hatten wohl viele Abergläubische in meinem Team. Und die Zahl 13 brachte mir unter dem Korb tatsächlich Glück. Und weil das so ist, kann ich uns alle „reframen“ auf den Freitag den 13. und sagen: „Dirk, Du bist und warst ein Glücksfall für die DGRI!“. Kreativität und Gestaltungswille 5 Die Auseinandersetzung, die ich hier mit der Zahl 13 treibe, war natürlich auch vom Vorstandsvorsitzenden geplant und gewollt. Du wusstest nur nicht, wie ich es machen werde. Aber es war von Dir geplant und gewollt, dass ich mich damit auseinandersetze, weil Du kreativ bist und Gestaltungswillen hast. Kommen wir also zu Deiner Kreativität. Wir Juristen sind ja sowieso gewohnt, dass wir den abstrusesten Lebenssachverhalt einer, wenn auch nicht immer befriedigenden, Lösung zuführen wollen, dass wir das Leben also in gewisser Weise juristisch gestalten. Das gilt natürlich in besonderem Maße auch für die DGRI. Hier sind wir stets bemüht, die auf uns einstürmenden technischen Entwicklungen rechtlich zu domestizieren. Auch Du, lieber Dirk, bist ein großer juristischer Gestalter und Macher. Das hat sich natürlich auch hier in unserer Vorstandstätigkeit unter Deinem Vorsitz sehr stark niedergeschlagen. Ein Paradebeispiel hierfür ist die Programmplanung für die DGRI-Tagungen bei unserem alljährlichen Kick-Off Meeting. Ich habe noch keinen Menschen erlebt, der so kreativ ist wie Du. Bei Dir sprudelten die Ideen für Vorträge und Panel-Diskussionen einfach nur so heraus: „Creativity at Work“! Kreativität ist das Eine, das Andere ist aber, die Ideen auch umzusetzen. Dazu braucht es auch Kraft und Energie, die Du ebenfalls in hohem Maße besitzt. Lassen Sie uns einmal in eines unserer VorstandsKick-Off-Meetings zoomen. Diese fanden immer Freitag/Samstag statt. Am Freitag werden immer die Ideen gesammelt für das Programm der Jahreskonferenz und des Dreiländertreffens. Die Diskussionen ziehen sich über den Abend bis in die Nacht und man sitzt spät zusammen, bis 24 oder gar 1 Uhr. Dann gingen alle zu Bett und am nächsten Tag war das Programm fertig. Der Grund war, dass Du in der Nacht von Freitag auf Samstag, die ja erst spät begann, das Programm fertig zusammengestellt hast.

336

Laudatio für Prof. Dr. Dirk Heckmann

Du hast uns damit allen eine Freude gemacht, nämlich uns Vorstands- 6 mitgliedern, weil wir etwas vorliegen hatten und weiterarbeiten konnten, den Konferenzteilnehmern, weil es inhaltlich immer ganz tolle Programme waren. Nicht zuletzt hast Du aber auch Dir selbst eine Freude gemacht, weil Du Deinem Gestaltungsdrang Raum geben und so auch maßgeblichen Einfluss auf die inhaltliche Gestaltung ausüben konntest. So frisch wie Du dann am nächsten Morgen immer warst, vermute ich, dass es gar nicht so lange gedauert hat, bis Du diese Programme, die Du wahrscheinlich ohnehin schon im Kopf hattest, niedergeschrieben hast. Glücksfall für die DGRI Wenn man den Tagesordnungspunkt so genau ansieht: „Verabschiedung 7 von Prof. Dr. Dirk Heckmann“? Liest sich das nicht sogar so, als wenn Du selbst Hand anlegen wolltest? Liest sich das nicht sogar so, als wenn Du Dich quasi selbst verabschieden wollen würdest? Weil Du das natürlich am besten kannst, Dich am besten kennst und natürlich die Akzente ganz genau setzen kannst. Soweit ist es nun aber nicht gekommen. So bleibt nun also ein kleines Restrisiko, weil die Verabschiedung ein anderer, nämlich ich, übernimmt. Dieses Restrisiko, das wir in rechtlichen Beratungen immer gerne strapazieren, ist hier allerdings überschaubar, weil wir beide uns schon seit Deinem ersten Auftritt bei der DGRI kennen. Es war überhaupt unser Kennenlern-Moment, der bei der DGRI-Jahrestagung im Industrieklub Düsseldorf 2001 stattfand. Du hast als renommierter Professor an der Universität Passau, Staats-, Verfassungsund Verwaltungsrechtler dort nämlich am Beispiel der Internet-Auktion zu der Fragestellung vorgetragen, welche öffentlich-rechtlichen Reglementierungen im Internet und eCommerce eine Rolle spielen. Ich war beeindruckt von Deiner ganz präzisen Subsumtion, Deiner juristischen Klasse und sprach Dich nach Deinem Vortrag an. Wir verstanden uns auf Anhieb und so begann eine nun schon 19 Jahre währende Freundschaft. Ausgehend von Deiner öffentlich-rechtlichen Ausrichtung – Du bist ja 8 auch Richter am Bayerischen Verfassungsgerichtshof – haben Dich mehr und mehr die Herausforderungen des Internets und der Digitalisierung in den Bann gezogen. Bereits in Passau hast Du Dich an der Juristischen Fakultät diesem Gebiet verschrieben. Dort bist Du auch im Studiengang Informatik engagiert gewesen und hast Deine Forschungsstelle, die sich mit dem Thema Verwaltungsmodernisierung beschäftigte, zur Forschungsstelle für IT-Recht und Netzpolitik umgewidmet. Ich will jetzt nicht über Deine abundanten Vorträge und Veröffentlichungen im IT-Recht sprechen. Es ist jedenfalls Zeichen großer Konsequenz, dass Du dann vor fast genau einem Jahr den Leuchtturmlehrstuhl an der TU München für Recht und Sicherheit der Digitalisierung übernommen 337

Peter Bräutigam

hast. Das erfüllt einen weiteren Schritt in Deinem Leben und Deiner Auseinandersetzung mit diesem spannenden Rechtsgebiet. 9 Es liegt auf der Hand, dass jemand wie Du mit solcher Kompetenz, solcher Kreativität, Kraft und Leidenschaft perfekt für den DGRI-Vorstand und auch den Vorstandsvorsitz taugt. Du bist aus dem Holz, aus dem DGRI-Vorstände und Vorstandsvorsitzende geschnitzt sind. Mehr noch: Du hast sogar die Position als Vorstandsmitglied beim EDV-Gerichtstag beendet, um Dich voll und ganz der DGRI widmen zu können. Du bist – und ich wiederhole es – ein Glücksfall für die DGRI. 10 Ruft man sich nur wenige Highlights der Konferenzen der vergangenen Jahre kurz ins Gedächtnis, denen Du mit Deiner Programmplanung und unglaublichen Vernetzung Deinen Stempel aufgedrückt hast. Du bist ein Vollblutnetzwerker und zum Beispiel ständiger Teilnehmer bei den IT-Gipfeln der Bundeskanzlerin, warst Mitglied der Datenethikkommission der Bundesregierung und bist als sachverständiges Mitglied im Netzrat der CSU engagiert. Diese Vernetzung auf allen Ebenen, nicht nur in der Politik, sondern auch in der Wirtschaft, sind für die DGRI wichtig, geht es doch bei der DGRI nicht nur um Recht, sondern auch um technische und wirtschaftliche Sachverhalte. Die Liste der Top-Referenten, die durch Dich – praktisch immer ohne jedes Honorar – gewonnen werden konnten, ist lang: Wir erinnern uns an die Geschäftsführerin der Piratenpartei Marina Weisband bei der DGRI-Jahrestagung 2011 in München, dann in Hamburg 2012 an Prof. Dr. Sellmayr, Kabinettschef der Vizepräsidentin Viviane Reding, EU-Kommision, an Prof. Dr.-Ing. Liggesmeyer, an Prof. em. Dr. Dr. h.c. Kilian – ein IT-Urgestein 2016 in Frankfurt. Mathias Schmid vom BMJV war gestern ja auch da. Weiter sind zu nennen: Dr. Goerdeler, Ministerialdirigent im Bundeswirtschaftsministerium 2017 in Köln mit dem Thema „Digitale Agenda“, 2018 in München: Prof. Dr. Haddadin von der TU München – da hast Du schon Deinen späteren Wechsel zur TU München anklingen lassen. Gerne erinnern wir uns auch an die Vorträge in Berlin unter dem Motto „Daten – Freiheit – Sicherheit“ 2019 von Prof. Dr. Stein Ringen, (Emeritus), University of Oxford sowie Prof. Dr. Wischmeyer und Prof. Dr. Wendehorst von der Datenethikkommission. Du hast wahrlich die Jahre als Vorstandsvorsitzender ein Feuerwerk abgefackelt. Dies gilt auch für das in Deine Amtszeit fallende 40-jährige Jubiläum der DGRI 2016 in Frankfurt. Zu diesem Anlass gratulierten enge Freunde mit eigenen Programmpunkten, zum Beispiel Thomas Lapp und Jürgen Taeger für die DSRI.

338

Laudatio für Prof. Dr. Dirk Heckmann

DSRI/Nachwuchsförderung Die Zusammenarbeit mit der DSRI, deren Herbstakademie so erfolgreich 11 ist, war Dir ein großes Anliegen. Dir liegt die Nachwuchsförderung und -gewinnung sehr am Herzen. Mit Mathias Baumgärtel hast Du die enge Verzahnung und Anbindung von DGRI und DSRI sichergestellt. Auch in unserem Programm war die DSRI präsent, so zum Beispiel im Hochhalten der Tradition des DSRI-Wissenschaftspreises oder durch die Umsetzung der Formate „DGRI meets DSRI“ und „Best Speech – DSRI-Herbstakademie“, welche meistens am Samstag unserer Jahrestagung stattfand. Auch die erfolgreiche Initiative „Digital Law Clinic“ von Louisa Specht-Riemenschneider knüpft an diese Bemühungen um den Nachwuchs an. Kongeniale Zusammenarbeit von Vorstandsvorsitzendem und Geschäftsführerin Die unter Deiner Ägide durchgeführten Veranstaltungen waren bis ins 12 letzte Detail durchgeplant. Das lag an der traumwandlerisch sicheren Zusammenarbeit zwischen Dir und der perfekten Geschäftsführerin Veronika Fischer, die Dir in punkto Gestaltung in nichts nachstand und in der Organisation nichts, aber auch gar nichts dem Zufall überlies. Veronika Fischer war es übrigens auch, die uns und Dich immer auf schöne Locations aufmerksam machte. Gerade bei den Vorstandsmeetings, lieber Dirk, hatten wir ja zu Beginn viel Luft nach oben, was die Locations betraf. Ich weiß nicht, ob Du Dich erinnerst, aber Du warst am Anfang etwas utilitaristisch unterwegs. Der Ort musste vor allem praktisch sein, leicht zu erreichen. Was ist praktisch und leicht zu erreichen? Natürlich, der Bahnhof. Deshalb hielten wir die ersten Kick-Off-Meetings in der Bahnhofsgegend von München ab. Klar – verkehrsmäßig super zu erreichen, ist auch praktisch, kommt man gut hin. Aber ich hätte mir damals nicht vorstellen können, dass ich jemals in München in der Bahnhofsgegend für Kick-Off-Meetings des Vorstands der DGRI nächtigen würde. Ich erinnere mich noch genau an diesen – Feng Shui-mäßig sehr fragwürdigen – dunklen Tagungsraum im Erdgeschoss neben dem Eingang der FOM München, an dem die Studierenden, unseren Raum immer voll im Blick, ein und aus gingen. Dieser Raum hat den Begriff genius loci wirklich nicht verdient. Aber es besserte sich mit den Jahren. Mit Hilfe von Veronika Fischer durften wir dann wieder im Grünen, z. B. am Starnberger See und am Rhein tagen, was uns natürlich sehr inspiriert und zu kreativen Lösungen geführt hat. Virtuelle DGRI-Tagung „digital+“ Ja und jetzt, lieber Dirk, hast Du Dich mit der ersten virtuellen DGRI-Ta- 13 gung „digital+“ selbst übertroffen. Diese Konferenz setzt neue Maßstäbe. 339

Peter Bräutigam

Ich war während der Pandemie bei vielen Online-Konferenzen, vielen virtuellen Tagungen und Veranstaltungen. Aber das, was mit dem Konzept „digital+“ verwirklicht wurde, habe ich noch nicht gesehen, auch nicht beim diesjährigen Bayerischen IT-Rechtstag, das muss man ganz offen zugeben. Diese Konferenz setzt neue Maßstäbe, ja sie ist eigentlich der Goldstandard für virtuelle Veranstaltungen dieser Art. Rufen wir uns nur die fulminante Digitalgala in Erinnerung: Ein Feuerwerk, hochprofessionell und gleichzeitig so persönlich, so sympathisch. Ich kann das wirklich aus vollem Herzen und eigener Anschauung sagen, weil ich schon oft Euer Gast sein durfte und dann buchstäblich genau in diesem Wohnzimmer saß, in dem wir gestern alle virtuell Platz nehmen durften. Das ist unnachahmlich. Was wäre die Veranstaltung aber ohne gute Partner, in diesem Fall ohne den technikaffinen Vorstandskollegen Walter Blocher. Lieber Walter, ganz herzlichen Dank Dir und Deinem Team – ganz besonders auch Michael Herrmann – für die technische Realisierung. Herzlichen Dank auch an Romy Richter [Anm. der Herausgeber: heißt nun Fiolka], die ebenfalls tatkräftig unterstützte. 14 Es war auch klar, dass der Gestalter Dirk Heckmann zusammen mit Walter Blocher zur Realisierung keine externe Agentur engagierte. Die hätte ja erst einmal antrainiert werden müssen, hätte alles kennenlernen müssen und wäre sehr teuer gewesen. Gestaltungsideen hattet ihr ja ohnehin selbst genug. 15 Lieber Dirk, überlege einmal, ist nicht diese erste und einzigartige virtuelle DGRI-Jahrestagung, die niemand vergessen wird, ein weiteres Vermächtnis von Dir? Eine Veranstaltung, die sich von allen bisherigen analogen Konferenzen unterscheiden wird? Mit Quizfragen brauchen wir uns dann auch nicht mehr aufhalten: Jeder, der bei dieser ersten virtuellen DGRI-Veranstaltung dabei war, wird sie niemals vergessen. Elke Heckmann 16 Eine Verabschiedung von Dir, lieber Dirk, wäre nicht vollständig, wenn nicht auch Deine liebe Frau Elke mit gewürdigt werden würde. Sie ist diejenige, die Dir Rückhalt gibt. Sie ist Deine wichtigste Beraterin, sie unterstützt Dich, sie hält dir auch den Spiegel vor und sie holt Dich auch schon einmal auf den Boden zurück, wenn Du in luftigen Höhen unterwegs bist. Sie weiß auch genau, dass das Leben mit all seinen Emotionen, Unwägbarkeiten, Zufällen nicht zu hundert Prozent gestaltbar ist. Sie hat natürlich durch Dein hohes Engagement als Vorstandsvorsitzender zeitlich Opfer gebracht und dafür möchte ich an dieser Stelle Dir, liebe Elke, ganz herzlich im Namen der DGRI danken.

340

Laudatio für Prof. Dr. Dirk Heckmann

Dank Bevor Du nun wieder übernimmst und die Veranstaltung – Stichwort 17 „Macher“ – ordnungsgemäß selbst abschließt, lass mich von ganzem Herzen Danke sagen: Danke sagen im Namen der gesamten DGRI, im Namen des Vorstands und auch von mir als Freund. Du hast – und das ist das eigentlich wichtige – das Herz am rechten Fleck und bist da, wenn man Dich braucht. Wir im Vorstand hegen die leise Hoffnung, dass Du vielleicht der DGRI 18 als Mitglied verbunden bleibst und in dieser Rolle uns weiterhin tatkräftig unterstützt. Wir werden das nicht übertreiben, sodass Du, liebe Elke, jetzt nicht in Panik verfallen musst. Es ist aber eine Hoffnung von uns, denn – und ich wiederhole es noch einmal – lieber Dirk: Du warst und bist ein Glücksfall für die DGRI. Vielen Dank für Ihre Aufmerksamkeit! Peter Bräutigam

341

Stellungnahme der DGRI zum Diskussionsentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz) Joachim Scherer*/Sven-Erik Heun**/Gerd Kiparski*** Anmerkung der Herausgeber und Autoren: Die Bundesregierung hat durch das Bundesministerium für Wirtschaft und Energie und das Bundesministerium für Verkehr und digitale Infrastruktur am 6. November 2020 den Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz – TKModG) zur Verbändeanhörung gestellt. Das TKModG stellt eine umfassende Novellierung des TKG dar und ändert mit seinen insgesamt 61 Artikeln noch eine Vielzahl weiterer Gesetze und Verordnungen ab. Der Fachausschuss Telekommunikations- und Medienrecht der DGRI hat sich an der Verbändeanhörung mit der nachfolgenden Eingabe beteiligt. Der Gesetzgeber hat im Rahmen des Gesetzgebungsprozesses die auch von der DGRI geforderte Umsetzungsfrist in Art. 61 Abs. 1 TKModG aufgenommen und lässt das TKModG erst zum 1.12.2021 in Kraft treten. Eine noch im Gesetzesentwurf vorgesehene Pflicht zum umfassenden Angebot von 12-Monats-Verträgen ist im weiteren Gesetzgebungsprozess aufgegeben worden. Ebenso gilt für die Sperre wegen

*

Prof. Dr. Joachim Scherer, LL.M. Partner bei Baker & McKenzie, Frankfurt, Co.-Vorsitzender des Fachausschuss Telekommunikations- und Medienrecht der DGRI. ** Sven-Erik Heun, Partner bei Bird & Bird LLP, Frankfurt, Co.-Vorsitzender des Fachausschuss Telekommunikations- und Medienrecht der DGRI. *** Dr. Gerd Kiparski, MBA, Head of Legal & Privacy bei 1&1 AG, Montabaur, Co.-Vorsitzender des Fachausschuss Telekommunikations- und Medienrecht der DGRI.

343

Joachim Scherer/Sven-Erik Heun/Gerd Kiparski

Zahlungsverzugs nun ein Schwellenwert von 100 Euro, der sich nicht zwangsläufig aus Verbindungsleistungen ergeben muss. Im Einzelnen hat die DGRI wie folgt Stellung genommen: 1 Die Deutsche Gesellschaft für Recht und Informatik e.V. (DGRI) ist eine der in Deutschland führenden unabhängigen wissenschaftlichen Vereinigungen auf dem Gebiet des IT-Rechts. Sie befasst sich mit Fragen an der Schnittstelle zwischen Informationstechnologie einerseits sowie Recht und Wirtschaft anderseits und fördert die Zusammenarbeit von Lehre, Forschung, Gesetzgebung und Praxis in allen Fragen der Informationstechnik. Zu ihren Mitgliedern zählen Wissenschaftler und Praktiker sowohl auf dem Gebiet der Rechtswissenschaft als auch der Technik. Mit ihnen sucht die Gesellschaft den ständigen Austausch von Wissen, Erfahrungen und Meinungen und begleitet Gesetzgebungsvorhaben auf nationaler wie europäischer Ebene als neutrale Institution, die den Partikularinteressen einzelner Unternehmen oder Branchen nicht verpflichtet ist. 2 Der Fachausschuss Telekommunikations- und Medienrecht der DGRI e.V. hat sich mit dem Diskussionsentwurf des Telekommunikationsmodernisierungsgesetzes befasst und nimmt insbesondere aus telekommunikations- und verfassungsrechtlicher Sicht dazu nachfolgend Stellung. Aufgrund der Kürze der Anhörungsfrist beschränken wir uns auf den für uns herausragend wichtigen Aspekt der Umsetzungsfrist und der Überleitungsvorschriften sowie auf das Erfordernis einer angemessenen Verbändebeteiligung, die uns eine detaillierte Kommentierung erlauben würde: Ausreichende Gelegenheit zur Verbändebeteiligung notwendig 3 Mit Ihrem Schreiben vom 6. November 2020 sind wir über den Diskussionsentwurf eines Telekommunikationsgesetzes in Kenntnis gesetzt worden. Mit dem Schreiben gewähren Sie eine Anhörungsfrist von 14 Tagen, mithin bis zum 20. November 2020. Diese Frist halten wir für einen Gesetzentwurf mit 434 Seiten für unangemessen kurz. Sie wird weder dem Umfang noch der Bedeutung dieses Gesetzesvorhabens für die deutsche Telekommunikationsbranche gerecht. 4 Mit dem Telekommunikationsmodernisierungsgesetz soll u. a. die Richtlinie (EU) 2018/1972 des Europäischen Parlamentes und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation in nationales Recht umgesetzt werden. Dieser Kodex trat bereits am 20. Dezember 2018 in Kraft und gewährt den Mit344

Stellungnahme der DGRI

gliedstaaten eine 2-jährige Umsetzungsfrist. Diese Umsetzungsfrist läuft bereits in wenigen Wochen aus. Im Mai und im August 2020 sind inoffizielle Versionen des Referenten- 5 entwurfs des Telekommunikationsmodernisierungsgesetzes an die Öffentlichkeit gelangt (sog. Leaks). Zwar konnten sich Unternehmen und Verbände schon mit diesen inof- 6 fiziellen Dokumenten befassen, dennoch besteht eine verlässliche Entwurfsfassung erst seit der Veröffentlichung der Anhörungsunterlagen Anfang November. Dass nun die Frist, die der europäische Richtliniengeber den Mitgliedstaaten zur Umsetzung des Kodex gewährt hat, abläuft, kann und darf nicht zu einer Verkürzung der Anhörungsfrist und damit zu einer Verkürzung der Beteiligungsmöglichkeiten interessierter Verbände führen. Die besondere Bedeutung dieses Gesetzgebungsvorhabens für alle Bereiche des Telekommunikationssektors sowie seine Auswirkungen auf den weiteren Ausbau von Gigabitnetzen und damit für die digitale Transformation in Deutschland erfordern eine sachgerechte Einbindung der betroffenen Verbände und Unternehmen, die bislang nicht gegeben ist. Das neue TKG wird den Rechtsrahmen für den Telekommunikationssektor voraussichtlich für die nächsten 10 Jahre bestimmen. Zudem sind auch gesetzliche Neuerungen vorgesehen, die nicht europarechtlich vorgesehen sind. Zudem sei an dieser Stelle darauf hingewiesen, dass es sich, wie Ihrem 7 Anhörungsschreiben zu entnehmen ist, noch um keinen zwischen den Ministerien abgestimmten Referentenentwurf, sondern lediglich um einen Diskussionsentwurf der federführenden Ministerien handelt. Zahlreiche Punkte, die in dem Anhörungsschreiben adressiert sind, befinden sich noch in der Diskussion. Die von der EU gesetzte Umsetzungsfrist bis Ende 2020 ist ohnehin nicht mehr zu halten, was auch in Anbetracht der Corona-Pandemie den wenigsten Mitgliedsstaaten gelingen dürfte. Zudem ist bis zum Ende der laufenden Legislaturperiode noch ausreichend Zeit für ein ordnungsgemäßes Konsultationsverfahren. Daher bitten wir Sie, für eine angemessene Stellungnahmefrist von vier bis sechs Wochen im Rahmen des Konsultationsverfahrens zum finalen, mit allen Ressorts abgestimmten Referentenentwurf für die Verbände zu sorgen.

345

Joachim Scherer/Sven-Erik Heun/Gerd Kiparski

Angemessene Übergangsfristen notwendig 8 Dem Entwurf des Telekommunikationsmodernisierungsgesetzes (TKMoG) fehlt es in Art. 56 [nunmehr Art. 61] an einer angemessenen und ausgewogenen Umsetzungsfrist. Aktuell sieht der Entwurf ein Inkrafttreten am Tag nach der Verkündung vor. 9 Gerade im Bereich des Kundenschutzes im Teil 3 des TKG-E, aber auch im Bereich der Nummerierung im Teil 7 des TKG-E sind erhebliche IT-Implementierungen nötig. Das betrifft insbesondere das Erfordernis einer Vertragszusammenfassung in § 52 Abs. 3 TKG-E und in §§ 1 und 2 TKTransparenzV-E und die Pflicht in § 54 Abs. 1 TKG-E, Verträge mit einer Laufzeit von 12 Monaten neben 24-Monats-Verträgen einzurichten. Auch die Neuregelung hinsichtlich der Anschlusssperre wegen Zahlungsverzug in § 59 Abs. 4 TKG-E (die eine Sperre nur noch bei 150 Euro Verzug von Verbindungsleistungen vorsehen), die erhebliche Änderung der Rechnungsinhalte in § 60 Abs. 1 TKG-E sowie die Pflicht gemäß § 117 Abs. 3 TKG-E gewisse Rufnummern systemisch zu unterdrücken, erfordern zeitaufwändige und kapitalintensive Umstellungen des Betriebsablaufs auf Seiten der Telekommunikationsanbieter. 10 Für diesen erheblichen Umsetzungsaufwand der neuen Vorgaben ist eine angemessene Umsetzungsfrist von mindestens 12 Monaten ab Abschluss des Gesetzgebungsverfahrens zur TKG-Novelle zu gewähren. 11 Das Bundesverfassungsgericht hat schon bezogen auf eine der vorherigen TKG-Novellen festgestellt, dass den Unternehmen ein ausreichender Umsetzungszeitraum zu gewähren ist (BVerfG, Beschl. v. 4. Mai 2012 – 1 BvR 367/12, Rz. 36 f). Eine Pflicht von Unternehmen, mit der Umsetzung von neuen gesetzlichen Anforderungen zu beginnen, noch bevor das entsprechende Gesetz verabschiedet und im Bundesgesetzblatt veröffentlicht wurde, sah das Bundesverfassungsgericht nicht. 12 Dass die vom Unionsgesetzgeber in Art. 124 vorgesehene Umsetzungsfrist des Kodex am 21. Dezember 2020 abläuft, kann nicht zum Nachteil der von dem deutschen Umsetzungsgesetz betroffenen Unternehmen gereichen. Die Anwendung des vom Bundesverfassungsgericht aufgestellten Grundsatzes, dass Unternehmen eine ausreichende Vorbereitungszeit benötigen, um neue gesetzliche Anforderungen in ihren immer komplexer werdenden IT-Systemen umzusetzen, halten wir im vorliegenden Fall für essentiell. Es handelt sich um einen Massenmarkt mit Millionen von Endkundenverträgen, entsprechend sicher und automatisiert müssen die IT-Prozesse in den Systemen der Unternehmen funktionieren.

346

Stellungnahme der DGRI

Bei der derzeitigen inoffiziellen Entwurfsfassung des TKMoG sind ein- 13 zelne zentrale Bestimmungen noch nicht festgelegt und einzelne Regelungen können sich noch im Abstimmungsprozess der Ministerien oder später im politischen Gesetzgebungsprozess ändern. Dies wird insbesondere anhand des Diskussionsentwurfes deutlich, der bisher zwischen den Ministerien noch nicht abschließend abgestimmte Änderungen mit sich bringt und Hinweise auf mögliche weitergehende Änderungen (u. a. im besonders relevanten Bereich der öffentlichen Sicherheit) enthält. Damit besteht für die Unternehmen keine hinreichende Sicherheit, welche Vorgaben wie umgesetzt werden müssen. Diese Sicherheit ist erst nach dem Erlass des Gesetzes gegeben. Angesichts der bestehenden Ungewissheit über die nach dem künftigen Gesetz bestehenden Rechtspflichten der Unternehmen wäre das Verlangen bzw. die Erwartung, dass die Unternehmen bereits jetzt mit zeitaufwändigen und kapitalintensiven Änderungen des Betriebsablaufs beginnen, unverhältnismäßig. Wir möchten in diesem Zusammenhang unterstreichen, dass die For- 14 derung nach einer ausreichenden Umsetzungsfrist den tatsächlichen Gegebenheiten geschuldet ist. Wird mit der konkreten Umsetzung vor der Wirksamkeit des zugrundeliegenden Gesetzes begonnen, entstehen bei den Unternehmen erhebliche Kosten und Verzögerungen. Wenn auf Basis einer erwarteten Regelung der oben genannte Entwicklungsprozess gestartet wird und die Regelungen später geändert werden, muss der Umsetzungsprozess neu gestartet werden. Damit verzögert sich die Umsetzung und eine fristgerechte Einführung kann nicht gewährleistet werden. Ebenso ist es möglich, dass die geänderten Vorgaben nicht mehr rechtzeitig berücksichtigt werden können. In diesem Fall würde die fristgemäße Umsetzung auf dem alten Entwurf des Gesetzes basieren und die neuen Änderungen nicht berücksichtigen. Anschließend müsste aufgrund der Endfassung des Gesetzes ein Änderungsprozess angestoßen werden, der erst Monate später umgesetzt werden kann. Für die Umsetzung der neuen Vorgaben des TKMoG sollte eine ange- 15 messene Umsetzungsfrist von mindestens 12 Monaten ab Abschluss des Gesetzgebungsverfahrens zur TKG-Novelle gewährt werden. Verfassungsgemäße Überleitungsvorschrift Zusätzlich zu der angemessenen Umsetzungsfrist ist es rechtsstaatlich 16 geboten, die Geltung der neuen Regelungen – soweit sinnvoll – ausschließlich auf nach Inkrafttreten des Gesetzes abgeschlossene Telekommunikationsverträge zu beziehen. Ansonsten würden die neuen Regelungen in echter Rückwirkung in bestehende Rechtsverhältnisse 347

Joachim Scherer/Sven-Erik Heun/Gerd Kiparski

eingreifen. Die kommerziellen Voraussetzungen, unter denen die Parteien die bestehenden Verträge geschlossen haben, würden damit nachträglich und unzumutbar verändert.

348