DGRI Jahrbuch 2021/2022 9783504387914

Citation preview

Tiefe

Baumgärtel/Kiparski DGRI Jahrbuch 2021/2022

Tiefe

Informationstechnik und Recht Schriftenreihe der Deutschen Gesellschaft für Recht und Informatik e.V.

Band 30

Tiefe

DGRI Jahrbuch 2021/2022 Im Auftrag der Deutschen Gesellschaft für Recht und Informatik e.V.

herausgegeben von

Dr. Matthias Baumgärtel Oldenburg und

Dr. Gerd Kiparski Köln

2023

Tiefe

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über https://portal.dnb.de abrufbar.

Verlag Dr. Otto Schmidt KG Gustav-Heinemann-Ufer 58, 50968 Köln Tel. 02 21/9 37 38-01, Fax 02 21/9 37 38-943 [email protected] www.otto-schmidt.de ISBN 978-3-504-67029-0 ©2023 by Verlag Dr. Otto Schmidt KG, Köln

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlages. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Das verwendete Papier ist aus chlorfrei gebleichten Rohstoffen hergestellt, holz- und säurefrei, alterungsbeständig und umweltfreundlich. Einbandgestaltung nach einem Entwurf von: Jan P. Lichtenford Satz: Datagroup Int., Timisoara Druck und Verarbeitung: Stückle, Ettenheim Printed in Germany

Editorial Das DGRI Jahrbuch erscheint auch in diesem Jahr als Doppelband für die Jahre 2021 und 2022. Die Jahre des Doppelbandes waren geprägt von einem Überwinden der Corona-Pandemie und einem Weg von reinen digitalen Online-Veranstaltungen hin zu Hybrid- und Präsenzveranstaltungen. Die Möglichkeit, wieder Präsenzveranstaltungen ohne Beschränkungen durchführen zu können, nutzte die DGRI und so fand die Jahrestagung 2022 in Leipzig in Präsenz statt. Dies ermöglichte den Mitgliedern der DGRI einen persönlichen Austausch, der intensiv genutzt wurde und beim traditionellen feierlichen Abendessen in Auerbachs Keller mit der persönlichen Verleihung der DSRI-Wissenschaftspreise seinen Höhepunkt fand. Zugleich nutzt die DGRI, insbesondere die Fachausschüsse, die Möglichkeit, Veranstaltungen einfach digital im Online-Format durchführen zu können („Open-Access“). Hierdurch hat sich eine Mischung aus reinen Online- und Präsenzveranstaltungen etabliert, die zu einem begrüßenswerten Anstieg sowohl der Veranstaltungsanzahl als auch der Teilnehmerzahlen geführt hat. In der jahresübergreifenden Chronik berichtet die DGRI-Geschäftsführerin Romy Fiolka über die wichtigsten Tagungen und Kooperationen der Jahre 2021 und 2022 sowie die Aktivitäten der Fachausschüsse und der seit 2015 an der Humboldt-Universität zu Berlin angesiedelten DGRI-Schlichtungsstelle IT. In der Chronik von Frau Romy Fiolka sowie den Tagungsberichten von Frau Mona Winau werden die Themen der DGRI-Jahrestagungen sowie der Drei-Ländertreffen kurz zusammengefasst. Für eine herausragende Habilitation bzw. Dissertation wurden wieder die DSRI-Wissenschaftspreise vergeben. Die sehr lesenswerten Beiträge mit einer Kurzfassung der Arbeiten der Preisträger von Herrn Dr. Daniel Timmermann, Herrn Dr. Stephan Schindler und Herrn Prof. Dr. Dimitrios Linardatos sind im Tagungsband abgedruckt. Nachdem der langjährige DGRI-Vorsitzende Prof. Dr. Dirk Heckmann im Jahr 2020 den Staffelstab an seinen Nachfolger Prof. Dr. Dr. Walter Blocher übergeben hat, hat sich dieser als neuer Vorsitzender sehr gut etabliert. In den DGRI-Vorstand sind mit RA Dr. Sonja Dürager, RA Monika Menz und RA Dr. Gerd Kiparski drei neue Personen eingezogen. Weiterhin gibt es eine erfreulich große Zahl an Berichten aus den zahlreichen Fachausschüssen, die in den vergangenen zwei Jahren eine große Anzahl an Veranstaltungen durchgeführt haben.

V

Editorial

Für die Herausgeber war das Zusammenstellen der einzelnen Beiträge eine sehr interessante und ehrenvolle Aufgabe. Wir sind allen Autoren für ihren Einsatz bei der Erstellung der qualitativ durchweg hervorragenden Beiträge sehr zu Dank verpflichtet. Wir danken den Autoren auch für Ihre Geduld, da die Beiträge aus dem Jahr 2021 durch die Ausgabe als Doppelband ein Jahr später erschienen sind. Daneben gilt unser Dank aber auch Ulrich Gasper, Redakteur im Verlag Dr. Otto Schmidt KG, sowie Claudia Bergmeier, Lektorin im Verlag Dr. Otto Schmidt KG, für ihre Geduld und vielfältige Unterstützung bei der Organisation und Erstellung dieses Jahrbuches. Zu großem Dank sind wir auch unserer Geschäftsführerin Romy Fiolka verpflichtet, die uns tatkräftig und mit großem Engagement unterstützt hat. Der Doppelband für die Jahre 2021/22 belegt, dass die DGRI die Corona-Zeit gut überstanden hat und den Digitalisierungstrend von Veranstaltungen sehr gut in die Post-Corona-Zeit übertragen konnte. Die DGRI ist eine lebendige und moderne Organisation, die sich mit neuen Formaten der Vielzahl an rechtlichen Themen der Digitalisierung widmet und eine hervorragende Plattform für den Austausch bildet. Wir wünschen viel Vergnügen beim Lesen. Oldenburg/Köln, im August 2023

Dr. Matthias Baumgärtel Dr. Gerd Kiparski

VI

Inhaltsübersicht* Editorial (Matthias Baumgärtel/Gerd Kiparski) . . . . . . . . . . . . . .

V

A. Jahrestagungen DGRI-Jahrestagung 2021: Daten – Plattformen – Ökonomie (Mona Winau) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

1

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick (Anna K. Bernzen) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

9

Technologiebezogene Ermessensspielräume der Unternehmensleitung (Michael Denga) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie (Lea Katharina Kumkar) . . . . . . . . . . . . . . . . . . . .

51

Aktuelle Entwicklungen der Plattform-Regulierung (DSA-E, DMA-E und § 19a GWB) (Boris Paal/Fabian Kieß) . . . . .

73

Updatepflichten in Verbraucherverträgen über digitale Produkte (Kristina Schreiber/Julia Esser) . . . . . . . . . . . . . . . . . . . .

99

Die Reichweite der Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO (Markus Schröder) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

119

Wahrnehmungspsychologische Erkenntnisse und datenschutzrechtliche Einwilligungen: Eine interdisziplinäre Betrachtung am Beispiel von dark patterns und nudging (Laura L. Stoll) . . . . .

129

Online-Wahlen und digitale Abstimmungen – eine Einordnung aktueller Entwicklungen (Melanie Volkamer, Andreas Mayer, Stephan Neumann, Bernhard Beckert, Jurlind Budurushi, Armin Grunwald, Robert Krimmer, Oksana Kulyk, Ralf Küsters, Jörn Müller-Quade, Stephan Neumann) . . . . . . . . .

141

Die Maßnahmenwahl im IT-Sicherheitsrecht: Von den Erfordernissen der „Angemessenheit“ und des „Standes der Technik“ (Christoph Werner) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

161

DGRI-Jahrestagung 2022: Daten – Märkte – KI (Mona Winau) . . .

181

*

Ausführliche Inhaltsverzeichnisse jeweils zu Beginn der Beiträge.

VII

Inhaltsübersicht

Datenökonomie und Unternehmen – Liebe auf den zweiten Blick? (Vera Demary/Klaus-Heiner Röhl). . . . . . . . . . . . . . . . . . . .

187

Das Recht auf telekommunikative Grundversorgung – endlich schnelles Internet für alle? (Andreas Neumann) . . . . . . . . . . . . . .

207

Employee-Experience-Plattformen und Datenschutz – Zulässigkeit der automatisierten Analyse von Beschäftigtendaten durch Microsoft Viva Insights (Viktoria Schmittmann) . . . . . . . . . . . . . .

235

Haftungsregeln für das digitale Zeitalter (Gerhard Wagner) . . . . .

249

B. Drei-Länder-Treffen Drei-Länder-Treffen 2021 Länderbericht Schweiz (Robert Briner) . .

305

Drei-Länder-Treffen 2021 Länderbericht Österreich (Sonja Dürager). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

311

Drei-Länder-Treffen 2021: Die Umsetzung der Richtlinien (EU) 2019/770 und 2019/771 in Deutschland (Peter Rott) . . . . . . . . . . .

335

Drei-Länder-Treffen 2022 Länderbericht Österreich (Barbara Kuchar) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

351

Drei-Länder-Treffen 2022: Die Umsetzung der Warenkauf- und Digitale-Inhalte Richtlinien in Österreich (Thomas Rainer Schmitt) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

373

Drei-Länder-Treffen 2022: IT-Recht in der Schweiz – aktuelle Entwicklungen (Alesch Staehelin) . . . . . . . . . . . . . . . . . . . . . . . . .

389

C. Fachausschüsse und Schlichtungsstelle Bericht des Fachausschuss Datenschutz und Datenökonomie (Kevin Leibold/Laura L. Stoll) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

409

Bericht des Fachausschuss „Digitale Compliance“ (Stefanie Fehr/Dirk Seeburg) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

413

Bericht des Fachausschuss Digitale Wirtschaft und Plattformökonomie (Isabell Conrad/Jens Engelhardt/Thomas Wilmer) . . .

417

Bericht des Fachausschuss Legal Tech (Felix Buchmann) . . . . . . .

419

VIII

Inhaltsübersicht

Bericht des Fachausschuss Cloud Computing, Outsourcing, IT-Projekte (Thomas Stögmüller/Lars Lensdorf/Thomas Thalhofer) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

425

Bericht des Fachausschuss Social Media und Intermediäre (Johanna Götz/Franz Hofmann) . . . . . . . . . . . . . . . . . . . . . . . . . . .

427

Bericht des Fachausschuss Telekommunikation und IT-Sicherheit (Gerd Kiparski/Sebastian Louven) . . . . . . . . . . . . . . . . . . . . .

429

Bericht des Fachausschuss Unternehmensjuristinnen und Unternehmensjuristen (Roland Bömer/Jyoti Pakrasi/Susann Wolfgram) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

433

Die Schlichtungsstelle IT – Überblick über die Tätigkeit der Jahre 2021 und 2022 (Axel Metzger/Zora Witte) . . . . . . . . . . . . . .

437

D. Preisträger der DSRI 2021/2022 Autonome und vernetzte Aktanten im Zivilrecht (Dimitrios Linardatos) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

443

Biometrische Videoüberwachung (Stephan Schindler) . . . . . . . . .

487

Notwendige Entwicklung des Begriffs der algorithmischen Rechtsdienstleistung (Daniel Timmermann) . . . . . . . . . . . . . . . . .

509

E. Aus der DGRI DGRI Jahreschronik 2021/2022 (Romy Fiolka) . . . . . . . . . . . . . . .

531

IX

A. Jahrestagungen DGRI-Jahrestagung 2021: Daten – Plattformen – Ökonomie Mona Winau Die Jahrestagung der Deutschen Gesellschaft für Recht und Informa- 1 tik e. V. fand vom 25.11. bis zum 27.11.2021 als virtuelle Veranstaltung statt. Trotz der kurzfristig, wegen der verschärften pandemischen Situation notwendig gewordenen, Umstellung der in Leipzig geplanten Präsenzvorträge in das virtuelle Format, klappte alles einwandfrei. Das bereits in der Begrüßungsrede des Vorsitzenden Prof. Dr. Dr. Walter Blocher (Universität Kassel) anklingende und bei Vortragenden und Teilnehmern spürbare Bedauern über den Entfall des persönlichen Austauschs und des vielversprechenden Rahmenprogramms wurde jedoch angesichts der fulminanten Vorträge und spannenden Diskussionen sowie der Möglichkeit zum Austausch in virtuellen Kaffee-Breakout-Rooms rasch in den Hintergrund gedrängt. Der Auftakt zum Programm erfolgte am Donnerstagnachmittag mit 2 der englischsprachigen „JIPITEC“-Pre-Session zu aktuellen Themenund Fragestellungen des Urheberrechts, moderiert von Prof. Dr. Gerald Spindler (Georg-August-Universität, Göttingen). Unter dem Titel „Copyright enforcement and filtering under Art. 17 DSM and its national implementations: Final act of the drama?“ erläuterten Matthias Schmid (Referatsleiter Urheber- und Vergaberecht, BMJV, Berlin), Prof. Dr. ValerieLaure Benabou (Universität Aix-Marseille, Frankreich) und Prof. Dr. Martin Senftleben (IVIR Universität Amsterdam, Niederlande) jeweils die deutsche, französische und niederländische Umsetzungsgesetzgebung in spannenden Impulsvorträgen. Im daran anschließenden Panel zu „Copyright enforcement and filtering under Art. 17 DSM“ unter der Moderation von Prof. Dr. Axel Metzger (Humboldt-Universität zu Berlin) diskutierten Matthias Schmid, Dr. Tobias Holzmüller (Jutiziar, GEMA, München) und Dr. Cedric Manara (Director, Head of Copyright, Google). Im Zentrum standen dabei der deutsche „Sonderweg“ zur Umsetzung des Art. 17 DSM-RL und dessen rechtliche und praktische Folgen. Nach der offiziellen Begrüßung durch den Vorsitzenden Prof. Dr. Dr. 3 Walter Blocher am Freitagmorgen bildete Prof. Dr. Indra Spiecker gen. Döhmann (Goethe-Universität, Frankfurt am Main) mit der Keynote und anschließender Diskussion zu den Grenzen des Datenschutzes den 1

Mona Winau

Auftakt. Eindrucksvoll erläuterte sie die, aus dem Regelungsgegenstand selbst sowie dem vom Unionsgesetzgeber gewählten Ansatz und normativen Wertungen folgende, begrenzte Wirk- und Durchsetzungskraft des Datenschutzrechts. Es könne jedoch weder als innovationshemmende (Über-)regulierung noch als bloßer Ausgangspunkt für spezielleres Technikregulierungsrecht begriffen werden. Weitere tatsächliche Grenzen für das Datenschutzrecht wurden in der anschließenden Diskussion thematisiert, so etwa die Bedeutung der Datenverarbeitung für andere Schutzzwecke, wie sie besonders im Zuge der Debatten um Strategien der Pandemiebekämpfung aktuell deutlich wurde, und menschliche Faktoren wie das sog. Privacy Paradox und Risikoaversionen datenverarbeitender Akteure. 4 Der erste Themenblock „Datenökonomie“, von Prof. Dr. Louisa SpechtRiemenschneider (Universität Bonn) moderiert, begann mit einem Vortrag von Jung.-Prof. Dr. Lea Kumkar (Universität Trier) zur Frage „Pivot or persevere: Bedarf die europäische Datenökonomie einer Neuausrichtung? Zu den Vorschlägen der EU-Kommission für eine europäische Datenstrategie“. Im Grunde seien die Pläne der EU-Kommission nach der zu langen Phase der Untätigkeit zu begrüßen. Jedoch bestehe ein dringender Regulierungsbedarf für einen kohärenten und übergreifenden Ansatz, dessen Verhältnis zu bestehendem Regulierungsrecht insbesondere dem Datenschutzrecht klar sei. Dahinter blieben die nur punktuellen Lösungsansätze der Kommission zurück. 5 Daran anknüpfend widmete sich Prof. Dr. Jürgen Kühling (Universität Regensburg) mit seinem Vortrag „Datenzugang und Datentreuhandlösungen – praxisrelevante Maßnahmen im Rahmen der Datenstrategie der Bundesregierung und ihre mögliche Umsetzung in nationales Recht“ der Verknüpfung datenschutzrechtlicher und datenökonomischer Belange. Die Problematik für Datentreuhandkonzepte bestehe zuvörderst in der Vielfalt und der Komplexität der Regelungswerke, für die es weitergehende Konkretisierungen und Anwendungshinweise anstelle von zusätzlichen Regelungen bedürfe. Anders sei dies bei den Datenzugangsrechten. Solche bestünden im geltenden Recht nur sehr begrenzt. Die Erweiterung des Datenzugangs berge Potential, sollte aber angesichts der Unsicherheit über deren Auswirkungen zunächst kleinschrittig erfolgen. 6 Zu Datenzugangs- und -nutzungsmöglichkeiten ergänzte Aline Blankertz (Senior Consultant, Oxera, Berlin & Mitbegründerin SINE Foundation) eine ökonomische Perspektive in Form eines Impulses aus der Praxis auf die „Regulierung für (gegen?) Datenintermediäre“. Sie begann mit der These, dass Daten zu wenig geteilt und genutzt würden und kritisierte eine Über- und Fehlregulierung durch das geltende Recht, die 2

DGRI-Jahrestagung 2021: Daten – Plattformen – Ökonomie

es insbesondere kleinen und mittelständigen Unternehmen (KMUs) erschwere als Datenintermediäre aufzutreten. Eine Verbesserung könne in erster Linie durch mehr Rechtssicherheit für die Praxis erreicht werden. Bedacht werden sollten zudem eine Aufweichung datenschutzrechtlicher Vorgaben hin zu einem Opt-out für bestimmte Nutzungszwecke und eine staatliche Datenbeschaffungspolitik. In der folgenden Diskussion wurden neben einer Reihe spannender As- 7 pekte auch die im gerade erst veröffentlichten Koalitionsvertrag bekundeten Vorhaben zur Gründung eines Dateninstituts zur Förderung der Datenverfügbarkeit und zur Reformierung der Datenschutzkonferenz (DSK) aufgegriffen. Einleitend zum zweiten Themenblock „Datenschutz“ unter Modera- 8 tion von RAin Caroline Gaul (Walder Wyss, Zürich) erweiterte Prof. Dr. Moritz Hennemann (Universität Passau) die Perspektive auf eine globale Ebene mit seinem Vortrag zum „Wettbewerb der Daten(schutz) rechtsordnungen“. Anhand zahlreicher Beispiele legte er die Vorbild- und Orientierungsfunktion des europäischen Datenschutzrechtskonzepts für andere Länder und Kontinente und den abweichenden US-amerikanischen Regulierungsansatz dar. Er gab zu bedenken, ob dieser insbesondere durch das Marktortprinzip und das Instrument des Angemessenheitsbeschlusses als Grundlage für den Datentransfer in Drittländer geförderte „Export“ des europäischen Regulierungsansatzes und die damit verbundene Standardsetzung auch im Sinne der Flexibilität der eigenen Rechtsordnung wünschenswert sei. Die folgenden Impulsvorträge standen unter dem Thema „Internatio- 9 naler Datentransfer vor neuen Herausforderungen – Aufräumen nach Schrems II“. Markus Schröder (Global Data Privacy Professional, Allianz Global Investors GmbH, Frankfurt am Main) erläuterte die Diskussion um die Reichweite der Ausnahmetatbestände nach Art. 49 DSGVO im Anschluss an das Schrems II-Urteil des EuGH. Die strenge Auslegung des EDSA kritisierend legte er dar, weshalb die Ausnahmetatbestände zumindest für Datentransfers mit geringen Risiken auch als dauerhafte Grundlagen herangezogen werden könnten. Susanne Werry (Clifford Chance, Frankfurt am Main) erläuterte Ände- 10 rungen der neuen Standardvertragsklauseln vom Juni 2021 in Bezug auf die Anforderungen des Schrems-II-Urteils für einen Datentransfer in die USA und stellte insbesondere offene Fragen und Herausforderungen hinsichtlich des Data Transfer Impact Assessment heraus. Ihr Resümee, dass die neuen Standardvertragsklauseln ein wichtiger Bestandteil für die Praxis, aber keine Patentlösung seien, ergab sich aus den zahlreich

3

Mona Winau

aufgezeigten offenen Fragen und erheblicher Herausforderungen für Verantwortliche in der Praxis. 11 An praktische Konsequenzen des Schrems-II-Urteil knüpfte dann auch Prof. Dr. Rolf Schwartmann (Technische Hochschule Köln, Mitglied der Datenethikkommission & Vorsitzender GDD) an und schlug damit den Bogen zur „Rechtsdurchsetzung im Datenschutzrecht“. Im Fokus stand die Bindung der Datenschutzaufsicht an das allgemeine Verwaltungsverfahrensrecht und das nationale Schadensrecht und daraus folgende Grenzen der Durchsetzungsfähigkeit des Datenschutzrechts. Weiterhin zeigte er Friktionen zwischen den Zwecken des Datenschutzrechts und entgegenstehenden vertraglichen Erfüllungspflichten auf, aus denen sich eine Pflicht des Verantwortlichen zur „Datenmaximierung“ ergeben könnte. Letzterer Standpunkt wurde im Folgenden besonders angeregt diskutiert. 12 Den Themenblock III bildeten parallele Praxis-Sitzungen zur IT-Sicherheit und zum Digitalen Vertragsrecht. 13 Unter der Moderation von Dr.-Ing. Peter Hoppen (Streinz Hoppen & Partner, Brühl) leitete Prof. Dr. Dennis-Kenji Kipker (Legal Advisor, VDE) den Themenblock IIIa „IT-Sicherheit“ mit seinem Vortrag „ITSicherheitsrecht 2021: Neue rechtliche Entwicklungen auf nationaler und europäischer Ebene“ ein. Beeindruckend gelang ihm innerhalb des Kurzvertrags ein Überblick der neuen Entwicklungen im IT-Sicherheitsrecht auf nationaler Ebene anhand der deutschen Cybersicherheitsstrategie und des IT-Sig 2.0 sowie auf europäischer Ebene in Form der Europäischen Cybersicherheitsstrategie und des NIS 2 – Entwurfs (EU 2016/1148) und schließlich eine punktuelle Darstellung kritikwürdiger Regelungsinhalte. 14 Zur „Maßnahmenauswahl im IT-Sicherheitsrecht“ verdeutlichte Christoph Werner (Zentrum für Angewandte Rechtswissenschaft, Karlsruhe) die Problematik bei der Anwendung des risikobasierten Ansatzes zur Eindämmung von IT-Sicherheitsrisiken in der Praxis. Der Rechtsbegriff der „Angemessenheit“ von Maßnahmen markiere eine Untergrenze des einzuhalten Ergebnisspielraums, werde aber nicht vom Kriterium des Stands der Technik determiniert. Vielmehr könne es im Einzelfall geboten bzw. ausreichend sein den Stand der Technik zu über- bzw. zu unterschreiten. Wenn hingegen normativ festgelegt würde, dass der Stand der Technik eingehalten werden „solle“, könne seine Unterschreitung begründungsbedürftig sein. Dies und eine kehrseitig aus der Einhaltung des Stands der Technik folgende positive Vermutungswirkung für die Angemessenheit der Maßnahmen sowie das Verhältnis eines solchen Rege4

DGRI-Jahrestagung 2021: Daten – Plattformen – Ökonomie

lungsansatzes zum Produktsicherheitsrecht wurden zum Abschluss des Themenblocks eingehend diskutiert. Im parallel stattfinden Themenblock IIb „Digitales Vertragsrecht“ refe- 15 rierten unter der Moderation von RAin Monika Menz (Reusch Rechtsanwaltsgesellschaft mbH, Berlin) Dr. Anna K. Bernzen (Universität Bonn) zur „Neuregelung des Digitalen Vertragsrechts im Überblick“ und RAin Kristina Schreiber (Loschelder Rechtsanwälte, Köln) zu „Updateverpflichtungen in IT-Verbraucherverträgen (künftig in § 327f BGB geregelt)“. Der abschließende Vortragstag nahm am Samstagmorgen unter der Mo- 16 deration von Dr. Matthias Baumgärtel (EWE TEL GmbH, Oldenburg) mit der als Best Speech der DSRI-Herbstakademie 2021 prämierten Präsentation von Psychologin und Dipl. Juristin Lena L. Stoll (B. Sc. Consultant Datenschutz, Intersoft consulting services AG) über „Wahrnehmungspsychologische Erkenntnisse und datenschutzrechtliche Einwilligungen: Eine interdisziplinäre Betrachtung am Beispiel von dark patterns und nudging“ einen imposanten Auftakt. Anhand einer Darstellung der Wirkmechanismen auf menschliche Wahrnehmungsprozesse und daraus resultierender Entscheidungsprozesse verdeutlichte sie anhand einiger Anwendungsbeispiele wie Dark Patterns und Nudging die Freiwilligkeit der Entscheidung, und konkret bezogen auf das Datenschutzrecht der Einwilligung, beseitigen können. Unmittelbar schloss sich eine lebhafte Diskussion über rechtliche Bestrebungen zur Einschränkung dieser Praktiken und die dazu erforderliche Verknüpfung von empirischen und normativen Aussagen an. Im Themenblock IV „Digitale Herausforderungen für die Unternehmens- 17 führung“, moderiert von RA Prof. Dr. Peter Bräutigam (Noerr, München) adressierte Dr. Michael Denga (Humboldt Universität zu Berlin) mit seinem Vortrag zu „Möglichkeiten und Grenzen einer ‚Technology Judgement Rule‘“ die Haftung beim Einsatz neuer Technologien. Anstelle gesetzlich sehr abstrakt gefasster Sorgfaltsmaßstäbe wie der zivilrechtlichen Sorgfaltspflicht oder Kriterien wie des Stands der Technik in risikobasierten Technikregulierungsansätzen schlug er die Anwendung einer „Technology Judgement Rule“ und eine damit einhergehende Delegation von Einschätzungsprärogativen für Sorgfaltsmaßstäbe an Unternehmen selbst vor. Auch unter dem Aspekt einer möglichen technikbasierten Konkretisierung wurde der Vorschlag in der abschließenden Diskussion angeregt debattiert. Der Grad erforderlicher Sicherheitsstandards spielte beim anschließen- 18 den Referat von Prof. Dr. Melanie Volkamer (Karlsruher Institut für 5

Mona Winau

Technologie) zu „Online-Wahlen und Beschlussfassungen im Gesellschaftsrecht“ ebenfalls eine wesentliche Rolle. Eindrücklich legte sie dar, welche Risiken bei der Durchführung von Online-Wahlen insbesondere mithilfe von „einfachen Wahlsystemen“, deren Manipulationen nicht nach außen erkennbar seien, bestehen und welche Risiken auch bei einer Ende-zu-Ende-verifizierenden Technik verbleiben.1 Deutlich wurden sowohl die Potentiale von Online-Wahlen als auch die verbleibenden Herausforderungen für Technik und Recht und der Forschungsbedarf in diesem Bereich. Wie sehr der Vortrag das Bewusstsein der Zuhörer für die Sicherheitsrisiken bei Online-Wahlen und -Abstimmungsverfahren geschärft hatte, zeigte sich an der folgenden lebendigen Debatte über graduelle Abstufungen zwischen „optimaler“ und „bestmöglicher“ Sicherheit in verschiedenen Anwendungskontexten. 19 Unter der Moderation von RA Dr. Axel Funk (CMS Hasche Sigle, Stuttgart) gelang mit Themenblock V zur „Plattformökonomie“ ein fulminanter Abschluss der Tagung. Prof. Dr. Ruth Janal (Universität Bayreuth) referierte zu dem Entwurf der Europäischen Kommission für einen Digital Services Act (DSA-E)2 und widme sich dabei konkret „Filterbubbles, Wahlbeeinflussung, Hatespeech – systemische Risiken der Plattformnutzung und ihre regulatorische Erfassung“. Im Ansatz bewertete sie den Verordnungsentwurf als wünschenswerte Initiative. Kritik übte sie insbesondere an einer zu unscharfen Bestimmung der Regelungsadressaten und des Pflichtenkatalogs sowie an der problematischen Unterbindungspflicht auch für rechtmäßige Inhalte durch Private. Die Wirksamkeit des Konzepts der (regulierten) Selbstregulierung zog sie jedenfalls in Zweifel und plädierte abschließend für eine strengere Regulierung etwa durch ein Verbot personalisierter Werbung oder klare Vorgaben für plattformbetriebene Empfehlungssysteme. 20 Den Blick auf die nationale Wettbewerbsregulierung für Plattformen schloss Dr. Sebastian Louven (louven.legal, Detmold) mit seinem Vortrag „Unternehmen mit überragender marktübergreifender Bedeutung für den Wettbewerb gem. § 19a GWB“ an. Mit einer Darstellung des Zwecks, der Historie und der Regelung beginnend, erörterte er anschließend die behördliche Zwei-Schritt-Prüfung der Regulierungsbedürftigkeit und konkreter Regulierungsmaßnahmen und zeigte Fragen zur 1

2

6

Ein Forschungsbericht, an dem Prof. Dr. Volkamer mitwirkte, erschien zu diesem Thema als Preprint: Beckert/Budurushi/Grunwald et al., Entwicklungen im Kontext von Online-Wahlen und digitalen Abstimmungen, 2021. COM (2020), 825 final, abrufbar unter: https://eur-lex.europa.eu/legalcontent/de/TXT/?uri=COM%3A2020%3A825%3AFIN, zuletzt abgerufen am 2.3.2022.

DGRI-Jahrestagung 2021: Daten – Plattformen – Ökonomie

Reichweite der dabei bestehenden Beurteilungs- und Ermessensspielräume auf. Auch das Verhältnis des nationalen Rechts zum Unionsrecht, insbesondere zum Kommissionsentwurf für einen Digital Markets Act (DMA-E)3 war Thema des Vortrags, wobei er den spezifisch nationalen Gehalt des § 19a GWB begründete, die Frage der Notifizierungspflicht hingegen offenließ. Anders beurteilte Prof. Dr. Boris Paal (Universität Leipzig) im anschlie- 21 ßenden Referat zu „Plattformen in der 10. Novelle im DSA und DMA“ das Verhältnis von § 19a GWB zum DMA-E. Mit einem Überblick über die Regelungsgehalte und das Verhältnis der drei Rechtsakte zueinander ergänzte er die vorausgegangenen Vorträge. Die Rechtsakte bewertete er dem Grunde nach als positive Ansätze, die in ihrer gegenwärtigen, insbesondere als zu unbestimmt beurteilten, Ausgestaltung den bestehenden Risiken aber nicht hinreichend begegnen könnten. Abschließend formulierte er sechs klare Handlungsempfehlungen für eine Verbesserung der rechtlichen Regulierung. Die drei Vorträge gaben zahlreiche interessante Ansatzpunkte für die sich anschließende Diskussion. Im Fokus standen die Frage der Eignung der Rechtswidrigkeit als Grenze für Plattforminhalte und die Problematiken der Verlagerung rechtlicher Abwägungsentscheidungen auf Private sowie der Langwierigkeit von Gesetzgebungsprozessen, deren Gegenstand von dynamischer Entwicklung mit hohem Gefährdungsgrad geprägt sei. Beim Abschied lud der Vorsitzende die Tagungsteilnehmer noch zum 22 Drei-Länder-Treffen der DGRI vom 30.6. bis zum 2.7.2022 in Karlsruhe ein.

3

COM (2020) 842 final, abrufbar unter: https://eur-lex.europa.eu/legal-content/ en/TXT/?qid=1608116887159&uri=COM%3A2020%3A842%3AFIN, zuletzt abgerufen am 2.3.2022.

7

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick Anna K. Bernzen* I. Eine besondere Regelung im allgemeinen Teil

1

II. Anwendungsbereich der §§ 327 ff. BGB 5 1. Persönlicher Anwendungsbereich 6 2. Sachlicher Anwendungsbereich 7 a) Leistung des Unternehmers 8 b) Gegenleistung des Verbrauchers 12 3. Zeitlicher Anwendungsbereich 15 III. Nichtleistung und verspätete Leistung des Unternehmers 17 1. Recht zur Vertragsbeendigung 18 2. Schadens- bzw. Aufwendungsersatz 22 IV. Schlechtleistung des Unternehmers 1. Mangel des digitalen Produktes a) Produktmangel b) Rechtsmangel

2. Mängelgewährleistungsrechte a) Nacherfüllung b) Vertragsbeendigung c) Minderung d) Schadens- bzw. Aufwendungsersatz 3. Durchsetzung der Gewährleistungsrechte a) Verjährung b) Beweislastumkehr

34 35 36 42 43 44 45 47

IV. Besonderheiten des „digitalen“ Vertragsrechts 49 1. Datenschutz und digitale Produkte 50 2. Einseitige Änderung digitaler Produkte 54 V. Halbseitig zwingendes Recht

58

23 24 25 30

Literatur: Busche, in: Säcker/Rixecker/Oetker/Limperg (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch, 9. Aufl. 2023 § 633 BGB; Felsch/Kremer/ Wagener, Handhabung der neuen Aktualisierungspflicht bei digitalen Produkten, MMR 2022, 18; Fervers, Die unterbliebene Bereitstellung des digitalen Produkts, NJW 2021, 3681; Fries, in: Lorenz (Hrsg.), beck-online. Großkommentar zum Zivilrecht, Stand: 1.7.2023, §§ 327, 327i BGB; Gansmeier/Kochendörfer, Digitales Vertragsrecht, ZfPW 2022, 1; Gelbrich/Timmermann, Der Mangelbegriff im Kaufrecht nach Umsetzung der WKRL und DIRL, NJOZ 2021, 1249; Grützmacher, Auswirkungen der Umsetzung der Digitale-Inhalte-Richtlinie in der Leistungskette, ITRB 2021, 287; Heydn, Schuldrechtsreform 2.0: Das neue Gewährleistungsrecht *

Prof. Dr. Anna K. Bernzen, Juniorprofessorin für Bürgerliches Recht, Wirtschaftsrecht und Recht der Digitalisierung an der Universität Regensburg. Der Beitrag befindet sich auf dem Stand des Frühjahres 2022. Danach erschienene Literatur konnte nicht berücksichtigt werden.

9

Anna K. Bernzen für digitale Produkte in der Praxis, CR 2021, 709; Hessel/Potel, Update qua Gesetz – Aktualisierungspflicht nach § 327 f BGB in der Praxis, RDi 2022, 25; Kaesling, in: Junker/Beckmann/Rüßmann (Hrsg.), juris Praxiskommentar BGB, Stand: 24.5.2023, § 327m BGB; Klink-Straub, Do ut des – Bezahlen mit Daten im digitalen Vertragsrecht, NJW 2021, 3217; Kramme, Vertragsrecht für digitale Produkte, RDi 2021, 20; Kumkar, Herausforderungen eines Gewährleistungsrechts im digitalen Zeitalter, ZfPW 2020, 306; Kuschel/Rostam, Urheberrechtliche Aspekte der Richtlinie 2019/770, CR 2020, 393; Meurer/Fanderl, Datenschutzrechtliche Implikationen bei Verträgen über digitale Produkte, DSB 2021, 296; Mischau, Daten als „Gegenleistung“ im neuen Verbrauchervertragsrecht, ZEuP 2020, 335; Möllnitz, Änderungsbefugnis des Unternehmers bei digitalen Produkten, MMR 2021, 116; Redeker, IT-Recht, 8. Aufl. 2023; Riehm/Abold, Rechtsbehelfe von Verbrauchern bei Verträgen über digitale Produkte, CR 2021, 530; Rieländer, Leistungsstörungen im Digitalvertragsrecht – Teil II, GPR 2022, 28; Rosenkranz, Spezifische Vorschriften zu Verträgen über die Bereitstellung digitaler Produkte im BGB, ZUM 2021, 195; Sattler, Neues EU-Vertragsrecht für digitale Güter, CR 2020, 145; Sattler, Urheber- und datenschutzrechtliche Konflikte im neuen Vertragsrecht für digitale Produkte, NJW 2020, 3623; Schippel, Die Pflicht zur Bereitstellung von Aktualisierungen für digitale Produkte, K&R 2021, 151; Schmidt-Kessel/ Erler/Grimm/Kramme, Die Richtlinienvorschläge der Kommission zu Digitalen Inhalten und Online-Handel – Teil 2, GPR 2016, 54; Schmitz/Buschuew, (Be)Zahlen mit Daten, MMR 2022, 171; Schneider/Streitz, Umsetzung der neuen Anforderungen bei der Vertragsgestaltung, CR 2022, 141; Schöttle, Software als digitales Produkt, MMR 2021, 683; Schulze, in: Schulze et al., BGB, 11. Aufl. 2021, § 327m BGB; Bernzen/Specht-Riemenschneider, in: Röhricht/Graf von Westphalen/ Haas/Mock/Wöstmann (Hrsg.), HGB, 6. Aufl. 2023, Plattformnutzungsverträge; Spindler, Verträge über digitale Inhalte – Anwendungsbereich und Ansätze, MMR 2016, 147; Spindler, Ausgewählte Rechtsfragen der Umsetzung der digitalen Inhalte-Richtlinie in das BGB, MMR 2021, 528; Spindler/Sein, Die endgültige Richtlinie über Verträge über digitale Inhalte und Dienstleistungen, MMR 2019, 415; Stierle, Auf dem Weg zum digitalen Schuldrecht, IPRB 2021, 66; Stürner, Verträge über digitale Produkte: die neuen §§ 327–327u BGB, JURA 2022, 32; Tamm/Tonner, in: Brönneke/Föhlisch/Tonner (Hrsg.), Das neue Schuldrecht, 1. Aufl. 2022, § 2 Digitale Inhalte und Digitale Dienstleistungen – Umsetzung der Digitale Inhalte Richtlinie in das deutsche Recht; Wendland, Sonderprivatrecht für digitale Güter, ZVglRWiss 118 (2019) 191; Witzel, Der neue Mangelbegriff für digitale Produkte, ITRB 2021, 289.

I. Eine besondere Regelung im allgemeinen Teil 1 Auf den Tag genau zwei Jahrzehnte nach der letzten grundlegenden Schuldrechtsreform trat am 1.1.2022 das „digitale“ Vertragsrecht in Kraft. Mit den neuen §§ 327 ff. BGB, die der Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen1 (kurz: Digitale Inhalte-Richtli1

10

Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl. 2019 L 136/1.

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

nie) dienen, reformierte der deutsche Gesetzgeber das zweite Buch des BGB zwar weniger fundamental als 2002. Dennoch ist ein eigenständiger Regelungskomplex für „digitale“ Verträge, wie er durch diese Reform eingeführt wurde, im deutschen Schuldrecht ein Novum. Seine Grundzüge werden in diesem Überblicksbeitrag näher beleuchtet. Mit den §§ 327 ff. BGB wurde kein neuer Vertragstyp in das BGB ein- 2 geführt. Der Gesetzgeber entschied sich vielmehr bewusst, die verbraucherschützenden Vorgaben der Digitale Inhalte-Richtlinie in den allgemeinen Teil des Schuldrechts zu integrieren.2 „Digitale“ Verträge müssen daher auch zukünftig einem oder mehreren der Vertragstypen nach §§ 433 ff. BGB zugeordnet werden.3 Die Antwort auf die Frage, wie etwa ein Plattformnutzungsvertrag4 oder ein Softwareerstellungsvertrag5 vertragstypologisch zu klassifizieren sind, überließ der Gesetzgeber explizit der Rechtsprechung.6 Die Zuordnung zu bestimmten Vertragstypen verliert allerdings insofern 3 an Relevanz, als die §§ 327 ff. BGB für Verbraucherverträge über digitale Produkte ein einheitliches Leistungsstörungsrecht enthalten, das unabhängig vom anwendbaren Vertragsrecht zum Tragen kommt. Dies wird durch „Kollisionsnormen“ gewährleistet, die im besonderen Teil des Schuldrechts eingefügt wurden. Sie stellen sicher, dass im Anwendungsbereich der §§ 327 ff. BGB deren Regelungen den Vorgaben des jeweiligen „analogen“ Vertragsrechts vorgehen. Erstellt z. B. ein Unternehmer für eine Verbraucherin eine Software, ist es im Mangelfall irrelevant, welchem Recht ihr Vertrag unterstellt wird. Für Verbraucherverträge über die Herstellung digitaler Inhalte sieht § 650 Abs. 2 S. 1 Nr. 1, S. 2 BGB vor, dass nicht das werkvertragliche Gewährleistungsrecht anzuwenden ist, sondern die §§ 327d ff. BGB. Für Verbraucherverträge über den Kauf digitaler Inhalte ergibt sich der Vorrang des „digitalen“ Gewährleistungsrechts vor dem Kaufgewährleistungsrecht aus § 453 Abs. 1 S. 2 Nr. 2, S. 3 BGB.7

2 3 4 5 6 7

BT-Drs. 19/27653, S. 26 f. Ausführlich zu den Regelungsalternativen Wendland, ZVglRWiss 118, 2019, 191, 218 ff. Gansmeier/Kochendörfer, ZfPW 2022, 1, 19. S. dazu nur Bernzen/Specht-Riemenschneider, in: Röhricht/Graf von Westphalen/Haas/Mock/Wöstmann, HGB, Plattformnutzungsverträge, Rz. 16 ff. m. w. N. S. dazu nur Redeker, IT-Recht, Rz. 299 ff. m. w. N. BT-Drs. 19/27653, S. 24. Weitere „Kollisionsnormen“ sind im Kaufrecht § 475a Abs. 1, Abs. 2 S. 1 Nr. 2, S. 2 BGB, im Schenkungsrecht § 516a Abs. 1 BGB, im Mietrecht § 578b BGB sowie im Werkrecht § 650 Abs. 3–4 BGB. Ausführlich zu ihrer Anwendung Gansmeier/Kochendörfer, ZfPW 2022, 1, 25 ff.

11

Anna K. Bernzen

4 Völlig offenbleiben kann die Frage nach dem anwendbaren Vertragsrecht aber auch künftig nicht. Die §§ 327 ff. BGB stellen nämlich keine abschließende Regelung aller Rechtsfragen zum Abschluss und zur Durchführung „digitaler“ Verträge dar. Für Aspekte, die darin nicht behandelt werden, bleibt es daher bei der Anwendung der gesetzlichen Vorgaben, die für den jeweiligen Vertragstyp gelten.8 Erwirbt ein Verbraucher von einer Unternehmerin z. B. eine Standardsoftware und will die Unternehmerin ihm dazu ein Garantieversprechen geben, sind die Anforderungen an dieses Versprechen den §§ 443, 479 BGB zu entnehmen. Besondere Regelungen für Garantieerklärungen zu digitalen Produkten enthält das „digitale“ Vertragsrecht schließlich nicht. Diese Lücke muss durch das Kaufrecht geschlossen werden, das auf den Vertrag anzuwenden ist.9 II. Anwendungsbereich der §§ 327 ff. BGB 5 Wann die neuen §§ 327 ff. BGB auf einen Vertrag zur Anwendung kommen und wann weiterhin lediglich das „analoge“ Vertragsrecht darauf anzuwenden ist, ist unter Heranziehung persönlicher (s. dazu Rz. 6), sachlicher (s. dazu Rz. 7 ff.) sowie zeitlicher Kriterien (s. dazu Rz. 15 f.) zu bestimmen. 1. Persönlicher Anwendungsbereich 6 Die §§ 327 ff. BGB sind ganz überwiegend ausschließlich im B2C-Verhältnis anwendbar, denn nach § 327 Abs. 1 S. 1 BGB ist der persönliche Anwendungsbereich der §§ 327 – 327s BGB nur eröffnet, wenn die Parteien einen Verbrauchervertrag abgeschlossen haben. Damit ist gemäß § 310 Abs. 3 BGB ein Vertrag zwischen einem Unternehmer i. S. d. § 14 BGB und einem Verbraucher i. S. d. § 13 BGB10 gemeint. Speziell auf das B2B-Verhältnis sind lediglich §§ 327t, 327u BGB zugeschnitten, die einen Regressanspruch des Unternehmers gegen seinen Vertriebspartner enthalten.11 Überhaupt keine Vorgaben finden sich in den §§ 327 ff. BGB dagegen für C2C-Verträge. ErwG. 16 Digitale Inhalte-Richtlinie stellte es 8 Gansmeier/Kochendörfer, ZfPW 2022, 1, 19. 9 S. zur Einordnung dieses Vertrags als Kaufvertrag nur Busche, in: Säcker/Rixecker/Oetker/Limperg, MünchKomm-BGB, § 633 Rz. 36. 10 Damit können auch Dual-Use-Konstellationen in den Anwendungsbereich fallen, die bei bestimmten digitalen Produkten regelmäßig auftreten. Ein Beispiel sind Textverarbeitungsprogramme, die sowohl privat als auch beruflich genutzt werden können (s. dazu Kumkar, ZfPW 2020, 306, 309; Spindler, MMR 2016, 147, 149; Spindler/Sein, MMR 2019, 415, 416). 11 S. zum Unternehmerregress ausführlich Grützmacher, ITRB 2021, 287 ff.

12

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

den Mitgliedstaaten zwar anheim, die eigentlich nur verbraucherschützenden Vorschriften der Richtlinie in persönlicher Hinsicht überschießend umzusetzen.12 Von dieser Möglichkeit machte der deutsche Gesetzgeber jedoch keinen Gebrauch. 2. Sachlicher Anwendungsbereich Um zu ermitteln, ob ein Vertrag in sachlicher Hinsicht in den Anwen- 7 dungsbereich der §§ 327 ff. BGB fällt, muss auf der einen Seite die vereinbarte Leistung des Unternehmers betrachtet werden (s. dazu Rz. 8 ff.). Auf der anderen Seite muss die Gegenleistung, die der Verbraucher schuldet, in den Blick genommen werden (s. dazu Rz. 12 ff.). Es ist zwar notwendige, aber nicht hinreichende Bedingung für die Anwendung des „digitalen“ Vertragsrechts, dass der Vertragsgegenstand digitaler Natur ist. Zusätzlich müssen auch den Verbraucher bestimmte Pflichten treffen. a) Leistung des Unternehmers Der Unternehmer muss sich gemäß § 327 Abs. 1 S. 1 BGB zur Bereitstel- 8 lung13 eines digitalen Produktes verpflichten. Der Oberbegriff des digitalen Produktes erfasst sowohl digitale Inhalte als auch digitale Dienstleistungen. Unter einem digitalen Inhalt sind Daten zu verstehen, die in digitaler 9 Form erstellt und bereitgestellt werden (§ 327 Abs. 2 S. 1 BGB). Hierunter fallen z. B. elektronische Publikationen wie eBooks und Videobzw. Audiodateien.14 Digitale Dienstleistung können in zwei Ausprägungen auftreten: Einer- 10 seits sind dies Dienstleistungen, die es dem Verbraucher ermöglichen, Daten in digitaler Form zu erstellen, zu verarbeiten oder zu speichern bzw. die dem Verbraucher den Zugang zu solchen Daten ermöglichen (§ 327 Abs. 2 S. 2 Nr. 1 BGB). Solche Dienstleistungen bieten bspw. Hostprovider an, welche die Video- oder Audiodateien des Verbrauchers speichern.15 Auf der anderen Seite sind Dienstleistungen erfasst, die es dem Verbraucher ermöglichen, von ihm oder von anderen Nutzern in digitaler

12 Konkret wurde darin vorgeschlagen, in den persönlichen Anwendungsbereich des Umsetzungsgesetzes auch Nichtregierungsorganisationen, Start-Ups sowie kleine und mittlere Unternehmen einzubeziehen. 13 Der Begriff der Bereitstellung wird in § 327b Abs. 3 BGB für digitale Inhalte und in § 327b Abs. 4 BGB für digitale Dienstleistungen näher konturiert. 14 ErwG. 19 Digitale Inhalte-Richtlinie. 15 ErwG. 19 Digitale Inhalte-Richtlinie.

13

Anna K. Bernzen

Form hochgeladene bzw. erstellte Daten gemeinsam zu nutzen oder damit anderweitig zu interagieren (§ 327 Abs. 2 S. 2 Nr. 2 BGB). Darunter fallen z. B. die Angebote von Social-Media-Plattformen, auf denen der Verbraucher Inhalte mit anderen Nutzern teilen kann.16 11 Bestimmte digitale Produkte sind gemäß § 327 Abs. 6 BGB allerdings aus dem sachlichen Anwendungsbereich der §§ 327 ff. BGB ausgenommen. Einige der Ausnahmen wurden eingeführt, weil die Produkte bereits anderen Schutzvorschriften unterliegen und kein Bedarf für den zusätzlichen Schutz durch das Verbraucherrecht besteht. Das betrifft z. B. Verträge über Finanzdienstleistungen, die bereits umfassend reguliert werden (§ 327 Abs. 6 Nr. 5 BGB).17 Deshalb müssen sich z. B. die Anbieter einer Banking-App nicht an das „digitale“ Vertragsrecht halten.18 Andere Produkte sind aus dessen Anwendungsbereich ausgenommen, um Fehlanreize zu vermeiden. Dies betrifft insbesondere Verträge über die Bereitstellung von Open Source-Software (§ 327 Abs. 6 Nr. 6 BGB).19 Deren gesellschaftlich wünschenswerte Entwicklung und Verbreitung soll durch die Anwendung der verbraucherrechtlichen Vorschriften nicht gehemmt werden.20 b) Gegenleistung des Verbrauchers 12 Der Verbraucher muss sich im Gegenzug zur Bereitstellung des digitalen Produktes grundsätzlich zur Zahlung eines Preises verpflichten, damit das „digitale“ Vertragsrecht anwendbar ist (§ 327 Abs. 1 S. 1 BGB). Das erfasst zunächst die Zahlung in Fiatgeld, ob in bar oder bspw. per Banküberweisung. Nach § 327 Abs. 1 S. 2 BGB ist hierunter aber auch die Zahlung mittels der digitalen Darstellung eines Wertes zu verstehen. Solche digitalen Wertdarstellungen sollen z. B. Kryptowährungen oder elektronische Gutscheine sein.21 13 Die verbraucherschützenden Vorschriften des „digitalen“ Vertragsrechts können darüber hinaus auch anwendbar sein, wenn der Verbraucher zusätzlich oder alternativ zur Zahlung22 dem Unternehmer personenbezogene Daten bereitstellt oder sich zur Bereitstellung solcher personenbe-

16 17 18 19 20 21 22

14

BT-Drs. 19/27653, S. 39. BT-Drs. 19/27653, S. 42. Fries, in: Lorenz, BeckOGK-BGB, § 327 Rz. 36. Kritisch zu dieser Ausnahme Schöttle, MMR 2021, 683, 685 f. ErwG. 32 Digitale Inhalte-Richtlinie. ErwG. 23 Digitale Inhalte-Richtlinie. BT-Drs. 19/27653, S. 39.

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

zogenen Daten verpflichtet (§ 327 Abs. 3 Halbs. 1 BGB).23 Der Begriff der Bereitstellung soll dabei weit ausgelegt werden und jegliche Verarbeitung personenbezogener Daten i. S. d. Art. 4 Nr. 1 DS-GVO erfassen.24 Deshalb ist hierunter nicht nur die aktive Datenübermittlung durch den Verbraucher zu verstehen, der z. B. seine Kontaktdaten angibt, um ein Nutzerkonto auf einer Social-Media-Plattform zu eröffnen.25 Auch das rein passive Geschehenlassen bspw. des Trackings durch den Unternehmer kann nach dem Willen des Gesetzgebers ausreichen.26 Die §§ 327 ff. BGB kommen jedoch beim „Zahlen mit Daten“ nicht zur 14 Anwendung, wenn der Unternehmer die personenbezogenen Daten des Verbrauchers ausschließlich zur Erfüllung seiner vertraglichen Leistungspflicht oder von rechtlichen Anforderungen verarbeitet (§ 327 Abs. 3 Halbs. 2 i. V. m. § 312 Abs. 1a S. 2 BGB). So kann der Unternehmer die E-Mailadresse des Verbrauchers z. B. speichern, wenn dies erforderlich ist, um ihm das digitale Produkt dorthin zu übermitteln, ohne in den Anwendungsbereich des „digitalen“ Vertragsrechts zu fallen.27 Sobald der Unternehmer dieses Datum des Verbrauchers jedoch zusätzlich zu anderen Zwecken wie etwa zur personalisierten Werbung nutzt, ist ihm die Berufung auf die Ausnahme von § 327 Abs. 3 BGB verwehrt.28 3. Zeitlicher Anwendungsbereich Die §§ 327 ff. BGB sind grundsätzlich auf alle Verträge anwendbar, 15 die ab dem 1.1.2022 geschlossen werden (Art. 229 § 57 Abs. 1, Abs. 3, Abs. 4 EGBGB). Darüber hinaus finden die Vorschriften des „digitalen“ Vertragsrechts ganz überwiegend auch Anwendung auf bereits vor dem 1.1.2022 abgeschlossene Verträge – nämlich soweit das digitale Produkt, das gemäß diesen Verträgen geschuldet ist, nach diesem Datum bereitgestellt wird (Art. 229 § 57 Abs. 2 EGBGB). Nutzt eine Verbraucherin z. B. schon seit einigen Jahren eine Social-Media-Plattform, sind für den Platt-

23 S. zum „Zahlen mit Daten“ ausführlich Klink-Straub, NJW 2021, 3217 ff.; Mischau, ZEuP 2020, 335 ff.; Schmitz/Buschuew, MMR 2022, 171 ff. 24 BT-Drs. 19/27653, S. 40 f. 25 ErwG. 24 Digitale Inhalte-Richtlinie. 26 BT-Drs. 19/27653, S. 41. Das reicht aber nur aus, wenn im konkreten Fall ein Vertrag zwischen Verbraucher und Unternehmer geschlossen wurde (vgl. ErwG. 25 Digitale Inhalte-Richtlinie). Ist dies nicht der Fall, scheidet eine Anwendung des § 327 Abs. 3 BGB von vornherein aus. 27 BT-Drs. 19/27653, S. 36. 28 Hierdurch erlangt der datenschutzrechtliche Grundsatz der Zweckbindung in Art. 5 Abs. 1 lit. b) DS-GVO auch im Vertragsrecht Bedeutung (BTDrs. 19/27653, S. 37).

15

Anna K. Bernzen

formnutzungsvertrag ab dem 1.1.2022 die Vorgaben der §§ 327 ff. BGB maßgeblich. Auf den mehrjährigen Nutzungszeitraum, der vor diesem Stichtag lag, finden sie dagegen keine Anwendung. 16 Eine Ausnahme gilt jedoch für § 327r BGB, der die einseitige Änderung bestimmter digitaler Produkte durch den Unternehmer regelt (s. dazu Rz. 54 ff.). Er kommt ausschließlich auf Verträge zur Anwendung, die ab dem 1.1.2022 abgeschlossen werden (Art. 229 § 57 Abs. 3 EGBGB). Will der Betreiber der besagten Social-Media-Plattform diese digitale Dienstleistung einseitig ändern, muss er dafür gegenüber seiner „Altnutzerin“ auch nach dem 1.1.2022 daher nicht die Anforderungen des § 327r BGB erfüllen. Etwas anderes gilt gegenüber allen neuen Nutzern, die ab dem 1.1.2022 einen Plattformnutzungsvertrag mit dem Betreiber abschließen. III. Nichtleistung und verspätete Leistung des Unternehmers 17 Für den Fall der Nichtleistung bzw. der verspäteten Leistung des Unternehmers sieht das „digitale“ Vertragsrecht spezielle Rechtsbehelfe des Verbrauchers vor, die den Reaktionsmöglichkeiten des Gläubigers nach dem allgemeinen Leistungsstörungsrecht zwar ähneln, aber auch Abweichungen aufweisen, die den Besonderheiten digitaler Produkte Rechnung tragen. An die Stelle des Rücktritts gemäß § 323 BGB und des Anspruchs auf Schadens- bzw. Aufwendungsersatz nach §§ 280 ff. BGB treten das Recht zur Vertragsbeendigung nach § 327c Abs. 1, Abs. 3–7 BGB (s. dazu Rz. 18 ff.) und der Schadens- bzw. Aufwendungsersatzanspruch nach § 327c Abs. 2 BGB (s. dazu Rz. 22). 1. Recht zur Vertragsbeendigung 18 Voraussetzungen für beide Rechtsbehelfe ist nach § 327c Abs. 1 S. 1 BGB, erstens, dass die Bereitstellung des digitalen Produktes dem Unternehmer nicht unmöglich29 und der Anspruch des Verbrauchers auf diese Leistung fällig und durchsetzbar ist.30 Wann der Anspruch auf Bereitstellung eines digitalen Produktes fällig ist, regelt § 327b Abs. 2 BGB abweichend von den allgemeinen Vorgaben des § 271 BGB.31

29 S. zur Auslegung dieser Voraussetzung nur Kramme, RDi 2021, 20, 23; Stierle, IPRB 2021, 66, 68; Stürner, JURA 2022, 32, 36. 30 Zu alledem BT-Drs. 19/27653, S. 50. 31 Grundsätzlich ist danach die Parteivereinbarung der Leistungszeit entscheidend. Fehlt es hieran, ist der Anspruch nach Vertragsschluss sofort erfüllbar und unverzüglich fällig.

16

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

Der Verbraucher muss den Unternehmer, zweitens, grundsätzlich zur Be- 19 reitstellung des digitalen Produktes aufgefordert haben (§ 327c Abs. 1 S. 1 BGB). Die Aufforderung ist ein Aliud gegenüber der Fristsetzung, die gemäß § 323 Abs. 1 BGB für den Rücktritt prinzipiell erforderlich ist. Insbesondere muss die Aufforderung keine zeitliche Komponente aufweisen.32 Ähnlich wie für die Fristsetzung ist aber in § 327c Abs. 3 BGB für die Aufforderung vorgesehen, dass sie ausnahmsweise entbehrlich sein kann. Dies ist etwa der Fall, wenn der Unternehmer die Bereitstellung des digitalen Produktes verweigert hat (§ 327c Abs. 3 S. 1 Nr. 2 BGB). Die dritte und letzte Voraussetzung des § 327c Abs. 1 S. 1 BGB ist, dass 20 der Unternehmer auf die Verbraucheraufforderung hin nicht unverzüglich geleistet hat.33 Die Parteien können allerdings nach der Aufforderung ausdrücklich eine längere Frist für die Bereitstellung des digitalen Produktes vereinbaren (§ 327c Abs. 1 S. 2 BGB). Liegen die drei Voraussetzungen kumulativ vor, kann der Verbraucher den Vertrag mit dem Unternehmer beenden, indem er ihm gegenüber eine Erklärung abgibt, in der sein entsprechender Entschluss zum Ausdruck kommt (§ 327c Abs. 4 S. 1 i. V. m. § 327o Abs. 1 S. 1 BGB). Die Einführung des neuen Gestaltungsrechts der Vertragsbeendigung 21 war nötig, weil die §§ 327 ff. BGB sowohl auf Verträge anwendbar sind, bei denen ein einmaliger Leistungsaustausch erfolgt und die klassischerweise durch einen Rücktritt aufgelöst werden, als auch auf Verträge, die auf die dauerhafte Bereitstellung eines digitalen Produktes gerichtet sind und üblicherweise durch eine Kündigung beendet werden. Weder Rücktritt noch Kündigung wären daher für alle „digitalen“ Verträge das passende Gestaltungsrecht gewesen.34 Das neue Recht zur Vertragsbeendigung gilt demgegenüber für sämtliche Verträge, die von den §§ 327 ff. BGB erfasst werden, zunächst gleichermaßen und berücksichtigt die unterschiedlichen Bereitstellungsmodalitäten erst in der Phase der Rückabwicklung nach §§ 327o, 327 p BGB (s. dazu Rz. 37 ff.). 2. Schadens- bzw. Aufwendungsersatz Alternativ oder kumulativ35 zur Vertragsbeendigung kann der Verbrau- 22 cher gemäß § 327c Abs. 2 S. 1 BGB auch einen Anspruch auf Schadens32 Kramme, RDi 2021, 20, 23; Rosenkranz, ZUM 2021, 195, 205; Stierle, IPRB 2021, 66, 68. 33 S. zur Auslegung des Begriffs der Unverzüglichkeit nur Fervers, NJW 2021, 3681, 3681 ff.; Rosenkranz, ZUM 2021, 195, 205. 34 BT-Drs. 19/27653, S. 50. 35 § 327c Abs. 4 S. 3 i. V. m. § 325 BGB.

17

Anna K. Bernzen

bzw. Aufwendungsersatz gegen den Unternehmer haben. Das setzt auf Tatbestandsseite grundsätzlich voraus, dass die Voraussetzungen der passenden Anspruchsgrundlage in §§ 280 ff. BGB erfüllt sind, auf die im Wege einer Rechtsgrundverweisung Bezug genommen wird.36 Diese Voraussetzungen werden in § 327c BGB allerdings leicht modifiziert: Stellt der Unternehmer dem Verbraucher das digitale Produkt auch auf Aufforderung hin schuldhaft nicht unverzüglich bereit, kann der Verbraucher z. B. sogleich einen Ersatz erwerben und die Kosten des Deckungskaufs vom Unternehmer ersetzt verlangen. Es ist gemäß § 327c Abs. 2 S. 2 BGB nämlich nicht nötig, dass er ihm zuvor eine Frist gesetzt hat, wie es nach § 281 Abs. 1 S. 1 BGB prinzipiell geboten wäre. IV. Schlechtleistung des Unternehmers 23 Der Schwerpunkt des „digitalen“ Vertragsrechts liegt auf der Einführung eines neuen Mängelgewährleistungsrechts in §§ 327d ff. BGB, das Parallelen zum Kauf- und Werkrecht aufweist, aber auch die Besonderheiten der digitalen Produkte berücksichtigt. Zu diesem Zweck werden ein neuer Mangelbegriff (s. dazu Rz. 24 ff.) und eigenständige Rechtsbehelfe des Verbrauchers im Mangelfall (s. dazu Rz. 34 ff.) eingeführt. Flankierend dazu werden die Verjährung und die Beweislastumkehr bei Mängeln digitaler Produkte speziell geregelt (s. dazu Rz. 44 ff.). 1. Mangel des digitalen Produktes 24 § 327d BGB konkretisiert die Leistungspflicht des Unternehmers dahingehend, dass er dem Verbraucher das digitale Produkt frei von Produktmängeln (s. dazu Rz. 25 ff.) sowie frei von Rechtsmängeln (s. dazu Rz. 30 ff.) nach §§ 327e–327g BGB bereitstellen muss. Nur dann ist das digitale Produkt vertragsgemäß, also: mangelfrei. a) Produktmangel 25 Der neue Begriff des Produktmangels wird durch § 327e BGB ausgefüllt.37 Er tritt an die Stelle des aus dem Kauf- und Werkrecht bekannten Terminus des Sachmangels, der für die unkörperlichen Gegenstände „digitaler“ Verträge nicht passt.38 Gemäß § 327e Abs. 1 S. 1 BGB muss das digi36 BT-Drs. 19/27653, S. 50 f. 37 S. zum Produktmangelbegriff ausführlich Gelbrich/Timmermann, NJOZ 2021, 1249, 1254 ff.; Witzel, ITRB 2021, 289 ff. 38 Tamm/Tonner, in: Brönneke/Föhlisch/Tonner, Das neue Schuldrecht, § 2 Rz. 99.

18

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

tale Produkt Anforderungen in drei gleichrangigen39 Kategorien erfüllen, um produktmangelfrei zu sein: subjektive Anforderungen nach § 327e Abs. 2 BGB, objektive Anforderungen gemäß § 327e Abs. 3 BGB sowie ggf. – falls das digitale Produkt in die digitale Umgebung des Verbrauchers zu integrieren ist – Anforderungen an die Integration nach § 327e Abs. 4 BGB. Subjektive Anforderungen an das digitale Produkt können z. B. aus einer 26 Vereinbarung über die Beschaffenheit des Produktes selbst folgen, etwa über dessen Kompatibilität und Interoperabilität (§ 327e Abs. 2 S. 1 Nr. 1 lit. a) BGB). Die Vereinbarung kann aber bspw. auch Begleitelemente betreffen, etwa wenn die Parteien verabreden, dass dem Verbraucher bestimmte Produktanleitungen oder ein Kundendienst bereitgestellt werden sollen (§ 327e Abs. 2 S. 1 Nr. 2 BGB). Zu den objektiven Anforderungen an das digitale Produkt gehört ins- 27 besondere, dass es sich für die gewöhnliche Verwendung eignen muss (§ 327e Abs. 3 S. 1 Nr. 1 BGB) und eine Beschaffenheit aufweisen muss, die bei digitalen Produkten derselben Art üblich ist und die der Verbraucher erwarten kann (§ 327e Abs. 3 S. 1 Nr. 2 BGB). Insofern bestehen klare Parallelen zu den bekannten Sachmangelbegriffen des § 434 BGB a. F.40 und des § 633 Abs. 2 BGB. Andere objektive Anforderungen beziehen sich dagegen auf Spezifika di- 28 gitaler Produkte. Hat der Unternehmer dem Verbraucher z. B. vor Vertragsschluss eine Testversion des digitalen Produktes zur Verfügung gestellt, muss das Produkt, das er letztlich bereitstellt, dieser Testversion entsprechen (§ 327e Abs. 3 S. 1 Nr. 3 BGB). Eine Besonderheit digitaler Produkte ist auch, dass sie mangelhaft sind, wenn der Unternehmer dem Verbraucher während eines bestimmten Zeitraums nicht all die Aktualisierungen bereitstellt, die für den Erhalt ihrer Vertragsmäßigkeit erforderlich sind. Über die Aktualisierungen muss der Unternehmer den Verbraucher außerdem informieren (§ 327e Abs. 3 S. 1 Nr. 5 i. V. m. § 327f Abs. 1 S. 1 BGB). Da dieser Themenkomplex im Beitrag von Schneider näher erörtert wird, bleibt er im Folgenden ausgespart.41

39 BT-Drs. 19/27653, S. 53. 40 Auch der Sachmangelbegriff des Kaufrechts wurde zum 1.1.2022 reformiert und weist nun eine Gestaltung auf, die jener des § 327e BGB in großen Teilen gleicht. S. zum neuen Sachmangelbegriff ausführlich Gelbrich/Timmermann, NJOZ 2021, 1249 ff. 41 S. hierzu ausführlich auch Felsch/Kremer/Wagener, MMR 2022, 18; Hessel/ Potel, RDi 2022, 25; Schippel, K&R 2021, 151.

19

Anna K. Bernzen

29 Von den objektiven Anforderungen an ein digitales Produkt kann vertraglich nur unter den hohen Voraussetzungen abgewichen werden, die § 327h BGB enthält. Der Unternehmer muss den Verbraucher dafür vor der Abgabe von dessen Vertragserklärung eigens – also: ausdrücklich42 – davon in Kenntnis setzen, dass ein bestimmtes Produktmerkmal von den objektiven Anforderungen an die Merkmale des digitalen Produktes abweicht. Diese Abweichung muss im Vertrag zudem ausdrücklich und gesondert vereinbart werden. Eine vorausgewählte Checkbox43 oder eine tief im „Kleingedruckten“ des Vertrages versteckte Abrede44 genügen dafür nicht. b) Rechtsmangel 30 Eine erhebliche Bedeutung kommt im Kontext digitaler Produkte auch dem zweiten möglichen Mangel zu: dem Rechtsmangel.45 Ein solcher Mangel liegt nach § 327g BGB vor, wenn der Verbraucher das digitale Produkt nicht gemäß der subjektiven oder objektiven Anforderungen hieran nutzen kann, ohne dabei die Rechte Dritter zu verletzen. 31 Bei den Rechten Dritter handelt es sich v. a. um Urheberrechte oder verwandte Schutzrechte,46 etwa um das Urheberrecht an einem Computerprogramm (§§ 69a ff. UrhG) oder das Datenbankherstellerrecht (§§ 87a ff. UrhG). In der Regel wird der Unternehmer, mit dem der Verbraucher kontrahiert, schließlich nicht selbst der Hersteller des (gesamten) digitalen Produktes sein, sondern jedenfalls auch auf Elemente zurückgreifen, die Dritte produziert haben.47 Die Schutzrechte am digitalen Produkt stehen dann diesen Dritten zu. 32 Das digitale Produkt ist in einem solchen Fall insbesondere mangelhaft, wo der Unternehmer dem Verbraucher die nötigen Nutzungsrechte an den Drittelementen nicht einräumen kann, weil er entweder selbst keine Lizenz hieran erworben hat oder ihm der Abschluss von Unterlizenzverträgen nicht erlaubt ist.48 Ebenso kann es einen Rechtsmangel darstellen, wenn der Verbraucher zur Nutzung des digitalen Produktes – wie in der Praxis oft der Fall – eine Endnutzer-Lizenzvereinbarung mit einem vom Unternehmer personenverschiedenen Rechtsinhaber abschließen

42 43 44 45 46 47 48

20

ErwG. 49 Digitale Inhalte-Richtlinie. BT-Drs. 19/27653, S. 62. Riehm/Abold, CR 2021, 530, 534. S. zum Rechtsmangelbegriff ausführlich Kuschel/Rostam, CR 2020, 393. BT-Drs. 19/27653, S. 61. BT-Drs. 19/31116, S. 7. BT-Drs. 19/27653, S. 61.

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

muss und ihm in der Lizenzvereinbarung Nutzungsbeschränkungen auferlegt werden, die in dem Vertrag mit dem Unternehmer nicht vorgesehen waren.49 Auch von den Anforderungen des § 327g BGB können die Parteien aller- 33 dings vertraglich abweichen. Wiederum sind aber die hohen Voraussetzungen des § 327h BGB zu beachten, die im Kontext des Produktmangels dargestellt wurden (s. dazu Rz. 29). 2. Mängelgewährleistungsrechte Ist das digitale Produkt zur maßgeblichen Zeit50 nicht vertragsgemäß i. 34 S. d. § 327d BGB, stehen dem Verbraucher gegen den Unternehmer vier Gewährleistungsrechte zu, die an die Rechte des Käufers nach §§ 437 ff. BGB erinnern: der Anspruch auf Nacherfüllung (§ 327i Nr. 1, § 327l BGB; s. dazu Rz. 35), das Recht zur Vertragsbeendigung (§ 327i Nr. 2 Alt. 1, § 327m Abs. 1, 2, 4, 5 BGB; s. dazu Rz. 36 ff.), das Recht zur Minderung (§ 327i Nr. 2 Alt. 2, § 327n BGB; s. dazu Rz. 42) sowie der Anspruch auf Schadens- bzw. Aufwendungsersatz (§ 327i Nr. 3, § 280 Abs. 1, § 327m Abs. 3, § 284 BGB; s. dazu Rz. 43). a) Nacherfüllung Verlangt der Verbraucher vom Unternehmer Nacherfüllung, bedeutet das 35 nach § 327l Abs. 1 S. 1 BGB, dass der Unternehmer den vertragsgemäßen Zustand des digitalen Produktes herzustellen hat. Das kann insbesondere durch die Lieferung eines fehlerfreien neuen digitalen Produktes oder durch die Nachbesserung des bereitgestellten digitalen Produktes, z. B. in der Form eines Patches, erfolgen.51 Das Wahlrecht über die Form der Nacherfüllung liegt beim Unternehmer, nicht beim Verbraucher.52 Der Anspruch auf Nacherfüllung ist nach § 327l Abs. 2 S. 1 BGB ausgeschlossen, wenn die Nacherfüllung dem Unternehmer nach § 275 Abs. 1 BGB unmöglich ist oder mit unverhältnismäßigen Kosten verbunden wäre.

49 BT-Drs. 19/27653, S. 61. 50 Für Produktmängel ist diese Zeit in § 327e Abs. 1 S. 2, S. 3 BGB in Abhängigkeit von der Leistungsmodalität bestimmt. Eine Sonderregelung findet sich in § 327f Abs. 1 S. 3 BGB für den Zeitraum, in dem die Aktualisierungspflicht besteht. Für Rechtsmängel nach § 327g BGB fehlt es dagegen an einer ausdrücklichen gesetzlichen Festlegung der maßgeblichen Zeit. 51 BT-Drs. 19/27653, S. 66 unter Verweis auf ErwG. 63 Digitale Inhalte-Richtlinie. 52 BT-Drs. 19/27653, S. 66.

21

Anna K. Bernzen

b) Vertragsbeendigung 36 Unter den Voraussetzungen des § 327m Abs. 1 BGB kann ein Mangel des digitalen Produktes den Verbraucher auch zur Vertragsbeendigung berechtigen. Das ist etwa der Fall, wenn der Nacherfüllungsanspruch nach § 327l Abs. 2 S. 1 BGB wegen Unmöglichkeit oder Unverhältnismäßigkeit ausgeschlossen ist (§ 327m Abs. 1 Nr. 1 BGB) oder wenn die Nacherfüllung fehlgeschlagen ist (§ 327m Abs. 1 Nr. 3 BGB)53. Der Verbraucher kann den Vertrag sogar beenden, ohne dem Unternehmer Gelegenheit zur Nacherfüllung zu geben, wenn der Mangel des digitalen Produktes derart schwerwiegend ist, dass eine sofortige Vertragsbeendigung gerechtfertigt ist (§ 327m Abs. 1 Nr. 4 BGB). Dieser Tatbestand erfasst jedoch nur besonders gravierende Beeinträchtigungen des Vertrauens in die ordnungsgemäße Vertragsdurchführung,54 die bspw. vorliegen sollen, wenn ein Antivirenprogramm bereitgestellt wird, das mit einem Virus infiziert war55. 37 Erklärt der Verbraucher nach Maßgabe des § 327o Abs. 1 S. 1 BGB die Vertragsbeendigung, entsteht zwischen ihm und dem Unternehmer ein Rückabwicklungsverhältnis, das in §§ 327o, 327p BGB näher ausgestaltet wird. Diese Vorschriften treten an die Stelle der §§ 346 ff. BGB, die allgemein die Rücktrittsfolgen regeln, bzw. des speziellen Kündigungsfolgenrechts, das für den jeweiligen Vertragstypus gilt. 38 Die Pflichten des Verbrauchers im Rahmen der Rückabwicklung hängen davon ab, wie ihm das digitale Produkt bereitgestellt wurde. Wurde ihm ein digitaler Inhalt auf einem körperlichen Datenträger bereitgestellt, muss er diesen Datenträger auf Verlangen des Unternehmers zurückzusenden (§ 327o Abs. 5 S. 1 BGB). In jedem Fall – also: unabhängig von der Bereitstellungsform – muss er gemäß § 327p Abs. 1 S. 1 BGB die weitere Nutzung des digitalen Produktes ebenso unterlassen wie seine Weitergabe an Dritte. Beides darf vom Unternehmer sogar technisch unterbunden werden (§ 327p Abs. 1 S. 2 BGB). So kann z. B. der Betreiber einer Social-Media-Plattform das Nutzerkonto einer Verbraucherin sperren, die ihren Vertrag beendet hat.56

53 Hierunter fallen aber auch Fälle, in denen die Nacherfüllung bezüglich eines Mangels erfolgreich war, dann jedoch ein anderer Mangel auftrat, s. BTDrs. 19/27653, S. 68. 54 Vgl. BT-Drs. 19/27653, S. 68. 55 ErwG. 65 Digitale Inhalte-Richtlinie. 56 Vgl. BT-Drs. 19/27653, S. 73. S. zu weiteren möglichen Maßnahmen Riehm/ Abold, CR 2021, 530, 537; Schmidt-Kessel/Erler/Grimm/Kramme, GPR 2016, 54, 68.

22

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

Der Unternehmer ist andersherum verpflichtet, die geleisteten Zahlun- 39 gen des Verbrauchers zurückzuerstatten (§ 327o Abs. 2 S. 1, Abs. 3 S. 2 BGB). Für den Umfang der Erstattungspflicht ist die Bereitstellungsmodalität relevant: Schuldet der Unternehmer die einmalige oder die wiederholte Bereitstellung eines digitalen Produktes, muss er dem Verbraucher gemäß § 327o Abs. 2 S. 1 BGB den gesamten Preis für das mangelhafte Produkt zurückzahlen. Haben die Parteien die dauerhafte Bereitstellung eines digitalen Produktes vereinbart, muss er dagegen nach § 327o Abs. 3 S. 2 BGB nur die Zahlungen erstatten, die auf jenen Teil des Bereitstellungszeitraums entfallen, in dem das Produkt mangelhaft war (vgl. § 327o Abs. 3 S. 1 BGB). Im Übrigen darf er den gezahlten Preis behalten. Hatte der Verbraucher den Preis bei Vertragsbeendigung noch nicht gezahlt, erlischt der Zahlungsanspruch des Unternehmers durch die Beendigung nach § 327o Abs. 2 S. 2, Abs. 3 S. 1 BGB in dem Umfang, in dem die Zahlung zu erstatten wäre. Eine Besonderheit des „digitalen“ Vertragsrechts ist, dass der Unterneh- 40 mer häufig nicht (nur) eine Zahlung vom Verbraucher erhält, sondern (auch) an dessen Daten gelangt. Welche Pflichten den Unternehmer bezüglich dieser Daten nach einer Vertragsbeendigung treffen, hängt von der Natur der Daten ab. Die §§ 327 ff. BGB enthalten keine Vorgaben für die weitere Verarbeitung der personenbezogenen Daten des Verbrauchers, die der Unternehmer im Zusammenhang mit der Vertragsdurchführung erlangt hat. Diese richtet sich allein nach dem anwendbaren Datenschutzrecht, insbesondere also der DS-GVO.57 In § 327p Abs. 2 und Abs. 3 BGB finden sich jedoch Vorgaben für die 41 Handhabung nutzergenerierter Inhalte, die keine personenbezogenen Daten sind. Der Anwendungsbereich dieser Regelung dürfte in der Praxis eng sein, lässt sich doch jedenfalls über die Metadaten der Inhalte häufig ein Personenbezug herstellen.58 Inhalte, die ihr unterfallen, darf der Unternehmer nach einer Vertragsbeendigung im Grundsatz nicht weiter nutzen (§ 327p Abs. 2 S. 1 BGB). Spiegelbildlich hat der Verbraucher nach § 327p Abs. 3 S. 1 BGB einen Anspruch auf Bereitstellung dieser Inhalte gegen den Unternehmer, der vergleichbar mit dem Recht auf Datenübertragbarkeit gemäß Art. 20 DS-GVO ausgestaltet ist.59 Es existieren allerdings auch Ausnahmefälle, in denen der Unternehmer die Verbraucherdaten weiternutzen darf und der Verbraucher sie nicht herausverlangen kann. Das ist z. B. möglich, wenn der Unternehmer sie mit ande-

57 So ausdrücklich Art. 16 Abs. 2 Digitale Inhalte-Richtlinie. 58 Spindler, MMR 2021, 528, 329 f. 59 BT-Drs. 19/27653, S. 74.

23

Anna K. Bernzen

ren Daten aggregiert hat und die Disaggregation ihm nicht oder nur mit unverhältnismäßigem Aufwand möglich wäre (§ 327p Abs. 2 S. 2 Nr. 3 BGB). c) Minderung 42 Liegen die Voraussetzungen der Vertragsbeendigung nach § 327m Abs. 1 BGB vor, kann der Verbraucher gemäß § 327n Abs. 1 S. 1 BGB stattdessen auch den Preis des digitalen Produktes mindern. Das kommt allerdings nicht in Betracht, wenn der Verbraucher i. S. d. § 327 Abs. 3 BGB für dieses digitale Produkt ausschließlich „mit Daten gezahlt hat“.60 In dem Fall ist nur die Vertragsbeendigung denkbar, die in dieser Konstellation – anders als bei der Zahlung eines Preises – auch möglich ist, wenn der Mangel unerheblich ist (§ 327m Abs. 2 S. 2 BGB).61 Hat der Verbraucher bereits mehr als den geminderten Preis gezahlt, steht ihm nach § 327n Abs. 4 S. 1 BGB ein Erstattungsanspruch gegen den Unternehmer in der Höhe des Minderungsbetrages zu. d) Schadens- bzw. Aufwendungsersatz 43 Alternativ oder kumulativ62 zur Vertragsbeendigung nach § 327m Abs. 1 BGB kann der Verbraucher auch Schadensersatz statt der Leistung nach § 327m Abs. 3 S. 1 i. V. m. § 280 Abs. 1 BGB verlangen. Die Vorschrift enthält eine Rechtsgrundverweisung,63 weshalb den Unternehmer insbesondere ein Verschulden treffen muss. Anstelle des Schadensersatzes statt der Leistung kann der Verbraucher auch Aufwendungsersatz nach § 327i Nr. 3 Var. 2 i. V. m. § 284 BGB verlangen. Außerdem steht ihm gemäß § 327i Nr. 3 Var. 1 i. V. m. § 280 Abs. 1 BGB u. U. ein Anspruch auf Schadensersatz neben der Leistung zu, etwa wenn ein Mangelfolgeschaden entstanden ist.64 Ein Beispiel hierfür ist der Schaden durch einen Datenverlust, der infolge einer Sicherheitslücke des digitalen Produktes eingetreten ist.65 Ebenso kann bei einer verspäteten Bereitstellung des

60 Dies bedauernd Sattler, CR 2020, 145, 152. 61 S. zur Beendigung gemischter Verträge, bei denen der Verbraucher sowohl einen Preis zahlt als auch personenbezogene Daten bereitstellt bzw. sich hierzu verpflichtet, ausführlich Mischau, ZEuP 2020, 335, 348 ff.; Rieländer, GPR 2022, 28, 33. 62 § 327m Abs. 3 S. 4 i. V. m. § 325 BGB. 63 Kaesling, in: Junker/Beckmann/Rüßmann, jurisPK-BGB, § 327m Rz. 14; Schulze, in: Schulze et al., BGB, § 327m Rz. 13. 64 BT-Drs. 19/31116, S. 10. 65 Riehm/Abold, CR 2021, 530, 538.

24

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

digitalen Produktes der Verzugsschaden nach § 286 Abs. 2 BGB ersetzt werden.66 3. Durchsetzung der Gewährleistungsrechte Ebenso wie aus dem (Verbrauchsgüter-)Kaufrecht bekannt, ist im Män- 44 gelgewährleistungsrecht der §§ 327i ff. BGB nicht nur die materielle Rechtslage i. e. S. geregelt. Der Normkomplex enthält darüber hinaus auch eine Sonderregelung für die Verjährung (s. dazu Rz. 45 f.) sowie eine gesetzliche Beweislastumkehr (s. dazu Rz. 47 f.). a) Verjährung Für den Nacherfüllungsanspruch und für Schadens- sowie Aufwendungs- 45 ersatzansprüche aufgrund eines Mangels des digitalen Produktes sieht § 327j Abs. 1 S. 1 BGB eine von der regelmäßigen Verjährungsfrist abweichende kurze Verjährungsfrist von zwei Jahren ab der Bereitstellung (§ 327j Abs. 1 S. 2 BGB) vor. Auch die Gestaltungsrechte der Vertragsbeendigung und der Minderung können nur innerhalb dieser Frist wirksam vom Verbraucher ausgeübt werden (§ 327j Abs. 5 i. V. m. § 218 Abs. 1 S. 1 BGB).67 Die § 327j Abs. 2–4 BGB enthalten darüber hinaus drei verschiedene Ab- 46 laufhemmungen: für Verträge über die dauerhafte Bereitstellung digitaler Produkte (§ 327j Abs. 2 BGB), für Ansprüche infolge einer Verletzung der Aktualisierungspflicht nach § 327f BGB (§ 327j Abs. 3 BGB) sowie allgemein im Fall von Mängeln, die sich innerhalb der Verjährungsfrist zeigten (§ 327j Abs. 4 BGB). b) Beweislastumkehr Die Durchsetzung seiner Gewährleistungsrechte wird dem Verbraucher 47 durch die Beweislastumkehr des § 327k BGB erleichtert, deren Umfang von der vereinbarten Bereitstellungsmodalität abhängt. Schuldet der Unternehmer die einmalige oder wiederholte Bereitstellung eines digitalen Produktes, wird nach § 327k Abs. 1 BGB im Fall eines Mangels, der sich innerhalb eines Jahres seit der jeweiligen Bereitstellung zeigt, 66 Dass in § 327i Nr. 3 BGB nicht ausdrücklich auf § 286 BGB verwiesen wird, stellt wohl ein Redaktionsversehen dar (Fries, in: Lorenz, BeckOGK-BGB, § 327i Rz. 3). 67 Ein Leistungsverweigerungsrecht, wie es § 438 Abs. 4 S. 2 BGB nach Eintritt der Verjährung für den Käufer vorsieht, hat der Gesetzgeber für den Verbraucher dagegen absichtlich nicht eingefügt, s. BT-Drs. 19/27653, S. 64.

25

Anna K. Bernzen

grundsätzlich vermutet, dass er bereits bei Bereitstellung vorlag. Muss das digitale Produkt gemäß dem Vertrag dauerhaft bereitgestellt werden, sieht § 327k Abs. 2 BGB vor, dass bei einem Mangel, der sich irgendwann während der Bereitstellung zeigt, im Grundsatz vermutet wird, dass er schon während der gesamten bisherigen Bereitstellungsdauer vorlag. Die Reichweite dieser Vermutung ist identisch mit der Reichweite der Vermutung, die in der Parallelnorm des § 477 BGB aufgestellt wird.68 48 Der Verbraucher muss das Vorliegen des Mangels zur maßgeblichen Zeit im Bestreitensfall doch beweisen, wenn die Voraussetzungen von § 327k Abs. 3 und Abs. 4 BGB vorliegen, die Ausnahmen von der Beweislastumkehr enthalten. Das ist bspw. der Fall, wenn die digitale Umgebung des Verbrauchers mit den technischen Anforderungen des digitalen Produktes nicht kompatibel war (§ 327k Abs. 3 Nr. 1 BGB). Hierzu kann es etwa kommen, wenn das verwendete Betriebssystem veraltet oder die Internetverbindung zu langsam war.69 IV. Besonderheiten des „digitalen“ Vertragsrechts 49 Manche Normen des „digitalen“ Vertragsrechts haben kein „analoges“ Pendant im allgemeinen Leistungsstörungsrecht oder besonderen Schuldrecht. Speziell die Regelungen zum Datenschutz bei digitalen Produkten (s. dazu Rz. 50 ff.) und zu einseitigen Änderungen digitaler Produkte (s. dazu Rz. 54 ff.) sind ein Novum, für dessen Handhabung nicht auf bekannte und bewährte Konzepte zurückgegriffen werden kann. 1. Datenschutz und digitale Produkte 50 Das „digitale“ Vertragsrecht enthält keinerlei Vorgaben dazu, wann die Verarbeitung personenbezogener Verbraucherdaten durch den Unternehmer datenschutzrechtlich zulässig ist und wie der Unternehmer mit diesen Daten umzugehen hat. Ebenso wie für die Fälle der Vertragsbeendigung ausgeführt (s. dazu Rz. 40), sind diese Fragen vielmehr allein unter Heranziehung der relevanten datenschutzrechtlichen Vorschriften zu beantworten. Auch während der laufenden Vertragsdurchführung muss der Unternehmer also insbesondere die DS-GVO einhalten.70

68 S. dazu EuGH v. 4.6.2015 – C-497/13, NJW 2015, 2237, 2240 f. Rz. 70 ff. – Faber. 69 Heydn, CR 2021, 709, 713. 70 Das Datenschutzrecht wird durch die Digitale Inhalte-Richtlinie nicht berührt, sondern geht deren Vorgaben im Konfliktfall sogar vor (Art. 3 Abs. 8 Digitale Inhalte-Richtlinie).

26

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

Dass der Verbraucher dem Unternehmer anstelle von oder zusätzlich zu 51 Geld bzw. digitalen Wertdarstellungen gemäß § 327 Abs. 3 BGB auch personenbezogene Daten bereitstellen kann, hat auch keinen Einfluss auf die Betroffenenrechte des Verbrauchers. Es steht dem Verbraucher bspw. selbst beim reinen „Zahlen mit Daten“ frei, eine einmal erteilte Einwilligung in die Verarbeitung dieser Daten nach Art. 7 Abs. 3 S. 1 DS-GVO zu widerrufen oder andere datenschutzrechtliche Erklärungen diesbezüglich abzugeben. Ebenso kann er seine Betroffenenrechte gemäß Art. 12 ff. D-SGVO geltend machen, z. B. sein „Recht auf Vergessenwerden“ nach Art. 17 DS-GVO.71 § 327q Abs. 1 BGB sieht in solchen Fällen vor, dass die Wirksamkeit des Vertrags hierdurch nicht beeinträchtigt wird. Die datenschutzrechtliche und die schuldrechtliche Ebene werden dadurch streng voneinander getrennt.72 Diese Trennung wird durch § 327q Abs. 3 BGB fortgeführt, nach dem der 52 Unternehmer keine Ersatzansprüche gegen den Verbraucher hat, wenn ihm infolge der Erklärung bzw. Rechteausübung die Verarbeitung der Verbraucherdaten nicht mehr oder nur noch eingeschränkt gestattet ist. Das soll nach dem Willen des Umsetzungsgesetzgebers nicht nur gesetzliche Ersatzansprüche ausschließen, sondern auch solche Vertragsgestaltungen unterbinden, durch die der Verbraucher verpflichtet wird, im Fall eines Einwilligungswiderrufs seine Daten durch Geld zu ersetzen.73 Der Betreiber einer Social-Media-Plattform soll also z. B. nicht vorsehen können, dass die Plattformnutzung gratis ist, solange der Verbraucher ihm personalisierte Werbung gestattet, jedoch eine monatliche Abonnement-Gebühr geschuldet wird, sobald der Verbraucher die darauf gerichtete Einwilligung widerruft. Speziell der Widerruf der Einwilligung und der Widerspruch bezüglich 53 der weiteren Datenverarbeitung nach Art. 21 DS-GVO geben dem Unternehmer nach § 327q Abs. 2 BGB unter Umständen allerdings ein Recht zur außerordentlichen Kündigung des Vertrages. Das gilt aber nur bei Verträgen, nach denen eine Reihe einzelner Bereitstellungen oder die dauerhafte Bereitstellung des digitalen Produktes geschuldet werden. Die Fortsetzung des Vertragsverhältnisses muss dem kündigungswilligen Unternehmer zudem unter Berücksichtigung des weiterhin zulässigen Umfangs der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen unzumutbar sein.74

71 72 73 74

Zu alledem BT-Drs. 19/27653, S. 76. Sattler, NJW 2020, 3623, 3628; Spindler, MMR 2021, 528, 531. BT-Drs. 19/27653, S. 76. S. zu § 327q BGB ausführlich Meurer/Fanderl, DSB 2021, 296.

27

Anna K. Bernzen

2. Einseitige Änderung digitaler Produkte 54 Bei Verträgen über die dauerhafte Bereitstellung eines digitalen Produktes kann während der Vertragsdurchführung ein Anpassungsbedarf entstehen. Muss das digitale Produkt geändert werden, damit es vertragsgemäß bleibt, handelt es sich dabei um eine Aktualisierung i. S. d. § 327f BGB, die der Unternehmer stets bereitstellen darf (und sogar muss). Für Änderungen, die hierüber hinausgehen, gilt: Ist der Verbraucher hiermit einverstanden, können die Vertragsparteien die Produktänderung in den allgemeinen Grenzen insbesondere der §§ 305 ff. BGB vertraglich vereinbaren. Der Unternehmer kann sich allerdings auch bereits im ursprünglichen Vertrag über das digitale Produkt ein Recht zur einseitigen Produktänderung ausbedingen. Diese Konstellation regelt § 327r BGB. 55 Jede einseitige Änderung hat danach drei Voraussetzungen: Der Vertrag muss, erstens, vorsehen, dass eine solche Änderung möglich ist, wenn ein darin ebenfalls enthaltener triftiger Grund vorliegt (§ 327r Abs. 1 Nr. 1 BGB). Jener Grund muss im konkreten Fall auch gegeben sein.75 Diese Voraussetzung macht deutlich, dass § 327r BGB dem Unternehmer kein gesetzliches Änderungsrecht einräumt, sondern nur Leitplanken für dessen vertragliche Vereinbarung einzieht.76 Zweitens darf die Änderung keine zusätzlichen Kosten für den Verbraucher verursachen (§ 327r Abs. 1 Nr. 2 BGB).77 Drittens muss der Unternehmer den Verbraucher über die Änderung klar und verständlich informieren (§ 327r Abs. 1 Nr. 3 BGB).78 56 Führt die Änderung dazu, dass die Zugriffsmöglichkeit oder die Nutzbarkeit des digitalen Produktes für den Verbraucher nicht nur unerheblich beeinträchtigt werden, ist eine zusätzliche Voraussetzung zu erfüllen: Der Unternehmer muss den Verbraucher gemäß § 327r Abs. 2 S. 1 BGB über die Änderung vorab innerhalb einer angemessenen Frist mittels eines dauerhaften Datenträgers informieren. Diese Information kann er also bspw. per E-Mail übermitteln.79 57 Liegen die Voraussetzungen für eine einseitige Änderung vor, muss der Verbraucher sie prinzipiell dulden. Handelt es sich dabei um eine nachteilige Änderung i. S. d. § 327r Abs. 2 BGB, hat er aber im Grundsatz 75 BT-Drs. 10/27653, S. 77. S. zu den Anforderungen an den triftigen Grund Möllnitz, MMR 2021, 116, 118 f. 76 BT-Drs. 10/27653, S. 77. 77 Für eine weite Auslegung dieses Begriffs Möllnitz, MMR 2021, 116, 119. 78 Diese Anforderungen sind ebenso auszulegen wie die Anforderungen an die wortgleichen Vorgaben des § 307 Abs. 1 S. 2 BGB (BT-Drs. 19/27653, S. 78). 79 ErwG. 76 Digitale Inhalte-Richtlinie.

28

Die Neuregelung des „digitalen“ Vertragsrechts im Überblick

ein Recht zur Vertragsbeendigung (§ 327r Abs. 3 S. 1 BGB). Etwas anderes gilt gemäß § 327r Abs. 4 Nr. 2 BGB jedoch insbesondere, wenn er das unveränderte digitale Produkt weiterhin ohne zusätzliche Kosten nutzen kann. In diesem Fall hat er ein Wahlrecht zwischen der aktuell genutzten und der neuen Produktversion. V. Halbseitig zwingendes Recht Der Gestaltung „digitaler“ Verträge werden durch die §§ 327 ff. BGB 58 enge Grenzen gezogen. Abweichungen von den objektiven Anforderungen an digitale Produkte können nach § 327h vertraglich nur unter hohen Anforderungen vereinbart werden, wie im Kontext des Mangelbegriffs gezeigt wurde (s. dazu Rz. 29). Zusätzlich schränkt § 327s BGB die Möglichkeiten ein, von den verbraucherschützenden Vorschriften des „digitalen“ Vertragsrechts abzuweichen: Die §§ 327 ff. sind danach im Grundsatz halbseitig zwingend (§ 327s Abs. 1 BGB).80 Eine wichtige Ausnahme gilt nach § 327s Abs. 4 BGB jedoch für Schadens- und Aufwendungsersatzansprüche: Sie können in den allgemeinen Grenzen v. a. der §§ 305 ff. BGB beschränkt oder ausgeschlossen werden.

80 S. ausführlich zu den verbleibenden Möglichkeiten der Vertragsgestaltung Schneider/Streitz, CR 2022, 141 ff.

29

Technologiebezogene Ermessensspielräume der Unternehmensleitung Michael Denga* I. Ausgangspunkt – neue Technologien, neue Haftungskonzepte? II. Legalitätspflicht und Risiken neuer Technologien 1. Legalitätspflicht der Unternehmensleitung und Außenhaftung 2. Das erlaubte Risiko beim Einsatz neuer Technologien a) Generalformel b) Objektiver Maßstab und Rolle von Branchenstandards III. Delegation der Sorgfaltsmaßstäbe 1. Beispiele der Delegation 2. Logik und Probleme der Delegation a) Dezentrale Regulierung b) Transdisziplinäre Regulierung c) Bisherige Vernachlässigung im juristischen Diskurs

1 3 3 5 6 7 9 10 11 12 15

IV. Technology Judgement Rule 1. Voraussetzungen und Ratio der Business Judgement-Rule 2. Haftungserleichterung bei technologiebezogenen Entscheidungen a) Besseres Wissen als Privilegierungsgrund b) Technologiefragen vs. Rechtsfragen c) Einschätzungsprärogative von Markt und Marktteilnehmer d) Informationspflichten des Regelungsadressaten e) Externe Wirkung einer Haftungsprivilegierung f) Verhältnis zur Generalformel V. Fazit

21 22

24 24 25

27 28 29 32 34

19

I. Ausgangspunkt – neue Technologien, neue Haftungskonzepte? Neue Technologien stellen Unternehmen nicht nur betriebswirtschaft- 1 lich vor große Herausforderungen – aus rechtlicher Sicht liegen insbesondere regelmäßig keine spezifischen gesetzgeberischen Sorgfaltsregeln für ihre Herstellung und ihren Einsatz vor. Diese Unsicherheit liegt in der Natur der Sache von Innovation, vermag allerdings auf Hintergrund von Haftungsrisiken den Einsatz innovativer Technologien durch Unternehmen zu unterbinden. So können chilling effects zur Innovationshem-

*

PD Dr. Michael Denga, LL.M. (London), Maître en Droit (Paris), Lehrstuhlvertreter an der Martin-Luther-Universität Halle-Wittenberg. Der Beitrag berücksichtigt Rechtsprechung und Literatur bis März 2022.

31

Michael Denga

mung in Märkten führen.1 Das Problem der Unternehmenshaftung ist damit dem übergeordneten Spannungsfeld von Sicherheit und Innovation in Märkten zuzuordnen. 2 Dieser Beitrag steckt das Feld der Haftungsrisiken beim Einsatz neuer Technologien ab, ausgehend von den allgemeinen Regeln hin zu besonderer Technikregulierung, die auf der Delegation der Konkretisierung von Sorgfaltspflichten an den Markt beruht. Kern des Beitrags ist die Darlegung einer Technology Judgement Rule, die aus der Business Judgement Rule abgeleitet werden kann, allerdings auch gegenüber Dritten, also unternehmensextern, wirkt. Im Ergebnis wird festzuhalten sein, dass der Einsatz neuer Technologien auch neue Haftungskonzepte hervorbringt, freilich auf dem Boden der bestehenden Dogmatik und in enger Anlehnung an etablierte Rechtsfiguren. II. Legalitätspflicht und Risiken neuer Technologien 1. Legalitätspflicht der Unternehmensleitung und Außenhaftung 3 Der Einsatz neuer Technologien muss selbstverständlich auf dem Boden des geltenden Rechts erfolgen. Wie bei jeder anderen Tätigkeit auch, ist die Unternehmensleitung beim Einsatz neuer Technologien dazu angehalten, den wirtschaftlichen Vorteil ihrer Gesellschaft ausschließlich bei Vereinbarkeit mit den Grenzen der Rechtsordnung zu verfolgen („Legalitätsprinzip“).2 Die Geschäftsleitung haftet dabei ihrem „Unternehmen“3 nach den Vorgaben von § 93 Abs. 1 S. 1 AktG, § 43 Abs. 1 GmbHG typisiert auf die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters. Gegenüber außenstehenden Dritten gilt dieser verschärfte Haftungsmaßstab allerdings nicht, die Pflichten gegenüber der Gesellschaft wirken nur in eng zugeschnittenen Ausnahmefällen im Außenverhält-

1 2

3

32

Zum Verhältnis von Haftung und Innovation vgl. Hoffmann-Riem, Innovation und Recht – Recht und Innovation, 2016, S. 415 ff. Etwa BGH v. 10. 7. 2012 − VI ZR 341/10, NJW 2012, 3439, 3441 (m. w. N.); zur Legalitätspflicht von Geschäftsführern etwa Fleischer, NJW 2009, 2337; s. auch den Überblick von Bunz, CCZ, 2021, 81, 82 f.; Thole, ZHR 173 (2009), 504, 509; Verse, ZHR 175 (2011), 401, 403 ff.; Merkt, FS Hommelhoff, 2012, 711, 713; kritisch allerdings Hellgardt, FS Hopt 2020, S. 403. Die Haftung besteht natürlich nur gegenüber der jeweiligen Gesellschaft, dazu Denga, ZIP 2020, 945. Ein weiterer Fragenkreis, der zum hier angesprochenen verwandt ist, bezieht sich auf die Pflicht zum Einsatz digitaler Technologien bei der Compliance, dazu zuletzt Bräutigam/Habbe, NJW 2022, 809.

Technologiebezogene Ermessensspielräume der Unternehmensleitung

nis. Es bleibt indes bei der allgemeinen Haftung des Geschäftsleiters unter § 823 Abs. 1 BGB sowie, in dessen engen Grenzen, § 826 BGB.4 Die Gesellschaft wiederum haftet nach § 31 BGB strikt für „zum Scha- 4 densersatz verpflichtende Handlung(en)“ ihrer Geschäftsleitung, was freilich die vollständige Verwirklichung aller Deliktsmerkmale durch den Geschäftsleiter voraussetzt.5 Vor allem allerdings ist die Gesellschaft selbst Adressatin von Sorgfaltspflichten, welche organisatorische Maßnahmen auch hinsichtlich der von der Geschäftsleitung eingesetzten Technologien umfassen und deren Verletzung zur Haftung der Gesellschaft unter § 823 Abs. 1 BGB führt.6 Im vertraglichen Bereich wirkt § 278 BGB als Zurechnungsnorm, womit Vertragspartnern des Unternehmens insbesondere die Liquidierung von Vermögensinteressen ermöglicht wird.7 Fehler der Unternehmensleitung führen demnach über vielfältige Zurechnungsnormen zur Haftung der Gesellschaft, während die Eigenhaftung der Unternehmensleitung nach außen sehr beschränkt ist. Damit steht freilich die Unternehmenshaftung insgesamt beim Einsatz neuer Technologien in Frage und wirken Unsicherheiten der Unternehmensleitung bei der Wahl der richtigen technologischen Lösungen auf das ganze Unternehmen zurück. 2. Das erlaubte Risiko beim Einsatz neuer Technologien In Anbetracht des soeben angerissenen Haftungsregimes tut Verhaltens- 5 sicherheit beim Einsatz neuer Technologien Not. Fehlen spezielle Regeln für das erlaubte Risiko beim Einsatz neuer Technologien, gelten die allgemeinen Sorgfaltspflichten der Unternehmensführung.8 Sie verschlüs-

4 5

6

7

8

Dazu MünchKomm-GmbHG/Fleischer, 3. Aufl. 2019, § 43 Rz. 339 ff. Zur haftungsrechtlich-funktionalen Auslegung der Norm vgl. MünchKomm-BGB/Leuschner, 9. Aufl. 2021, § 31, Rz. 14 ff. Eine Haftung unter § 831 BGB kommt hingegen nicht in Betracht, da Geschäftsführer keine Verrichtungsgehilfen sind, vgl. Schulze/Staudinger, 11. Aufl. 2021, § 831 Rz. 7. Mit Nachweisen zur Rechtsprechung Grüneberg/Sprau, 81. Aufl. 2022, § 831 Rz. 10 f.; zur Bedeutung als Strukturprinzip des Unternehmensrechts, Spindler, Unternehmensorganisationspflichten, 2001, S. 781 ff. Dazu MünchKomm-BGB/Grundmann, 9. Aufl. 2022, § 278 Rz. 1 f.; Grüneberg/Grüneberg, 81. Aufl. 2022, § 278 Rz. 1; Eingehend Tröger, Arbeitsteilung und Vertrag, 2012, S. 52 ff., 149 ff.; umfassend zur Haftungszurechnung auch Denga, Privatrecht und Zurechnung (i. E.), Kapitel 2, B. Näher zum Verhältnis zwischen Spezialregeln und allgemeiner Sorgfaltspflicht noch unten, Rz. 32 f.

33

Michael Denga

seln im gesamten Privatrechtsverkehr das erlaubte Risiko und sind Maßstab der Fahrlässigkeit, § 276 Abs. 2 BGB.9 a) Generalformel 6 Für die Überschreitung erlaubten Risikos ist relevant, dass die objektive Ebene der Sorgfaltspflichtverletzung und das darauf bezogene subjektive Vertretenmüssen unter § 276 BGB verwoben sind.10 Zentral, sowohl für Vorsatz als auch für Fahrlässigkeit, ist die objektive Erkennbarkeit der Sorgfaltspflichtverletzung, die gerade bei neuen Technologien Probleme bereitet. Zum einen kann nicht erkennbar sein, welche Gefahren mit einer neuen Technologie verbunden sind. Hier ist ein umso strengerer Maßstab für die Ermittlungspflicht ex ante anzulegen, je größer und schwerer die drohenden Gefahren der Technologie typischerweise sind. Letztendlich besteht im Allgemeinen stets nur eine mit Blick auf die Informationskosten angemessene Ermittlungspflicht, zu der selbstverständlich auch nachgelagerte Beobachtungspflichten gehören. Dem erkannten Risiko sind ab dem Moment konkreter Kenntnis über eine Gefahrneigung der Technologie konkrete Abwehrmaßnahmen entgegenzusetzen, welche die Wertigkeit der betroffenen Güter abbilden. Diese auf juristischer Abwägung fußende Generalformel gilt, solange Gesetzgeber oder Rechtsprechung nicht technologiespezifische verbindliche Regeln definieren.11 Dabei ist freilich kritische Distanz zu gesetzgeberischen Konzeptbenennungen zu wahren, denn nichts anderes als die Generalformel steht letztlich auch hinter dem prominent geführten „risikobasierten Ansatz“ der Europäischen Kommission im Entwurf zum Artificial Intelligence Act (AIA-E).12 In vielen Fällen der Regulierung technischer Sachverhalte wird die Generalformel nur paraphrasiert, so

9 Zur Konvergenz von Delikts- und Vertragsrecht, sowie zur Verlagerung der Sorgfaltspflichten in den Produktfehlerbegriff, Kötz/Wagner, Deliktsrecht, 13. Aufl. 2016, Rz. 606, 614; vgl. zum System vertraglicher Schadensersatzansprüche Grundmann, AcP 204 (2004), 569; zum Schlüsselbegriff der Pflichtverletzung Staudinger/Schwarze, Neubearbeitung 2014, § 280 Rz. C 3 f.; zur durch die Schuldrechtsreform von 2001 angestoßenen Diskussion um den eigenständigen Gehalt des Begriffs der Pflichtverletzung, vgl. MünchKomm-BGB/Ernst, 8. Aufl. 2019, § 280 Rz. 11; zur Anspruchskonkurrenz von Delikts- und Vertragsrecht vgl. schon das RG RGZ 88, 434 f. Hierauf auch im Kontext neuer Technologien zentral abstellend Zech, in Gless/Seelmann, Intelligente Agenten und das Recht, 2016, S. 172, 180; s. auch Zech, ZfPW 2019, 198; Wagner, AcP 217 (2017), 707, 711 ff. 10 Dazu MünchKomm-BGB/Grundmann, 9. Aufl. 2022, § 276 Rz. 111. 11 Dazu auch MünchKomm-BGB/Grundmann, 9. Aufl. 2022, § 276 Rz. 111. 12 Vgl. etwa EG und Art. 9.

34

Technologiebezogene Ermessensspielräume der Unternehmensleitung

etwa unter § 1d Abs. 4 StVG, wonach im „risikominimalen Zustand“ autonomer Kfz „unter angemessener Beachtung der Verkehrssituation die größtmögliche Sicherheit für die Fahrzeuginsassen“ herzustellen ist, oder unter § 8a Abs. 1 S. 3 BSIG, wonach Betreiber kritischer Infrastrukturen organisatorische und technische Vorkehrungen treffen müssen, die dann angemessen sind, „wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht“. b) Objektiver Maßstab und Rolle von Branchenstandards Die allgemeine Sorgfaltspflicht ist nach objektiven Maßstäben zu bemes- 7 sen, was dem Vertrauensgrundsatz entspricht, demzufolge jedes Rechtssubjekt sein Verhalten danach ausrichten darf, dass alle anderen Rechtssubjekte sorgfältig und rechtmäßig handeln.13 Damit sind individuelle Erkenntnismängel kein akzeptabler Einwand gegen den Vorwurf einer Pflichtverletzung, es gilt stets die Perspektive eines den durchschnittlichen Anforderungen entsprechenden Angehörigen des jeweiligen Verkehrskreises in der jeweiligen Situation.14 Fehler bei der Einschätzung der jeweils bestehenden Kontroll- oder Abwehrpflichten können nach diesen allgemeinen Grundsätzen Fahrlässigkeit begründen, wenn sie dem verkehrskreisspezifischen objektiven Sorgfaltsmaßstab widersprechen.15 Bei der Bestimmung des relevanten Verkehrskreises ist im Wesentlichen auf vergleichbare Geschäftsmodelle abzustellen, wenngleich die Einzelheiten fallspezifisch zu bestimmen sind. Bei Unternehmen von gewisser Größe sind insbesondere Big Data-Analysen mithilfe von Algorithmen geboten, sofern die Kosten für deren Nutzung angemessen sind.16 Die nach dem objektiven Ansatz legitimen Sicherheitserwartungen des Verkehrs, reichen allerdings nur bis zur Grenze zumutbaren Auf-

13 Vgl. BGH 7.11.2006 – VI ZR 206/05, NJW-RR 2007, 310; NJW 1999, 1779; Spindler, in Bamberger/Roth/Hau/Poseck, BGB, 4. Aufl. 2019, § 823 Rz. 244, § 831 Rz. 27 ff.; zum Straßenverkehrsrecht: Gomille, JZ 2016, 76, 77; von Bodungen/Hoffmann, NZV 2016, 503, 504 f.; zum Gesellschaftsrecht: Fleischer, NZG 2003, 449, 455; Fleischer, ZIP 2009, 1397; Löbbe/Fischbach, AG 2014, 717, 719 f.; für eine Kodifizierung des Vertrauensprinzips: Bachmann, Gutachten E zum DJT 2014, S. 42 ff.; vgl. auch MünchKomm-BGB/Wagner, 8. Aufl. 2020, § 823 Rz. 480 ff. 14 BGH 17.3.1981 – VI ZR 191/79, NJW 1981, 1603; BGH v. 11.4.2000 – X ZR 19/98, NJW 2000, 2812, 2813; vgl. auch MünchKomm-BGB/Grundmann, § 276 Rz. 55 f. 15 MünchKomm-BGB/Grundmann, § 276 Rz. 54 ff. 16 Vgl. auch Spindler, ZGR 2018, 17, 42 f.; Möslein, ZIP 2018, 204, 209 f.

35

Michael Denga

wands, die durch eine Güter- und Interessenabwägung zu bestimmen ist.17 Viel spricht auch dafür, im Bereich komplexer Algorithmen den AIA als Maßstab für verdichtete Sorgfaltspflichten heranzuziehen – insoweit kann der AIA in Sonderbeziehungen eine „Fernwirkung“ entfalten und das Maß dessen konkretisieren, was im bestmöglichen Interesse der Unternehmenspartner oder Dritter geschuldet ist.18 8 Bei der Erfüllung des objektiven Maßstabs spielen private technische Standards eine große praktische Rolle,19 wie etwa die ISO-Norm 26262 für sicherheitsrelevante elektronische Systeme in Kfz, oder die Common-Criteria Standards. Hier wird inzwischen nicht mehr angezweifelt, dass sie eine verhaltenssteuernde Funktion haben und die Sorgfaltsanforderungen für Anwender konkretisieren.20 Sie setzen dabei allerdings nur Mindestpflichten fest, deren Beachtung nicht in einen safe harbour führt.21 Gerade im besonders dynamischen IT-Bereich ist jede Standardisierung nur eine flüchtige Momentaufnahme, weshalb die Pflicht zur fortlaufenden adäquaten Maßnahmenprüfung bestehen bleibt.22 Für autonome Agenten kann dabei insbesondere die fortlaufend aktualisierte Prüfliste der KI-Expertengruppe der Europäischen Kommission relevant sein.23

17 BGH v. 7.6.1988 – VI ZR 91/87, BGHZ 104, 323, 329; Libertus, Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbeabsichtigter Weiterverbreitung von Computerviren, MMR 2005, S. 507, 509; w. N. bei Spindler in Bamberger/Roth/Hau/Poseck (Hrsg.), BGB, 4. Aufl., München 2019, § 823 BGB Rz. 532; vgl. zu dem Ganzen im Kontext der IT-Sicherheit Spindler, Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, Studie im Auftrag des Bundesamts für Sicherheit in der Informationstechnik, 2007, S. 14–18. Zur Interessenabwägung: BGH v. 17.3.1981 – VI ZR 191/79, BGHZ 80, 186, 192; vgl. BGH v. 7.6.1988 – VI ZR 91/87, BGHZ 104, 323, 329; Wagner, in MünchKomm BGB, Bd. 7, 7. Aufl., München 2017, § 823 BGB Rz. 591. 18 Zur Fernwirkung des AIA im Rahmen der kapitalmarktrechtlichen Wohlverhaltenspflicht vgl. auch Denga, ZBB 2023 (i.E.). 19 Vgl. etwa Spindler, Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, 2007, S. 65 f. 20 Vgl. etwa Rockstroh/Kunkel, MMR 2017, 77, 81 f.; Hoffmann, NZV 2019, 177, 180. 21 Spindler, Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, 2007, S. 66 ff.; Wagner, AcP 217 (2017), 707, 730. 22 Vgl. dazu Spindler, Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, 2007, S. 66, 68 ff.; siehe auch BMWi, Künstliche Intelligenz und Recht im Kontext von Industrie 4.0, 2019, S. 18. 23 High-Level Expert Group on Artificial Intelligence, Ethics Guidelines for Trustworthy AI, 2019, S. 32 ff.

36

Technologiebezogene Ermessensspielräume der Unternehmensleitung

III. Delegation der Definition von Sorgfaltsmaßstäben Im Kontext dieser allgemeinen Regeln steht eine besondere, immer 9 häufiger anzutreffende Art der Regulierung technologiebezogener Sachverhalte, die sich durch eine Verhaltenssteuerung mittels doppelter Delegation auszeichnet – zum einen an Private und zum anderen in eine außerrechtliche Disziplin.24 1. Beispiele der Delegation Der abstrakt-analytische Befund soll zunächst anhand dreier Beispiele 10 illustriert werden, in denen der Gesetzgeber sich nicht auf die allgemeine Generalformel beschränkt, die Konkretisierung der Verhaltensanforderungen allerdings auch nicht im Detail selbst vornimmt, sondern durch Verweis auf „den Stand der Technik“ delegiert. So ist unter § 8a Abs. 1 BSIG der „Betreiber Kritischer Infrastrukturen […] verpflichtet, […] angemessene organisatorische und technische Vorkehrungen […] zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden.“ Art. 25 Abs. 1 DSGVO sieht vor, dass „Unter Berücksichtigung des Stands der Technik, […] der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen“ trifft. Und auch der aktuelle Art. 9 Abs. 3 S. 2 AIA-E sieht vor, dass die verpflichtenden Risikomanagementmaßnahmen „dem allgemein anerkannten Stand der Technik Rechnung (tragen), wie er auch in einschlägigen harmonisierten Normen oder gemeinsamen Spezifikationen zum Ausdruck kommt.“ 2. Logik und Probleme der Delegation Der Verweis auf den Stand der Technik ist regulierungssystematisch als 11 doppelte Delegation zu begreifen.25 Der Gesetzgeber delegiert dabei die Festsetzung von Sorgfaltsmaßstäben bei den betrachteten Normen nicht nur an Private, sondern auch in eine außerrechtliche Disziplin, jene der Technik. Dies dient schnelleren und sachnähren Ergebnissen. Es soll gezeigt werden, dass diese Regulierungstechnik keineswegs zufällig im

24 Siehe umfassend zu dem Konzept, Denga/Pohle/Hölzel, RW 10 (2020), 420. Der hier vorliegende Beitrag baut konzeptionell auf dem vorgenannten auf und übernimmt in Einzelpassagen unmittelbar dessen Ausdruck. 25 Zu diesem Konzept umfassend Denga/Pohle/Hölzel, RW 10 (2020), 420.

37

Michael Denga

Technologierecht zu finden ist und besondere Unschärferisiken dabei in Kauf genommen werden. a) Dezentrale Regulierung 12 Eine personelle Delegation der Regulierung technischer Sachverhalte findet bereits seit Mitte des 19. Jahrhunderts statt.26 Diese Delegation zeichnet sich dadurch aus, dass der Gesetzgeber seine originäre Gesetzgebungsbefugnis und seinen Gesetzgebungsauftrag in Technologiefragen an private Dritte überträgt. Es handelt sich nicht um eine Delegation an die Verwaltung i. S. d. Art. 80 GG, sondern um „legislatives outsourcing“.27 Diese personelle Delegation erfolgt teilweise an Expertengremien, immer häufiger indes auch ad incertas personas an den Markt, immer dann, wenn auf abstrakte Standards verwiesen wird. Diese Verweisung hat zunächst bedeutsame Vorzüge. 13 Qualitativ beruht der Vorteil von Delegation auf einer Zuweisung der Problemlösung an eine kompetente Stelle, die der Staat nicht erst schaffen muss. In einer komplexen Gesellschaft besteht Wissen über ihre Abläufe nicht zentral, sondern dezentralisiert sich mit jeder Steigerung von Komplexität. Wissen umfassend zentral zu simulieren beinhaltet eine immense Herausforderung für Gesetzgeber und Richter, die nicht immer zu optimalen Steuerungs- und Effizienzergebnissen führt. Daher ist regulatorischer „Self-Restraint“ geboten und (soll) Privaten Raum für Lösungen zugestanden sein.28 Dies ist dann auch Ausdruck einer gesellschaft26 Dazu Marburger, Die Regeln der Technik im Recht, Köln 1979, S. 53 ff. Im juristischen Diskurs ist die Bewältigung von Technik im Recht erst seit Ende der 1950er Jahre adressiert, vgl. Dommann, Rechtsinstrumente. Die Übersetzung von Technik in Recht, SZG/RSH/RSS 55 2005, S. 17, 29. Zum verwaltungsrechtlichen Begriff der Delegation, Triepel, Delegation und Mandat im öffentlichen Recht, 1942, S. 23; F. Kirchhof, Private Rechtssetzung, 1987, S. 159 ff. 27 Vgl. Röthel, Normkonkretisierung im Privatrecht, 2004, S. 48 ff.; Röthel, Steuern und Gerechtigkeit: Das Freiheits- und Gleichheitsgebot im Steuerrecht, JZ 2007, S. 755, 758; Becker, Kooperative und konsensuale Strukturen der Normsetzung, 2005, § 7. 28 Zum Problem der Anmaßung von Wissen grundlegend Hayek, Die Anmaßung von Wissen, in: ORDO 26, Stuttgart 1975, S. 12; zum Wissen in vernetzten Gesellschaften vgl. auch Castells, The Rise of the Network Society, Black Well Publishers Hoboken 1996, S. 92 ff.; zu den besonderen Herausforderungen der Regulierung in der Informationsgesellschaft vgl. auch Spindler/ Thorun, Eckpunkte einer digitalen Ordnungspolitik, 2015, S. 18 ff. Zum Konzept des „Self Restraint“, welches für richterliche Befugnisse entwickelt wurde, R. M. Cover, The Supreme Court 1982. Foreword: Nomos and Narrative,

38

Technologiebezogene Ermessensspielräume der Unternehmensleitung

lichen Gewaltenteilung, die anerkennt, dass Private die Grundgewalt im Staat sind.29 Im Bereich besonderer Risiken für hochrangige Schutzgüter bleibt freilich der Staat weiterhin zu einer eigenen Entscheidung verpflichtet.30 Neben dem Vorzug sachlicher Kompetenz, ermöglicht die Delegation 14 von Sorgfaltsmaßstäben auch eine gesteigerte Flexibilität, die gerade im Technologieumfeld, das von hoher Innovationsgeschwindigkeit geprägt ist und variierenden Nutzererwartungen unterliegt, erforderlich ist.31 Die doppelte Delegation wirkt „technologieneutral“, da nicht auf konkrete Standards hingewiesen wird. So muss der Gesetzgeber seine Normen nicht laufend an die wissenschaftliche und technische Entwicklung anpassen.32 b) Transdisziplinäre Regulierung Neben der personellen Delegation erfolgt auch eine disziplinäre Delega- 15 tion. Sie ist im rechtlichen Diskurs bislang selten berücksichtigt.33 Die eingeschalteten Privaten greifen als „Technikregulierer“ nicht alleine

29 30

31

32 33

Harvard Law Review 97 (1983), S. 4. Siehe auch den OECD-Report: Alternatives to Traditional Regulation, 2002. Dazu Mestmäcker, ZHR 173 (1973), 104; grundlegend Böhm, Privatrechtsgesellschaft und Marktwirtschaft, in ORDO 17, 1966, S. 75. Dazu Di Fabio, Risikoentscheidungen im Rechtsstaat, 1994; zum Grundrecht auf Sicherheit, das gleichzeitig eine Schutzpflicht des Staates bedeutet, vgl. Isensee, Das Grundrecht auf Sicherheit, 1983. Zur Anwendung der Wesentlichkeitstheorie auf Technikfragen vgl. BVerfG v. 8.8.1978 – 2 BvL 8/77, BVerfGE 49, 89 [126 ff.] – Kalkar I. Mit diesem Befund und empirischen Belegen Spindler/Thorun, Ordnungspolitik (Fn. 16), S. 18 ff.; zur besonderen Rolle der Nutzererwartungen für eine „responsive Rechtswissenschaft“ Grünberger, Verträge über digitale Güter, AcP 218 (2018), S. 213, insbes. 241 ff. Zu einem „more technological approach“ im Kartellrecht ders./Podszun, Ein more technological approach für das Immaterialgüterrecht?, ZGE 6 (2014), S. 269. Kritisch Riesenhuber, Neue Methode und Dogmatik eines Rechts der Digitalisierung?, AcP 219 (2019), S. 892. S. a. BVerfG v. 8.8.1978 – 2 BvL 8/77, BVerfGE 49, 89, 135 f. Vgl. dazu etwa Teubner, Globale Zivilverfassungen: Alternativen zur staatszentrierten Verfassungstheorie, ZaöRV 63 (2003), S. 1, 26 f. Die Rechtsinformatik befasst sich grundsätzlich mit den „Voraussetzungen, Anwendungen und Folgen des Computereinsatzes“ zur juristischen Problemlösung, weniger freilich mit der Regulierung von (Computer-)Technik, vgl. Kilian, Idee und Wirklichkeit der Rechtsinformatik in Deutschland, CR 2017, S. 202, 203, der auch die Schmälerung der Grundlagenforschung in Deutschland beklagt, S. 205. Zum Erfordernis der Interdisziplinarität vgl. auch Hoffmann-Riem, Innovation und Recht – Recht und Innovation, 2016, S. 64 ff.

39

Michael Denga

durch in Text gegossene Ver- und Gebote verhaltenssteuernd ein, sondern nach der spezifischen Logik des in Bezug genommenen technischen Bereichs, sowie teilweise auch lediglich faktisch und implizit. Letzteres ist wie oben gezeigt dann der Fall, wenn der Gesetzgeber den „Stand der Technik“ für verbindlich erklärt.34 16 Wechsel und Kommunikation zwischen den Funktionslogiken von Recht und Technologie als grundsätzlich verschiedenen Systemen bedingen eine „Übersetzung“.35 Dem Technikrecht wird zwar verbreitet zugeschrieben die „Eigengesetzlichkeit der Technik“ anzuerkennen;36 wenn auch der technische Diskurs in vielfältiger Weise an den rechtlichen Diskurs anknüpft, kann er allerdings dem Recht widersprechende Lösungen hervorbringen, insbesondere weil er dem rechtlichen Diskurs historisch in Teilen vorgeht.37 Bearbeitung und Verständnis der Funktionslogik

34 Zu verstehen als „normkonkretisierende Verweisung“, vgl. m. w. N. Röthel, Steuern und Gerechtigkeit (Fn. 15), S. 759, Fn. 67. Der Stand der Wissenschaft und Technik soll nach der Kalkar-Entscheidung des BVerfG der strengste, weil am stärksten an der Innovation des Sachgebiets orientierte, Maßstab sein, gefolgt vom Stand der Technik und den anerkannten Regeln der Technik, BVerfG v. 8.8.1978 – 2 BvL 8/77, NJW 1979, S. 359, 362, unter Anschluss an die Meinung von Breuer, Direkte und indirekte Rezeption technischer Regeln durch die Rechtsordnung, AöR 101 (1976), S. 46, 67 f.; A. A.: Battis/Gusy, Einführung in das Staatsrecht, 6. Aufl., Berlin 2018, Rz. 277 ff., v. a. Rz. 293 ff. (Zwei-Stufen-Theorie) und Nicklisch, Funktion und Bedeutung technischer Standards in der Rechtsordnung, BB 1983, S. 261 (Einheitstheorie); dazu Seibel, Abgrenzung der „allgemein anerkannten Regeln der Technik“ vom „Stand der Technik“, NJW 2013, S. 3000, 3003. Zum Begriff technischer Normen allgemein Joerges, Technische Normen (Fn. 2), S. 247 ff. Vgl. Carnap, Philosophical Foundations of Physics: An Introduction to the Philosophy of Science, New York: Basic Books 1966, S. 100. 35 K. Oftinger, Punktationen für eine Konfrontation der Technik mit dem Recht, in: Schweizerischer Juristenverein, Die Rechtsordnung im technischen Zeitalter – Festschrift der Rechts- und Staatswissenschaftlichen Fakultät der Universität Zürich zum Zentenarium des Schweizerischen Juristenvereins 1861– 1961, Zürich 1961, S. 1. H. Brinckmann/Kuhlmann, Computerbürokratie: Ergebnisse von 30 Jahren öffentlicher Verwaltung mit Informationstechnik, Wiesbaden 1990, S. 32. Allgemein zur Systemtheorie Luhmann, Die Gesellschaft der Gesellschaft, Berlin 1997; Luhmann, Das Recht der Gesellschaft, Berlin 1995. 36 Etwa Di Fabio, Technikrecht – Entwicklung und kritische Analyse, in: Vieweg, Techniksteuerung und Recht, 2000, S. 9, 15. 37 Sie dazu auch Pohle, Privacy and Data Protection by Design: A Critical Perspective, in: Milch et al. (Hrsg.), Building Common Approaches for Cybersecurity and Privacy in a Globalized World. New York: NYU Center for Cybersecurity, 2019, S. 134.

40

Technologiebezogene Ermessensspielräume der Unternehmensleitung

technischer Diskurse bedeutet keine Unterwerfung des Rechts unter die Vorgaben der Technologie, sondern bedingt geradezu sein Primat.38 Die essentielle Frage dabei ist freilich, ob der Staat selbst den Sachverstand erwerben soll, indem er Kompetenzzentren einrichtet oder ob er an Private mit besonderer Sachnähe delegiert. In letzterem Fall ist die Sicherstellung der Übersetzungsleistung für die Effektivität der Regulierung entscheidend – denn die gezeigten Divergenzen zwischen technologischem und rechtlichem Diskurs können zu Ergebnissen führen, die den gesetzgeberischen Zielen nicht vollständig entsprechen. Bei der „Übersetzung“ zwischen den Funktionslogiken von Recht und 17 Technologie handelt es sich nicht um eine Neubeschreibung eines Weltausschnittes, also eine Übersetzung im klassischen Sinne, sondern um dessen Neukonstitution in einer anderen Logik. Damit einher geht die Zuweisung neuer und Beseitigung alter Bedeutungen,39 selbst wenn die Benennungen gleich bleiben. Daher stellt die transdisziplinäre Delegation andere Fragen als die nach der Interpretationsbefugnis der Judikative und Exekutive bei unbestimmten Rechtsbegriffen.40 Sie wirft nicht allein juristische Subsumtions- oder Auslegungsprobleme auf, sondern spezifische Probleme der Technologie. Die Übersetzungsprobleme fallen auf die Regelungsunterworfenen zurück, wenn der Staat sich nicht selbst auf ein Regulierungsmittel festlegt. Die Übersetzungsschwierigkeiten zwischen den Disziplinen können 18 besondere Unsicherheiten für die Rechtsunterworfenen bedeuten. Dies betrifft sowohl die Auslegung als auch die Anwendung der technischen Standards und vermehrt damit die Rechtsfindungsprobleme auf dem Weg von Technologie über das Recht in die betriebswirtschaftliche Entscheidung. Technologiebasierte Geschäftsmodelle und Organisationen sehen sich so dreifach unklaren Verhaltensanforderungen gegenüber: technische Standards können per se schwer verständlich sein, da sie einer anderen Semantik als Recht und Wirtschaft folgen, bei Abstellen auf Marktstandards sind zusätzlich ihre Quelle und Form unklar. Hinzu kommen die allgemeinen Probleme komplexer Rechtssätze und ihrer Umsetzung in eine Verhaltensentscheidung.

38 Zur Forderung des Primats von Recht über Technik Oftinger, Punktationen (Fn. 21), a. a. O., S. 3 ff.; vgl. auch Lessig, Code Version 2.0, New York: Basic Books 2006, S. 325 ff. 39 Dazu für den Prozess der Quantifizierung Porter, Making Things Quantitative, Science in Context 7 (1994), S. 389. 40 Die juristische Normkonkretisierung trägt ebenfalls ein Moment der Delegation in sich, vgl. dazu Röthel, Normkonkretisierung (Fn. 15), S. 20 ff., 37 ff.

41

Michael Denga

c) Bisherige Vernachlässigung im juristischen Diskurs 19 Technikregulierung kann fraglos nicht unbegrenzt delegiert werden.41 Im Unterschied zu privatautonomer Vertragsgestaltung, dem Setzen von Vereinsregeln, der lex mercatoria oder der lex sportiva, ist die Legitimität delegierter Normen nicht auf Einwilligung der Betroffenen zurückzuführen. Die Delegationsentscheidung muss besonders gerechtfertigt werden und ist insbesondere an den verfassungsrechtlichen Vorgaben des Bestimmtheitsgrundsatzes und des Wesentlichkeitsvorbehalts zu messen.42 Auch auf europäischer Ebene wird die „Verlagerung von Rechtsetzungsmacht“ auf Private als Legitimationsproblem diskutiert.43 Einhellig wird ein Delegationsdefizit festgestellt und zugleich die Frage nach seiner Kompensation aufgeworfen. Allgemein wird angemahnt, dass der Gesetzgeber, in Anlehnung an die europäische Meroni-Doktrin des EuGH zur Kompetenzdelegation an Agenturen, verpflichtet sein sollte, in einer „aktiven Rolle“ zu bleiben und stets nachzuvollziehen, welche Lösungen zum Einsatz kommen.44 Spezifischer wird eine staatliche Inhalts- oder eine Verfahrenskontrolle vorgeschlagen.45 Eine Inhaltskontrolle soll durch eine inhaltliche Determinierung des Regelungsauftrags ex ante erfolgen oder ex post durch eine inhaltliche Kontrolle der Ergebnisse der Normungsarbeit. Eingewandt wird hiergegen freilich die fehlende außerrechtliche Expertise der staatlichen Stellen und die erhebliche Verzögerung des Normierungsverfahrens.46 Eine Verfahrenskontrolle könnte sich auf die Transparenz der Normung oder die Sicherung einer ausgewogenen Interessenrepräsentation im Normungsprozess beziehen. Hier scheint allerdings die Verfahrenskontrolle nur vordergründig auf 41 Umfassend Denninger, Verfassungsrechtliche Anforderungen an die Normsetzung im Umwelt- und Technikrecht, Baden-Baden 1990. 42 Früh schon Marburger, Regeln der Technik (Fn. 14), S. 281; Röthel, Steuern und Gerechtigkeit (Fn. 15), S. 755, 759 f.; zur verfassungsrechtlichen Möglichkeit von Delegation Röthel, Normkonkretisierung (Fn. 15), S. 60 ff., allerdings ohne die inzwischen maßgebliche europarechtliche Komponente. Umfassend zur Legitimation privater Strukturen Bachmann, Private Ordnung, Tübingen 2006; siehe auch Möslein (Hrsg.), Private Macht, Tübingen 2016. 43 Lübbe-Wolff, VVDStRL 60 (2000), S. 246, 249 ff.; Röthel, Steuern und Gerechtigkeit (Fn. 15), S. 755, 760. 44 Eindringlich auf die Risiken zu weitgehender Delegation einer Regulierung durch Algorithmen hinweisend Spindler, Kurzgutachten: Regulierung durch Technik, Sachverständigenrat für Verbraucherfragen, 2016, II. B. 7. Vgl. auch Spindler/Thorun, Ordnungspolitik (Fn. 30), S. 41 ff. Vgl. auch EuGH v. 13.6.1958 – C-9/56 u. C-10/56, ECLI:EU:C:1958:7 S. 25 ff., BeckRS 2004, 73861 – Meroni. 45 M. w. N. Röthel, Steuern und Gerechtigkeit (Fn. 15), S. 755, 761. 46 Röthel, Steuern und Gerechtigkeit (Fn. 15), S. 755, 761.

42

Technologiebezogene Ermessensspielräume der Unternehmensleitung

Ebene der abgelaufenen und dokumentierten Verfahrensschritte gut verifizierbar. Die Frage nach der tatsächlichen Effektivität der Verfahrenskontrolle bleibt im Dunkeln.47 Insgesamt steht im juristischen Diskurs die disziplinäre Delegation ganz 20 im Schatten der personellen. Hier sind bislang kaum Ansätze zu finden, die das „Übersetzungsproblem“ mit seinen spezifischen Unschärfen adressieren.48 Prominent diskutiert wurde zwar, dass auch technologischer „Code“ verhaltenssteuernd wirkt.49 Dabei geht es freilich um die faktische Steuerungswirkung technologischer Architektur. Die Regulierung mittels doppelter Delegation hingegen bedeutet immer noch eine normative Steuerungswirkung gegenüber Technologie, per Sollenssatz, der durch eine außerrechtliche Disziplin ausgefüllt wird. In Blick zu nehmen sind daher alternative Kompensationsmittel, wie insbesondere eine Haftungslösung für die Rechtsunterworfenen – in Form einer Technology Judgement Rule. IV. Technology Judgement Rule Für Unternehmen und deren Leitungsorgane stellt sich die Frage richti- 21 gen Verhaltens vor dem Hintergrund ihrer Legalitätspflicht im Falle des Verweises auf „den Stand der Technik“ mit aller Dringlichkeit. Eine Haftungsprivilegierung, die bei gesetzgeberischem Rekurs auf die doppelte Delegation bei der Ausgestaltung von Verhaltenspflichten in technologiebezogenen Sachverhalten greift, kann ihren Status unmittelbar verbessern. Naheliegendes, freilich nur modifiziert übertragbares, Vorbild ist die Business Judgement Rule, die als „Technology Judgement Rule“ auf technische Sachverhalte übertragbar scheint. Technologiebasierte Geschäftsmodelle könnten so auch bei unklaren Verhaltensanforderun47 Voelzkow, Private Regierungen in der Techniksteuerung: eine sozialwissenschaftliche Analyse der technischen Normung, Frankfurt a. M. 1996, S. 219 ff.; vgl. zur Prozeduralisierung im Recht auch Ladeur, Subjektive Rechte und Theorie der Prozeduralisierung, KJ 1994, S. 42, 47 ff. 48 Für die rechtliche Bedeutung des robo.txt-Standards exemplarisch Conrad/ Schubert, How to Do Things with Code. Zur Erklärung urheberrechtlicher Einwilligungen durch robots.txt, GRUR 2018, S. 350; für das Problem der Übersetzung ethischer Werte in den Code intelligenter Agenten bereits Denga, Deliktische Haftung für künstliche Intelligenz, CR 2018, S. 69, 77. 49 Vgl. Lessig, Code 2.0 (Fn. 24), S. 83 ff.; Hildebrandt, Legal and Technological Normativity: more than twin sisters, Techné: Research in Philosophy and Technology 12.3.2008, S. 169; zuletzt kritisch Roßnagel, Technik, Recht und Macht. Aufgabe des Freiheitsschutzes in Rechtsetzung und -anwendung im Technikrecht, MR 2020, S. 222.

43

Michael Denga

gen durch gesetzgeberische Referenz auf „den Stand der Technik“ rechtssicher betrieben werden.50 1. Voraussetzungen und Ratio der Business Judgement-Rule 22 Die Business Judgement Rule betrifft das Innenverhältnis von Gesellschaft und Entscheidungsorganen. Für unternehmerische Entscheidungen regelt sie den Haftungsumfang der Entscheidungsorgane gegenüber der Gesellschaft. Der Sorgfaltsmaßstab eines ordentlichen und gewissenhaften Geschäftsleiters ist dabei Ausgangspunkt für die Bewertung des Verhaltens dieser Organe. Sobald eine unternehmerische Entscheidung getroffen wird, ist der spezifische Anwendungsbereich der Business Judgement Rule eröffnet.51 Unternehmerische Entscheidungen sind dann nicht sorgfaltswidrig, wenn das Organ vernünftigerweise annehmen durfte, auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln. Erforderlich ist eine hinreichende Informationsgrundlage. In der konkreten Entscheidungssituation müssen alle verfügbaren Informationsquellen tatsächlicher und rechtlicher Art ausgeschöpft und auf dieser Grundlage die Vor- und Nachteile der bestehenden Handlungsoptionen sorgfältig abgeschätzt werden. Den erkennbaren Risiken muss angemessen Rechnung getragen sein.52 Hier wird auch der Einsatz von Algorithmen diskutiert, wobei weiterhin die Letztentscheidungskompetenz beim Unternehmensorgans liegen soll.53 50 Dazu umfassend Denga/Pohle/Hölzel, RW 2020, 420, 444 ff. 51 Sie gilt bei allen juristischen Personen, für einige ist sie ausdrücklich kodifiziert, vgl. §§ 93 Abs. 1 S. 2, 116 S. 1 AktG, sowie § 34 GenG, wo dies nicht der Fall ist, wird sie analog angewendet. Zur GmbH: Fleischer, in: MünchKomm GmbHG, 3. Aufl. 2019, § 43 Rz. 71; zum Verein: Leuschner, in: MünchKomm BGB, 8. Aufl. 2018, § 27 Rz. 69 ff.; zu internationalen Tendenzen, Merkt, Rechtliche Grundlagen der Business Judgement Rule im internationalen Vergleich zwischen Divergenz und Konvergenz, ZGR 2017, S. 129. 52 St. Rspr., vgl. BGH v. 14.7.2008 – II ZR 202/07, NZG 2008, 751, 752; BGHZ 197, 304. 53 Vgl. dazu Strohn, Zur Zuständigkeit der Hauptversammlung bei Zusammenschlussvorhaben unter Gleichen, ZHR 182 (2018), S. 371; F. Möslein, Digitalisierung im Gesellschaftsrecht: Unternehmensleitung durch Algorithmen und künstliche Intelligenz?, ZIP 2018, S. 204, 206 m. w. N. und Weber/Kiefner/ Jobst, Künstliche Intelligenz und Unternehmensführung, NZG 2018, S. 1131, 1136; Zetzsche Corporate Technologies – Zur Digitalisierung im Aktienrecht, AG 2019, 1, 9 f.; Hoch, Anwendung Künstlicher Intelligenz zur Beurteilung von Rechtsfragen im unternehmerischen Bereich, AcP 219 (2019), S. 646, 670; Wagner, Legal Tech und Legal Robots in Unternehmen und den sie beratenden Kanzleien, BB 2018, S. 1097, 1098; Noack, Organisationspflichten und -strukturen kraft Digitalisierung, ZHR 183 (2019), S. 105.

44

Technologiebezogene Ermessensspielräume der Unternehmensleitung

Die Business Judgement Rule soll Rückschaufehler (sog. hindsight bias) 23 bei der nachträglichen Beurteilung der unternehmerischen Entscheidung ausschließen und damit das Haftungsrisiko für die Entscheidungsträger auf ein akzeptables Niveau bringen. Unternehmerisches Risiko soll so ermöglicht bleiben und das überlegene Sachwissen des Entscheidungsorgans in der konkreten Unternehmenssituation anerkannt werden.54 2. Haftungserleichterung bei technologiebezogenen Entscheidungen a) Besseres Wissen als Privilegierungsgrund Die Ratio der Business Judgement Rule passt grundsätzlich auch auf Her- 24 stellung und Einsatz von Technologie: Organisationseigenes Risiko soll dort erlaubt sein, wo organisationseigene Expertise zum Tragen kommt. Unternehmerische und organisatorische Expertise ist marktspezifisch intensiv auf Technologiefragen bezogen. In spezialisierten Technologiemärkten und -segmenten entwickeln sich technische Branchenstandards, die von außen, insbesondere aus der Perspektive des Gesetzgebers, schwer zu beurteilen sind. Dies ist gerade auch der Grund für die doppelte Delegation – der Versuch sämtliche technologiebasierte Tätigkeiten und Unternehmensmodelle selbst zu regulieren wäre für den Gesetzgeber höchst voraussetzungsreich und dürfte vorerst eine Ausnahmeerscheinung nur in vitalen Lebensbereichen bleiben.55 b) Technologiefragen vs. Rechtsfragen Eine analoge Anwendung der Business Judgement Rule wird bislang 25 nur beschränkt für möglich gehalten. Eine Erweiterung von unternehmerischen Risiken auf Konstellationen der Rechtsunsicherheit wird abgelehnt, da der Gesetzgeber zwischen unternehmerischen und sonstigen Pflichten differenziere.56 Für illegales Verhalten dürfe kein „Safe Harbour“ eröffnet werden,57 die Gesellschaftsorgane sollen streng an die

54 Armour/Enriques/Hansmann/Kraakman, in Kraakmann u. a. (Hrsg.), Anatomy of Corporate Law, 3. Aufl., Oxford: Oxford University Press 2016, S. 69 f.; vgl. auch Kindler, Unternehmerisches Ermessen und Pflichtenbindung, ZHR 162 (1998), S. 101; zu Rückschaufehlern allgemein Falk, Rückschaufehler und Fahrlässigkeit – Zivilrechtliche Perspektive, RW 10 (2019), S. 204. 55 Vgl. oben Rz. 3f., Rz. 10. 56 Weitere Nachweise Spindler, in: MünchKomm AktG, 5. Aufl. 2019, § 93 Rz. 88. 57 Begr. RegE UMAG BT-Drs. 15/5092, 11; vgl. auch Bicker, Legalitätspflicht des Vorstands – ohne Wenn und Aber?, AG 2014, S. 8, 9.

45

Michael Denga

Einhaltung der Gesetze gebunden sein (Legalitätsprinzip).58 In der Literatur werden allerdings auch abweichende Ansätze vertreten. So soll bei erheblicher Rechtsunsicherheit, der unternehmerische Entscheidungen zu Grunde liegen, die Business Judgement Rule doch greifen.59 Die exakte Abgrenzung unternehmerischer von rein rechtlichen Entscheidungen kann freilich nicht abstrakt-generell geklärt werden.60 26 Fraglos ist eine Umgehung der Legalitätspflicht der Entscheidungsorgane auch in technologieintensiven Sachverhalten nicht zulässig. Wo allerdings schon bei der Business Judgement Rule Rechtsunsicherheiten auf Grund unternehmensbezogener Entscheidungen als vom Schutzbereich der Privilegierung erfasst angesehen werden, muss dies erst recht für Tatbestände mit Technologiebezug gelten, die der Gesetzgeber nicht selbst beurteilen wollte oder konnte. Bei technologieintensiven Geschäftsmodellen und Tätigkeiten ist jede Entscheidung mit Technologiebezug auch eine unternehmerische Entscheidung. Dies gilt auch für die Erfüllung von Verhaltenspflichten, die durch die doppelte Delegation ausgefüllt werden. Die rechtliche Dimension der unternehmerischen Pflichten ist 58 Wiedemann, Verantwortung in der Gesellschaft – Gedanken zur Haftung der Geschäftsleiter und der Gesellschafter in der Kapitalgesellschaft, ZGR 2011, S. 183, 193; Binder Mittelbare Einbringung eigener Aktien als Sacheinlage und Informationsgrundlagen von Finanzierungsentscheidungen in Vorstand und Aufsichtsrat, ZGR 2012, S. 757, 769; Strohn, Pflichtenmaßstab und Verschulden bei der Haftung von Organen einer Kapitalgesellschaft, CCZ 2013, S. 177, 178; Krieger, Wie viele Rechtsberater braucht ein Geschäftsleiter?, ZGR 2012, S. 496, 497; Redeke, Zur gesellschaftsrechtlichen Gremienberatung durch die Rechtsabteilung, AG 2017, S. 289, 290; ausführlich zum Legalitätsprinzip Thole, Managerhaftung für Gesetzesverstöße, ZHR 173 (2009), S. 504; BGH v. 27.8.2010 – 2 StR 111/09, BGHSt 55, 266; Ott, Anwendungsbereich der Business Judgement Rule aus Sicht der Praxis – Unternehmerische Entscheidungen und Organisationsermessen des Vorstands, ZGR 2017, 149, 159 f.; Verse, Organhaftung bei unklarer Rechtslage – Raum für eine Legal Judgement Rule?, ZGR 2017, S. 194. 59 Spindler, in: MünchKomm AktG, 5. Aufl., München 2019, § 93 Rz. 89; Ott, Anwendungsbereich der Business Judgement Rule aus Sicht der Praxis – Unternehmerische Entscheidungen und Organisationsermessen des Vorstands, ZGR 2017, 149, 161 f. 60 So führen Junker/Biederbick, Die Unabhängigkeit des Unternehmensjuristen, Dürfen Organmitglieder auf den Rat der Rechtsabteilung hören?, AG 2012, S. 898, 904 den Fall des Unternehmenskaufs an, der zwar dem Grunde nach eine unternehmerische Entscheidung ist, jedoch durch eine Vielzahl rechtlicher Fragestellungen wie insbesondere Haftungsrisiken geprägt wird; ähnlich auch Buck-Heeb Die Plausibilitätsprüfung bei Vorliegen eines Rechtsrats – zur Enthaftung von Vorstand, Geschäftsführer und Aufsichtsrat, BB 2016, 1347, 1347.

46

Technologiebezogene Ermessensspielräume der Unternehmensleitung

dabei durch die Verschiebung der Entscheidungslogik vom Recht in eine technische Disziplin soweit reduziert, dass die Legalitätspflicht nicht als Einwand gegen eine Haftungsprivilegierung taugt. Auf die Graubereiche der Vermengung von rechtlichen und unternehmerischen Fragen kommt es damit im Falle der doppelten Delegation gar nicht mehr an. c) Einschätzungsprärogative von Markt und Marktteilnehmer Erfolgt die doppelte Delegation an „den Markt“, „die Branche“, mithin 27 ad incertas personas, setzt sich der Markt immer noch aus einzelnen Marktteilnehmern zusammen, die einzeln nicht das leisten können, was ihr anonymer Verbund zu erreichen vermag.61 Wenn der Regelungsadressat gleichzeitig Teil der anonymen Gruppe der Regelgeber ist, dahingehend also eine Personalunion erlebt, muss er einen Teil ihres Regelungsprivilegs genießen. Dies folgt auch aus einer öffentlich-rechtlichen Betrachtung der Delegation von Pflichtenausgestaltung vom Gesetzgeber an Private – die Einschätzungsprärogative des Gesetzgebers kann nicht von der Entscheidungsbefugnis getrennt sein und wird als untrennbarer Annex an den Markt und die Unternehmer als seine einzelnen Elemente mitdelegiert. Überprüfbar sind analog zur Einschätzungsprärogative des Gesetzgebers über die Geeignetheit und Erforderlichkeit einer Regelsetzung mithin nur offensichtliche Verstöße gegen den Standard oder die Branchenübung.62 d) Informationspflichten des Regelungsadressaten Der Regelungsadressat einer auf technische Marktstandards verweisen- 28 den Norm ist folglich mindestens zu einem Vergleich mit den Lösungen in sachnahen Märkten oder Lebensbereichen verpflichtet. Wie bei der Business Judgement Rule auch, müssen die Informationsanstrengungen den Gefahren des Verhaltens angemessen sein. Ein Anbieter medizinischer Teledienstleistungen muss den Markt umfassender analysieren als der Anbieter einer Wetter-App. In der Praxis dürften IT-Berater und das

61 Zum Mehrwert der Kooperation, die über die Summe der Einzelleistungen hinaus Früchte trägt, vgl. Alchian/Demsetz, Production, Information Costs and Economic Organization, American Economic Review 62:5 1972, S. 777. Zur Maßgeblichkeit des Konkretisierungsgrades der einzelnen Verpflichtung, vgl. Ott, Anwendungsbereich der Business Judgement Rule aus Sicht der Praxis – Unternehmerische Entscheidungen und Organisationsermessen des Vorstands, ZGR 2017, (Fn. 57), S. 149, 160 f.; vgl. auch Nietsch, Geschäftsleiterermessen und Unternehmensorganisation bei der AG, ZGR 2015, S. 631, 645 ff. 62 Vgl. dazu etwa BVerfG, Beschluss v. 27.1.2011 – 1 BvR 3222/09.

47

Michael Denga

eigene Branchennetzwerk die Erkenntnismedien der Wahl sein.63 Die Einholung von Rechtsrat scheint angesichts der disziplinären Komponente der Delegationslösung inhaltlich nicht weiterführend. Allerdings bleibt vor allem die Frage, ob eine Verhaltensregulierung durch doppele Delegation vorliegt und auch die der Gewichtung der Schutzgüter, genuin rechtlich und damit Rechtsrat hierzu maßgeblich. e) Externe Wirkung einer Haftungsprivilegierung 29 Die Business Judgement Rule legitimiert Risikoentscheidungen des Entscheidungsträgers allein intern gegenüber der Gesellschaft und dies auch nur, wenn diese in deren Interesse getroffen werden, als notwendige Kehrseite des möglichen Gesellschaftsnutzens aus dem eingegangenen unternehmerischen Risiko. Eine Wirkung der Business Judgement Rule gegenüber Dritten wird daher von der h. M. zu Recht abgelehnt.64 30 Technikregulierung auf Grundlage doppelter Delegation hat allerdings, schon um grundrechtlich und grundfreiheitlich angemessen zu sein, eine externe, auf Dritte bezogene Schutzrichtung.65 Wenn also die Ermessensausübung unter dem Pflichtenprogramm einer Norm mit doppelter Delegation „zum Wohle“ der externen Schutzgutträger ausgeübt wird, so sollte sich der Regelungsadressat bei Entscheidungen auf Grund einer angemessen Informationsgrundlage diesen gegenüber auch auf seinen quasi-gesetzgeberischen Ermessensspielraum berufen können. Sein Handeln muss von dem Willen geleitet sein, die Schutzgüter der Technikregulierung zu bewahren. Dafür ist Kenntnis von den Schutzgütern und eine technologische Methodenkompetenz zu fordern, die eine Abwägung erst ermöglicht. 31 Für eine Außenwirkung der Technology Judgement Rule ist nicht hinderlich, dass sowohl im Leistungsstörungs- als auch im Deliktsrecht der strenge Grundsatz besteht, dass Rechtsirrtümer gegenüber Dritten grundsätzlich nur entschuldigt werden können, wenn der Schuldner oder Schädiger nach sorgfältiger Prüfung der Rechtslage „mit einer anderen Beurteilung durch die Gerichte nicht zu rechnen brauchte“.66 Denn es

63 Vgl. dazu Strohn, Beratung der Geschäftsleitung durch Spezialisten als Ausweg aus der Haftung?, ZHR 176 (2012), S. 137. 64 M. w. N. Verse, Organhaftung (Fn. 57), S. 174, 181 f. 65 Zum allgemeinen Regulierungserfordernis des legitimen Zwecks m. w. N. Grzeszick, in: Maunz/Dürig, Grundgesetz-Kommentar, 89. EL Oktober 2019, Art. 20 Rz. 111. 66 St. Rechtsprechung; für den Schuldnerverzug etwa BGH v. 9.2.1951 – I ZR 35/50, NJW 1951, 398; BGH v. 26.1.1983 – IV b ZR 351/81, NJW 1983, 2318,

48

Technologiebezogene Ermessensspielräume der Unternehmensleitung

handelt sich bei falscher Erfassung des technischen Branchenstandards, auf welche eine Verhaltensregulierung verweist, gerade nicht um Rechtsirrtümer, sondern um Fehlvorstellungen über technologische Fragen. Wie gezeigt sind die echten Rechtsfragen bei der doppelten Delegation sehr beschränkt. Eine ex post-Substitution des Entscheidenden durch ein Gericht macht in technischen Fragen ebenso wenig Sinn wie in unternehmerischen, zumal schon der Gesetzgeber nicht selbst über den konkreten Pflichteninhalt entscheiden wollte und auch darauf verzichtet hat, Sachverständigenexpertise in Anspruch zu nehmen. Mit der doppelten Delegation ist vielmehr eine Ermächtigung zur Risikoeinschätzung gegeben – und damit auch dazu, das Risiko einer Fehleinschätzung dem Rechtsverkehr aufzubürden.67 f) Verhältnis zur Generalformel Wie einleitend gezeigt gelten für Technologieunternehmen auch die all- 32 gemeinen Sorgfaltspflichten unter der Generalformel. Der besondere Gehalt technologiebezogener Spezialnormen ist im Verhältnis zur generellen Sorgfaltspflicht im Wege der Auslegung zu bestimmen. Wird ein technischer Standard in einer Norm ausdrücklich in Bezug genommen, so kann in Abhängigkeit von der Intensität der Regulierung des Sachbereichs eine abschließende Regelung anzunehmen sein, welche die allgemeinen Verkehrssicherungspflichten verdrängt. Der Gesetzgeber müsste deutlich kenntlich machen, wenn der Verweis auf einen technischen Standard wie bei den Verkehrssicherungspflichten lediglich als Mindestmaß zu verstehen wäre. Die praktische Rechtfertigung spezifischer Technikregulierung entfiele ansonsten und der Gesetzgeber könnte sich auf eine Technikregulierung durch die allgemeinen Verkehrssiche-

2321; BGH v. 24.9.2013 – I ZR 187/12, NJW-RR 2014, 733 Rz. 19; BGH v. 30.4.2014 – VIII ZR 103/13, NJW 2014, S. 2720 Rz. 23; für die Verletzung vertraglicher und vorvertraglicher Pflichten BGH v. 11.1.1984 – VIII ZR 255/82, BGHZ 89, 296, 303; BGH v. 11.6.2014 – VIII ZR 349/13, NJW 2014, S. 2717 Ls. 3, Rz. 35 f; BGH v. 15.7.2014 – XI ZR 418/13, NJW 2014, 2951 Rz. 14 f; für das Deliktsrecht und Sonderdeliktsrecht BGH v. 16.12.1986 – KZR 36/85, GRUR 1987, 564, 565; BGH v. 10.10.1989 – KZR 22/88, NJW 1990, 1531, 1533; BGH v. 18.12.1997 – I ZR 79–95, NJW 1998, 2144, 2144 f; der Sache nach auch BGH v. 1.12.1981 – VI ZR 200/80, NJW 1982, 635, 637. 67 Vgl. zum Gedanken der Risikoabwälzung bei der Business Judgement Rule BGH v. 7.3.1972 – VI ZR 169/70, NJW 1972, 1045, 1046; BGH v. 16.12.1986 – KZR 36/85, GRUR 1987, 564, 565 u. 566; BGH v. 10.10.1989 – KZR 22/88, NJW 1990, 1531, 1533; BGH v. 11.6.2014 – VIII ZR 349/13, NJW 2014, 2717 Ls. 3, Rn. 36; BGH v. 30.4.2014 – VIII ZR 103/13, NJW 2014, 2720 Rz. 24; dazu auch Verse, Organhaftung (Fn. 57), S. 174, 181.

49

Michael Denga

rungspflichten zurückziehen. Es gilt daher auch für Verhaltensregeln im Technologierecht lex specialis derogat legi generali. Freilich kann die Techniknorm nur soweit die Generalformel verdrängen, wie sie selbst reicht, also nur bezüglich der durch sie adressierten Risiken. 33 Für eine generelle Sperrwirkung von Techniknormen gegenüber der Generalformel spricht auf Ebene des Europarechts etwa die explizite Benennung eines Risikoermittlungsprogramms unter Art. 9 Abs. 2 des Entwurfs über einen Artificial Intelligence Act („kontinuierlicher, interativer Prozess“), der neben der Referenz auf allgemeinen Stand der Technik gilt. Diese Regelung wäre überflüssig, wenn die allgemeine Sorgfaltspflicht ohnehin neben der Referenz auf Stand der Technik bestünde. V. Fazit 34 Entwicklung und Einsatz von Technologie durch Unternehmen bedeuten für die Gesellschaft, und reflexhaft vermittelt durch das Haftungsrecht auch für das Unternehmen selbst, erhebliche Risiken. Hier ist ein Interessenausgleich erforderlich, der Rechtsgüterschutz, Profit und Innovation konziliant vereint. Die Generalformel risikoangemessener Schutzmaßnahmen wird hier vom Gesetzgeber vielfach nicht als hinreichend angesehen, was zu einem inzwischen erheblichen Bestand an Technikregulierung geführt hat, der das agierende Unternehmen nicht lediglich auf konkrete technische Maßnahmen, sondern schlechthin auf den „Stand der Technik“ verpflichtet. Die damit einhergehende doppelte Delegation der Verhaltensanforderungen an Private und außerhalb des Rechts führt nach hier vertretener Auffassung zu einem auch nach außen wirkenden Ermessensspielraum des sachnäheren Unternehmens bei der Auswahl der zu treffenden Maßnahmen. Das Verhältnis technologiespezifischer Sonderregeln zur allgemeinen Sorgfaltspflicht bleibt freilich unklar – viel spricht dafür, dass auch unter der allgemeinen Sorgfaltspflicht, der „Stand der Technik“ verbindlich ist, der Gesetzgeber allerdings in einigen Bereichen Akzente setzen und besonderes Verantwortungsbewusstsein bei den Marktakteuren schaffen will. Egal ob man technikspezifischen Verhaltenspflichten eine Sonderrolle einräumt, oder sie auch aus der allgemeinen Sorgfaltspflicht ableitet, bei der delegierten Wahl komplexer technologischer Mittel zur Einhaltung der Sorgfaltspflichten muss die fehlende Konkretisierung durch den Gesetzgeber selbst auch bei der Haftungsfrage im Schadensfall adäquat zur Geltung kommen. Die hier dargelegte Technology Judgement Rule scheint dabei eine angemessene Lösung zu sein.

50

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie Lea Katharina Kumkar* I. Einführung 1 1. Die Mitteilung der EU-Kommission zur „Europäische Datenstrategie“ 2 2. „Pivot or persevere“ – Strategieentscheidungen für die Datenökonomie 3 3. Regelungsvorschläge für einen Data Governance-Rahmen 6 II. (Hochwertige) Daten des öffentlichen Sektors

7

III. Data Governance-Verordnung 9 1. Weiterverwendung geschützter Daten des öffentlichen Sektors 10 2. Dienste für die gemeinsame Datennutzung 11 a) Erfasste Geschäftsmodelle 13 b) Anmeldeverfahren und Pflichten 14 c) Durchsetzung 15 d) Stellungnahme und Bewertung 16

3. Datenaltruismus 4. Europäischer Dateninnovationsrat IV. Rechtsakt über Daten V. Maßnahmen im Bereich des Wettbewerbsrechts VI. Analyse und Bewertung 1. Vom Datenschutz- zum Datenwirtschaftsrecht 2. Von personenbezogenen zu nicht-personenbezogenen Daten 3. Von exklusivem „Dateneigentum“ hin zum erleichterten Zugang zu Daten 4. Bewertung

19 22 23 27 30 31

32

33 37

Literatur: Amstutz, Dateneigentum, AcP 218 (2018), 438; Blankertz/Braunmühl/ Kuzev/F. Richter/H. Richter/Schallbruch, Datentreuhandmodelle, Themenpapier 2020 (https://www.stiftung-nv.de/sites/default/files/20200428-datentreuhandmodelle.pdf); Blankertz/Specht, Wie eine Regulierung für Datentreuhänder aussehen sollte, Stiftung Neue Verantwortung – Policy Brief Juli 2021 (https://www. stiftung-nv.de/sites/default/files/regulierung_fuer_datentreuhaender.pdf); Denga, Gemengelage privaten Datenrechts, NJW 2018, 1371; Drexl, Neue Regeln für die Europäische Datenwirtschaft?, NZKart 2017, 415; Falkhofen, Infrastrukturrecht

*

JProf. Dr. Lea Katharina Kumkar, Inhaberin der Juniorprofessur für Bürgerliches Recht, Wirtschaftsrecht und Rechtsfragen der Digitalisierung an der Universität Trier. Der Beitrag wurde in dieser Fassung im Dezember 2021 zur Veröffentlichung eingereicht.

51

Lea Katharina Kumkar des digitalen Raums, EuZW 2021, 787; Fezer, Dateneigentum der Bürger, ZD 2017, 99; Fries/Scheufen, Märkte für Maschinendaten, MMR 2019, 721; Hacker, Daten als Gegenleistung: Rechtsgeschäfte im Spannungsfeld von DS-GVO und allgemeinem Vertragsrecht, ZfPW 2019, 148; Hart/Ludin, Recht der Datenzugänge, MMR 2021, 534; Hoeren, Datenbesitz statt Dateneigentum, MMR 2019, 5; Gersdorf/Paal (Hrsg.), BeckOK Informations- und Medienrecht, 33. Edition 2021; Kerber, Datenrechtliche Aspekte des Digital Markets Act, ZD 2021, 544; Kühling, Der datenschutzrechtliche Rahmen für Datentreuhänder, ZfDR 2021, 1; Kühling/Sackmann, Irrweg „Dateneigentum“ – Neue Großkonzepte als Hemmnis für die Nutzung und Kommerzialisierung von Daten, ZD 2020, 24; Louven, Datenmacht und Zugang zu Daten, NZKart 2018, 217; Lundqvist, The Proposed Digital Markets Act and Access to Data: A Revolution, or Not?, IIC 2021, 239; Michl, „Datenbesitz“ – ein grundrechtliches Schutzgut?, NJW 2019, 2729; Paal/ Hennemann, Big Data im Recht, NJW 2017, 1697; Paal/Kumkar, Wettbewerbsschutz in der Digitalwirtschaft, NJW 2021, 809, 814; Paal/Kumkar, Die digitale Zukunft Europas, ZfDR 2021, 97; Raue, Die Rechte des Sacheigentümers bei der Erhebung von Daten, NJW 2019, 2425; Richter, Europäisches Datenprivatrecht: Lehren aus dem Kommissionsvorschlag für eine „Verordnung über europäische Daten-Governance“, ZEuP 2021, 634; Schweitzer, Datenzugang in der Datenökonomie: Eckpfeiler einer neuen Informationsordnung, GRUR 2019, 569; Specht-Riemenschneider/Blankertz/Sierek/Schneider/Knapp/Henne, Die Datentreuhand, MMR-Beil. 2021, 25; Spindler, Schritte zur europaweiten Datenwirtschaft – der Vorschlag einer Verordnung zur europäischen Data Governance, CR 2021, 98; Steinrötter, Zur Diskussion um ein auf syntaktische Informationen bezogenes „Dateneigentum“, in: Specht-Riemschneider (Hrsg.), Digitaler Neustart, 2019, S. 17; Steinrötter, Datenaltruimus, ZD 2021, 61; Steinrötter, Gegenstand und Bausteine eines EU-Datenwirtschaftsrechts, RDi 2021, 480; Wandtke, Ökonomischer Wert von persönlichen Daten – Diskussion des „Warencharakters“ von Daten aus persönlichkeits- und urheberrechtlicher Sicht, MMR 2017, 6; Wendehorst/Schwamberger/Grinzinger, Datentreuhand – wie hilfreich sind sachenrechtliche Konzepte?, in: Pertot (Hrsg.), Rechte an Daten, 2020, S. 103; Zech, „Industrie 4.0“ – Rechtsrahmen für eine Datenwirtschaft im digitalen Binnenmarkt, GRUR 2015, 1151.

I. Einführung 1 Daten sind die wesentlichen Triebfedern der modernen – digitalisierten – Wirtschaft; ihr vielfältiger Einsatz bildet die unverzichtbare Grundlage für neue, innovative Geschäftsmodelle, Produktivitätssteigerungen sowie einen effiziente(re)n Ressourceneinsatz in Wirtschaft und Verwaltung.1 Die Wertschöpfung wird zwar regelmäßig erst durch

1

52

Vgl. auch COM (2017) 9 final, S. 3 („Lebensader der wirtschaftlichen Entwicklung“).

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

die Aufbereitung und Auswertung der Daten realisiert,2 die Daten sind aber „Rohstoff“3 für die Informationsgewinnung.4 Mit Blick auf das große wirtschaftliche Potenzial von Daten verwundert es wenig, dass die EU-Kommission bereits seit der Digital Single Markets-Initiative von 2015 den Aufbau einer europäischen Datenwirtschaft als zentrale politische Zielvorgabe verfolgt.5 Auch in der politischen Agenda der amtierenden EU-Kommission bildet die Datenwirtschaft einen wesentlichen Schwerpunkt: Mit Hilfe der Anfang 2020 veröffentlichten „Europäischen Datenstrategie“ soll Europa zur „attraktivsten, sichersten und dynamischsten datenagilen Wirtschaft der Welt“6 werden. 1. Die Mitteilung der EU-Kommission zur „Europäischen Datenstrategie“ Die Mitteilung der EU-Kommission zur Europäischen Datenstrategie 2 (COM (2020) 66 final) enthält Vorschläge für politische Maßnahmen und Investitionen für die kommenden fünf Jahre, d. h. bis 2025/26. Übergeordnetes Ziel ist die Schaffung einer verantwortungsvollen, datenagilen Wirtschaft mit höherer Produktivität und wettbewerbsorientierten Märkten sowie Verbesserungen im öffentlichen Bereich (Gesundheit, Umwelt, Verwaltung und Politik).7 Die EU-Kommission benennt zentrale Hindernisse für den angestrebten „echten Binnenmarkt für Daten“8, darunter u. a. eine Fragmentierung des Rechtsrahmens, unzureichende Verfügbarkeit, Interoperabilität und Qualität von Daten, ungleich verteilte Marktmacht sowie mangelhafte Daten-Infrastrukturen.9 Diese Hemmnisse führen dazu, dass von den Möglichkeiten zum Datenaus-

2

3 4

5

6 7 8 9

Vgl. Hacker, ZfPW 2019, 148, 151. „Daten“ und „Informationen“ sind damit begrifflich zwar zu unterscheiden, gleichwohl aber eng verbunden, vgl. hierzu Oster, JZ 2021, 167, 170 ff.; Spiecker gen. Döhmann, RW 2010, 247, 255 f.; Schur, GRUR 2020, 1142 f. Kühling/Sackmann, ZD 2020, 24; Zech, GRUR 2015, 1151, 1152. Zur Wertschöpfung mit Daten Fries/Scheufen, MMR 2019, 721, 722 f.; Hacker, ZfPW 2019, 148, 151 ff.; Wandtke, MMR 2017, 6; Zech, GRUR 2015, 1151, 1152 f. Vgl. COM (2015) 192 final, S. 16 f. Vgl. insoweit auch die Mitteilungen zur Schaffung eines europäischen Rechtsrahmens für die Datenwirtschaft, COM (2017) 9 final, sowie zum Aufbau eines europäischen Datenraums, COM (2018) 232 final. COM (2020) 66 final, S. 29. Vgl. COM (2020) 66 final, S. 1 f. COM (2020) 66 final, S. 5. COM (2020) 66 final, S. 7 ff.

53

Lea Katharina Kumkar

tausch bisher nur zurückhaltend Gebrauch gemacht wird.10 An diesen Punkten setzt die Strategie an und schlägt Maßnahmen in vier Säulen – Data Governance, Investitionen in datenbezogene Infrastruktur11, Stärkung individueller Handlungskompetenzen12 und gemeinsame europäische Datenräume – vor.13 2. „Pivot or persevere“ – Strategieentscheidungen für die Datenökonomie 3 Was sind Kennzeichen einer (erfolgreichen) Strategie? Der Duden erläutert den Begriff der „Strategie“ als „genauer Plan des eigenen Vorgehens, der dazu dient, ein […] Ziel zu erreichen, und in dem man diejenigen Faktoren, die in die eigene Aktion hineinspielen könnten, von vornherein einzukalkulieren versucht“.14 Eine Strategie ist damit regelmäßig zukunftsgerichtet: Die weitere Entwicklung soll durch ein planmäßig-kalkulierendes Vorgehen gesteuert werden. Allerdings lässt sich aus ex ante-Perspektive kaum sicher vorhersagen, ob die Strategie das gewünschte Ziel auch erreichen wird, denn Strategieentscheidungen werden regelmäßig unter Unsicherheit getroffen: Neue Erkenntnisse oder unvorhergesehene Ereignisse können dazu führen, dass eine bestehende Strategie angepasst oder überworfen werden muss. 4 Die im Bereich der Unternehmensführung bekannte Lean Management-Bewegung, die auf eine möglichst effiziente Gestaltung unternehmerischer Prozesse und Aktivitäten zielt, hat hierfür die Wendung „Pivot or persevere“ geprägt, die sinngemäß zum Ausdruck bringt, dass unternehmerische Strategien mit unsicheren Parametern arbeiten und daher regelmäßig in Frage gestellt und auf ihre Tragfähigkeit hin überprüft werden müssen. Pivot beschreibt dabei so etwas wie einen „Drehpunkt“, einen Moment, in dem die Strategie grundlegend geändert wer-

10 Vgl. COM (2017) 9 final, S. 11. 11 Die EU-Kommission plant eine Reihe von Investitionen im Bereich datenbezogener Infrastruktur und will bis Ende 2022 einen Marktplatz für CloudDienste errichten sowie ein „Cloud-Regelwerk“ entwickeln, vgl. COM (2020) 66 final, S. 18 ff. 12 In diesem Zusammenhang prüft die EU-Kommission u. a. eine Erweiterung des Rechts auf Datenübertragbarkeit gem. Artikel 20 DSGVO, wonach dem Einzelnen mehr Kontrolle darüber verschafft werden soll, wer auf maschinengenerierte Daten zugreifen und diese nutzen kann, vgl. COM (2020) 66 final, S. 23 ff. 13 COM (2020) 66 final, S. 13 ff. 14 Duden Online, Stichwort: „Strategie“, https://www.duden.de/rechtschreibung/Strategie (zuletzt abgerufen am 6.12.2021).

54

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

den muss, um das verfolgte Ziel zu erreichen. Persevere meint hingegen ein „Ausharren“: Die bestehende Hypothese kann im Grundsatz beibehalten werden, es sind allenfalls minimale Anpassungen erforderlich. Das Konzept „Pivot or persevere“ lässt sich auch auf strategische Ent- 5 wicklungsentscheidungen in anderen Bereichen übertragen, gerade auch auf Entscheidungen im politisch-regulatorischen Kontext, die sich regelmäßig durch ein besonders hohes Maß an Unsicherheit über die weitere Entwicklung auszeichnen.15 Dies gilt auch und gerade für die Digitalökonomie, wo sich mit Blick auf die große Dynamik der innovationsgetriebenen Märkte typischerweise nur schwer vorhersagen lässt, ob eine geplante regulatorische Maßnahme den gewünschten Erfolg herbeiführen wird oder nicht.16 Auch mit Blick auf die Europäische Datenökonomie kann daher die Frage gestellt werden: Pivot or persevere? Ist die Kommission mit ihrer Europäischen Datenstrategie auf dem richtigen Weg oder brauchen wir einen Drehpunkt, einen Strategiewechsel in der weiteren Entwicklung? 3. Regelungsvorschläge für einen Data Governance-Rahmen Dies gilt es im Folgenden zu untersuchen, wobei der Fokus auf den Strate- 6 gieansätzen im Abschnitt zur „Data Governance“17 liegen soll, in der die EU-Kommission den zukünftigen Regelungsrahmen für die Datenökonomie skizziert und die daher aus rechtlicher Perspektive von besonderem Interesse sind. Konkret plant die EU-Kommission einen sektorübergreifenden Rahmen für den Datenzugang und die Datennutzung zu errichten, um eine potenziell schädliche Fragmentierung des Binnenmarkts durch ein uneinheitliches Vorgehen zwischen den Sektoren und zwischen den Mitgliedstaaten zu vermeiden. Hierfür sieht die Europäische Datenstrategie vier zentrale Instrumente vor, die im Folgenden zunächst näher dargestellt und analysiert werden sollen: Ein Durchführungsrechtsakt über hochwertige Datensätze (II.), eine Data Governance-Verordnung (III.), ein Rechtsakt über Daten (IV.) sowie ergänzende Maßnahmen im Bereich des Wettbewerbsrechts (V). Im Rahmen einer abschließenden Betrachtung werden die Vorschläge der EU-Kommission sodann in den Kontext der übergreifenden Entwicklungen und Diskussionen im Datenrecht gestellt 15 Befürworter hat das Lean-Konzept insbesondere auch in der Staatsverwaltung gefunden, wo seine Implementierung bereits Mitte der 90er-Jahre unter dem Begriff der Lean Administration bzw. des Lean Government diskutiert wurde, vgl. Kühnlein/Wolfahrt, Arbeit 1994, 3 f. 16 Zum Wettbewerb auf Innovationsmärkten s. Dreher, ZWeR 2009, 149; Rubinfeld, GRUR Int 1999, 479. 17 Vgl. COM (2017) 9 final, S. 14 ff.

55

Lea Katharina Kumkar

und – unter besonderer Beachtung der eingangs aufgeworfenen Frage „Pivot or persevere?“ – bewertet (VI.). II. (Hochwertige) Daten des öffentlichen Sektors 7 Ein zentrales Ziel der Datenstrategie ist die verbesserte Verfügbarkeit von Daten des öffentlichen Sektors.18 Da diese Daten mit öffentlichen Geldern erzeugt wurden, soll der mit ihnen verbundene Mehrwert grundsätzlich auch der Allgemeinheit zugutekommen und einer Nutzung durch Unternehmen, Forschungseinrichtungen und andere öffentliche Einrichtungen offenstehen.19 Bereits 2019 wurde vor diesem Hintergrund die RL (EU) 2019/1024 über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (sog. PSI-RL) neu gefasst, die darauf abzielt, die umfangreichen Datenbestände des öffentlichen Sektors (z. B. meteorologische Daten, digitale Karten, Statistiken und rechtliche Informationen) als Ressource für die digitale Wirtschaft zugänglich machen.20 Die Richtlinie normiert allerdings keine Bereitstellungsverpflichtung,21 sondern vereinheitlicht nur die Bestimmungen für eine Weiterverwendung von Daten. Welche Daten überhaupt zugänglich sind, entscheiden nach wie vor die Mitgliedstaaten. Von der Richtlinie gänzlich ausgeklammert bleiben zudem Daten, an denen Rechte Dritter bestehen. Durch die Neufassung soll der Rechtsrahmen insbesondere auf den aktuellen Stand der digitalen Technik gebracht werden. So sieht die PSI-RL nun etwa Echtzeit-Zugänge zu dynamischen Daten über genormte Anwendungsprogrammierschnittstellen (API) vor. Die Umsetzung der PSI-RL in Deutschland ist durch das Gesetz über die Nutzung von Daten des öffentlichen Sektors (sog. Datennutzungsgesetz) geplant, einen ersten Entwurf hat die Bundesregierung im Februar 2021 vorgelegt.22 8 Ergänzend sieht die Europäische Datenstrategie Durchführungsrechtsakte zu hochwertigen Datensätzen (High Value Datasets) vor. Regelungen hierzu finden sich in den Art. 13 ff. PSI-RL: Die betreffenden Daten aus sechs thematischen Kategorien (Georaum, Erdbeobachtung und Umwelt, Meteorologie, Statistik, Mobilität und Eigentümerschaft von Unter-

18 Hierbei handelt es sich um ein langjähriges politisches Ziel, vgl. nur die RL 2003/98/EG über die Weiterverwendung von Informationen des öffentlichen Sektors. 19 COM (2020) 66 final, S. 8, 15. 20 Vgl. COM (2018) 234 final, S. 1. 21 Hierzu auch Hartl/Ludin, MMR 2021, 534. 22 BT-Drs. 19/27442. Dazu Hartl/Ludin, MMR 2021, 534, 535.

56

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

nehmen)23 müssen zukünftig grundsätzlich kostenlos, maschinenlesbar und über API bzw. ggf. als Massen-Download verfügbar sein.24 Nach der PSI-RL liegt allerdings auch bei den hochwertigen Datensätzen die Entscheidung über die Bereitstellung bei den Mitgliedstaaten, sodass die von der EU-Kommission mit den Durchführungsrechtsakten verfolgten Standardisierungsbemühungen vor allem dort erfolgsversprechend sein werden, wo Daten bereits tatsächlich von den Mitgliedstaaten bereitgestellt werden bzw. zugänglich sind.25 III. Data Governance-Verordnung Ein Data Governance Act (nachfolgend: DGA) soll harmonisierte Bedin- 9 gungen für den Datenaustausch in Europa schaffen, insbesondere Entscheidungen darüber erleichtern, welche Daten in welchen Situationen verwendet werden können. Auf diese Weise soll das Vertrauen im Datenverkehr gestärkt und die gemeinsame Datennutzung erleichtert werden; langfristiges Ziel ist die Förderung der Datenverfügbarkeit in Europa.26 Auf Basis eines 2020 vorgelegten Entwurfs der EU-Kommission27 haben sich die EU-Organe Ende November 2021 auf eine finale Position verständigt (DGA-Tri),28 die auch Grundlage für die Ausführungen im Rahmen dieses Beitrags ist. Die Verabschiedung des finalen Entwurfs ist für Frühjahr 2022 geplant. Vom sachlichen Anwendungsbereich erfasst werden sowohl personenbezogene als auch nicht-personenbezogene Daten. Allerdings regelt die Verordnung nicht den Datenaustausch insgesamt, sondern greift lediglich drei zentrale Teilaspekte der Datennutzung auf.29

23 Vgl. Anhang I PSI-RL. Die thematischen Kategorien können durch delegierte Rechtsakte der Kommission geändert bzw. erweitert werden, vgl. Art. 13 Abs. 2, 15 PSI-RL. 24 Vgl. Art. 14 Abs. 2 PSI-RL. 25 Hartl/Ludin, MMR 2021, 534, 536. Zur Rechtslage und möglichem Umstellungsbedarf in Deutschland vgl. die vom BMWi in Auftrag gegebene Studie von Bruns/Demary/Goecke/Rusche/Scheufen/Horn, Hochwertige Datensätze in Deutschland, https://www.bmwi.de/Redaktion/DE/Publikationen/Studien/studie-hochwertige-datensaetze-in-deutschland.html (zuletzt abgerufen am: 6.12.2021). 26 Vgl. ErwGr 3 DGA-Tri. 27 COM (2020) 767 final. 28 https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/ITRE/DV/2021/12-06/DGA_ProvisionalAgreedText_EN.pdf (zuletzt abgerufen am: 17.12.2021). 29 Krit. Spindler, CR 2021, 98, 106.

57

Lea Katharina Kumkar

1. Weiterverwendung geschützter Daten des öffentlichen Sektors 10 Die Art. 3 ff. DGA-Tri befassen sich mit der Weiterverwendung geschützter Daten des öffentlichen Sektors, zu denen die PSI-RL keine Bestimmungen trifft (vgl. bereits Rz. 8). Konkret geht es um Daten, die sich im Besitz öffentlicher Stellen befinden, an denen aber Rechte Dritter bestehen (z. B. Persönlichkeits- oder Geschäftsgeheimnisschutz, Rechte des geistigen Eigentums, Schutz personenbezogener Daten). Die neuen Regelungen sollen die Möglichkeiten der Nutzung geschützter Datenkategorien in sicheren Verarbeitungsumgebungen verbessern.30 Im Fokus steht dabei die Nutzung zu wissenschaftlichen Forschungszwecken.31 Wie auch die PSI-RL enthält der DGA allerdings keine Bereitstellungsverpflichtung, sondern harmonisiert lediglich die Bedingungen einer – auf mitgliedstaatlicher Ebene – bereits erlaubten Weiterverwendung (vgl. Art. 3 Abs. 3 Satz 1, Art. 1 Abs. 2 DGA-Tri).32 Öffentliche Stellen müssen die Daten, für die sie die Weiterverwendung erlauben, ausreichend schützen und hierfür „technisch so ausgestattet sein, dass Datenschutz, Privatsphäre und Vertraulichkeit in vollem Umfang gewahrt bleiben.“33 Die Bedingungen selbst müssen „nichtdiskriminierend, transparent, verhältnismäßig und objektiv gerechtfertigt sein“ und dürfen nicht der Behinderung des Wettbewerbs dienen (vgl. Art. 5 Abs. 2 DGA-Tri). 2. Dienste für die gemeinsame Datennutzung 11 In einem weiteren Kapitel (Art. 9 ff.) befasst sich die Verordnung mit „Datenintermediären“, i. e. Dienste, die als neutrale Mittelsperson zwischen den Dateninhabern und den Datennutzern stehen und auf diese Weise – so zumindest die Hoffnung – den wechselseitigen Austausch von Daten erleichtern.34 Datenintermediäre sind in einer Vielzahl von Or-

30 Hartl/Ludin, MMR 2021, 534, 535. 31 COM (2020) 767 final, S. 15. 32 Hartl/Ludin, MMR 2021, 534, 535. Zu den Bedingungen im Einzelnen auch Spindler, CR 2021, 98, 100 ff. 33 COM (2020) 767, S. 8. 34 Die Aufgaben entsprechen dem eines klassischen Intermediärs im ökonomischen Sinne, der für ein bestimmtes Gut Angebots- und Nachfrageseite zusammenbringt (matching). Ein Datenintermediär soll Interaktionen zwischen Anbieter- und Nachfrageseite erleichtern, indem er für beide Seiten die Kosten der datenbezogenen Transaktion senkt, z. B. durch die verbesserte Auffindbarkeit der Daten, standardisierte Verträge, technische Standards oder auch durch die Senkung von Missbrauchsrisiken, vgl. Richter, ZEuP 2021, 634, 642 f. Zu den damit zusammenhängenden Problemen s. Blankertz et al., Datentreuhandmodelle, S. 5.

58

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

ganisationsformen denkbar,35 u. a. in Gestalt von Datentreuhändern,36 Datenmarktplätzen und -plattformen, Datenkollaborativen, Datengenossenschaften sowie Personal Information Management Systems (PIMS)37.38 Über ihren Einsatz wird in verschiedenen Funktionszusammenhängen diskutiert, etwa zur Förderung der Teilhabe von Verbraucherinnen und Verbrauchern an der wirtschaftlichen Verwertung von Daten, zur Speicherung und Aufbereitung von Daten für Wissenschaft und Forschung oder zur Förderung des Datenaustauschs zwischen Unternehmen.39 Ebenso wie die politische steht allerdings auch die (rechts-) wissenschaftliche Auseinandersetzung mit Datenintermediären noch am Anfang. So hat sich bisher weder eine einheitliche Terminologie40 noch Systematisierung41 für die verschiedenen Gestaltungsformen herausbilden können. In den Einsatz von Datenintermediären, z. B. im Bereich medizinischer 12 Forschungsdaten, im öffentlichen Nahverkehr oder auch beim autonomen Fahren42, werden große Erwartungen gesetzt. Mit ihnen verbindet sich vor allem die Hoffnung, einen Kompromiss zwischen dem Schutz personenbezogener Daten auf der einen und einer wirtschaftlicher Verwendung von Daten auf der anderen Seite erzielen zu können.43 Auch 35 Dazu Blankertz et al., Datentreuhandmodelle, S. 1 ff. 36 Vgl. etwa Blankertz et al., S. 1 ff.; Kühling, ZfDR 2021, 1; Specht-Riemenschneider et al., MMR-Beil. 2021, 25; Wendehorst/Schwamberger/Grinzinger, Datentreuhand, in: Pertot (Hrsg.), Rechte an Daten, 2020, S. 103 ff. Zur Abgrenzung zwischen Datenmittler und Datentreuhänder vgl. Richter, ZEuP 2021, 634, 641 f. 37 Zur Funktionsweise der „PIMS“ Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 27; vgl. weiterführend auch Blankertz/Specht, Eine Regulierung für Datentreuhänder, S. 30 ff. 38 Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 32. 39 Zu Zielen und Aufgaben vgl. Blankertz et al., Datentreuhandmodelle, S. 2 ff. 40 Vgl. für die Datentreuhand hierzu Blankertz et al., Datentreuhandmodelle, S. 1. 41 Für eine Systematisierung nach der Zweckbestimmung Wendehorst/Schwamberger/Grinzinger, Datentreuhand, in: Pertot (Hrsg.), Rechte an Daten, 2020, S. 104 ff. Für einen zum Zwecke der Regulierung risikobasierten Ansatz hingegen Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 27 ff. 42 Der 56. Verkehrsgerichtstag hat sich jüngst für eine Speicherung der durch ein Satellitennavigationssystem ermittelten Positions- und Zeitangaben von Kfz mit hoch- oder vollautomatisierter Fahrfunktion (vgl. § 63a StVG) bei einem unabhängigen Dritten ausgesprochen, um bei bestimmten Ereignissen die in gemäß § 63a StVG vorgesehene Übermittlung an Dritte veranlassen zu können, vgl. hierzu Specht-Riemenschneider et al., MMR-Beil. 2021, 25 f. 43 Steinrötter, RDi 2021, 480, 485; Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 26; vgl. auch Kühling, ZfDR 2021, 1, 4 („Kommerzialisierungsfairness“).

59

Lea Katharina Kumkar

der Verordnungsentwurf weist Datenintermediären vor diesem Hintergrund eine „Schlüsselrolle in der Datenwirtschaft“ sowie ein hohes Innovationspotenzial zu.44 Durch eine Harmonisierung der rechtlichen Anforderungen soll die Vertrauenswürdigkeit solcher Dienste – und damit langfristig auch ihre Entstehung und Verbreitung – gestärkt werden.45 a) Erfasste Geschäftsmodelle 13 Von der Verordnung in den Blick genommen werden in erster Linie Angebote im B2B- und Verbraucherbereich, Art. 9 Abs. 1 DGA-Tri sieht insoweit drei Untergruppen vor46: Vermittlungsdienste für Dateninhaber (lit. a), Vermittlungsdienste für personenbezogene Daten, insbesondere zur Ausübung der Rechte nach der DS-GVO,47 sowie Dienste von Datengenossenschaften (lit. c). Die Verordnung erfasst damit sowohl individuelle (lit. a und b) als auch kollektive Ansätze (lit. c). Allerdings werden – was sich unglücklicherweise nicht aus dem Verordnungstext selbst, sondern nur aus den Erwägungsgründen ergibt – ausschließlich solche Anbieter adressiert, die auf die Herstellung von Geschäftsbeziehungen (commercial relationships) zwischen den betroffenen Personen bzw. Dateninhabern einerseits und den Datennutzern andererseits abzielen (vgl. ErwGr 22a DGA-Tri). Damit wird also nicht jedwedes Teilen von Daten, sondern nur solches zu kommerziellen Zwecken erfasst. Die Vorgaben gelten danach zudem nur für „offene“48 Dienste, die sich an eine unbestimmte Vielzahl (undetermined number) von Personen bzw. Dateninhabern richten. Keine Anwendung findet der DGA überdies bei einer Bereitstellung von Daten aufgrund gesetzlicher Verpflichtung, denn ein „data sharing“ im Sinne der Art. 9 ff. DGA liegt nur bei einer freiwilligen Datenweitergabe vor (vgl. Art. 2 Nr. 7 DGA-Tri). b) Anmeldeverfahren und Pflichten 14 Die Verordnung sieht in Art. 10 DGA-Tri ein verpflichtendes Anmeldeverfahren für Anbieter von Diensten für die gemeinsame Datennutzung vor.49 Zuständig sind die nach mitgliedstaatlichem Recht zu be44 Vgl. ErwGr 22 DGA. 45 COM (2020) 767 final, S. 1; zur Vertrauensproblematik auch Richter, ZEuP 2021, 634643 f. 46 Krit. im Hinblick auf die Erforderlichkeit der Unterscheidung Hartl/Ludin, MMR 2021, 534, 537. 47 Also z. B. Personal Information Management Systeme (PIMS), vgl. Steinrötter, RDi 2021, 480, 485. 48 Richter, ZEuP 2021, 634, 649 f. 49 Zu den Einzelheiten Richter, ZEuP 2021, 634, 647 ff.

60

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

nennenden Behörden, für die der Entwurf besondere Anforderungen zur strukturellen und personellen Unabhängigkeit vorsieht (vgl. Art. 12, 23 DGA-Tri). Ergänzend zur Anmeldung schreibt Art. 11 DGA-Tri eine Reihe von Pflichten für Datenintermediäre vor, die sicherstellen sollen, dass die Dienste offen und kooperativ funktionieren,50 darunter u. a. ein Kopplungsverbot, Vorgaben zu Zweckbindung,51 Transparenz, Diskriminierungsfreiheit und Interoperabilität. Auch muss der Anbieter Verfahren zur Verhinderung von Missbrauch und Betrug sowie rechtswidriger Datenübertragungen vorhalten sowie ein hohes Sicherheitsniveau bei der Verarbeitung gewährleisten.52 c) Durchsetzung Die Durchsetzung der Bestimmungen nach Art. 10 und 11 soll durch die 15 zuständigen nationalen Behörden erfolgen (vgl. Art. 13 DGA-Tri). Unklar bleibt dabei allerdings, ob ergänzend die Möglichkeit einer privaten Rechtsdurchsetzung besteht.53 d) Stellungnahme und Bewertung Die Regelungen zu Datenintermediären im DGA vermögen nur einge- 16 schränkt zu überzeugen. Ausschlaggebend ist dabei vor allem der Gedanke, dass im Bereich der Datenintermediäre die weitere Marktentwicklung derzeit nur schwer abzusehen ist. Es besteht die reale Gefahr, dass sich die Geschäftsmodelle vollkommen anders (weiter-)entwickeln als die Verordnung antizipiert, sodass sich das Regelwerk schon kurz nach seiner Verabschiedung als überflüssig oder – im schlimmsten Fall – gar entwicklungshemmend erweisen könnte.54 Die Verordnung versucht diese Problematik durch einen horizontalen One-Size-fits-all-Regulierungsansatz zu umgehen, wonach Geschäftsmodelle von Datenintermediären möglichst weitreichend erfasst werden sollen. Damit gehen jedoch seinerseits Schwierigkeiten einher. So wurde im Schrifttum zu Recht mo-

50 51 52 53

COM (2020) 767 final, S. 9. Krit. Hartl/Ludin, MMR 2021, 534, 537. Zu den Vorgaben im Einzelnen Richter, ZEuP 2021, 634, 653 ff. Mit Blick auf Art. 9 Abs. 2 DGA für die Möglichkeit vertraglicher und lauterkeitsrechtlicher Ansprüche nach Maßgabe des nationalen Rechts Richter, ZEuP 2021, 634, 657 ff. 54 Kühling, ZfDR 2021, 1, 4; Paal/Kumkar, ZfDR 2021, 97, 127; Richter, ZEuP 2021, 634, 662 f.; ähnlich auch bereits Spindler, CR 2021, 98, 104.

61

Lea Katharina Kumkar

niert, die vorhandenen Vorgaben seien zu unklar gefasst55 oder nicht für alle Geschäftsmodelle gleichermaßen geeignet.56 17 Kritisieren lässt sich auch, dass zentrale Fragestellungen unterbelichtet bleiben, was insbesondere, aber keineswegs nur,57 für das Verhältnis des DGA zur DS-GVO und sonstiger EU-Datenschutzgesetzgebung gilt.58 Zwar hat der EU-Gesetzgeber hier versucht, im Trilog-Verfahren nachzusteuern. Auch auf Grundlage des neu eingefügten Art. 1 Abs. 2a DGA-Tri, der den prinzipiellen Vorrang der DSGVO-Bestimmungen präzisieren soll, bleibt jedoch unklar, wie die sich vielfach überlappenden Pflichten von DSGVO und DGA im Einzelnen zusammenwirken (können) und das Geschäftsmodell der Datenintermediäre rechtssicher und datenschutzkonform umgesetzt werden kann. 18 Gerade mit Blick auf den umfangreichen Pflichtenkatalog in Art. 11 Nr. 1 DGA-Tri stellt sich zudem die ganz grundsätzliche Frage, ob die EU-Kommission hier nicht über ihr eigentliches Ziel hinausgeschossen ist: Denn hohe Anforderungen an die Tätigkeit von Datenintermediären mögen zwar das Vertrauen in die Nutzung entsprechender Dienste stärken, laufen gleichzeitig jedoch Gefahr, auf Seiten der Anbieter Anreize für die Entwicklung entsprechender Angebote zu hemmen.59 Als vorzugswürdig(er) könnte sich vor diesem Hintergrund ein flexibleres Regulierungsmodell erweisen, beispielsweise in Gestalt einer freiwilligen Zertifizierungslösung.60 Vielversprechend wäre auch eine Erprobung von Geschäftsmodellen in ausgewählten Anwendungsfeldern in Gestalt von regulatory sandboxes, um die für eine passgenaue Regulierung dringend erforderliche Erfahrung zu gewinnen.61 Staatlich gestützte Angebote nach dem Modell öffentlicher Daseinsvorsorge wären mangels internationaler Anschlussfähigkeit hingegen erst dann in Betracht zu ziehen,

55 Richter, ZEuP 2021, 634, 662; Spindler, CR 2021, 98, 104. 56 So die Schlussfolgerung von Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 32. 57 Vom Entwurf ausgeklammert bleibt etwa auch der Bereich der vertraglichen Regelungen zwischen Datenintermediären und Dateninhabern sowie -nutzern, vgl. Spindler, CR 2021, 98, 104. 58 Vgl. dazu mit Beispielen BReg, Vorläufige Stellungnahme zum DGA-E, S. 3 ff.; ferner Falkhofen, EuZW 2021, 787, 790. 59 Vor diesem Hintergrund Vorsicht anmahnend auch BReg, Vorläufige Stellungnahme zum DGA-E, S. 19 f.; vgl. ferner Specht-Riemenschneider et al., MMRBeil. 2021, 25, 32; AA Falkhofen, EuZW 2021, 787, 790. 60 Specht-Riemenschneider et al., MMR-Beil. 2021, 25, 32. Ähnlich auch BReg, Vorläufige Stellungnahme zum DGA-E, S. 19. 61 Blankertz et al., Datentreuhandmodelle, S. 7.

62

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

wenn mit der insoweit zu präferierenden Marktlösung die gewünschten Erfolge nicht herbeigeführt werden können.62 3. Datenaltruismus Einen eigenen Abschnitt innerhalb der Verordnung erhält auch die neu 19 eingeführte Kategorie des „Datenaltruismus“, die auf eine unentgeltliche Nutzung personenbezogener Daten für Zwecke von allgemeinem Interesse abzielt (z. B. wissenschaftliche Forschung, Verbesserung öffentlicher Dienstleistungen).63 Organisationen, die Datenaltruismus betreiben, sollen sich zukünftig in ein Register eintragen lassen können, um auf diese Weise das Vertrauen in ihre Tätigkeiten zu stärken (vgl. Art. 17 DGATri). Voraussetzung für die Eintragung ist gemäß Art. 16 DGA-Tri u. a., dass die betreffende Organisation datenaltruistische Tätigkeiten ausübt, ohne Erwerbszweck tätig und rechtlich-funktionell unabhängig ist. Datenalturistische Organisation sind zwar von den Pflichten für Diens- 20 te für die gemeinsame Datennutzung befreit (vgl. Art. 14 DGA-Tri), die Art. 18 f. DGA-Tri sehen allerdings eine Reihe von Transparenzanforderungen vor, wie z. B. Dokumentations- sowie Informationspflichten gegenüber den Dateninhabern. Art. 19 Abs. 2 DGA-Tri ordnet zudem eine enge Zweckbindung für die erlangten Daten an.64 Um die Kosten für die Einholung der Einwilligung zu senken und die Übertragbarkeit der Daten zu erleichtern, soll ein gemeinsames europäisches Einwilligungsformular für Datenaltruismus eingeführt werden (vgl. Art. 22 DGA-Tri). Im Trilog-Verfahren neu eingeführt wurde die Befugnis der Mitgliedstaaten, eigene Regelungen für datenaltruistische Unternehmen vorzusehen (vgl. Art. 14a DGA-Tri). Auch die geplanten Neuregelungen zum Datenaltruismus sind überwie- 21 gend kritisch aufgenommen worden. Bemängelt wird nicht nur der erhebliche bürokratische Aufwand für datenaltruistische Unternehmen65, sondern auch die Begrenzung des Anwendungsbereich auf Unternehmen ohne Erwerbszweck: Mit Blick auf das aufzubauende Register und Label könne eine vergleichbare Vertrauenswürdigkeit durchaus auch bei

62 Zu staatlich gestützten Modellen s. Blankertz et al., Datentreuhandmodelle, S. 5 f. Vgl. insoweit auch die Kritik von Richter an dem einseitig auf eine Marktlösung fokussierten DGA, ZEuP 2021, 634, 666. 63 Vgl. mit Beispielen Steinrötter, ZD 2021, 61, 62. 64 Vgl. auch ErwGr 36 DGA-Tri. 65 Steinrötter, ZD 2021, 61, 62; Veil, Blogbeitrag v. 1.12.2020, https://www. cr-online.de/blog/2020/12/01/datenaltruismus-wie-die-eu-kommission-einegute-idee-versemmelt/(zuletzt abgerufen am: 6.12.2021).

63

Lea Katharina Kumkar

erwerbswirtschaftlichen Akteuren erreicht werden.66 An einigen Stellen erweise sich der Entwurf zudem als lückenhaft, so etwa hinsichtlich der Festlegung der verfolgten Zwecke sowie der Durchsetzbarkeit der materiellen Anforderungen.67 4. Europäischer Dateninnovationsrat 22 Der DGA sieht zudem die Einrichtung eines „Europäischen Dateninnovationsrats“ vor (vgl. Art. 26 f. DGA-Tri). Dieser soll in Form einer Expertengruppe organisiert sein und u. a. mit Vertretern der mitgliedstaatlichen Behörden, des Europäischen Datenschutzausschuss sowie der EU-Kommission besetzt sein. Dem Innovationsrat soll eine beratende und unterstützende Funktion bei Anwendung der Verordnung zukommen, so beispielsweise bei der Entwicklung einer einheitlichen behördlichen Praxis zu den Anforderungen für Dienste für die gemeinsame Datennutzung. IV. Rechtsakt über Daten 23 Hohe Erwartungen werden an den angekündigten Rechtsakt über Daten (Data Act) gestellt, dessen Entwurf ursprünglich für Ende 2021 vorgesehen war, sich aber auf nicht absehbare Zeit verzögert. Die Mitteilung zur Europäischen Datenstrategie68 sowie die bereits veröffentlichte Folgenabschätzung lassen die adressierten Themenfehler des Data Act immerhin grob erahnen. Geplant ist eine horizontale Gesetzesinitiative, die – soweit erforderlich – durch sektorale Gesetzgebung ergänzt werden kann. Zentrales Ziel ist es, den Zugang zu Daten und deren Weiterverwendung zu verbessern, damit mehr öffentliche und private Akteure von Techniken wie Big Data und maschinellem Lernen profitieren können. 24 Im Data Act geregelt werden soll u. a. die Nutzung privater Daten durch den öffentlichen Sektor (Business-to-Government Data Sharing), um diese Daten besser für Zwecke im öffentlichen Interesse einsetzen zu können, etwa in der Infrastrukturentwicklung oder Pandemiebekämpfung.69 Dem öffentlichen Sektor soll zukünftig ein fairer, zuverlässiger

66 67 68 69

64

Hartl/Ludin, MMR 2021, 534, 537. Vgl. Spindler, CR 2021, 98, 106 f. COM (2020) 66 final, S. 15 f. Vgl. hierzu auch die Empfehlung der von der EU-Kommission eingesetzten B2G-Expertengruppe, https://digital-strategy.ec.europa.eu/en/news/experts-say-privately-held-data-available-european-union-should-be-used-better-and-more(zuletzt abgerufen am 6.12.2021).

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

und transparenter Zugang zu privat gehaltenen Daten ermöglicht werden, um das Potenzial von durch private Unternehmen verarbeitete Daten besser ausschöpfen zu können. Geregelt werden sollen auch Datenzugang und Datennutzung im 25 B2B-Verhältnis. In diesem Zusammenhang identifiziert die EU-Kommission zum einen das Problem einer Missbrauchsgefahr durch Dateninhaber mit starker Verhandlungsmacht, dem durch die Einführung (sektor-) spezifischer Datenzugangs- und Nutzungsrechte sowie einem „Fairness-Test“ zum Schutz vor unfairen einseitigen Bedingungen begegnet werden soll. Zum anderen bliebe das Potenzial maschinengenerierter Daten aktuell noch häufig ungenutzt, u. a. aufgrund von vertraglichen Einschränkungen. Zur Abhilfe ist nicht nur ein erleichterter Zugang zu Daten vorgesehen, auch will die EU-Kommission die Datenbank-RL evaluieren, gerade hinsichtlich der Anwendbarkeit auf maschinengenerierte Daten. Weitere Initiativen betreffen die technische Ausgestaltung der Datenpor- 26 tabilität, insbesondere bei Smart-Home-Anwendungen und Wearables, Smart Contracts, die Portabilität zwischen Cloud-Anbietern70 sowie Schutzmaßnahmen für nicht-personenbezogene Daten im internationalen Kontext (z. B. bei Anfragen von Strafverfolgungsbehörden aus Drittstaaten). Explizit ausgeklammert werden sollen hingegen datenbezogene Fragestellungen der Plattformwirtschaft, etwa bei der Anhäufung großer Datenbestände durch große Technologieunternehmen (hierzu sogleich Rz. 27 ff.).71 V. Maßnahmen im Bereich des Wettbewerbsrechts In Ergänzung zu den geschilderten Initiativen sieht die Europäische 27 Datenstrategie eine Reihe von Maßnahmen im Bereich des Wettbewerbsrechts vor, die sich mit der gesteigerten wirtschaftlichen Bedeutung von Daten sowie deren Austausch und Akkumulation befassen.72 So soll sich die EU-Beobachtungsstelle für die Online-Plattformwirtschaft auch mit den Problematiken im Zusammenhang mit der Datenakkumulation durch große Technologieunternehmen, den Zusammenhängen von

70 Dazu Falkhofen, EuZW 2021, 787, 791. 71 COM (2020) 66 final, S. 17. 72 Geplant ist u. a. eine Prüfung der wettbewerbsrechtlichen Zulässigkeit von Vereinbarungen über die gemeinsame Nutzung und Zusammenführung von Daten und – damit verbunden – eine Überarbeitung der Leitlinien für horizontale Zusammenarbeit COM (2020) 66 final, S. 16 f.

65

Lea Katharina Kumkar

Daten und Verhandlungsmacht sowie den Modalitäten der Datennutzung und -übertragung durch diese Unternehmen. Diese Fragestellungen sollen allerdings nicht im Rechtsakt über Daten, sondern im Rahmen der Untersuchung zur Marktmacht bestimmter Plattformen sowie im Legislativpaket zu digitalen Diensten (Digital Services Package) adressiert werden.73 28 Dieses im Dezember 2020 vorgestellte Legislativpaket zu digitalen Diensten sieht mit Vorschlägen für einen Digital Services Act (DSA-E)74 und einen Digital Markets Act (DMA-E)75 EU-weit harmonisierte Pflichten für digitale Vermittlungsdienste und neue Regelungen zu den wettbewerblichen Aspekten marktstarker Plattformen vor. Der DMA-E adressiert die zentrale Problematik der Plattformökonomie, dass eine kleine Zahl großer Plattform-Unternehmen eine vorherrschende Marktposition auf den Vermittlungsmärkten erlangen konnten und eingebunden in eigene digitale Ökosysteme nun in der Lage sind, als Gatekeeper den Zugang von gewerblichen Nutzern zu ihren Kunden zu kontrollieren. Vor diesem Hintergrund soll der DMA-E sicherstellen, dass die Märkte trotz Gatekeepern bestreitbar und fair bleiben (vgl. Art. 1 Abs. 1 DMA-E); die Vorgaben gelten ergänzend zur kartellrechtlichen Kontrolle nach Art. 101 und 102 AEUV.76 29 Hier relevant sind dabei in erster Linie die im DMA-E vorgesehenen Bestimmungen zum Datenzugang. Art. 6 lit. i DMA-E sieht für gewerbliche Nutzer bzw. ggf. auch zugelassene Dritte einen Zugang zu Daten vor, die im Zusammenhang mit der Nutzung der relevanten zentralen Plattformdienste bereitgestellt oder generiert werden. Art. 6 lit. j DMA-E normiert einen Zugangsanspruch für Ranking-, Such-, Klick- und Anzeigedaten vor, die von Endnutzern in Online-Suchmaschinen des Gatekeepers generiert werden.77 Flankiert werden diese Datenzugangsregelungen durch eine Datenportabilitätsregelung in Art. 6 lit. h DMA-E.78

73 COM (2020) 66 final, S. 17. 74 COM (2020) 825 final; s. Gerpott, CR 2021, 255; Holznagel, CR 2021, 123; Janal, ZEuP 2021, 227; Kaesling, ZUM 2021, 177; Kalbhenn/Hemmert-Halswick, ZUM 2021, 184; Paal/Kumkar, ZfDR 2021, 97, 110 f.; Rössel, ITRB 2021, 35; Schmid/Grewe, MMR 2021, 279; Spindler, GRUR 2021, 545, 653 ff. 75 COM (2020) 842 final; s. Basedow, ZEuP 2021, 217; Gerpott, CR 2021, 255; Kerber, ZD 2021, 544; Lundqvist, IIC 2021, 239; Podszun/Bongartz/Langenstein, EuCML 2021, 60; Schweitzer, ZEuP 2021, 503; Seip/Berberich, GRURPrax 2021, 44. 76 Vgl. ErwGr 5 und 10 DMA-E. 77 Dazu Kerber, ZD 2021, 544, 546; Lundqvist, IIC 2021, 239. 78 Vgl. Hartl/Ludin, MMR 2021, 534, 538; Kerber, ZD 2021, 544, 546 f.

66

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

VI. Analyse und Bewertung Abschließend sollen die vorgestellten Maßnahmen nun in den Kontext 30 der übergreifenden Entwicklungen im Datenrecht gestellt und – mit Blick auf die Eingangsfrage zur Zukunft der europäischen Datenökonomie („Pivot or persevere?“) – bewertet werden. Insoweit lassen sich drei zentrale Entwicklungslinien beobachten, die sich nun auch in der Europäischen Datenstrategie widerspiegeln: Die Verschiebung vom Datenschutz- zum Datenwirtschaftsrecht (1.), von personenbezogenen zu nicht-personenbezogenen Daten (2.) und vom exklusiven „Dateneigentum“ hin zum verbesserten Zugang zu Daten (3.). Obwohl die Hinwendung zu Themen außerhalb des klassischen Datenschutzrechts im Grundsatz zu begrüßen ist, lassen sich dennoch grundlegende Defizite in der europäischen Herangehensweise identifizieren: Denn nach wie vor fehlt es an einem kohärenten und systematischen Ansatz im europäischen „Recht der Daten“ (4.). 1. Vom Datenschutz- zum Datenwirtschaftsrecht Die erste Entwicklung betrifft die Verschiebung vom Datenschutz- zum 31 Datenwirtschaftsrecht: Während jahrzehntelang fast ausschließlich das auf den Schutz personenbezogener Daten natürlicher Personen abzielende Datenschutzrecht79 im Zentrum der rechtswissenschaftlichen Auseinandersetzungen stand, rückt nun erstmals das „Datenwirtschaftsrecht“ in den Vordergrund, das sich mit der wirtschaftlichen Bedeutung von Daten und der gerechten Verteilung der erlangten Erkenntnisse und Gewinne befasst.80 Im Vordergrund stehen dabei die bessere Nutzbarkeit, Zugänglichkeit und Handelbarkeit von Daten, die im Dienste der neuen datengetriebenen Technologien stehen.81 Auch in der Europäischen Datenstrategie sehen wir sehr deutlich diesen neuen Fokus auf die wirtschaftlichen Aspekte des Datenrechts.

79 § 1 Abs. 1 BDSG (1977): „Aufgabe des Datenschutzes ist es, durch den Schutz personenbezogener Daten vor Mißbrauch bei ihrer Speicherung, Übermittlung, Veränderung und Löschung (Datenverarbeitung) der Beeinträchtigung schutzwürdiger Belange der Betroffenen entgegenzuwirken.“ 80 Paal/Kumkar, ZfDR 2021, 97, 115 f. Grundlegend zur Entwicklung und Inhalt des neuen Datenwirtschaftsrechts Steinrötter, RDi 2021, 480 ff. 81 Steinrötter, RDi 2021, 480, 481.

67

Lea Katharina Kumkar

2. Von personenbezogenen zu nicht-personenbezogenen Daten 32 Zunehmend im Zentrum stehen dabei die nicht-personenbezogenen Daten,82 wie z. B. die automatisiert aus Sensoren von vernetzten Geräten der „Industrie 4.0“ bzw. im „Smart Home“ gewonnenen Roh- und Maschinendaten83. Erwähnenswert in diesem Kontext ist auch die bereits seit Mai 2019 verbindliche VO EU 2018/1807 (sog. „Datenverkehrs-VO“), die für nicht-personenbezogene Daten den grundsätzlich freien Verkehr innerhalb von Europa gewährleistet.84 Der Gesetzgeber misst mit Blick auf die wirtschaftliche Relevanz der Datenwirtschaft dem Ziel eines möglichst ungehinderten Datenaustauschs hier noch weitreichendere Bedeutung zu als bei personenbezogenen Daten.85 Drei Kernvorgaben sollen den EU-weit freien Verkehr unterstützen: Vorgesehen sind ein grundsätzliches Verbot von mitgliedstaatlichen Datenlokalisierungsauflagen, ein Kooperationsmechanismus für den Zugang zu Daten in anderen Mitgliedstaaten sowie Anreize zur Entwicklung von selbstregulierenden Verhaltensregeln.86 3. Von exklusivem „Dateneigentum“ hin zum erleichterten Zugang zu Daten 33 Die dritte strategische Entwicklungslinie betrifft die vor allem im deutschen rechtswissenschaftlichen Schrifttum geführten Diskussionen um ein „Dateneigentum“87 bzw. zuletzt auch „Datenbesitz“88. Die EU-Kommission stand diesem Ansatz nicht von vornherein ablehnend gegenüber, sondern hatte in ihrem Strategiepapier von 2017 sogar ausdrücklich noch die Einführung von „Datenerzeugerrechten“ erwogen.89 Anknüpfungspunkt für dieses „Datenerzeugerrecht“ sollte die syntaktische (Zeichen-) 82 So auch die Einschätzung von Steinrötter, RDi 2021, 480, 483. 83 Vgl. Zech, GRUR 2015, 1151, 1152. 84 Für personenbezogene Daten findet die Vorschrift ihr Äquivalent in Art. 1 Abs. 3 DS-GVO. 85 ErwGr 1 Datenverkehrs-VO. 86 Zum Ganzen Paal/Kumkar, ZfDR 2021, 97, 122 f. 87 Vgl. Amstutz, AcP 218 (2018), 438; Denga, NJW 2018, 1371; Ensthaler, NJW 2016, 3473; Fezer, MMR 2017, 3; Fezer ZD 2017, 99; Hoeren, MMR 2013, 486; Paal/Hennemann, NJW 2017, 1697; Raue, NJW 2019, 2425 f.; Zech, GRUR 2015, 1151. 88 Vgl. Hoeren, MMR 2019, 5; Michl, NJW 2019, 2729. 89 Vgl. COM (2017) 9 final, S. 14. Dies war mit Blick auf Art. 345 AEUV, wonach die mitgliedstaatliche Eigentumsordnung von den Verträgen grundsätzlich unberührt bleibt, von vornherein nicht unproblematisch, vgl. Steinrötter, RDi 2021, 480, 482 f. Kritisch zum Vorschlag der EU-Kommission auch Drexl, NZKart 2017, 415, 420 f.

68

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

Ebene sein, allerdings beschränkt auf nicht-personenbezogene Daten.90 Befürworter versprachen sich von der Einführung eines solchen Rechts eine Förderung von Datenerzeugung und -nutzung sowie der damit verbundenen Innovationen.91 Schon in den letzten Jahren hatte sich die Debatte um das Dateneigentum 34 allerdings deutlich abgekühlt. Heute besteht weitgehend Konsens, dass mit Blick auf die besonderen ökonomischen Eigenschaften von Daten – also keine Rivalität, keine Exklusivität und keine Abnutzbarkeit im Konsum – das Eigentums-Konzept nicht überzeugen kann.92 Worum es im Kern geht, ist weniger die Zuordnung als vielmehr die Nutzbarkeit von Daten.93 Ein entscheidender Vorteil dieses zugangsorientierten Ansatzes ist die fortbestehende Nutzungsmöglichkeit durch den bisherigen (faktischen) Dateninhaber.94 Es wird also letztlich ein Kompromiss erzielt zwischen Investitions- und Innovationsschutz auf der einen Seite und dem Ziel offener und bestreitbarer datengetriebener Märkte auf der anderen Seite. In diesem Sinne setzt auch die EU-Kommission in der Europäischen 35 Datenstrategie statt exklusiver Rechte auf Mechanismen, die einen leichteren Zugang zu Daten versprechen, insbesondere mehr Anreize für einen freiwilligen Datenaustausch und – wo erforderlich – die Schaffung von sektorspezifischen Datenzugangsrechten, die im Idealfall einen zielgenauen Zugriff auf die identifizierte Problematik eröffnen.95 Entsprechende (sektorspezifische) Datenzugangsregelungen existieren etwa bereits in der Automobilindustrie96‚ bei Zahlungsdienstleistern97, intelligenten Verbrauchsmesssystemen98 und Verkehrssystemen99 sowie Stromnetzdaten100. In Vorbereitung ist darüber hinaus eine Regelung zum Datenzugang im Gesundheitswesen.101 Ergänzend sollen wettbewerbs90 Krit. Steinrötter, RDi 2021, 480, 483. 91 Vgl. Zech, GRUR 2015, 1151, 1160. 92 Statt vieler Steinrötter, Zur Diskussion um ein auf syntaktische Informationen bezogenes „Dateneigentum“, in: Specht-Riemschneider (Hrsg.), Digitaler Neustart, 2019, S. 17 ff. m. w. N. 93 Hartl/Ludin, MMR 2021, 534. 94 Steinrötter, RDi 2021, 480, 484. 95 COM (2020) 66 final, S. 15 f. 96 VO (EG) Nr. 595/2009, geändert durch VO (EU) 2018/858. 97 RL (EU) 2015/2366. 98 RL (EU) 2019/944. 99 RL (EU) 2010/40. 100 VO (EU) 2017/1485; VO (EU) 2015/703. 101 Geplant ist ein Vorschlag für einen Rechtsakt über den europäischen Gesundheitsdatenraum, vgl. https://ec.europa.eu/commission/presscorner/detail/ de/ip_20_2049 (zuletzt abgerufen am 6.12.2021).

69

Lea Katharina Kumkar

rechtliche Ansprüche auf Datenzugang zur Anwendung kommen,102 hierzu zählen auch die im DMA-E vorgesehenen Datenzugänge gegenüber Gatekeepern (hierzu bereits Rz. 33). 36 Der Ansatz der EU-Kommission überzeugt. Auch der Fokus auf die Förderung des freiwilligen Datenaustauschs ist insoweit richtig: 103 Denn bei der Normierung von Zugangsrechten ist grundsätzlich eher Zurückhaltung geboten, vor allem gilt es zu vermeiden, dass durch einen zu weitreichenden Zugriff Anreize zur Generierung von Daten auf Seiten der Unternehmen beseitigt werden.104 4. Bewertung 37 Obwohl die Kommission wichtige und drängende Themen wie den Datenzugang im öffentlichen Sektor und den Umgang mit Datenintermediären adressiert, lassen sich dennoch grundlegende Defizite in der europäischen Herangehensweise identifizieren. Zum einen ist die Kommission viel zu lange untätig geblieben. Zwar wurden gerade in den letzten Jahren durch den europäischen Gesetzgeber eine ganze Reihe von Maßnahmen angestoßen, die sich (zumindest auch) mit der Datenwirtschaft befassen – die Data Governance-Verordnung ist in diesem Zusammenhang ebenso zu nennen wie die Vorschläge für DMA und DSA, die bereits verabschiedete Datenverkehrs-Verordnung und reformierte PSI-RL. Die zentrale wirtschaftliche Bedeutung von Daten war aber schon deutlich länger absehbar – man hätte sich also schon viel früher mit diesen Themen befassen können. Dass diese Entwicklung auf Ebene der Politik weitgehend verschlafen wurde, ist misslich. Denn ein klarer Rechtsrahmen ist dringend erforderlich, um die weitere Entwicklung voranzutreiben und Europas Position im weltweiten Innovationswettbewerb um datengetriebene Produkte und Dienstleistungen nicht zu gefährden.

102 Kartellrechtliche Ansprüche auf Datenzugang werden v. a. mit Blick auf das kartellrechtliche Missbrauchsverbot (Art. 102 AEUV) diskutiert, vgl. hierzu Paal, in: BeckOK Informations- und Medienrecht, Art. 102 AEUV, Rz. 94; Drexl, NZKart 2017, 415, 418 f.; Louven, NZKart 2018, 217; Schweitzer, GRUR 2019, 569, 575 ff.; Zu den im Rahmen der 10. GWB-Novelle auf nationaler Ebene geschaffenen Datenzugangsansprüchen s. Paal/Kumkar, NJW 2021, 809, 814. 103 Steinrötter, RDi 2021, 480, 484. 104 Vgl. Steinrötter, RDi 2021, 480, 484, der vor diesem Hintergrund die Einführung von Entgeltzahlungen unter FRAND-Bedingungen erwägt.

70

Zu den Vorschlägen der EU-Kommission für eine Europäische Datenstrategie

Vor diesem Hintergrund ist es im Grundsatz als positiv zu bewerten, dass 38 die EU-Kommission sich mit relevanten Themen der Datenökonomie befasst. Allerdings kratzt die EU-Kommission mit ihren Maßnahmen bisher nur an der Oberfläche. Die vorgeschlagenen Gesetzgebungsakte adressieren fraglos wichtige Einzelfragen – vom Ziel eines systematischen und kohärenten Rechtsrahmens für die Datenwirtschaft ist man jedoch noch weit entfernt. Besonders deutlich wird das an dem weitgehend unklaren Zusammenwirken der verschiedenen EU-Rechtsakte im Bereich des Datenrechts, etwa dem Verhältnis zwischen DS-GVO und DGA. Gerade das Ineinandergreifen von datenschutzrechtlichen und datenwirtschaftsrechtlichen Regelungen gilt es aber, dringend zu klären. Denn mit Blick auf die strengen Sanktionsmechanismen der DSGVO sind es gerade Unklarheiten über die datenschutzrechtliche Zulässigkeit, die von einem freiwilligen Teilen von Daten abhalten können und drohen daher, das mit der Data Governance-Verordnung verfolgte Ziel der verbesserten Datenverfügbarkeit zu unterlaufen.

71

Aktuelle Entwicklungen der Plattform-Regulierung (DSA-E, DMA-E und § 19a GWB)* Boris Paal**/Fabian Kieß*** I. Einleitung

1

II. Plattformökonomie als Regelungsanlass 3 1. Wettbewerbsrechtliche Relevanz und Gefährdungslagen 4 a) Konzentrationsanfälligkeit 5 b) Bedeutung von Daten 7 2. Medien- und gesellschaftspolitische Perspektiven 8 a) Internetspezifische Gefährdungslagen 9 b) Verfassungsrechtliche Gefährdungslagen 10 III. Festlegung der Adressaten 11 1. § 19a Abs. 1 GWB (überragende marktübergreifende Bedeutung) 12 2. Art. 3 DMA-E i. V.m. Art. 2 Nr. 1, 2 DMA-E („Gatekeeper“) 15 3. Art. 25 DSA-E i. V. m. Art. 2 lit. h DSA-E („sehr große Online-Plattformen“) 17 4. Gegenüberstellung 20 a) Adressatenkreis 21 b) Adressatenbestimmung 22 IV. 1. 2. 3.

Pflichten für Adressaten § 19a Abs. 2 GWB Art. 5, 6 DMA-E DSA-E

23 24 25 26

4. Gegenüberstellung a) Ähnlichkeit und Unterschiede: § 19a GWB und DMA-E b) Verwendung von ex-anteAnsätzen c) Rechtfertigungsmöglichkeiten V. Befugnisse und Sanktionsregime 1. GWB 2. DMA-E 3. DSA-E 4. Gegenüberstellung a) Vergleichbarkeit der Regelungsregime b) Kongruenz zwischen DMA-E und DSA-E c) Zentrale vs. dezentrale Durchsetzung d) Strengere Ausrichtung des GWB gegenüber dem DMA-E

29

30 33 34 35 36 38 39 40 41 42 43

44

VI. Zusammenfassung

45

VII. Ausblick

48

*

Eine frühere Fassung dieses Beitrags wurde bereits veröffentlicht in ZfDR 2022, 1 ff., wobei das vorliegende Dokument im Nachgang zu der DGRI-Jahrestagung 2021 in Leipzig auf den Stand von Mai 2022 gebracht, gekürzt und überarbeitet worden ist. ** Prof. Dr. Boris Paal, M.Jur. (Oxford). Der Autor Paal ist Inhaber des Lehrstuhls für Bürgerliches Recht und Informationsrecht, Daten- und Medienrecht sowie Direktor des Instituts für Medien- und Datenrecht sowie Digitalisierung an der Juristenfakultät der Universität Leipzig. *** Der Autor Dr. Fabian Kieß war Wissenschaftlicher Mitarbeiter und Doktorand ebenda. Zurzeit ist er Rechtsreferendar am Hanseatischen Oberlandesgericht.

73

Boris Paal/Fabian Kieß Literatur: Basedow, Das Rad neu erfunden: Zum Vorschlag für einen Digital Markets Act, ZEuP 2021, 217; Brinkmann, Marktmachtmissbrauch durch Verstoß gegen außerkartellrechtliche Rechtsvorschriften, 2018; De Streel et al., Making the Digital Markets Act more resilient and effective, 2021; Degenhardt, Verfassungsfragen einer 10. GWB-Novelle auf der Grundlage des Referentenentwurfs vom 24.01.2020, WuW 2020, 308; Dewenter/Lüth, Big Data aus wettbewerblicher Sicht, Wirtschaftsdienst 9/2016, 648; Dewenter/Rösch, Einführung in die neue Ökonomie der Medienmärkte, 2015; Engert, Digitale Plattformen, AcP 2018, 304; Evans/ Schmalensee, The Industrial Organization of Markets with Two-sided Platforms, Competition Policy International, Competition Policy International, Vol. 3, No. 1, 2007; Gerpott, Neue europäische Regeln für digitale Plattformen, CR 2021, 255; Gerpott, Neue Pflichten für große Betreiber digitaler Plattformen – Vergleich von § 19a GWB und DMA-Kommissionsvorschlag, NZKart 2021, 273; Gielen/Uphues, Digital Markets Act und Digital Services Act - Regulierung von Markt- und Meinungsmacht durch die Europäische Union, EuZW 2021, 627; Grünwald/Nüßing, Vom NetzDG zum DSA: Wachablösung beim Kampf gegen Hate Speech? – Diskussionsstand zu beiden Gesetzesvorhaben und deren Vereinbarkeit, MMR 2021, 283; Haucap, Wirtschaftsdienst 100. Jahrgang, Heft 1, 2020, 20; Haucap/Heimeshoff, Ordnungspolitische Perspektiven, 2017; Haucap/Kruse, Ex-Ante-Regulierung oder Ex-Post-Aufsicht für netzgebundene Industrien?, 2003; Haucap/Schweitzer/Kerber/ Welker, Modernisierung der Missbrauchsaufsicht für marktmächtige Unternehmen, 2018; Herda/Friedrich/Ruf, Plattformökonomie als Game-Changer – Wie digitale Plattformen unsere Wirtschaft verändern: Eine strategische Analyse der Plattformökonomie, Strategie Journal 3/18, 1; Hildebrandt/Arnold, Marktbeobachtung in der digitalen Wirtschaft – Ein Modell zur Analyse von Online-Plattformen, 2018; Hoffer/Lehr, Onlineplattformen und Big Data auf dem Prüfstand – Gemeinsame Betrachtung der Fälle Amazon, Google und Facebook, NZKart 2019, 10; Höppner, Plattform-Regulierung light, WuW 2020, 71; Jaekel, Disruption durch digitale Plattform-Ökosysteme, 2020; Käseberg, Wie Wettbewerbspolitik und Digital Markets Act sich wechselseitig inspirieren können, NZKart 2021, 529; Körber, Konzeptionelle Erfassung digitaler Plattformen und adäquate Regulierungsstrategien, ZUM 2017, 93; Kumkar, Online-Märkte und Wettbewerbsrecht, 2017; Lettl, Der neue § 19a GWB, WRP 2021, 413; Monti, The Digital Markets Act, 22.02.2021; Paal, Intermediäre: Regulierung und Vielfaltssicherung, 2018; Paal/Gersdorf (Hrsg.), BeckOK Informations- und Medienrecht, 33. Edition, 2021; Paal/Hennemann, Big Data as an asset, 2019; Paal/Kieß, Digitale Plattformen im DSA-E, DMA-E und § 19a GWB, ZfDR 2022, 1; Paal/Kumkar, Europäische Strategien für den digitalen Binnenmarkt, ZfDR 2021, 97; Paal/Kumkar, Wettbewerbsschutz in der Digitalwirtschaft – Die wichtigsten Neuerungen der 10. GWB-Novelle im Überblick NJW 2021, 809; Podszun/Bongartz/Langenstein, Proposals on How to Improve the Digital Markets Act, 2021; Schallbruch et al., Ein neuer Wettbewerbsrahmen für die Digitalwirtschaft, 2019; Schiff, Meinungsfreiheit in mediatisierten digitalen Räumen – Das NetzDG auf dem Prüfstand des Verfassungsrechts MMR 2018, 366; Schmid/Greve, Digital Services Act: Neues „Grundgesetz für Onlinedienste“? Auswirkungen des Kommissionsentwurfs für die Digitalwirtschaft, MMR 2021, 279; Schwab, Berichtsentwurf zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über bestreitbare und faire Märkte im digitalen Bereich, 1.6.2021; Schweitzer/Fetzer/Peitz, Digitale Plattformen: Bausteine für einen künfti-

74

Aktuelle Entwicklungen der Plattform-Regulierung gen Ordnungsrahmen, Discussion Paper No. 16-042, 2016; Spiecker gen. Döhmann, Digitale Mobilität: Plattform Governance – IT-sicherheits- und datenschutzrechtliche Implikationen, GRUR 2019, 341; Van Dijckl/Poell/de Waal, The Platform Society, 2018; Volkmann, Hate Speech durch Social Bots – Strafrechtliche Zurechnung von Volksverhetzungen gem. § 130 Abs. 1 StGB, MMR 2018, 58; Volmar, Digitale Marktmacht, 2019; Yon-Courtin, Berichtsentwurf zu dem Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über bestreitbare und faire Märkte im digitalen Bereich, 7.7.2021; Zimmer/Göhsl, Vom New Competition Tool zum Digital Markets Act: Die geplante EU-Regulierung für digitale Gatekeeper, ZWeR 2021, 29.

I. Einleitung Am 15.12.2020 hat die Europäische Kommission im Rahmen des „Digi- 1 tal Services Act package“ 1 zwei Verordnungsentwürfe veröffentlicht: den Digital Services Act (DSA-E)2 und den Digital Markets Act (DMA-E)3. Beide Verordnungen sollen zu einem „Europa für das digitale Zeitalter“ und zu „faireren und offeneren digitalen Märkte[n] für alle führen“.4 Bereits nur rund einen Monat später hat der Deutsche Bundestag im Zuge der 10. GWB-Novelle5 das „Gesetz zur Änderung des Gesetzes gegen Wettbewerbsbeschränkungen für ein fokussiertes, proaktives und digitales Wettbewerbsrecht 4.0 und anderer wettbewerbsrechtlicher Bestimmungen“ (GWB-Digitalisierungsgesetz6) beschlossen, um „das grundsätzlich gut funktionierende System der Kartellrechtsaufsicht in Deutschland [zu] erhalten […] und an ausgewählten Stellen zielgerichtet“ [zu stärken].7 Den drei Gesetzgebungsinitiativen ist gemeinsam, dass sie sich auch und gerade auf die Betreiber von digitalen Plattformen beziehen, denn digitale Plattformen weisen eine erhebliche ökonomische und wettbewerb(srecht)liche, medien- und gesellschaftspolitische Relevanz auf.8 In diesem Sinne enthalten die Art. 25 ff. DSA-E für „sehr große Online-Plattformen“ zusätzliche Pflichten; der Art. 3 DMA-E adressiert „Gatekeeper“, die Art. 2 Nr. 1 DMA-E als „Betreiber zentraler Plattformdienste“ definiert, und § 19a Abs. 1 GWB setzt eine „überragende marktübergreifende Bedeutung für den Wettbewerb“ eines 1 2 3 4 5 6 7 8

Der Beitrag basiert im Wesentlichen auf den Ausführungen in Paal/Kieß, ZfDR 2022, 1. COM(2020) 825 final. COM(2020) 842 final. Europäische Kommission, Pressemitteilung v. 21.4.2021, S. 1, abrufbar unter https://ec.europa.eu/commission/presscorner/detail/de/ip_21_1682. Überblick zu der 10. GWB-Novelle bei Paal/Kumkar, NJW 2021, 809. BGBl. 2021 I S. 2 ff.. RegE, BT-Drs. 19/23492, S. 1. Gerpott, NZKart 2021, 273.

75

Boris Paal/Fabian Kieß

Unternehmens voraus, wobei sich die Vorschrift nach der Begründung des Gesetzesentwurfs gegen „digitale Ökosysteme“ bzw. „große Digitalkonzerne“ richtet.9 Besonders prominente Repräsentanten der durch die Regulierungsinitiativen adressierten digitalen Plattformen sind die Big-Tech-Unternehmen Google (Alphabet Inc.), Apple, Facebook (Meta Platforms Inc.), Amazon und Microsoft, die in ihrer Gesamtheit häufig auch als GAFAM bezeichnet werden bzw. wurden.10 2 In diesem Beitrag werden DSA-E, DMA-E und § 19a GWB aus wettbewerbs- und medienrechtlicher sowie gesellschaftspolitischer Perspektive verglichen und bewertet. Dazu wird zunächst die Plattformökonomie als Regelungsanlass beleuchtet (II.), anschließend wird die Festlegung der Regelungsadressaten dargestellt und verglichen (III.), bevor sodann die Pflichten der jeweiligen Regelungsadressaten gegenübergestellt werden (IV.). Weiterhin erfolgt ein Vergleich der Befugnisse und der Sanktionsregime (V.), bevor der Beitrag mit einer Zusammenfassung, einem Ausblick und Handlungsempfehlungen schließt (VI.). II. Plattformökonomie als Regelungsanlass 3 Unternehmen setzen im Zeitalter der Digitalisierung vielfach und in stetig zunehmendem Maße auf das Geschäftsmodell „Plattform“.11 Die wachsende Bedeutung von (Online- bzw. Digital-)Plattformen – pointiert ist auch von einer „Plattformgesellschaft“ die Rede12 – stellt einen wesentlichen Regelungsanlass für DSA-E, DMA-E und 10. GWB-Novelle dar, was sich beispielsweise im Erwägungsgrund 1 des DMA-E – „Online-Plattformen im Besonderen spielen eine immer wichtigere Rolle in der Wirtschaft“ – anschaulich manifestiert.13 1. Wettbewerbsrechtliche Relevanz und Gefährdungslagen 4 Digitale Plattformmärkte weisen oftmals ausgeprägte Tendenzen zu einer hohen Marktkonzentration auf.14

9 RegE, BT-Drs. 19/23492, S. 73. 10 Gerpott, NZKart 2021, 273; Herda/Friedrich/Ruf, Strategie Journal 3/18, 1, 3; Spiecker gen. Döhmann, GRUR 2019, 341, 342. 11 Engert, AcP 2018, 304, 305. 12 Van Dijckl/Poell/de Waal, The Platform Society, 2018. 13 COM(2020) 842 final, Erwägungsgrund 1. 14 Haucap/Schweitzer/Kerber/Welker, Modernisierung der Missbrauchsaufsicht für marktmächtige Unternehmen, 2018, S. 21; Hildebrandt/Arnold, Marktbeobachtung in der digitalen Wirtschaft – Ein Modell zur Analyse von

76

Aktuelle Entwicklungen der Plattform-Regulierung

a) Konzentrationsanfälligkeit Diese Konzentrationsanfälligkeit wird vor allem durch die – typi- 5 schen – starken (in)direkten positiven Netzwerkeffekte und die Skaleneffekte als Größenvorteile induziert.15 Soweit die für die Etablierung am Markt notwendige kritische Masse erreicht wird, zieht dies neue Nutzer an16, wodurch wiederum das Entstehen von positiven Netzwerkeffekten begünstigt wird. Insofern findet durch die für eine erfolgreiche Etablierung am Markt notwendigen hohen Nutzerzahlen und ausgeprägten Netzwerkeffekte oftmals ein Wettbewerb nicht nur auf, sondern auch und gerade um den Markt statt.17 Der „Gewinner“ dieses Wettbewerbs kontrolliert den betroffenen Markt, sodass in diesem Zusammenhang von sog. „Winner-takes-it-all-Märkten“ gesprochen wird.18 Mit den starken Netzwerkeffekten und der Konzentrationsprädisposition geht auf Digitalmärkten die (erhöhte) Gefahr eines sog. „Tipping“ einher, d. h. des Kippens eines zunächst (noch) durch Wettbewerb geprägten Marktes in einen monopolistischen oder jedenfalls hochkonzentrierten Markt.19 Pfadabhängigkeiten und Lock-in-Effekte sowie die notwendigen (starken) positiven Netzwerkeffekte als hohe Marktzutrittsschranken können ein solches „Tipping“ begünstigen und die Position des marktführenden Unternehmens festigen.20 Trotz zahlreicher konzentrationsfördernder Faktoren und Tendenzen in 6 der digitalen Plattformökonomie ist festzuhalten, dass solche Entwicklungen keinesfalls zwingend sind. Zwar wirken (positive) Netzwerkeffekte und Skaleneffekte konzentrationsfördernd. Es existieren aber auch wettbewerbsimmanente Parameter, die sich konzentrationshemmend auswirken.21 Dazu zählen auch und gerade Kapazitätsbeschränkungen,

15 16 17

18 19 20 21

Online-Plattformen, 2018, S. 6 ff.; Schallbruch et al., Ein neuer Wettbewerbsrahmen für die Digitalwirtschaft, 2019, S. 13. Hildebrandt/Arnold, Marktbeobachtung in der digitalen Wirtschaft – Ein Modell zur Analyse von Online-Plattformen, 2018, S. 6. Paal/Kumkar, ZfDR 2021, 97, 107. Körber, ZUM 2017, 93, 94 f; Kumkar, Online-Märkte und Wettbewerbsrecht, 2017, S. 63; Paal, Intermediäre: Regulierung und Vielfaltssicherung, 2018, S. 17; Paal/Hennemann, Big Data as an asset, 2019, S. 22. Körber, ZUM 2017, 93, 95; Paal/Kumkar, ZfDR 2021, 97, 107; Spiecker gen. Döhmann, GRUR 2019, 341, 342. Schallbruch et al., Ein neuer Wettbewerbsrahmen für die Digitalwirtschaft, 2019, S. 49. Körber, ZUM 2017, 93, 95; Paal/Kumkar, ZfDR 2021, 97, 107; Schallbruch et al., Ein neuer Wettbewerbsrahmen für die Digitalwirtschaft, 2019, S. 49. Diese Erkenntnisse gehen vor allem zurück auf Evans/Schmalensee, The Industrial Organization of Markets with Two-sided Platforms, Competition

77

Boris Paal/Fabian Kieß

die Möglichkeit für Nutzer, mehrere Plattformen gleichzeitig zu verwenden (sog. Multi-Homing22) und die vertikale sowie horizontale Plattformdifferenzierung, so etwa durch spezialisierte Plattformen aufgrund einer ausgeprägten Heterogenität der Nutzerpräferenzen.23 Eine wettbewerbliche Koexistenz im Rahmen von Wettbewerb besteht insofern beispielsweise bei Online-Dating-Plattformen.24 b) Bedeutung von Daten 7 Im Rahmen der digitalen Plattformmärkte kommt auch und gerade den Daten eine herausragende Bedeutung zu.25 Durch Nicht-Rivalität, Verbundvorteile und die Notwendigkeit zur Optimierung von Produkten sowie Dienstleistungen stellen Daten in der digitalen Plattformökonomie einen maßgeblichen Wettbewerbs- bzw. Inputfaktor dar.26 Denn der Zugriff auf Daten ist für einen erfolgreichen Markteintritt vielfach entscheidend und der (exklusive) Datenzugriff stärkt marktmächtige Stellungen.27 So können beispielsweise Hybridplattformen28 die im Rahmen der Vermittlungstätigkeit erlangten Daten für Eigenangebote auf Folgemärkten nutzen (vertikale Integration).29 Die mit der marktmächtigen Stellung von Big-Tech-Unternehmen einhergehende Datenmacht kann zudem auch und gerade dazu führen, dass für andere Marktteilnehmer gravierende Abhängigkeiten – beispielsweise betreffend den Zugang zu Daten oder Nutzergruppen – auftreten, sodass den Marktführern „Gatekeeper-“Stellungen zukommen (können).30 Solche „Gatekeeper“ haben in der Folge die Möglichkeit, durch wettbewerbsschädliche VerhaltensPolicy International, 2007, 3 (1), 151, 163 ff. 22 Dazu instruktiv Kumkar, Online-Märkte und Wettbewerbsrecht, 2017, S. 70 ff. 23 Hildebrandt/Arnold, Marktbeobachtung in der digitalen Wirtschaft – Ein Modell zur Analyse von Online-Plattformen, 2018, S. 6 ff. 24 Bundeskartellamt, Arbeitspapier – Marktmacht von Plattformen und Netzwerken, 2016, S. 73 ff. 25 Vgl. Haucap, Wirtschaftsdienst, 100. Jahrgang, 2020, 20, 27 f.; Haucap/Schweitzer/Kerber/Welker, Modernisierung der Missbrauchsaufsicht für marktmächtige Unternehmen, 2018, S. 100. 26 Schallbruch et al., Ein neuer Wettbewerbsrahmen für die Digitalwirtschaft, 2019, S. 13 ff. 27 Paal/Kumkar, ZfDR 2021, 97, 107. 28 Es handelt sich hierbei um Plattformen, die einerseits als Vermittler fungieren, andererseits aber auch als Eigenanbieter tätig sind, Hoffer/Lehr, NZKart 2019, 10, 11 m. w. N. 29 Paal/Kumkar, ZfDR 2021, 97, 107 f. 30 Schallbruch et al., Ein neuer Wettbewerbsrahmen für die Digitalwirtschaft, 2019, S. 16.

78

Aktuelle Entwicklungen der Plattform-Regulierung

weisen ihre Marktstellung zu sichern und sich vorteilhafte Bedingungen zu verschaffen.31 Mit Blick auf die „konglomeraten Strukturen“ bei einigen digitalen Plattformen besteht aufgrund von Verbundvorteilen und Datenmacht überdies die Gefahr, dass durch digitale „Ökosysteme“32 nachhaltig andauernde und nur schwer angreifbare Marktführerstellungen entstehen.33 2. Medien- und gesellschaftspolitische Perspektiven Aus medien- und gesellschaftspolitischer Perspektive kann zunächst fest- 8 gehalten werden, dass durch das Internet eine zuvor noch nie gekannte Angebots- und Medienvielfalt eröffnet wird.34 Soziale Netzwerke, Suchmaschinen und Kommunikationsplattformen eröffnen neue Chancen und Möglichkeiten der Vernetzung. Zudem können (zahllose) Informationen innerhalb von kürzester Zeit ermittelt und verbreitet werden. Die zahlreichen Vorteile infolge der Digitalisierung gehen jedoch zugleich mit Problemen bzw. Gefährdungslagen, auch und gerade für die leitbildhaften Zielwerte Wettbewerb, Vielfalt und Meinungsbildung einher. a) Internetspezifische Gefährdungslagen Vor diesem Hintergrund beschloss der deutsche Gesetzgeber als „Vor- 9 reiter“35 mit Blick auf eine zunehmende „aggressiv[e], verletzend[e] und nicht selten hasserfüllt[e]“ Debattenkultur und „Falschnachrichten“, die „nicht effektiv bekämpft und verfolgt werden können“, das am 1.10.2017 in Kraft getretene Netzwerkdurchsetzungsgesetz (NetzDG).36 Durch das NetzDG sollen insbesondere Hasskriminalität und andere strafbare Inhalte im Netz durch Compliance-Regeln für soziale Netzwerke bekämpft werden.37 Soziale Netzwerke wie Facebook, YouTube oder Twitter haben vermehrt mit Desinformation und „Hate-Speech“ – zunehmend auch unter Verwendung von sog. „Social Bots“38 – zu kämpfen.39 Zwar sind 31 COM(2020) 842 final, Erwägungsgrund 2. 32 Zu dem ökonomischen Begriff des Ökosystems Monopolkommission, 82. Sondergutachten – Empfehlungen für einen effektiven und effizienten Digital Markets Act, 2021, S. 18 f. m. w. N. 33 Paal, in: Paal/Gersdorf (Hrsg.), BeckOK Informations- und Medienrecht, 33. Edition, Stand 1.11.2021, § 19a GWB Rz. 18. 34 Haucap/Heimeshoff, Ordnungspolitische Perspektiven, 2017, S. 45. 35 Grünwald/Nüßing, MMR 2021, 283. 36 Gesetzesentwurf, BT-Drs. 18/12356, 16.5.2017, S. 11. 37 Grünwald/Nüßing, MMR 2021, 283. 38 Zu diesen „Social Bots“ instruktiv Volkmann, MMR 2018, 58. 39 Vgl. RegE, BT-Drs. 18/12356, S. 1.

79

Boris Paal/Fabian Kieß

Desinformationen und Hass keine Spezifika des Internets, treten aber insbesondere angereizt durch die (mögliche) Anonymität – insoweit wird teilweise auch von „Dark Social“ gesprochen40 – und die Möglichkeit ebenso rascher wie weitreichender Verbreitung von Informationen sowohl vermehrt als auch verstärkt auf.41 Ähnliche Überlegungen greifen für die Verbreitung terroristischer und kinderpornographischer Inhalte sowie das Auftreten von Urheberrechtsverletzungen.42 b) Verfassungsrechtliche Gefährdungslagen 10 Mit Blick auf die beschriebenen Gefährdungspotenziale durch Desinformation oder „Hate-Speech“ wird somit auf der einen Seite deutlich, dass ein regulierendes Eingreifen des Staates angezeigt ist, um insbesondere die Löschung bzw. Bekämpfung von rechtswidrigen Inhalten zu befördern. Dem steht auf der anderen Seite gegenüber, dass eine gesetzlich induzierte Übererfüllung von Löschpflichten (sog. „Overblocking“) durch Online-Plattformen, denen bei fehlender, unvollständiger oder nicht rechtzeitiger Löschung nach § 4 NetzDG empfindliche Bußgelder drohen, die Ausübung von Grundrechten, hier insbesondere der Meinungsfreiheit bzw. der Informationsfreiheit aus Art. 5 Abs. 1 GG, gefährden kann.43 Zudem bringen die ubiquitäre Erhebung und Verarbeitung von Daten datenschutzrechtliche sowie (auch) grund- und verfassungsrechtliche Gefährdungslagen mit sich.44 So urteilte der BGH im Jahr 2020, dass Facebook seine marktbeherrschende Stellung dazu missbraucht habe, die Nutzerdaten mit außerhalb von facebook.com generierten Nutzerdaten („Off-Facebook“-Daten) zu verknüpfen.45 III. Festlegung der Adressaten 11 Nachfolgend werden die Adressaten von § 19a GWB, DMA-E und DSA-E zunächst dar- (1.-3.) und anschließend gegenübergestellt (4.).

40 41 42 43 44 45

80

Jaekel, Disruption durch digitale Plattform-Ökosysteme, 2020, S. 31. Gielen/Uphues, EuZW 2021, 627, 632. COM(2020) 842 final, Erwägungsgrund 12. So auch Schiff, MMR 2018, 366. Dewenter/Lüth, Wirtschaftsdienst 9/2016, 648. BGH, Beschl. v. 23.6.2020 – KVR 69/19, GRUR 2020, 1318, 1323 ff. Rz. 53 ff. – Facebook.

Aktuelle Entwicklungen der Plattform-Regulierung

1. § 19a Abs. 1 GWB (überragende marktübergreifende Bedeutung) In § 19a Abs. 1 GWB sind die Voraussetzungen und damit auch die Ad- 12 ressaten einer möglichen Verfügung des Bundeskartellamts niedergelegt. Erfasst sind gemäß § 19a Abs. 1 S. 1 GWB nur Unternehmen mit einer überragenden marktübergreifenden Bedeutung. Die Feststellung dieser überragenden marktübergreifenden Bedeutung steht im Ermessen des Bundeskartellamts und erfolgt im Wege einer Gesamtwürdigung aller im Einzelfall relevanten Umstände.46 Im Rahmen dieser Gesamtwürdigung sind fünf qualitative Merkmale heranzuziehen, die weder kumulativ erfüllt sein müssen47 noch abschließend sind („insbesondere“). Durch die qualitativen Merkmale soll das wettbewerbliche Potenzial des jeweiligen Unternehmens abgebildet werden.48 Hervorzuheben ist, dass – auch und gerade aus einem Umkehrschluss 13 aus § 19a Abs. 1 S. 2 Nr. 1 GWB ableitbar – keine Marktbeherrschung i. S. v. § 18 GWB erforderlich ist.49 Weiterhin müssen die Unternehmen gemäß § 19a Abs. 1 S. 1 GWB 14 in erheblichem Umfang auf Märkten im Sinne des § 18 Abs. 3a GWB (mehrseitigen Märkten und Netzwerken) tätig sein. Somit werden solche Unternehmen nicht erfasst, deren Tätigkeit auf mehrseitigen Märkten und Netzwerken für das Unternehmen selbst oder das jeweilige Marktgeschehen nur von untergeordneter Relevanz sind.50 Gemäß § 19a Abs. 1 S. 3 GWB ist die Verfügung auf fünf Jahre nach Eintritt der Bestandskraft zu befristen. 2. Art. 3 DMA-E i. V.m. Art. 2 Nr. 1, 2 DMA-E („Gatekeeper“) Der DMA-E sieht Verhaltenspflichten ausschließlich für sog. „Gate- 15 keeper“ vor. Diese „Gatekeeper“ sind in Art. 2 Nr. 1 DMA-E legaldefiniert als Betreiber zentraler Plattformdienste i. S. d. Art. 3 DMA-E. 46 RegE, BT-Drs. 19/23492, S. 75. 47 RegE, BT-Drs. 19/23492, S. 75. 48 RegE, BT-Drs. 19/23492, S. 74 f. Die fünf beispielhaft benannten Kriterien sind die marktbeherrschende Stellung auf einem oder mehreren Märkten (Nr. 1), die Finanzkraft oder der Zugang zu sonstigen Ressourcen (Nr. 2), die vertikale Integration und die Tätigkeit auf in sonstiger Weise miteinander verbundenen Märkten (Nr. 3), der Zugang zu wettbewerbsrelevanten Daten (Nr. 4) und die Bedeutung der Tätigkeit für den Zugang Dritter zu Beschaffungs- und Absatzmärkten sowie der damit verbundene Einfluss auf Dritte (Nr. 5). 49 Lettl, WRP 2021, 413, 414. 50 Paal, in: Paal/Gersdorf (Hrsg.), BeckOK Informations- und Medienrecht, 33. Edition, Stand 1.11.2021, § 19a GWB Rz. 8.

81

Boris Paal/Fabian Kieß

Diese zentralen Plattformdienste werden in Art. 2 Nr. 2 DMA-E aufgelistet und erfassen unter anderem Suchmaschinen, soziale Netzwerke und Betriebssysteme. Die Aufzählung ist (vorläufig) enumerativ, kann aber (bzw. nur) durch eine Änderung der Verordnung ergänzt werden, vgl. Art. 17 Abs. 1 lit. a DMA-E. Zentrale Plattformdienste (ZPD) sind nur dann „Gatekeeper“ i. S. d. Verordnungsentwurfs, wenn sie die Voraussetzungen des Art. 3 DMA-E erfüllen. Dafür müssen zunächst kumulativ die qualitativen Voraussetzungen des Art. 3 Abs. 1 DMA-E verwirklicht sein.51 Der Betreiber eines ZPD ist demnach ein „Gatekeeper“, wenn er erhebliche Auswirkungen auf den Binnenmarkt hat (lit. a), einen ZPD betreibt, der gewerblichen Nutzern als Zugangstor zu Endnutzern dient (lit. b) und hinsichtlich seiner Tätigkeiten eine gefestigte und dauerhafte Position innehat oder absehbar ist, dass er eine solche Position in naher Zukunft erlangen wird (lit. c). Aus den Voraussetzungen (insbesondere im Umkehrschluss zu Art. 3 Abs. 1 lit. c DMA-E) ergibt sich, dass auch an dieser Stelle keine marktbeherrschende Stellung notwendig ist.52 Die Verwirklichung der qualitativen Kriterien des Art. 3 Abs. 1 DMA-E ist insbesondere dann impliziert, wenn die äquivalenten quantitativen Kriterien des Art. 3 Abs. 2 DMA-E erfüllt sind.53 16 Soweit ein Beschluss der Europäischen Kommission hinsichtlich der Einstufung als „Gatekeeper“ ergangen ist, muss dieser Beschluss von der Kommission gemäß Art. 4 DMA-E auf Antrag oder von Amts wegen bei 51 Gerpott, NZKart 2021, 273, 274. 52 So auch Gerpott, NZKart 2021, 273, 275. 53 So wird eine Auswirkung auf den Binnenmarkt i. S. d. Art. 3 Abs. 1 lit. a DMA-E angenommen, wenn das jeweilige Unternehmen in den letzten drei Geschäftsjahren im EWR einen Jahresumsatz von mind. 6,5 Mrd. EUR erzielt hat oder die durchschnittliche Marktkapitalisierung im letzten Geschäftsjahr mindestens 65 Mrd. EUR betrug und das Unternehmen in mindestens drei Mitgliedstaaten einen ZPD betreibt (Abs. 2 lit. a). Art. 3 Abs. 1 lit. b DMA-E ist verwirklicht, wenn ein ZPD des Unternehmens mindestens 45 Mio. monatlich aktive – in der EU niedergelassene – Endnutzer sowie 10.000 gewerbliche Nutzer im vergangenen Geschäftsjahr hatte (Abs. 2 lit. b). Art. 3 Abs. 1 lit. c DMA-E ist verwirklicht, wenn die Voraussetzungen des Art. 3 Abs. 2 lit. b DMA-E in den letzten drei Geschäftsjahren erfüllt wurden (Abs. 3 lit. c). Die quantitativen Kriterien des Art. 3 Abs. 2 DMA-E müssen jedoch nicht zwingend erfüllt sein, um eine „Gatekeeper“-Stellung anzunehmen. Denn die Europäische Kommission kann nach Art. 3 Abs. 6 DMA-E Betreiber eines ZPD im Wege einer Marktuntersuchung nach Art. 15 DMA-E auch dann als „Gatekeeper“ bestimmen, wenn die Voraussetzungen des Abs. 1 erfüllt sind und spezifische Parameter der Digitalökonomie wie Marktzutrittsschranken aus Netzwerkeffekten und Datenvorteilen oder Skalen- und Verbundeffekten im Rahmen einer Abwägung für eine solche Annahme sprechen.

82

Aktuelle Entwicklungen der Plattform-Regulierung

geändertem Sachverhalt oder fehlenden bzw. falschen Tatsachen, spätestens aber nach zwei Jahren, überprüft werden. 3. Art. 25 DSA-E i. V. m. Art. 2 lit. h DSA-E („sehr große Online-Plattformen“) Der DSA-E richtet sich an vier unterschiedliche Adressaten: „Vermitt- 17 lungsdienste“, „Hosting-Dienstanbieter“, „Online-Plattformen“ und „sehr große Online-Plattformen“. Dabei ist festzuhalten, dass diese Adressaten einer gestuften Regulierung unterliegen:54 Die Regelungen der Art. 10 ff. DSA-E richten sich zunächst an alle Anbieter von Vermittlungsdienstleistungen. „Vermittlungsdienste“ sind in Art. 2 lit. f DSA-E legaldefiniert und umfassen vor allem auch Access-, Caching- und Hosting-Provider. „Online-Plattformen“ sind gem. Art. 2 lit. h DSA-E als Hosting-Diensteanbieter legaldefiniert. Sie sind somit als „Hosting“-Leistung i. S. d. Art. 2 lit. f DSA-E ein „Vermittlungsdienst“ im Sinne der Vorschrift und somit vom Anwendungsbereich der Art. 10 ff. DSA-E umfasst. Für Hosting-Diensteanbieter einschließlich OnlinePlattformen greifen ergänzende Bestimmungen aus Art. 14 f. DSA-E. Wiederum zusätzliche Bestimmungen gelten für Online-Plattformen nach den Art. 16 ff. DSA-E. Ausgenommen sind gemäß Art. 16 DSA-E hierbei Kleinst- und Kleinunternehmen.55 Online-Plattformen sind nach der Legaldefinition in Art. 2 lit. h DSA-E 18 „Hosting-Diensteanbieter, die im Auftrag eines Nutzers Informationen speichern und öffentlich verbreiten, sofern es sich bei dieser Tätigkeit nicht nur um eine unbedeutende und mit einem anderen Dienst verbundene reine Nebenfunktion handelt […]“. Vom Begriff der Online-Plattformen sind nach Ansicht der Europäischen Kommission soziale Netzwerke und Online-Marktplätze, nicht dagegen aber E-Mail-Dienste oder Messaging-Dienste umfasst, da nicht die Verbreitung von Informationen innerhalb geschlossener Gruppen erfasst sein soll.56 Zuletzt sind für „sehr große Online-Plattformen“ i. S. d. Art. 25 DSA-E 19 zusätzliche Pflichten vorgesehen. Bei „sehr großen Online-Plattformen“ handelt es sich gemäß Art. 25 Abs. 1 DSA-E um Online-Plattformen, die mindestens durchschnittlich 45 Mio. aktive monatliche Nutzer in der 54 Schmid/Greve, MMR 2021, 279, stellen dies in einer Abbildung anschaulich dar. 55 Unternehmen mit weniger als 10 bzw. 50 beschäftigten Personen und Jahresumsatz bzw. -bilanz nicht höher als 2 bzw. 10 Mio. EUR i. S. d Anhangs der Empfehlung 2003/261/EG. 56 COM(2020) 825 final, Erwägungsgrund 13 f.

83

Boris Paal/Fabian Kieß

EU haben.57 Gemäß Art. 25 Abs. 4 DSA-E muss der im jeweiligen Mitgliedstaat einzusetzende „Koordinator für digitale Dienste“ (legaldefiniert in Art. 2 lit. l DSA-E) mindestens alle sechs Monate überprüfen, welche Online-Plattformen den Schwellenwert aus Art. 25 Abs. 1 DSA-E überschreiten und einen Beschluss fassen, welche Online-Plattformen erfasst bzw. nicht mehr erfasst sind. 4. Gegenüberstellung 20 Eingangs ist festzuhalten, dass ein inhaltlicher Vergleich von § 19a GWB, DMA-E und DSA-E bereits systeminduziert bestimmten Einschränkungen unterliegt. Diese Einschränkungen manifestieren sich vor allem darin, dass die drei untersuchungsgegenständlichen Regelungsinitiativen Online-Plattformen aus (jedenfalls teilweise) unterschiedlichen Zielrichtungen adressieren. So fokussieren § 19a GWB und der DMA-E vor allem ökonomische und wettbewerbliche Aspekte von Online-Plattformen, während der DSA-E tendenziell stärker außerökonomische Zielsetzungen wie Verbraucherschutz oder die Eindämmung illegaler Inhalte verfolgt. Vor diesem Hintergrund muss sich ein Vergleich zwischen § 19a GWB und DMA-E auf der einen Seite und dem DSA-E auf der anderen Seite primär auf die Systematik beschränken, während bei § 19a GWB und DMA-E (zumindest) auch ein inhaltlicher Vergleich eröffnet ist. a) Adressatenkreis 21 Ein Vergleich des Adressatenkreises zeigt, dass der DSA-E mit seinem gestuften Regulierungsansatz im Ausgangspunkt einen deutlich breiteren Anwendungsbereich als § 19a GWB und der DMA-E aufweist. Während sich § 19a GWB (Unternehmen mit überragender marktübergreifender Bedeutung) und Art. 3 DMA-E („Gatekeeper“) primär an eine spezifische (kleine) Gruppe systemrelevanter Online-Plattformen richten,58 adressiert der DSA-E mit den Art. 10–24 DSA-E darüber hinaus sämtliche Online-Plattformen. Zugleich betreffen die Art. 25 ff. DSA-E nur „sehr große Online-Plattformen“ – die mit Blick auf die notwendigen 45 Mio. monatlich aktiven Nutzer in der EU primär Digitalkonzerne wie GAFAM betreffen –, um deren „systemische Risiken“59 hinreichend zu erfassen. Somit regulieren § 19a GWB, Art. 3 DMA-E und Art. 25 DSA-E

57 Die Zahl bezieht sich auf 10 % der EU-Bevölkerung und muss gemäß Art. 25 Abs. 2 DSA-E durch die Europäische Kommission angepasst werden, falls sich die Bevölkerung der Union um mehr als 5 % verändert. 58 Paal/Kumkar, ZfDR 2021, 97, 115. 59 COM(2020) 825 final, Erwägungsgrund 57.

84

Aktuelle Entwicklungen der Plattform-Regulierung

im Ergebnis trotz unterschiedlicher Grundperspektiven zumindest teilweise dieselben Digitalkonzerne (und hier insbesondere die GAFAM).60 b) Adressatenbestimmung Hinsichtlich der Methoden zur Bestimmung der vergleichbaren Adressa- 22 ten (bei DSA-E insoweit nur „sehr große Online-Plattformen“) ist festzuhalten, dass § 19a GWB zentral auf qualitative Abgrenzungskriterien abstellt, während Art. 3 DMA-E kumulativ auf qualitative sowie quantitative Kriterien und Art. 25 DSA-E ausschließlich auf das quantitative Kriterium der monatlichen Nutzer zurückgreift. Bei den auch inhaltlich vergleichbaren Abgrenzungsmethoden von § 19a GWB und Art. 3 DMA-E wird zudem deutlich, dass die Kriterien des Art. 3 DMA-E durch die zu berücksichtigenden äquivalenten quantitativen Kriterien detailliert(er) vorgegeben sind, während § 19a GWB dem Bundeskartellamt ein erhebliches Ermessen einräumt. IV. Pflichten für Adressaten Im Folgenden werden die Pflichten für die Unternehmen mit überra- 23 gender marktübergreifender Bedeutung nach § 19a GWB, „Gatekeeper“ i. S. d. Art. 3 DMA-E und „sehr große Online-Plattformen“ i. S. d. Art. 25 DSA-E beleuchtet (1.-3.) und sodann gegenübergestellt (4). 1. § 19a Abs. 2 GWB Im Falle der Feststellung der überragenden marktübergreifenden Bedeu- 24 tung für den Wettbewerb kann das Bundeskartellamt dem jeweiligen Unternehmen sieben besonders wettbewerbsschädliche Verhaltensweisen präventiv untersagen.61 Die entsprechende Verfügung nach § 19a Abs. 2 S. 1 GWB kann hierbei gemäß Abs. 2 S. 5 auch gleichzeitig mit der Feststellungsverfügung i. S. d. Abs. 1 ergehen. Das Verbot der Verhaltensweisen steht im Ermessen des Bundeskartellamts („kann“), zudem bleiben §§ 19, 20 GWB gemäß § 19a Abs. 3 GWB unberührt und können

60 So auch Gerpott, CR 2021, 255, 258. 61 Paal/Kumkar, ZfDR 2021, 97, 115. Im Einzelnen kann das Bundeskartellamt beispielsweise die Selbstbevorzugung von vertikal oder konglomerat integrierten Unternehmen (Nr. 1), Behinderungsmaßnahmen im Zusammenhang mit der Nutzung von Daten (Nr. 4) und bei der Interoperabilität oder Datenportabilität (Nr. 5) untersagen. Zudem können unzureichende Informationen gegenüber anderen Unternehmen (Nr. 6) oder ausbeuterisches Verhalten verboten werden (Nr. 7).

85

Boris Paal/Fabian Kieß

somit auch neben § 19a GWB zur Anwendung kommen. Die abschließend geregelten Verhaltensweisen können nur dann nicht nach § 19a Abs. 2 S. 2 GWB verboten werden, wenn die jeweiligen Verhaltensweisen sachlich gerechtfertigt sind, wofür das betroffene Unternehmen die Darlegungs- und Beweislast trägt, da es sich nach Gesetzesbegründung „regelmäßig um Informationen handelt, die aus der Sphäre des Unternehmens stammen, dort vorliegen und sich beispielsweise aus internen Strategieunterlagen ergeben“.62 2. Art. 5, 6 DMA-E 25 Art. 5 und 6 DMA-E enthalten für die „Gatekeeper“ i. S. d. Art. 3 DMA-E insgesamt 18, ebenfalls abschließend formulierte Pflichten,63 die jedoch gemäß Art. 10, 17 DMA-E von der Europäischen Kommission angepasst werden können.64 Diese Pflichten sind teilweise als Gebote und teilweise als Verbote formuliert. Art. 5 DMA-E enthält hierzu „Verpflichtungen von Gatekeepern“, während Art. 6 DMA-E „möglicherweise noch näher auszuführende Verpflichtungen von Gatekeepern“ benennt, wobei weder aus dem DMA-E noch den Erwägungsgründen ersichtlich wird, aus welchen Beweggründen diese Unterteilung und Eingruppierung erfolgt ist.65 Die von Art. 5 und 6 DMA-E erfassten Verhaltensweisen sind für als „Gatekeeper“ eingestufte Unternehmen generell untersagt bzw. geboten, wodurch im Ergebnis für die Abgrenzung zur Missbrauchsaufsicht des Art. 102 AEUV ein ex-ante-Ansatz verfolgt wird.66 Grundsätzlich sind die „Gatekeeper“ gemäß Art. 7 Abs. 1 DMA-E selbst dafür zuständig, Maßnahmen zu ergreifen, um die Verpflichtungen aus Art. 5 und 6 DMA-E

62 RegE, BT-Drs. 19/23492, S. 77 f. Insbesondere die Vereinbarkeit der Beweislastregel mit Unions- bzw. Verfassungsrecht ist dabei jedoch umstritten, vgl. Grünwald, MMR 2020, 822, 825, der die Regel nicht mit Art. 2 VO 1/2003 (EG) als vereinbar ansieht, oder Degenhardt, WuW 2020, 308, 312 ff., der neben der Unvereinbarkeit mit Art. 2 VO 1/2003 (EG) auch eine Fehlgewichtung der Grundrechtspositionen der betroffenen Unternehmen annimmt. 63 Vgl. Lettl, WRP 2021, 413, 417. 64 Im Einzelnen verbietet Art. 5 DMA-E beispielsweise die Zusammenführung von personenbezogenen Daten aus verschiedenen Diensten ohne freiwillige Zustimmung der Endnutzer (lit. a) oder verpflichtet „Gatekeeper“ unter anderem, gewerblichen Nutzern die freie Preisgestaltung außerhalb der eigenen Plattform zu gewährleisten und somit von sog. „Bestpreisklauseln“ abzusehen (lit. c). Art. 6 DMA-E verbietet unter anderem eigene Produkte und Dienstleistungen beim „Ranking“ zu bevorzugen (lit. d) oder Multi-Homing der Endnutzer zu beschränken (lit. e). 65 Gerpott, NZKart 2021, 273, 276. 66 Gielen/Uphues, EuZW 2021, 627, 629.

86

Aktuelle Entwicklungen der Plattform-Regulierung

einzuhalten. Soweit diese Maßnahmen jedoch nicht die Verpflichtungen aus Art. 6 DMA-E sicherstellen, kann die Europäische Kommission gemäß Art. 7 Abs. 2 DMA-E per Beschluss selbst Maßnahmen festlegen. Ausnahmsweise kann die Europäische Kommission eine bestimmte Verpflichtung i. S. d. Art. 5 und 6 DMA-E ganz oder teilweise aussetzen, falls die Rentabilität der Geschäftstätigkeit gefährdet ist (Art. 8 DMA-E) oder aus zwingenden Gründen des öffentlichen Interesses die „Gatekeeper“ von Verpflichtungen befreien (Art. 9 DMA-E). 3. DSA-E Mit den gestuften größenabhängigen Adressaten korrelieren gestufte 26 Due Diligence-Pflichten der jeweiligen Online-Plattformen.67 Art. 10–13 DSA-E umfassen zunächst Pflichten für alle Anbieter von Vermittlungsleistungen, die auf die Einrichtung von Kontaktstellen (Art. 10), Rechtsvertretern (Art. 11), die Anpassung der AGB (Art. 12) und Transparenzberichtspflichten (Art. 13) ausgerichtet sind. Für Hosting-Diensteanbieter und (auch kleine) Online-Plattformen besteht darüber hinaus die Pflicht, ein Melde- und Abhilfeverfahren für die Meldung – potenziell – illegaler Inhalte (Art. 14) einzurichten und bei diesem Verfahren stets eine Begründung vorzunehmen (Art. 15). Für Online-Plattformen sind zusätzliche Pflichten vorgesehen, so etwa die Einrichtung eines internen Beschwerdemanagementsystems (Art. 17), die temporäre Sperrung von Endnutzern (Art. 20) oder die Meldung des Verdachts auf schwere Straftaten (Art. 21). In Art. 26–33 DSA-E werden „sehr großen Online-Plattformen“ zusätz- 27 liche Pflichten auferlegt. Unter anderem müssen diese „sehr großen Online-Plattformen“ hiernach gemäß Art. 26, 27 DSA-E jährlich die systemischen Risiken in Bezug auf die Verbreitung illegaler Inhalte, nachteilige Auswirkungen der Grundrechtsausübung oder der vorsätzlichen Manipulation der Dienste evaluieren und danach risikomindernde Maßnahmen treffen. Art. 29, 30 und 33 DSA-E sehen zudem zusätzliche Transparenz(berichts)pflichten vor. Insgesamt kann festgehalten werden, dass der DSA-E im Ausgangspunkt 28 zwar (teilweise weitreichende) Sorgfaltspflichten enthält. Dieser Befund wird aber jedenfalls insoweit relativiert, als dass die ursprünglich in Art. 12–14 der E-Commerce-Richtlinie68 statuierte Haftungsprivilegie-

67 Paal/Kumkar, ZfDR 2021, 97, 111. 68 Richtlinie 2000/31/EG.

87

Boris Paal/Fabian Kieß

rung für die Betreiber vermittels Art. 3 ff. DSA-E weitgehend übertragen wurde.69 4. Gegenüberstellung 29 Ein inhaltlicher Vergleich zwischen § 19a Abs. 2 GWB und Art. 5, 6 DMA-E auf der einen Seite und den Art. 10 ff. DSA-E auf der anderen Seite ist hinsichtlich der Pflichten der adressierten Online-Plattformen aufgrund der unterschiedlichen Zielrichtungen70 lediglich mit Einschränkungen möglich. Sowohl § 19a Abs. 2 GWB als auch Art. 5, 6 DMA-E haben primär einen wettbewerb(srecht)lichen Hintergrund und zielen darauf ab, dass Digitalkonzerne (so auch und gerade die GAFAM) als „Gatekeeper“ oder/und digitale Ökosysteme nicht durch (überragende) marktübergreifende Bedeutung, überlegene Ressourcen (insbesondere Daten) und Einfluss auf die Geschäftstätigkeit Dritter ein wettbewerblich nicht mehr bestreitbares „Tipping“ von (auch noch nicht beherrschten) Märkten bewirken können. Der DSA-E adressiert demgegenüber primär außerökonomische Ziele, so etwa die Eindämmung der Verbreitung illegaler Inhalte oder die Wahrung des Grundrechtsschutzes durch Online-Plattformen im Allgemeinen und Big-Tech-Digitalkonzernen im Besonderen. Insofern enthalten die Art. 10 ff. DSA-E einen deutlichen breiteren Pflichtenkanon, der vor allem die Verbreitung illegaler Inhalte (z. B. Art. 14, 19, 20, 21 oder 26 f. DSA-E), die Gewährleistung von (Unions-)Grundrechten (z. B. Art. 15, 17 oder 18 DSA-E), den Verbraucherschutz (z. B. Art. 22, 24, 29 DSA-E) und die Erhöhung der Transparenz (z. B. Art. 23, 24, 31, 33 DSA-E) adressiert.71 a) Ähnlichkeit und Unterschiede: § 19a GWB und DMA-E 30 Hervorzuheben ist in diesem Zusammenhang, dass alle sieben Verhaltensweisen des § 19a Abs. 2 GWB auch (zumindest ähnlich) von Art. 5, 6 DMA-E erfasst sind.72 So werden beispielsweise die Selbstbevorzugung des § 19a Abs. 2 S. 1 Nr. 1 GWB durch die Darstellung (Nr. 1 lit. a) von Art. 6 Abs. 1 lit. d DMA-E und die Vorinstallation bzw. Integration (Nr. 2 lit. b) von Art. 6 Abs. 1 lit. b, c DMA-E äquivalent geregelt. Die Vergleichbarkeit der Regelungen manifestiert sich zudem in der Behandlung der Behinderung der Leistungs- und/oder Datenportabilität nach § 19a

69 70 71 72

88

Paal/Kumkar, ZfDR 2021, 97, 110 f. Rz. 18 ff. Weitgehend so auch Gerpott, CR 2021, 255, 260. Gerpott, NZKart 2021, 273, 276, diesen Befund mit einer tabellarischen Gegenüberstellung belegend.

Aktuelle Entwicklungen der Plattform-Regulierung

Abs. 2 S. 1 Nr. 4 GWB, die in Gestalt der Leistungsportabilität durch Art. 6 Abs. 1 lit. f DMA-E und in Form der Datenportabilität durch Art. 6 Abs. 1 lit. h DMA-E äquivalent niedergelegt wird, und wird überdies in der durch § 19a Abs. 2 Nr. 6 GWB adressierten unzureichenden Information deutlich, die im DMA-E in Art. 5 lit. g, Art. 6 Abs. 1 lit. g, h, i und j zumindest ähnlich geregelt ist.73 Der DMA-E geht in Art. 5 und 6 DMA-E über die Regelungen des § 19a 31 Abs. 2 GWB hinaus.74 So werden insbesondere in Art. 5 lit. b DMA-E – auf digitalen Plattformmärkten typische75 – Bestpreis- und Paritätsklauseln adressiert76, zudem wird das für die Bestreitbarkeit von Märkten zentrale Element des „Multi-Homing“ in Art. 6 Abs. 1 lit. e DMA-E anders als in § 19a GWB aufgegriffen. Allerdings ist der in Art. 6 Abs. 1 lit. k DMA-E geregelte und auf digi- 32 talen Plattformmärkten relevante Ausbeutungsmissbrauch77 (zu) eng gefasst, da er sich nur auf Stores für Software-Anwendungen i. S. d. Art. 2 Nr. 12 DMA-E erstreckt, obwohl der Ausbeutungsmissbrauch beispielsweise auf Plattformen wie Online-Suchmaschinen oder OnlineMarktplätzen – bei denen die Unternehmen von dem „Ranking“ des „Gatekeepers“ abhängig sind – ebenfalls relevant sein kann. Zudem ist Art. 6 Abs. 1 lit. k DMA-E gegenüber dem mit Regelbeispielen operierenden § 19a Abs. 2 S. 1 Nr. 7 GWB deutlich unbestimmter ausgestaltet. Nicht zuletzt stellt sich § 19a Abs. 2 GWB gegenüber den tendenziell willkürlich und ohne generelle Ansätze78 angeordneten Art. 5, 6 DMA-E insgesamt übersichtlicher dar. b) Verwendung von ex-ante-Ansätzen Bei einem Vergleich von § 19a GWB und Art. 5, 6 DMA-E zeigt sich zu- 33 dem, dass – konträr zur traditionellen ex-post-Kontrolle der Missbrauchsaufsicht – zumindest in Teilen jeweils ex-ante-Ansätze verwendet werden.79 Konkret können unter Rekurs auf § 19a Abs. 1, 2 GWB präventiv Verhaltensweisen ohne den Nachweis einer tatsächlichen marktbeeinträchtigenden Wirkung auferlegt bzw. untersagt werden; die von Art. 5, 6

73 74 75 76 77 78

So im Ganzen Gerpott, NZKart 2021, 273, 276. Gerpott, NZKart 2021, 273, 276 m. w. N. Volmar, Digitale Marktmacht, 2019, S. 399. Vgl. Europäische Kommission, 2020, SWD (2020) 363 final, part 1, S. 53. Volmar, Digitale Marktmacht, 2019, S. 378. Podszun/Bongartz/Langenstein, Proposals on How to Improve the Digital Markets Act, 2021, S. 3. 79 Gielen/Uphues, EuZW 2021, 627, 629.

89

Boris Paal/Fabian Kieß

DMA-E adressierten Verhaltensweisen müssen von den betroffenen „Gatekeepern“ ohnehin a priori eingehalten bzw. umgesetzt werden. Allerdings besteht zwischen § 19a GWB und Art. 5, 6 DMA-E der zentrale Unterschied, dass die Verhaltensweisen durch die Verfügung i. S. d. § 19a Abs. 2 GWB erst ex-post mit ex-nunc-Wirkung untersagt werden,80 wohingegen Art. 5, 6 DMA-E bereits ex ante alle Verhaltensweisen untersagt bzw. verbietet. In diesem Zusammenhang wird teilweise angeführt, dass auch und gerade aufgrund der notwendigen Einhaltung des Bestimmtheitsgrundsatzes, weshalb nur bereits praktizierte Verhaltensweisen nach § 19a Abs. 2 GWB verboten werden können sollen, letztlich doch lediglich eine „[in]effiziente Ex-Post-Untersagung“ möglich sei.81 Diese Einschätzung kann insoweit entschärft werden, dass die Verhaltensweisen auch bereits dann präventiv verboten werden können, wenn Anhaltspunkte für eine Begehungshandlung bestehen.82 Dennoch ist anzuerkennen, dass aufgrund der (nur) einzelfallorientierten Untersagung bestimmter Verhaltensweisen bei § 19a GWB eine größere Nähe zu der traditionellen ex-post-Kontrolle nach Maßgabe der Missbrauchsaufsicht besteht.83 c) Rechtfertigungsmöglichkeiten 34 Der DMA-E enthält anders als § 19a GWB per-se-Regeln, deren Wirkungen, abgesehen von der Gefährdung der Rentabilität und zwingenden Gründen des öffentlichen Interesses (Art. 8 f. DMA-E), nicht mehr im Einzelfall überprüft werden können.84 Darüber hinaus sind für die „Gatekeeper“ weder sachliche Rechtfertigungsgründe noch effizienzbezogene Einreden gegenüber den prima facie rechtswidrigen Verhaltensweisen eröffnet.85 Dagegen können nach § 19a Abs. 2 S. 2 GWB betroffene Unternehmen stets den Beweis führen, dass die jeweilige Verhaltensweise sachlich gerechtfertigt ist. V. Befugnisse und Sanktionsregime 35 Nachfolgend werden die Befugnisse, das Sanktionsregime und der jeweils enthaltene Rechtsschutz dar- und gegenübergestellt (1. – 4.). 80 81 82 83 84

Höppner, WuW 2020, 71, 77. Höppner, WuW 2020, 71, 77. RegE, BT-Drs. 19/23492, S. 75; Gerpott, NZKart 2021, 273, 277. Paal/Kumkar, ZfDR 2021, 97, 115. Monopolkommission, 82. Sondergutachten – Empfehlungen für einen effektiven und effizienten Digital Markets Act, 2021, S. 47. 85 Bundeskartellamt, Hintergrundpapier – Arbeitskreis Kartellrecht, 7.10.2021, S. 26.

90

Aktuelle Entwicklungen der Plattform-Regulierung

1. GWB Gemäß § 19a Abs. 2 S. 4 GWB gelten § 32 Abs. 2 (Abhilfemaßnahmen) 36 und 3 (Feststellung der Zuwiderhandlung) GWB, § 32a GWB (einstweilige Maßnahmen) und § 32b GWB (Verpflichtungszusagen) entsprechend. Insoweit wird klargestellt, dass anstelle der Feststellungs- und/oder Untersagungsverfügung grundsätzlich sämtliche verfahrensabschließenden Instrumente zur Verfügung stehen.86 Dies gilt aufgrund der ex-nuncWirkung der Untersagungsverfügung jedoch nicht für Rückerstattungsanordnungen betreffend die Vergangenheit i. S.d. § 32 Abs. 2a GWB.87 Sofern ein schuldhafter Verstoß gegen eine vollziehbare Anordnung des 37 Bundeskartellamts aus § 19a Abs. 2 GWB vorliegt, stellt dieser Verstoß eine (bußgeldbewehrte) Ordnungswidrigkeit i. S.d. § 81 Abs. 2 Nr. 2 lit. a GWB dar. Die Höhe der Geldbuße steht im Ermessen des Bundeskartellamts unter Berücksichtigung von Schwere sowie Dauer der Zuwiderhandlung (§ 81d Abs. 1 GWB) und kann gemäß § 81c Abs. 2 GWB bis zu 10 % des Vorjahresumsatzes betragen. 2. DMA-E Sofern die Europäische Kommission gemäß Art. 14 Abs. 1 DMA-E durch 38 Beschluss eine Marktuntersuchung hinsichtlich der „systematischen Nichteinhaltung“ i. S.d. Art. 16 DMA-E durchführt und zu dem Ergebnis kommt, dass eine einschlägige Nichteinhaltung und damit ein Verstoß vorliegt, kann sie gemäß Art. 16 Abs. 1 DMA „jede verhaltensbezogene oder strukturelle Abhilfemaßnahme gegen den Gatekeeper verhängen, die in einem angemessenen Verhältnis zu der in Rede stehenden Zuwiderhandlung steht und erforderlich ist, um die Einhaltung der Vorgaben dieser Verordnung zu gewährleisten.“ Dabei sind strukturelle Verhaltensmaßnahmen nach Art. 16 Abs. 2 DMA-E subsidiär und sollen nur Anwendung finden, falls keine gleich wirksamen verhaltensbezogenen Abhilfemaßnahmen in Betracht kommen oder diese für den Gatekeeper belastender wären. Als Beispiel für strukturelle Verhaltensmaßnahmen wird in dem Verordnungsentwurf eine rechtliche, funktionelle oder strukturelle Trennung von (einem) Geschäftsbereich(en) der betroffenen Unternehmen bis hin zur vollständigen Veräußerung angeführt.88 Eine „systematische Nichteinhaltung“ soll gemäß Art. 16 Abs. 3 DMA-E jedoch erst in Betracht kommen, wenn die Europäische Kommission innerhalb von fünf Jahren drei Beschlüsse der Nichteinhaltung i. S.d. Art. 25 86 RegE, BT-Drs. 19/23492, S. 78. 87 RegE, BT-Drs. 19/23492, S. 74. 88 COM(2020) 842 final, Erwägungsgrund 64.

91

Boris Paal/Fabian Kieß

bzw. Geldbußen i. S.d. Art. 26 DMA-E gegen den „Gatekeeper“ betreffend eines ZPD erlässt. Nach Art. 26 Abs. 1 DMA-E kann bei Vorsatz oder Fahrlässigkeit eine Geldbuße in Höhe von bis zu 10% des jeweiligen Vorjahresumsatzes verhängt werden, wobei nach Abs. 3 der Vorschrift insoweit auch Schwere und Dauer sowie eine etwaige Wiederholung der Zuwiderhandlung berücksichtigt werden müssen. 3. DSA-E 39 Betreffend Befugnisse, Sanktionsregime und Rechtsschutz differenziert der DSA-E zwischen allgemeinen Vermittlungsdiensten i. S.d. Art. 2 lit. f DSA-E und „sehr großen Online-Plattformen“ i. S.d. Art. 25 DSA-E. Die allgemeinen Regelungen für Vermittlungsdienste sind in den Art. 38 ff. DSA-E aufgeführt, während die besonderen Regelungen für die „sehr großen Online-Plattformen“ in den Art. 50 ff. DSA-E niedergelegt sind. Ein zentraler Unterschied zwischen den betreffenden Regelungsregimen liegt darin, dass bei Vermittlungsdiensten die eingerichteten Behörden der Mitgliedstaaten dezentral agieren und für die Überwachung sowie Durchsetzung des DSA-E zuständig sind (vgl. Art. 38, 39 DSA-E), während bei „sehr großen Online-Plattformen“ durch die Europäischen Kommission auf Antrag des Europäischen Gremiums für digitale Dienste89 oder von Amts wegen einheitlich und zentral gehandelt werden kann (vgl. Art. 51 DSA-E). Sobald die Kommission ein solches zentrales Verfahren einleitet, dürfen die primär zuständigen „Koordinatoren für digitale Dienste“ im jeweiligen Mitgliedsstaat keine Untersuchungs- und Durchsetzungsmaßnahmen gegen „sehr große Online-Plattformen“ treffen (vgl. Art. 51 Abs. 2 DSA-E). Hinsichtlich der zentralen Durchsetzung führt die Kommission aus, dass es aufgrund der „erhebliche[n] Bedeutung“ durch Reichweite und Auswirkungen der „sehr großen Online-Plattformen“, wie insbesondere der GAFAM, aus „ordnungspolitischen Überlegungen“ geboten sei, ein „gemeinsames System der verstärkten Überwachung und Durchsetzung auf Unionsebene einzurichten.“90 89 Bei dem Europäischen Gremium für digitale Dienste handelt es sich um eine unabhängige Beratergruppe der Koordinatoren für digitale Dienste, vgl. Art. 47 ff. DSA-E. 90 COM(2020) 825 final, Erwägungsgrund 94 f. Unbeschadet dessen bestehen zahlreiche (inhaltliche) und weitgehende Gemeinsamkeiten zwischen den Regelungen: Die zuständigen „Koordinatoren für digitale Dienste“ des jeweiligen Mitgliedstaates bzw. die Europäische Kommission können jeweils Verpflichtungszusagen bindend annehmen und erklären (Art. 41 Abs. 2 lit. a bzw. Art. 56 DSA-E), Geldbußen bei der Nichteinhaltung der Verordnung (Art. 41 Abs. 2 lit. c DSA-E) bzw. der „einschlägigen“ Bestimmungen der Verordnung (Art. 59 Abs. 1 lit. a DSA-E) verhängen, Zwangsgelder erteilen (Art. 41 Abs. 2

92

Aktuelle Entwicklungen der Plattform-Regulierung

4. Gegenüberstellung Die Gegenüberstellung von Befugnissen und Sanktionsregime zeigt, dass 40 die Ansätze von GWB, DMA-E, DSA-E zahlreiche Gemeinsamkeiten aufweisen und sich zudem in der Struktur im Ergebnis nur unwesentlich unterscheiden.91 a) Vergleichbarkeit der Regelungsregime Die Gemeinsamkeiten der Regelungsinitiativen liegen (auch) darin, dass 41 alle Regelungsregime tendenziell weniger auf absolute Zahlen bei der Strafbemessung, sondern vielmehr verstärkt auf eine relative Orientierung am Vorjahresumsatz (§ 81c Abs. 2 GWB, Art. 26 Abs. 1 DMA-E, bei Art. 42, 59 DSA-E) setzen. Zudem orientiert sich die Höhe der Sanktionen jeweils insbesondere an Schwere und Dauer der Zuwiderhandlung. Die Höhe der jeweiligen (relativen) Sanktion darf bei § 81c Abs. 2 GWB und Art. 26 Abs. 1 DMA-E nicht 10%, bei Art. 42, 59 DSA-E (nur) 6% des Vorjahresumsatzes nicht überschreiten. b) Kongruenz zwischen DMA-E und DSA-E Zwischen den Befugnissen und den Sanktionsregimen von DMA-E und 42 DSA-E bestehen darüber hinaus noch weitergehende Gemeinsamkeiten. So sind insbesondere Kapitel V „Untersuchungs-, Durchsetzungs- und Überwachungsbefugnisse“ des DMA-E (Art. 18–30) und Kapitel IV Abschnitt 3 zu der „Beaufsichtigung, Untersuchung, Durchsetzung und Überwachung in Bezug auf sehr große Online-Plattformen“ des DSA-E (Art. 51–63) strukturell weitgehend identisch sowie mit Blick auf Befugnisse, Sanktionen und Rechtsschutz92 auch inhaltlich stark angenähert.93

lit. d bzw. Art. 60 DSA-E) oder einstweilige Maßnahmen auferlegen (Art. 41 Abs. 2 lit. e bzw. Art. 55 DSA-E). Der Höchstbetrag der Geldbußen bei schuldhaften Verstößen darf hierbei jeweils nicht 6% bzw. 1% des Vorjahresumsatzes überschreiten (Art. 42 Abs. 3 bzw. Art. 59 Abs. 1, 2 DSA-E). Bei den etwaigen Maßnahmen sind Art, Schwere, Dauer und etwaige Wiederholung der mutmaßlichen Zuwiderhandlung zu berücksichtigen (Art. 41 Abs. 5 bzw. Art. 59 Abs. 4 DSA-E). 91 Für GWB und DMA-E Gerpott, NZKart 2021, 273, 278, für DMA-E und DSA-E Gerpott, CR 2021, 255, 262. 92 Insbesondere ist gegen die Beschlüsse jeweils die Nichtigkeitsklage aus Art. 263 AEUV statthaft. 93 Unterschiede bestehen neben der Höhe der Sanktionen – allerdings ohne nähere Begründung – beispielsweise in der Verjährungsfrist, vgl. Gerpott, CR 2021, 255, 262.

93

Boris Paal/Fabian Kieß

c) Zentrale vs. dezentrale Durchsetzung 43 Der Vergleich von DMA-E und DSA-E zeigt, dass teilweise jeweils eine zentrale Durchsetzung der Verordnungsregime durch die Europäische Kommission vorgesehen ist (vgl. Art. 18 ff. DMA-E bzw. Art. 51 ff. DSA-E für „sehr große Online-Plattformen“). Dagegen wird im DSA-E hinsichtlich der Durchsetzung der Regeln bezüglich der übrigen Adressaten auf eine primär dezentrale Durchsetzung durch die jeweiligen Mitgliedstaaten zurückgegriffen (vgl. Art. 38 ff. DSA-E). d) Strengere Ausrichtung des GWB gegenüber dem DMA-E 44 Mit Blick darauf, dass Abhilfemaßnahmen nach § 19a Abs. 2 S. 4 i. V.m. § 32 Abs. 2 GWB (auch) bei einmaliger Zuwiderhandlung sanktioniert werden können, während bei „Gatekeepern“ i. S.d. DMA-E mindestens drei Verstöße innerhalb von fünf Jahren vorliegen müssen (Art. 16 Abs. 1, 3 DMA-E), zeigt sich, dass das Sanktionsregime des GWB letztlich strenger ausgestaltet ist.94 Dieser Befund wird dadurch gestützt, dass die Anforderungen für etwaige einstweilige Maßnahmen im GWB niedriger als im DMA-E sind.95 Durch die Neukodifikationen im Zuge der 10. GWB-Novelle setzen einstweilige Maßnahmen nicht mehr die „Gefahr eines ernsten, nicht wiedergutzumachenden Schadens für den Wettbewerb“ voraus, sondern können bereits erlassen werden, wenn „eine Zuwiderhandlung im Sinne des § 32 Absatz 1 überwiegend wahrscheinlich erscheint und die einstweilige Maßnahme zum Schutz des Wettbewerbs oder aufgrund einer unmittelbar drohenden, schwerwiegenden Beeinträchtigung […] geboten ist.“ Nach § 22 Abs. 1 DMA-E ist dagegen die Gefahr eines schweren und nicht mehr wiedergutzumachenden Schadens sowie eine Feststellung (aber nur „prima facie“) der Zuwiderhandlung notwendig. VI. Zusammenfassung 45 Insgesamt ist festzuhalten, dass die drei Regelungssysteme in ihrer Zielrichtung vergleichbar jeweils aktuelle Gefährdungslagen der (Onlinebzw. Digital-)Plattformökonomie aufgreifen.96 Dieses Aufgreifen erfolgt allerdings teilweise aus unterschiedlicher – bei § 19a GWB und DMA-E aus ökonomischer und wettbewerb(srecht)licher und beim DSA-E vorwiegend aus gesellschafts- und medienpolitischer bzw. technischer – Perspektive, sodass sich insbesondere § 19a GWB und DMA-E (vor allem in94 Ähnlich Gerpott, NZKart 2021, 273, 279. 95 Gerpott, NZKart 2021, 273, 278 f. 96 Dazu unter Rz. 1 ff.

94

Aktuelle Entwicklungen der Plattform-Regulierung

haltlich) aussagekräftig vergleichen lassen. Alle Regulierungsinitiativen haben gemeinsam, dass letztlich (zumindest teilweise) die gleichen Adressaten – insbesondere die großen Digitalkonzerne – erfasst sind97 sowie vergleichbare Durchsetzungsinstrumente eingesetzt werden.98 In Ansehung der durch die ubiquitäre Digitalisierung nicht nur auf na- 46 tionaler und unionaler, sondern auch und gerade auf globaler Ebene bestehenden Herausforderungen und Gefährdungslagen sind einheitliche Regelungsregime auch zur Verhinderung einer Fragmentierung des Binnenmarkts auf Unionsebene sowie zur Schaffung eines kohärenten Systems der Regulierung von Online- bzw. Digitalplattformen vorzugswürdig. Insoweit ist es zu begrüßen, dass sich DMA-E und DSA-E im Sinne der Gewährleistung eines hohen Grads an Rechtssicherheit weitgehend hinsichtlich der Adressaten sowie der Struktur von Befugnissen, Überwachung und Sanktionsregime gleichen. Hinsichtlich des DSA-E bleibt abzuwarten, ob die gebotene maßvolle Abwägung zwischen den Gefahren durch illegale Inhalte oder Desinformationen einerseits und den Gefahren einer Überregulierung, insbesondere für Kommunikationsgrundrechte der Endnutzer und sonstige Freiheitsgrundrechte der Adressaten, andererseits gelingt. Für § 19a GWB und DMA-E gilt es, eine rechtssichere Balance zwischen der Gefahr nachhaltig unbestreitbarer Monopolisierungs- und Konzentrationstendenzen auf der einen Seite und aufgrund des dynamischen und innovativen Charakters von Digitalmärkten drohenden vorschnellen und gegebenenfalls innovationshemmenden Eingriff auf der anderen Seite zu finden. Insofern wird mit Blick auf die laufenden Verfahren des Bundeskartell- 47 amts (auch) auf Grundlage des § 19a GWB gegen Facebook, Google, Amazon und Apple99 abzuwarten sein, ob der (teilweise) ex-ante-Ansatz mit marktübergreifender Bewertung in der praktischen Rechtsanwendung nachhaltig belastbar ist. Mit Blick darauf, dass durch § 19a GWB, DMA-E und DSA-E ökonomische und kartellrechtliche (insbesondere nicht mehr effektiv bestreitbare Monopolisierungs- und Konzentrationstendenzen) sowie medien- und gesellschaftspolitische (wie Desinformation oder „Hate-Speech“) Gefährdungslagen aufgegriffen wurden, sind die Grundausrichtungen der Regelungsregime insgesamt zu begrüßen.100 97 Dazu unter Rz. 18 ff. 98 Dazu unter Rz. 46 ff. 99 Bundeskartellamt, Pressemitteilungen vom 28.1.2021 (Facebook), 18.5.2021 (Amazon), 25.5.2021 (Google), 21.6.2021 (Apple). 100 In diesem Sinne bezeichnen Podszun/Bongartz/Langenstein, Proposals on How to Improve the Digital Markets Act, 2021, S. 3 den DMA-E als „very good step in the right direction“.

95

Boris Paal/Fabian Kieß

VII. Ausblick 48 Mit Beschluss vom 30.12.2021 hat das Bundeskartellamt die überragende marktübergreifende Bedeutung von Google i.S.d. § 19a Abs. 1 S. 1 GWB festgestellt.101 Diese Feststellung gründete sich vor allem darauf, dass Google „eine breite Vielzahl von Diensten markt- und reichweitenstark“ anbiete und damit die Möglichkeit habe „von Verbundvorteilen zu profitieren und marktübergreifend gegenüber anderen Unternehmen die Rolle eines Regelsetzers einzunehmen, […] dabei auf einen breiten sowie tiefen Datenzugang zurückgreifen und [so] seine Position ohne hinreichende wettbewerbliche Kontrolle weiter konsolidieren, ausweiten oder auf sonstige Weise zum eigenen Vorteil nutzen [könne].“102 Die Feststellungsverfügung i.S.d. § 19a Abs. 1 S. 1 GWB ist bereits bestandskräftig, da Google am 4.1.2022 auf Rechtsbehelfe verzichtet hat.103 Das Bundeskartellamt kann fortan fünf Jahre i.S.d. § 19a Abs. 1 S. 3 GWB bis zum 4.1.2027 Untersagungsverfügungen i.S.d. § 19a Abs. 2 GWB erlassen. 49 Der Gesetzgebungsprozess auf europäischer Ebene zu DMA-E und DSA-E befindet sich in einem fortgeschrittenen Stadium. Am 15.12.2021 hat das Europäische Parlament einen Text zur Abänderung des DMA-E mit 642 zu 8 Stimmen bei 46 Enthaltungen angenommen, der als Mandat für den Trilog mit der Europäischen Kommission und dem Rat der Europäischen Union dient.104 Im Wesentlichen wurden dabei die quantitativen Schwellenwerte i.S.d. Art. 3 Abs. 1 DMA-E von 6,5 bzw. 65 Milliarden auf 8 bzw. 80 Milliarden EUR Jahresumsatz bzw. durchschnittliche Marktkapitalisierung heraufgesetzt. Zudem wurden insbesondere die Dienste der „zentralen Plattformdienste“ i.S.d. Art. 2 Nr. 2 DMA-E um Web-Browser, virtuelle Assistenten und Connected-TV´s ergänzt, die sog. „Killer-Akquisitionen“105 adressiert sowie die Geldbußen i.S.d. Art. 26 Abs. 1 DMA-E von maximal 10 % des Gesamtumsatzes auf 20 % des welt-

101 102 103 104

Bundeskartellamt, Beschluss v. 30.12.2021 –B7-61/21 – Google. Bundeskartellamt, Beschluss v. 30.12.2021 – B7-61/21 – Google, S. 2 f. Bundeskartellamt, Beschluss v. 30.12.2021 – B7-61/21 – Google, S. 5. Europäisches Parlament, Pressemitteilung v. 15.12.2021, abrufbar unter https://www.europarl.europa.eu/news/de/press-room/20211210IPR19211/ gesetz-uber-digitale-markte-parlament-bereit-fur-berhandlungen-mit-rat.de. 105 „Killer-Akquisitionen“ beschreiben das Phänomen, dass große Online- bzw. Digitalplattformen meist junge (potenziell innovative) Plattformen zu hohen Preisen aufkaufen, ohne dass bei diesen bereits ein Übergang zu einem kommerziellen bzw. rentablen Geschäftsmodell erfolgt ist, vgl. Schweitzer/ Fetzer/Peitz, Digitale Plattformen: Bausteine für einen künftigen Ordnungsrahmen, Discussion Paper No. 16-042, 29.5.2016, S. 54.

96

Aktuelle Entwicklungen der Plattform-Regulierung

weit erzielten Gesamtumsatzes erhöht. Zudem soll durch die Schaffung einer europäischen hochrangigen Gruppe digitaler Regulierungsbehörden unter anderen mit Vertretern der nationalen Wettbewerbsbehörden die Zusammenarbeit zwischen der Europäischen Kommission und den Mitgliedsstaaten (insbesondere der nationalen Wettbewerbsbehörden) konkretisiert werden.106 Der Ausschuss für Binnenmarkt und Verbraucherschutz hat am 14.12.2021 mit 36 zu 7 Stimmen bei 2 Enthaltungen den Standpunkt zum DMA-E angenommen, welcher Grundlage für die Abstimmung im Europäischen Parlament am 20.1.2022 war.107 Am 24.3.2022 ist eine vorläufige Einigung zwischen Europäischem Rat und Europäischem Parlament erfolgt, sodass diese Fassung nur noch formal durch beide Organe gebilligt werden muss und einer zügigen Inkraftsetzung noch im Jahr 2022 nichts mehr im Weg zu stehen scheint.108 Grundlegende konzeptionelle Änderungen wurden nicht mehr beschlossen, vielmehr sind lediglich punktuelle Konturierungen erfolgt, indem etwa die quantitativen Schwellenwerte i. S.d. Art. 3 Abs. 1 DMA-E auf 7,5 bzw. 75 Milliarden EUR Jahresumsatz bzw. durchschnittliche Marktkapitalisierung oder die Geldbußen auf grundsätzlich 10 % und bei Wiederholungsfällen auf bis zu 20 % festgesetzt worden sind.109 In der Abstimmung vom 20.1.2022 wurde der geänderte DSA-E-Vorschlag 50 mit 530 zu 78 Stimmen bei 80 Enthaltungen vom Europäischen Parlament angenommen und bildet das Mandat für die anstehenden Verhandlungen mit Europäischen Kommission sowie dem Rat der Europäischen Union.110 Im Vergleich zum DSA-E wurden hierbei insbesondere sog. „dark patterns“111 adressiert, die Anforderungen an Transparenz- und 106 Sämtliche Änderungen sind abrufbar unter Europäisches Parlament, https:// www.europarl.europa.eu/doceo/document/TA-9-2021-0499_DE.html. 107 Europäisches Parlament, Pressemitteilung v. 15.12.2021, abrufbar unter https://www.europarl.europa.eu/news/de/press-room/20211210IPR19209/digitale-dienste-mehr-verbrauchersicherheit-strengere-regeln-fur-plattformen. de. 108 Europäischer Rat, Pressemitteilung v. 25.3.2022, abrufbar unter https://www. consilium.europa.eu/de/press/press-releases/2022/03/25/council-and-european-parliament-reach-agreement-on-the-digital-markets-act/. 109 Europäischer Rat, Pressemitteilung v. 25.3.2022, abrufbar unter https://www. consilium.europa.eu/de/press/press-releases/2022/03/25/council-and-european-parliament-reach-agreement-on-the-digital-markets-act/. 110 Europäisches Parlament, Pressemitteilung v. 20.1.2022, abrufbar unter https://www.europarl.europa.eu/news/de/press-room/20220114IPR21017/ gesetz-uber-digitale-dienste-mehr-sicherheit-dank-regeln-fur-online-plattformen.de). 111 Hiermit bezeichnet werden manipulative Design-Praktiken auf Websiten, die darauf ausgerichtet sind den Nutzer zu seinen Interessen widerlaufenden

97

Boris Paal/Fabian Kieß

Informationspflichten sowie der Schutz von Minderjährigen im Zusammenhang mit „targeted advertising“ akzentuiert, die Möglichkeit der Geltendmachung von Schadensersatzansprüchen bei Verstößen gegen Sorgfaltspflichten durch Nutzer und ein Recht auf die anonyme Nutzung und Bezahlung digitaler Dienste der adressierten digitalen Dienste implementiert sowie die Anforderungen an die algorithmenbasierten Empfehlungssysteme („Ranking“) der „sehr großen Online-Plattformen“ verschärft.112

Handlungen zu verleiten. Dazu instruktiv Martini/Drews/Seeliger/Weinzierl, ZfDR 2021, 47. 112 Europäisches Parlament, Pressemitteilung v. 20.1.2022, abrufbar unter https://www.europarl.europa.eu/news/de/press-room/20220114IPR21017/ gesetz-uber-digitale-dienste-mehr-sicherheit-dank-regeln-fur-online-plattformen.de.

98

Updatepflichten in Verbraucherverträgen über digitale Produkte Kristina Schreiber*/Julia Esser** I. Novellierung des BGB: Aktualisierungspflichten für digitale Angebote 1 II. Anwendungsbereich 9 1. Verträge über digitale Produkte 10 2. Austauschgeschäfte 17 3. Paketverträge und Kaufverträge über Waren mit digitalen Elementen 19 4. Persönlicher Anwendungsbereich und Rückgriffsansprüche 21 5. Geltungsbeginn 23 III. Geschuldete Aktualisierungen 24 1. Updates und Upgrades 26 2. Kompatibel, interoperabel und integriert 27

IV. 1. 2. 3.

Informationspflicht Notwendiger Inhalt Kommunikationsweg Zeitpunkt der Information

30 32 36 42

V. Dauer der Updatepflichten 43 1. Dauerhafte Bereitstellung eines digitalen Produkts 45 2. Einmalige Bereitstellung eines digitalen Produkts und Kauf von Waren mit digitalen Elementen 46 VI. Rechtsfolgen bei Verstößen

50

VII. Resumée: Herausforderungen in der Praxis 51

Literatur: Auer-Reinsdorff/Conrad (Hrsg.) Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019; Bach, Neue Richtlinien zum Verbrauchsgüterkauf und zu Verbraucherverträgen über digitale Inhalte, NJW 2019, 1705; Borges/Hilber (Hrsg.), Beck`scher Online-Kommentar IT-Recht, 3. Edt. 1.7.2021; Brönneke/Föhlisch/ Tonner (Hrsg.), Das neue Schuldrecht, 2022; Buchmann/Panfili, Das neue Schuldrecht 2022 – Teil 2, Aktualisierungen bei digitalen Produkten und Waren mit digitalen Elementen, K&R 2022, 159; Dubovitskaya, Kauf von Waren mit digitalen Elementen, Fortschritt und Rechtsunsicherheit im Verbrauchsgüterkaufrecht, MMR 2022, 3; Felsch/Kremer/Wagner, Handhabung der neuen Aktualisierungspflicht bei digitalen Produkten, MMR 2022, 18; Firsching, Der Kauf von Sachen mit digitalen Elementen, ZUM 2021, 210; Heydn, Schuldrechtsreform 2.0: Das neue Gewährleistungsrecht für digitale Produkte in der Praxis, CR 2021, 709;

*

Dr. Kristina Schreiber ist Rechtsanwältin, Fachanwältin für Verwaltungsrecht und Partnerin bei Loschelder Rechtsanwälte in Köln, spezialisiert auf die rechtliche Begleitung von Digitalisierungsprojekten unter besonderer Berücksichtigung von Datennutzung und Datenschutz. ** Julia Esser ist ebendort wissenschaftliche Mitarbeiterin.

99

Kristina Schreiber/Julia Esser Krauß/Weise (Hrsg.), Beck`sche Online-Formulare Vertrag, 59. Edt. 1.1.2022; Kühner/Piltz, Die Updatepflicht für Unternehmen in Umsetzung der Digitale Inhalte Richtlinie, CR 2021, 1; Kumkar, Herausforderungen eines Gewährleistungsrechts im digitalen Zeitalter, ZfPW 2020, 306; Leupold/Wiebe/Glossner (Hrsg.) Anwaltshandbuch IT-Recht, 4. Aufl. 2021; Redeker, IT-Recht, 7. Aufl. 2020; Riehm/Abold, Rechtsbehelfe von Verbrauchern bei Verträgen über digitale Produkte, CR 2021, 530; Rosenkranz, Spezifische Vorschriften zu Verträgen über die Bereitstellung digitaler Produkte im BGB, ZUM 2021, 195; Sattler, Neues EU-Vertragsrecht für digitale Güter, CR 2020, 145; Schneider, Die komplexe Mechanik der neuen Anforderungen im Mängelregime, CR 2022, 1; Schippel, DSGVO-konformer Einsatz von Push-Nachrichten bei Aktualisierungen digitaler Inhalte, ITRB 2021, 219; Schöttle, Software als digitale Produkt, Was bringen die gesetzlichen Neuregelungen?, MMR 2021, 683; Schrader, Neue Gewährleistungsregeln für „smarte Produkte“ als lauterkeitsrechtliche Herausforderung, WRP 2022, 138; Schreiber (Hrsg.), Digitale Angebote, Neuer Rechtsrahmen für ihre Entwicklung von der Idee bis zum Vertrieb, 2022; Schreiber, Personenbezogene Daten als Währung. Neue Vorschriften für das „Bezahlen mit Daten“, ZdiW 2021, 93; Schulze (Hrsg.), Bürgerliches Gesetzbuch Handkommentar, 11. Aufl. 2022; Spindler, Umsetzung der Richtlinie über digitale Inhalte in das BGB, Schwerpunkt 1: Anwendungsbereich und Mangelbegriff, MMR 2021, 451; Spindler/Sein, Die endgültige Richtlinie über Verträge über digitale Inhalte und Dienstleistungen, Anwendungsbereich und grundsätzliche Ansätze, MMR 2019, 415; Staudenmayer, Digitale Verträge – Die Richtlinienvorschläge der Europäischen Kommission, ZEuP 2016, 801; Wendehorst, Die Digitalisierung und das BGB, NJW 2016, 2609.

I. Novellierung des BGB: Aktualisierungspflichten für digitale Angebote 1 Zum 1.1.2022 haben mit dem digitalen Vertragsrecht Updatepflichten Einzug gehalten in das Bürgerliche Gesetzbuch. Mit den Neuregelungen trägt dieses der fortschreitenden Digitalisierung Rechnung – und setzt die DID-Richtlinie (EU) 770/2019 sowie die Warenverkaufs-Richtlinie (EU) 771/2019 in nationales Recht um. Eine zentrale Neuregelung im digitalen Vertragsrecht der §§ 327 ff. BGB und im Kaufrecht ist die Verpflichtung zu Aktualisierungen. Was die Neuregelungen beinhalten, welche Folgen ihre Nichteinhaltung hat und welche praktischen Probleme bei den ersten Anwendungsfällen im Fokus stehen, beleuchtet der vorliegende Beitrag. 2 Zum 1.1.2022 ist die wohl größte BGB-Novelle seit der Schuldrechtsreform in Kraft getreten.1 Mit einem neuen Titel im Schuldrecht AT (§§ 327 ff. BGB) und diversen Ergänzungen im Schuldrecht BT sind mit 1

Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen v. 25.6.2021, BGBl. I 2021, S. 2123; Gesetz zur Regelung des Verkaufs von

100

Updatepflichten in Verbraucherverträgen über digitale Produkte

dieser Novelle insbesondere spezifische Vorschriften für digitale Angebote und digitale Elemente in realen Produkten eingeführt worden. Eine der wesentlichen Neuerungen ist eine erstmals derart explizit normierte Pflicht zur Aktualisierung von digitalen Angeboten, die Verbrauchern bereitgestellt werden, die sog. Aktualisierungspflichten oder auch – umgangssprachlich – „Updatepflichten“. Die BGB-Novelle erfolgte zur Umsetzung zweier Richtlinien, die ge- 3 meinsam am 20.5.2019 als Paket erlassen wurden und bis zum 1.7.2021 in nationales Recht umzusetzen waren: Die Richtlinie (EU) 2019/770 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen (DID-RL) und die Richtlinie (EU) 2019/771 über bestimmte vertragsrechtliche Aspekte des Warenkaufs (WK-RL) dienen dem Ziel, mitgliedstaatliches (Kauf-)Vertragsrecht im Bereich der digitalen Angebote zu harmonisieren und zu modernisieren sowie ein einheitliches hohes Verbraucherschutzniveau sicherzustellen.2 Beide Richtlinien normieren Aktualisierungspflichten; der deutsche Gesetzgeber hat diese Vorgaben aus Art. 8 Abs. 2 DID-RL, Art. 7 Abs. 3 WKRL beinahe 1:1 ins deutsche Recht umgesetzt. Im BGB finden sich die Aktualisierungspflichten nunmehr an zwei Stel- 4 len, in § 327f BGB für digitale Produkte und in § 475b BGB für Kaufverträge über Waren mit digitalen Elementen, jeweils begrenzt auf Verbraucherverträge. Ergänzend finden sich in den §§ 327 ff., 474 ff. BGB Regelungen zu den Folgen der Nichterfüllung bestehender Aktualisierungspflichten, der Verjährung und zu Rückgriffsansprüchen des Anbieters in der Lieferkette bis hin zum Hersteller des digitalen Produkts bzw. digitalen Elements. Die Updatepflichten in den beiden Regelungsbereichen weisen parallele Strukturen auf. Für Verbraucherverträge über digitale Produkte ergeben sich die Update- 5 pflichten des Unternehmers aus § 327f BGB. Die Updatepflichten sind Teil der Verpflichtung des Unternehmers aus § 327d BGB, das digitale Produkt frei von Produkt- und Rechtsmängeln i. S. d. §§ 327e bis 327g BGB bereitzustellen.3 Frei von Produktmängeln ist das digitale Produkt

2 3

Sachen mit digitalen Elementen und anderen Aspekten des Kaufvertrags v. 25.6.2021, BGBl. I 2021, S. 2133. EG 6 DID-RL; BR-Drs. 60/21, S. 1; EG 3, 10 WK-RL; BR-Drs. 146/21, S. 1. Ausführlich zu der Frage, ob die Updatepflicht als eigenständige Pflicht einzuordnen ist oder als Teil des Mangelbegriffs verstanden werden muss Buchmann/Panfili, K&R 2022, 159, 160 f.; a. A. Felsch/Kremer/Wagener, MMR 2022, 18, 20 f., die die Updatepflichten als eigenständige Pflicht ansehen; zu dem Problem auch Riehm/Abold, CR 2021, 530, 538, Rz. 48, die einen Primäranspruch auf Aktualisierungen verneinen.

101

Kristina Schreiber/Julia Esser

gem. § 327e Abs. 1 S. 1 BGB, wenn es „den subjektiven Anforderungen, den objektiven Anforderungen und den Anforderungen an die Integration entspricht“. Um die objektiven Anforderungen einzuhalten, müssen gem. § 327e Abs. 3 S. 1 Nr. 5 BGB „dem Verbraucher gemäß § 327f BGB Aktualisierungen bereitgestellt werden und der Verbraucher über diese Aktualisierungen informiert“ werden. Parallele Aktualisierungspflichten finden sich für Verbrauchsgüterkaufverträge über Waren mit digitalen Elementen in §§ 475b, 475c BGB geregelt. Auch danach hat die Bereitstellung so lange zu erfolgen, wie der Verbraucher dies objektiv erwarten kann (§ 475b Abs. 4 Nr. 2 BGB). 6 Aufgrund des „Konzept[s] der Gleichrangigkeit von subjektiven und objektiven Anforderungen“4 kann von objektiven Anforderungen zulasten des Verbrauchers nur unter den engen Voraussetzungen des § 327h BGB bzw. § 476 Abs. 1 S. 2 BGB abgewichen werden. Wie bei Verbraucherverträgen über digitale Produkte sind die Updatepflichten auch i. R. d. §§ 475b, 475c BGB Teil der gleichrangigen subjektiven und objektiven Anforderungen an die Mangelfreiheit der Ware mit digitalen Elementen.5 Gesetzestechnisch wird bei Waren mit digitalen Elementen der Sachmangelbegriff des allgemeinen Kaufrechts, § 434 BGB, für Verbrauchsgüterkaufverträge über Waren mit digitalen Elementen um die Regelungen des § 475b Abs. 2 bis 6 BGB ergänzt (§ 475b Abs. 1 S. 1, Abs. 2 BGB). 7 Daneben bleibt es den Vertragsparteien unbenommen, vertragliche Updatepflichten zu vereinbaren, die in Art, Dauer und Umfang über die Anforderung des § 327f bzw. der §§ 475b, 475c BGB hinausgehen. Haben die Parteien von dieser Möglichkeit Gebrauch gemacht, ist der Unternehmer gem. § 327e Abs. 2 S. 1 Nr. 3 BGB bzw. § 475b Abs. 3 Nr. 2 BGB verpflichtet, auch diese vereinbarten Aktualisierungen während des nach dem Vertrag maßgeblichen Zeitraums bereitzustellen; das Produkt bzw. die Ware ist nur dann auch subjektiv mangelfrei. 8 § 327f Abs. 2 BGB bzw. § 475b Abs. 5 BGB normiert eine Haftungsfreistellung des Unternehmers: Installiert der Verbraucher die bereitgestellte Aktualisierung nicht innerhalb einer angemessenen Frist, haftet der Unternehmer unter den Voraussetzungen des § 327f Abs. 2 BGB nicht für einen Produktmangel, der allein auf das Fehlen der entsprechenden

4 5

BR-Drs. 60/21, S. 56. Ausführlich zu der Frage, ob die Updatepflichten als eigenständige Pflichten einzuordnen sind oder als Teil des Mangelbegriffs verstanden werden müssen Buchmann/Panfili, K&R 2022, 159, 160 f.; a. A. Felsch/Kremer/Wagener, MMR 2022, 18, 20 f., die die Updatepflichten als eigenständige Pflichten ansehen.

102

Updatepflichten in Verbraucherverträgen über digitale Produkte

Aktualisierung zurückzuführen ist. Demnach trifft den Verbraucher keine Installationspflicht, sondern eine Obliegenheit zur Installation. Dem Verbraucher soll es gerade freistehen, ob Aktualisierungen installiert werden oder nicht (Erwägungsgrund 47 DID-RL). Die Haftungsfreistellung greift gem. § 327f Abs. 2 BGB nur bei ordnungsgemäßer Information des Verbrauchers über die „Verfügbarkeit der Aktualisierung und die Folgen einer unterlassenen Installation“ (Nr. 1) und Erläuterung, wie installiert wird (Nr. 2). II. Anwendungsbereich Aktualisierungspflichten gelten für digitale Produkte im Anwendungs- 9 bereich der §§ 327 ff. BGB sowie für Waren mit digitalen Elementen im Rahmen des Verbrauchsgüterkaufs nach §§ 474 ff. BGB. 1. Verträge über digitale Produkte Gem. § 327 Abs. 1 S. 1 BGB sind die §§ 327 ff. BGB auf Verbraucherver- 10 träge anwendbar, welche die Bereitstellung digitaler Produkte durch einen Unternehmer gegen Zahlung eines Preises zum Gegenstand haben. Vertragsgegenstand muss demnach die Bereitstellung eines digitalen Produkts sein. Der Begriff des digitalen Produkts bezeichnet digitale Inhalte und digitale Dienstleistungen (§ 327 Abs. 1 S. 1 BGB). Digitale Inhalte definiert § 327 Abs. 2 S. 1 BGB als Daten, die in digitaler 11 Form erstellt und bereitgestellt werden. Erfasst werden bspw. Computerprogramme, Audio- und Musikdateien, digitale Spiele, elektronische Publikationen sowie Anwendungen.6 Unerheblich ist, ob die Daten selbstständig oder mit Hilfe eines zusätzlichen Programms wahrnehmbar sind7 oder ob sie auf einem dauerhaften Datenträger bereitgestellt oder in Echtzeit gestreamt werden.8 Unerheblich ist auch der konkrete Inhalt der Daten; entscheidend ist allein deren digitale Form, d. h. mittels elektrischer Impulse bereitgestellte Inhalte und Informationen.9 Körperliche Datenträger sind keine digitalen Inhalte. Das gilt ebenfalls, 12 wenn der körperliche Datenträger ausschließlich als Träger digitaler Inhalte dient. Nach § 327 Abs. 5 BGB erstreckt sich jedoch der Anwen6 7 8 9

EG 19 DID-RL. Auf EG 19 DID-RL verweisend BR-Drs. 60/21, 39. So schon zu § 312f BGB a. F. Fröhlisch in: BeckOK IT-Recht, 3. Edt. 1.7.2021, § 312f BGB, Rz. 6. Siehe ausführlich zum Begriff „digitale Inhalte“ Schreiber/Esser in: Schreiber, Digitale Angebote, § 2 Rz. 6 ff.

103

Kristina Schreiber/Julia Esser

dungsbereich der §§ 327 ff. BGB mit Ausnahme von §§ 327b, 327c BGB auch auf Verbraucherverträge, welche die Bereitstellung von körperlichen Datenträgern, die ausschließlich als Träger digitaler Inhalte dienen, zum Gegenstand haben. Da die §§ 327e, 327f BGB nicht ausgenommen sind, gelten die Updatepflichten auch in diesen Fällen. Beispiele sind „DVDs, CDs, USB-Sticks und Speicherkarten“.10 Dogmatisch enthält die Vorschrift eine zentrale gesetzgeberische Entscheidung: Ausschlaggebend für die Anwendung der Vorschriften über „Verbraucherverträge über digitale Produkte“ ist, ob der Datenträger um seiner selbst Willen oder nur wegen seines digitalen Inhalts erworben wird; die „Verkörperung“ des digitalen Inhalts ist irrelevant.11 Damit wird anerkannt, dass der wirtschaftliche Wert solcher Produkte dem digitalen Inhalt und nicht dem Trägermedium anhaftet, und, dass ein medienneutraler Ansatz gewählt wird.12 13 Digitale Dienstleistungen sind gem. der Legaldefinition in § 327 Abs. 2 S. 2 BGB Dienstleistungen, die dem Verbraucher die Erstellung, die Verarbeitung oder die Speicherung von Daten in digitaler Form oder den Zugang zu solchen Daten ermöglichen, (Nr. 1) oder Dienstleistungen, die dem Verbraucher die gemeinsame Nutzung der vom Verbraucher oder von anderen Nutzern der entsprechenden Dienstleistung in digitaler Form hochgeladen oder erstellten Daten oder sonstige Interaktionen mit diesen Daten ermöglichen (Nr. 2). Digitale Dienstleistungen i. S. d. Nr. 1 sind bspw. „Software-as-a-Service, wie die gemeinsame Nutzung von Video- oder Audioinhalten und andere Formen des Datei-Hosting, Textverarbeitung oder Spiele, die in einer Cloud-Computing-Umgebung und in sozialen Medien angeboten werden“.13 Interaktive Dienste i. S. d. Nr. 2 sind z. B. Verkaufs-, Buchungs-, Vergleichs-, Vermittlungs-, Bewertungsplattformen oder eine gemeinsam genutzte cloudbasierte Textverarbeitung.14

10 EG 20 DID-RL. 11 Zur Entscheidung des europäischen Gesetzgebers für Medienneutralität und gegen die etwa im deutschen Recht bislang übliche Abgrenzung anhand der „Verkörperung“ der Software vgl. Bach, NJW 2019, 1705, 1706. 12 Zu den Regelungsansätzen und ihren Vor- und Nachteilen vgl. Staudenmayer, ZEuP 2016, 801, 810. Ausführlich zu § 327 Abs. 5 BGB Schreiber/Esser in: Schreiber, Digitale Angebote, § 2 Rz. 10 f. 13 EG 19 DID-RL. 14 BR-Drs. 60/21, S. 39 f. Siehe zum Begriff der „digitalen Dienstleistung“ Schreiber/Esser in: Schreiber, Digitale Angebote, § 2 Rz. 12 ff.

104

Updatepflichten in Verbraucherverträgen über digitale Produkte

Der Begriff der digitalen Produkte ist damit denkbar weit gefasst. Zum 14 entscheidenden Merkmal wird letztlich, ob sich ein Vertrag auf „Daten“ als Leistungsgegenstand bezieht.15 Die §§ 327 ff. BGB gelten für alle Vertragstypen. Es ist für die Einordnung 15 als Vertrag über digitale Produkte unerheblich, ob das Schuldverhältnis als Kauf-, Dienstleistungs-, oder Mietvertrag o. ä. einzuordnen ist.16 Zudem wurde mit dem digitalen Vertragsrecht kein neuer Vertragstyp geschaffen. Im Besonderen Schuldrecht wurden entsprechende Regelungen eingefügt, die das Verhältnis zu den §§ 327 ff. BGB regeln (§§ 475a, 516a, 548a, 578b, 580a Abs. 3, § 620 Abs. 4, § 650 BGB). Bei der Bestimmung des sachlichen Anwendungsbereichs sind die Be- 16 reichsausnahmen in § 327 Abs. 6 BGB zu beachten. Auf alle in diesem Absatz genannten Ausnahmen findet das digitale Vertragsrecht der §§ 327 ff. BGB keine Anwendung. Grund dafür ist, dass diese digitalen Produkte bereits anderweitigen sektorspezifischen Regulierungsvorgaben unterliegen. 2. Austauschgeschäfte Im Austausch für die Bereitstellung des digitalen Produkts verlangt § 327 17 Abs. 1 S. 1 BGB zudem die Zahlung eines Preises. Für die Anwendung der §§ 327 ff. BGB muss ein Austauschgeschäft vorliegen. Gezahlt werden kann mit Bargeld oder auch Buch- oder Giralgeld. Außerdem ist gem. § 327 Abs. 1 S. 2 BGB Zahlung mit der digitalen Darstellung eines Werts möglich. Digitale Darstellungen eines Werts sind z. B. ein elektronischer Gutschein, ein „E-Coupon“17 und laut EG 23 DID-RL auch virtuelle Währungen, soweit sie nach nationalem Recht anerkannt sind. Darüber hinaus ist der Anwendungsbereich der §§ 327 ff. BGB gem. § 327 18 Abs. 3 BGB eröffnet, wenn die Gegenleistung in Form der Bereitstellung personenbezogener Daten erfolgt. Dieses erstmals explizit im BGB benannte Konzept des „Bezahlens mit Daten“ ergibt sich aus § 327 Abs. 3 i. V. m. § 312 Abs. 1a BGB. Danach zahlt der Verbraucher mit Daten, wenn er einem Unternehmer für den Erhalt einer Leistung personenbezogene Daten bereitstellt oder sich dazu verpflichtet und der Unternehmer diese

15 Schneider, CR 2022, 1, 3 spricht insofern passend vom eigentlichen Kernmerkmal. 16 BR-Drs. 60/21, S. 37. 17 BR-Drs. 60/21, S. 38; EG 23 DID-RL.

105

Kristina Schreiber/Julia Esser

personenbezogenen Daten nicht ausschließlich zur Leistungserbringung oder Erfüllung rechtlicher Pflichten verarbeitet.18 3. Paketverträge und Kaufverträge über Waren mit digitalen Elementen 19 Gesondert zu bewerten sind Verträge, die reale und digitale Elemente kombinieren. Nach § 327a Abs. 1 BGB sind die §§ 327 ff. BGB auch auf die Bereitstellung digitaler Produkte anzuwenden, die im Rahmen von Paketverträgen angeboten werden. Dies gilt immer dann, wenn der digitale Anteil des Bündels auch ohne das reale Element ein sinnhaftes Produkt darstellt, etwa der Fernseher in Kombination mit einem Streamingdienst-Abonnement. 20 Nicht vom Anwendungsbereich der §§ 327 ff. BGB erfasst sind dagegen Kaufverträge über Waren mit digitalen Elementen. Dies sind gem. § 327a Abs. 3 BGB „Waren, die in einer Weise digitale Produkte enthalten oder mit ihnen verbunden sind, dass die Waren ihre Funktionen ohne diese digitalen Produkte nicht erfüllen können“. Beispiele hierfür sind etwa das Connected Car oder die Smarte Waschmaschine. Für derartige Waren gilt das Verbrauchsgüterkaufrecht über Waren mit digitalen Elementen und die §§ 327 ff. BGB sind nicht anwendbar. 4. Persönlicher Anwendungsbereich und Rückgriffsansprüche 21 Die Updatepflichten finden direkt nur auf B2C-Verträge Anwendung. Das ergibt sich für Verträge über digitale Produkte aus § 327 Abs. 1 BGB, wonach die §§ 327 ff. BGB nur für Verbraucherverträge i. S. d. § 310 Abs. 3 BGB gelten; mithin ein Vertrag zwischen einen Unternehmer und einem Verbraucher erforderlich ist. Dasselbe gilt für Kaufverträge über Waren mit digitalen Elementen, denn die §§ 475 b, 475c BGB sind nur anwendbar, wenn es sich um einen Verbrauchsgüterkauf i. S. d. § 474 Abs. 1 BGB handelt. Dafür muss ein Verbraucher von einem Unternehmer eine Ware i. S. d. § 241a Abs. 1 BGB kaufen. Zu Aktualisierungen verpflichtet ist dabei stets der Unternehmer. 22 Als Händler wird der Vertragspartner des Verbrauchers die Aktualisierungen oftmals indes nicht eigenständig bereitstellen können. Er hat dann sicherzustellen, dass der Hersteller des digitalen Produkts bzw. digitalen Elements die zum Erhalt der Vertragsmäßigkeit benötigten Aktualisierungen erstellt und bereitstellt. Dies kann nach den Vorgaben des Gesetzes optional durch eine Durchreichung der Aktualisierung in der 18 Siehe zum Gegenleistungstyp „Bezahlen mit Daten“ Schreiber/Esser in: Schreiber, Digitale Angebote, § 2 Rz. 89 ff.; Schreiber in: Schreiber, Digitale Angebote, § 4 Rz. 55 ff.; kritisch auch bereits Schreiber, ZdiW 2021, 93.

106

Updatepflichten in Verbraucherverträgen über digitale Produkte

Lieferkette erfolgen oder aber der Anbieter verpflichtet den Hersteller, die benötigten Aktualisierungen direkt dem Verbraucher bereitzustellen. Der Anbieter kann sich dazu eines Dritten, z. B. des Herstellers, etwa als Erfüllungsgehilfe i. S. d. § 278 BGB bedienen (§ 267 BGB).19 Im Zweifelsfall sehen §§ 327u, 445a BGB Rückgriffsansprüche des Anbieters ggü. seinem Vertragspartner in der Lieferkette vor, wenn ein Produkt aufgrund fehlender Aktualisierungen mangelhaft ist und daher Aufwände beim Anbieter anfallen. 5. Geltungsbeginn Die §§ 327 ff. BGB sowie das neue (Verbrauchsgüter-)Kaufrecht gelten 23 in zeitlicher Hinsicht für alle (Kauf-)Verträge, die ab dem 1.1.2022 geschlossen wurden (Art. 229 §§ 57, 58 EGBGB). Zuvor geschlossene Kaufverträge über Waren mit digitalen Elementen müssen nicht umgestellt werden, auch nicht hinsichtlich der Bereitstellung der digitalen Elemente. Angepasst werden müssen dagegen Verbraucherverträge über digitale Produkte, die zwar vor dem 1.1.2022 geschlossen wurden, aber eine Bereitstellung der digitalen Produkte (auch) nach dem 1.1.2022 vorsehen: Mit Ausnahme der – hier nicht relevanten – §§ 327r, 327s und 327t BGB gelten für diese gem. Art. 229 § 57 Abs. 2 EGBGB ebenfalls die Vorschriften der §§ 327 ff. BGB. III. Geschuldete Aktualisierungen In welchem Umfang und mit welchem Inhalt Aktualisierungen bereit- 24 gestellt werden müssen, richtet sich zum einen danach, welche Aktualisierungen zum Erhalt der Vertragsmäßigkeit erforderlich sind, und zum anderen nach den vertraglichen Vereinbarungen der Parteien. Das gilt gem. § 327e Abs. 2 S. 1 Nr. 3, Abs. 3 S. 1 Nr. 5 i. V. m. § 327f Abs. 1 S. 1 BGB und § 475b Abs. 3 Nr. 2, Abs. 4 Nr. 2 BGB sowohl im Rahmen von Verträgen über digitale Produkte als auch bei Kaufverträgen über Waren mit digitalen Elementen. Zum Erhalt der objektiven Anforderungen müssen alle Aktualisierun- 25 gen bereitgestellt werden, die notwendig sind für den Erhalt der Vertragsmäßigkeit. Objektiv erforderlich sind danach zunächst insbesondere Sicherheitsaktualisierungen20 oder etwa Modifikationen, um technische 19 I. R. d. § 327f BGB ergibt sich dies bereits aus dem Begriff „sicherzustellen“, vgl. BR-Drs. 60/21, S. 63; zu § 475b Abs. 4 Nr. 2 BGB vgl. BR-Drs. 146/21, S. 31. 20 Für digitale Produkte ergibt das aus § 327f Abs. 1 S. 2 BGB. Für Waren mit digitalen Elementen aus der Gesetzesbegründung, BR-Drs. 146/21, S. 31.

107

Kristina Schreiber/Julia Esser

Normen i. S. v. Art. 8 Abs. 1 lit. a DID-RL zu erfüllen.21 Auftretende Sicherheitsmängel oder sicherheitsrelevante Softwarefehler sind unabhängig davon, ob sie die Funktionsfähigkeit des digitalen Angebots beeinträchtigten, in jedem Fall durch eine Aktualisierung zu beheben.22 Hinzu kommen produktspezifisch erforderliche Aktualisierungen, etwa für den Erhalt einer aktuellen Datengrundlage oder im Fall von produktspezifischen Erneuerungen. Beispiele hierfür sind die Aktualisierung von Navigationsdaten oder die Anpassung der CovPassCheckApp an die sich wandelnden gesetzlichen bzw. verordnungsrechtlichen Vorgaben für einen anerkannten Impfstatus. 1. Updates und Upgrades 26 Umstritten ist, ob Aktualisierungen in dem zum Erhalt der Vertragsmäßigkeit erforderlichen Maß nur Updates oder auch Upgrades umfassen. Die Überlegungen hierzu korrespondieren mit der Frage, wie Aktualisierungen von Änderungen i. S. d. § 327r BGB abzugrenzen sind.23 Nach dem tradierten Begriffsverständnis erfassen Updates die Behebung von Fehlern oder Erneuerung vorhandener Funktionen, während Upgrades zu Verbesserungen und Funktionserweiterungen führen. In der Praxis wird die Terminologie im Detail uneinheitlich gehandhabt.24 Ausweislich der Gesetzesbegründungen fasst der nationale Gesetzgeber Updates und Upgrades unter dem Oberbegriff der Aktualisierung zusammen.25 Dieses Verständnis wird in der Literatur als nicht unionsrechtskonform kritisiert.26 Der Unionsgesetzgeber trenne etwa in EG 44, 74 DID-RL begrifflich zwischen Updates als Aktualisierungen und Upgrades als Verbesserung und verwende den Begriff des Upgrades nur i. R. d. subjektiven

21 22 23 24

Zu § 327f Abs. 1 BGB: BR-Drs. 60/21, S. 63. Für § 327f BGB: BR-Drs. 60/21, S. 63; für § 475b BGB: BR-Drs. 146/21, S. 31 f. Vgl. auch EG 74 DID-RL. Vgl. Conrad/Schneider in: Auer-Reinsdorff/Conrad, IT-R Hdb, § 14, Rz. 22, der auf die Begriffsdefinitionen des EVB-IT- Pflege S verweist, die danach unterscheiden, ob die bewirkte funktionale Verbesserung „geringfügig“ (Update) oder „mehr als geringfügig“ (Upgrade) ist; Rockstroh/Schug in: Krauß/ Weise, Beck´sche Online-Formulare Vertrag, 9.1.4, Rz. 9, wonach ein Update als neue Version einer Basissoftware, Programmmängel korrigiert, während ein Upgrade „eine Aufrüstung bzw. Verbesserung der Software im Sinne einer Funktionalitätenerweiterung“ bewirkt; hierzu auch Redeker, IT-R, Rz. 664. BR-Drs. 146/21, S. 29 f. versteht ein Upgrade als einen Versionswechsel. 25 Zu § 327f BGB: BR-Drs. 60/21, S. 63; zu § 475b BGB: BR-Drs. 146/21, S. 29 f. 26 Buchmann/Panfili, K&R 2022, 159, 160; ähnlich auch Tamm/Tonner in: Brönneke/Föhlisch/Tonner, Das neue Schuldrecht, 2022, § 2, Rz. 127 (zu § 327f BGB), § 4 Rz. 59 (zu § 475b BGB).

108

Updatepflichten in Verbraucherverträgen über digitale Produkte

Anforderungen; daher seien Upgrades objektiv nicht geschuldet.27 Diese Ansicht übergeht jedoch, dass sich Art und Umfang der notwendigen Aktualisierungsverpflichtungen allein danach bestimmen, was für den Erhalt der Vertragsmäßigkeit erforderlich ist. EG 74 DID-RL kann dahingehend ausgelegt werden, dass Anpassungen jeder Art – sprich Updates und Upgrades – erforderlich sein können, um die Vertragsmäßigkeit zu erhalten; dies ist jeweils produktspezifisch zu prüfen. Es ist dem nationalen Gesetzgeber insofern zuzustimmen, dass „eine trennscharfe Unterscheidung zwischen […] „Update[s]“ und „Upgrade[s]“ […] für die Zwecke des Gewährleistungsrechts nicht erforderlich“ ist.28 In der Normanwendung gilt es, sich von der begrifflichen Qualifikation als Update oder als Upgrade zu lösen und im Einzelfall zu prüfen, welchen Inhalt eine Aktualisierung aufweisen muss, um die vertraglich geschuldeten Eigenschaften aufrechtzuerhalten.29 In Abgrenzung dazu dienen Änderungen i. S. d. § 327r BGB regelmäßig nicht der der Aufrechterhaltung der Vertragsmäßigkeit der digitalen Produkte, sondern gehen über das zum Erhalt der Vertragsmäßigkeit erforderliche Maß hinaus.30 2. Kompatibel, interoperabel und integriert Eine weitere Frage ist, ob auch solche Aktualisierungen nach §§ 327f, 27 475b, 475c BGB geschuldet sind, die dazu beitragen, dass das digitale Produkt bzw. die Ware mit digitalen Elementen mit ihrer Systemumgebung (etwa Hard- und Software, Netzwerkverbindung etc.) weiterhin interagieren kann. Gute Gründe sprechen dafür, dass diese Frage i. R. d. §§ 327e, 327f BGB für digitale Produkte zu bejahen ist.31 Denn nach § 327e Abs. 2 S. 1 Nr. 1 lit. a, Abs. 3 S. 1 Nr. 2 BGB ist die „Kompatibilität“ i. S. d. Fähigkeit mit Hard- oder Software zu funktionieren, die i. d. R. mit dem digitalen Produkt derselben Art (ohne Konvertierung) genutzt werden (Abs. 2 S. 3), subjektive und objektive Anforderung der Mangelfreiheit, sodass auch Aktualisierungen zum Erhalt der „Kompatibilität“ geschuldet sein können.32 27 28 29 30

Buchmann/Panfili, K&R 2022, 159, 160. BR-Drs. 60/21, S. 63. Siehe dazu Schreiber/Esser in: Schreiber, Digitale Angebote, § 5 Rz. 57 ff. So ausdrücklich in Art. 19 Abs. 1 DID; vgl. EG 74, 75 DID-RL. Ausführlich zu § 327r BGB: Schreiber/Esser in: Schreiber, Digitale Angebote, § 5 Rz. 60 ff. 31 Dafür Riehm/Abold, CR 2021, 530, 538 Rz. 49. Befürwortend und für eine dahingehend weite Auslegung der Richtlinienbestimmungen Wiesner in: Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch IT-Recht, Teil 10.6, Rz. 20. 32 Laut Gesetzgeber können Aktualisierungen erforderlich sein, um das Merkmal der Kompatibilität zu erfüllen, BR-Drs. 60/21, 63.

109

Kristina Schreiber/Julia Esser

28 Die „Interoperabilität“ i. S. d. Fähigkeit mit anderer Hard- oder Software zu funktionieren als derjenigen, die i. d. R. mit dem digitalen Produkt derselben Art genutzt werden (Abs. 2 S. 4), ist hingegen nur subjektive Anforderung an die Mangelfreiheit, sodass Aktualisierungen zum Erhalt der „Interoperabilität“ nur geschuldet sind, soweit diese Fähigkeit konkret vereinbart und damit zur subjektiven Anforderung wurde.33 29 Zudem ist die in § 327e Abs. 4 BGB gesondert geregelte Anforderung „Integration“ über §§ 327d, 327e Abs. 1 S. 1 BGB Voraussetzung der Vertragsmäßigkeit des digitalen Produkts. Das spricht dafür, dass in den Fällen, in denen eine Integration des digitalen Produkts in die digitale Umgebung i. S. d. Abs. 4 vereinbart wurde, dieser Zustand durch Aktualisierungen fortlaufend sicherzustellen ist. Aufgrund der zentralen Bedeutung der Interaktions- und Integrationsfähigkeit des digitalen Produkts34 würde es dem Ziel eines effektiven Verbraucherschutzes widersprechen, diese Fähigkeiten aus dem Pflichtenkanon des § 327f BGB auszuklammern, wenn sie Gegenstand des Ausgangsvertrags sind. Auch Waren mit digitalen Elementen müssen nach diesen Maßstäben aktualisiert werden. Denn die parallelen Regelungen (§ 475b Abs. 3 Nr. 1 i. V. m. § 434 Abs. 2 S. 1 Nr. 1, S. 2 BGB und § 475b Abs. 4 Nr. 1 i. V. m. § 434 Abs. 3 S. 1 Nr. 2, S. 2 BGB) tragen die gleiche Argumentation wie hinsichtlich digitaler Produkte; einziger Unterschied ist, dass § 475b Abs. 2, Abs. 6 BGB „Montage- und Installationsanforderungen“ statt „Integrationsanforderungen“ bestimmt. IV. Informationspflicht 30 Mit der bloßen Bereitstellung der Aktualisierungen erfüllt der Unternehmer indes noch nicht die ihm obliegenden Informationspflichten. Die Aktualisierungspflichten des Unternehmers umfassen auch die Pflicht, den Verbraucher über die erstellten, zur Verfügung stehenden Aktualisierungen zu informieren, § 327e Abs. 3 Nr. 5, § 327f Abs. 1 S. 1 BGB und § 475e Abs. 4 Nr. 2 BGB. Es ist die originäre Aufgabe des das Produkt anbietenden Unternehmens, dafür Sorge zu tragen,35 dass Verbraucher über Aktualisierungen informiert werden. Der Gesetzeswortlaut ist strikt: Der Unternehmer hat „sicherzustellen“, dass der Verbraucher über die Aktualisierungen informiert ist (§ 327f Abs. 1, S. 1 BGB; weniger strikt in der Formulierung in § 475b Abs. 4 Nr. 2 BGB).

33 So auch Riehm/Abold, CR 2021, 530, 538 Rz. 49. 34 So auch Spindler, MMR 2021, 451, 456. 35 So der Wortlaut in OLG Köln, Urt. v. 20.10.2019 – I-6 U 100/19, CR 2020, 79, 81 Rz. 88.

110

Updatepflichten in Verbraucherverträgen über digitale Produkte

Eigenständig durchführen muss er diese Information aber nicht. Er kann 31 sich dazu eines Dritten, z. B. des Herstellers, etwa als Erfüllungsgehilfe i. S. d. § 278 BGB bedienen (§ 267 BGB).36 1. Notwendiger Inhalt Informiert werden muss nicht nur über das Vorhandensein einer Aktu- 32 alisierung, sondern auch über Inhalt, Notwendigkeit und Auswirkungen einschließlich der Folgen einer unterlassenen Installation (§§ 327f Abs. 2 Nr. 1, 475b Abs. 5 Nr. 1 BGB). Er muss den Verbraucher ausreichend über die Folgen einer unterlassenen Installation informieren und eine leicht verständliche und fehlerfreie37 Installationsanleitung bereitstellen. Bereits unter altem Recht hatte eine unzureichende Information über die 33 Auswirkungen eines Updates nach einer Entscheidung aus dem Herbst 2021 zu einer Rückabwicklung geführt.38 Entschieden worden war der Fall noch vor Inkrafttreten der §§ 327 ff. BGB, deren grundlegende Wertentscheidungen sich indes in der Argumentation des LG München bereits wiederfinden, wenn auch angeknüpft an die allgemeinen Regelungen der § 241 Abs. 1, § 280 Abs. 1 BGB. Neben der Information über die Verfügbarkeit der Aktualisierung regelt 34 § 327f Abs. 2 BGB bzw. § 475b Abs. 5 BGB die Information über die Folgen einer unterlassenen Installation sowie die Bereitstellung einer mangelfreien Installationsanleitung. Diese Information des Verbrauchers ist nicht verpflichtend; will der Unternehmer jedoch von der Haftungsfreistellung für Produkt- bzw. Sachmängel, die auf der fehlenden Installation beruhen, profitieren, muss er den Verbraucher ausreichend über die Folgen einer unterlassenen Installation informieren und eine leicht verständliche und fehlerfreie39 Installationsanleitung bereitstellen. Aus dem Gesetz ergibt sich nicht eindeutig, ob über die rechtlichen Fol- 35 gen (Haftungsausschluss) oder auch die tatsächlichen Folgen der unterlassenen Installation zu informieren ist. Für die Begrenzung des notwendigen Inhalts auf die rechtlichen Folgen spricht, dass die Folgen einer fehlenden Installation je nach digitaler Umgebung des Verbrauchers in tatsächlicher Hinsicht ganz unterschiedlich ausfallen können und für 36 I. R. d. § 327f BGB ergibt sich dies bereits aus dem Begriff „sicherzustellen“, vgl. BR-Drs. 60/21, S. 63; zu § 475b Abs. 4 Nr. 2 BGB vgl. BR-Drs. 146/21, S. 31. 37 So schon Kühner/Piltz, CR 2021, 1, 5 (Rz. 32). 38 LG München I, Urt. v. 13.9.2021 – 34 O 15883/20, RDi 2021, 620. 39 So schon Kühner/Piltz, CR 2021, 1, 5 (Rz. 32).

111

Kristina Schreiber/Julia Esser

den Verbraucher nur schwer absehbar sind, sodass die weite Auslegung sehr hohe Tatbestandsvoraussetzungen begründen würde und Haftungsbefreiung nur schwer möglich ist.40 Für die gegenteilige Auffassung wird mit der Gesetzesbegründung argumentiert, die besagt, dass die Information umso sichtbarer und die entsprechenden Bemühungen des Unternehmers um die Aufmerksamkeit des Verbrauchers umso ausgeprägter sein muss, je größer die Tragweite und gravierender die Folgen einer unterlassenden Information sein können.41 2. Kommunikationsweg 36 Der Gesetzesbegründung zur Folge ist die Form der Information anhand eines objektiven Maßstabes nach den Umständen im Einzelfall zu bestimmen.42 Für Waren mit digitalen Elementen nennt der Gesetzgeber bspw. den Einsatz von Hinweisfeldern, wenn die digitalen Elemente dauerhaft mit den Internet verbunden sind, sowie die Zusendung von Newslettern, wenn eine solche direkte Verbindung nicht besteht.43 In der Literatur wird Unternehmen empfohlen, die Informationen „gut sichtbar und verständlich“ darzustellen und sich die Kenntnisnahme der Information vom Verbraucher bestätigen zu lassen.44 37 Da der Unternehmer die Information „sicherzustellen“ hat und von der Haftungserleichterung bei Nichtinstallation nur profitiert, wenn er hinreichend informiert hat (§ 327f BGB, nur geringfügig weniger strikt in § 475b BGB), sollten Informationen in einer nachweisbaren Form erfolgen. 38 Gem. § 327r Abs. 2 BGB muss die Information im Fall einer für den Verbraucher nachteiligen Änderung im Sinne der Norm auf einem dauerhaften Datenträger erfolgen. Diese Einschränkung dürfte für nach § 327f BGB geschuldete Aktualisierungen regelmäßig nicht einschlägig sein, da zum Erhalt der Vertragsmäßigkeit durchgeführte Updates regelmäßig nicht zum Nachteil des Verbrauchers führen. 39 Aus Gründen des Verbraucherschutzes und der Nachweisbarkeit sind dennoch sichere Kommunikationswege zu wählen. Bei Apps ist bspw.

40 41 42 43 44

Schulze in: HK-BGB, § 327f, Rz. 15. BR-Drs. 60/21, S. 65; Buchmann/Panfili, K&R 2022, 159, 164, 166. Zu § 475b Abs. 4 Nr. 2 BGB: BR-Drs. 146/21, S. 32. Zu § 475b Abs. 4 Nr. 2 BGB: BT-Drs. 19/31116, S. 14. Zu § 327f BGB: Kühner/Piltz, CR 2021, 1, 5 (Rz. 27).

112

Updatepflichten in Verbraucherverträgen über digitale Produkte

eine Information in Form einer Push-Nachricht denkbar,45 wobei hier aufgrund der Blockademöglichkeiten regelmäßig keine hinreichende Sicherheit gegeben sein wird. Pop-Ups, In-App-Nachrichten oder E-Mails stellen insofern zumeist rechtssicherere Informationswege dar, insbesondere dann, wenn diese der bestehenden Kundenbeziehung entsprechen (z. B. Versand einer E-Mail bei einem Newsletter-Abonnementen).46 Ob eine Information über die Homepage des Händlers möglich ist, sofern sie für den Verbraucher leicht auffindbar ist,47 ist dagegen kritisch; dies setzte voraus, dass alle betroffenen Verbraucher die Homepage regelmäßig besuchen. Datenverarbeitungen zur Erfüllung der Informationspflicht (z. B. Spei- 40 cherung von Kontaktdaten, User-ID, IP-Adresse, E-Mail-Anschreiben) müssen datenschutzrechtlichen Anforderungen entsprechen:48 Werden für die Information personenbezogene Daten verarbeitet, bedarf dies einer datenschutzrechtlichen Erlaubnis. Regelmäßig wird die Datenverarbeitung zur Vertragserfüllung (Art. 6 Abs. 1 UAbs. 1 lit. b DSGVO), zur Erfüllung einer gesetzlichen Pflicht (Art. 6 Abs. 1 lit. c DSGVO) oder auf Grundlage einer Interessenerwägung (Art. 6 Abs. 1 UAbs. 1 lit. f DSGVO) erlaubt sein,49 da die Aktualisierungen und die Information darüber gerade rechtlich verpflichtend erfolgt. Dass entsprechende personenbezogene Daten für Informationen über Updates verarbeitet werden, muss in die Datenschutzinformationen gem. Art. 13, 14 DSGVO integriert werden. Fraglich ist, wie die Informationspflicht in der Praxis bei sog. Silent Up- 41 dates umzusetzen ist. Ist eine Aktualisierungs-Routine (z. B. hinsichtlich Desktop- oder App-Software) auf dem Gerät eingerichtet, ist wohl ein entsprechender Hinweis auf den Update-Vorgang möglich und ausreichend.50 Schwieriger zu bewerten ist die Situation, wenn das Geräte bzw. die Software über keine Benutzerschnittstelle (z. B. Display) verfügt. Hält man eine Information für jede, neu zur Verfügung stehende Aktualisierung erforderlich, muss der Unternehmer hierzu einen (zusätzlichen)

45 Zu § 327f BGB: Kühner/Piltz, CR 2021, 1, 5 (Rz. 27); zu § 475b Abs. 4 Nr. 2 BGB: Dubovitskaya, MMR 2022, 3, 6. 46 Zu § 475b Abs. 4 Nr. 2 BGB: Dubovitskaya, MMR 2022, 3, 6. 47 So zu § 475b Abs. 4 Nr. 2 BGB: Dubovitskaya, MMR 2022, 3.6. 48 Zu § 327f Abs. 1 BGB: BR-Drs. 60/21, S. 64. Kritik an diesem offenen Hinweis im Hinblick auf den Grundsatz der Datenminimierung äußert Spindler, MMR 2021, 451, 456. 49 Vgl. Kühner/Piltz, CR 2021, 1, 5 (Rz. 27). Zum datenschutzkonformen Einsatz von Push-Nachrichten zur Information über Aktualisierungen, Schippel, ITRB 2021, 219. 50 Schöttle, MMR 2021, 683, 687.

113

Kristina Schreiber/Julia Esser

Informationskanal öffnen (z. B. Homepage, E-Mail).51 Letztlich korrespondiert die Frage zum Umgang mit Silent Updates mit der Frage, ob der Verbraucher i. R. d. § 327f Abs. 1 S. 1 BGB bzw. § 475b Abs. 4 Nr. 2 BGB in jedem Fall frei entscheiden können muss, ob er die Aktualisierung installiert oder nicht.52 3. Zeitpunkt der Information 42 Der Zeitpunkt, wann der Verbraucher über neue Aktualisierungen zu informieren ist, bestimmt sich nach einem objektiven Maßstab anhand der Umstände im Einzelfall.53 Die Wahl des Zeitpunkts und des Zeitraums der Information muss sich an dem Ziel, die „praktische Wirksamkeit der Aktualisierungspflicht zu gewährleisten“, orientieren.54 Dafür ist die Information „in einem angemessenen Zeitrahmen nach Auftreten der Vertragswidrigkeit“ bereitzustellen und für einen Zeitraum vorzuhalten, der sich an der Dauer der angemessenen Frist nach § 327f Abs. 2 BGB bzw. § 475b Abs. 4 BGB orientiert.55 Information und Bereitstellung der Aktualisierung können gleichzeitig erfolgen und ggf. miteinander in einer Handlung verbunden werden.56 Außerdem ist eine möglichst frühzeitige öffentliche Bekanntmachung nicht immer zielführend, da unrechtmäßig handelnde Dritte Verzögerungen bei der Bereitstellung zu ihrem Vorteil ausnutzen könnten.57 V. Dauer der Updatepflichten 43 Die Updatepflichten treffen den Unternehmer für einen bestimmten Zeitraum (§ 327e Abs. 1 S. 1 i. V. m. Abs. 2 Nr. 3, Abs. 3 Nr. 5 i. V. m. § 327f Abs. 1 BGB und § 475b Abs. 2 i. V. m. Abs. 3 Nr. 2, Abs. 4 Nr. 2 BGB). Die Dauer der objektiven Aktualisierungspflichten richtet sich

51 Schöttle, MMR 2021, 683, 687. 52 Ausführlich hierzu Schöttle, MMR 2021, 683, 687 f. 53 Zu § 327f Abs. 1 BGB: BR-Drs. 60/21, S. 64; zu § 475b Abs. 4 Nr. 2 BGB: BRDrs. 146/21, S. 32. 54 Zu § 327f Abs. 1 BGB: BR-Drs. 60/21, S. 64; zu § 475b Abs. 4 Nr. 2 BGB: BRDrs. 146/21, S. 32. 55 Zu § 327f Abs. 1 BGB: BR-Drs. 60/21, S. 64; zu § 475b Abs. 4 Nr. 2 BGB: BRDrs. 146/21, S. 32. 56 Schulze in: HK-BGB, 11. Aufl. 2021, § 327f, Rz. 6. 57 Spindler, MMR 2021, 451, 456.

114

Updatepflichten in Verbraucherverträgen über digitale Produkte

danach, ob digitale Produkte dauerhaft, einmalig oder wiederholend58 bereitgestellt werden.59 Bei der Pflicht zur einmaligen Bereitstellung sowie bei der Pflicht zu 44 einer Reihe einzelner Bereitstellungen kann der Nutzer im Anschluss an die Bereitstellung(en) dauerhaft und unbefristet auf das digitale Produkt bzw. das digitale Element der Ware zugreifen.60 Die dauerhafte Bereitstellung bezeichnet hingegen die fortlaufende Bereitstellung über einen Zeitraum (§ 327e Abs. 1 S. 3 BGB). Das bedeutet, die Bereitstellung ist bis zum Ablauf des ausdrücklich oder konkludent61 vereinbarten Zeitraums (bestimmte Vertragslaufzeit) oder bis zur Kündigung – bei fehlender Vereinbarung über den Bereitstellungszeitraum (unbestimmte Vertragslaufzeit) – aufrechtzuerhalten, danach steht das digitale Produkt dem Nutzer nicht mehr zur Verfügung.62 Beispiele für eine dauerhafte Bereitstellung digitaler Produkte sind etwa ein Cloud-Dienst als Software-as-a-Service über einen definierten Zeitraum oder eine unbefristet Mitgliedschaft bei einer Social-Media-Plattform.63 Beispiel für digitale Elemente einer Ware, die dauerhaft bereitgestellt werden, sind „Verkehrsdaten in einem Navigationssystem, die Cloud-Anbindung bei einer Spielekonsole oder einer Smartphone-App zur Nutzung verschiedener Funktionen in Verbindung mit einer intelligenten Armbanduhr (Smartwatch)“.64 1. Dauerhafte Bereitstellung eines digitalen Produkts Schuldet der Unternehmer die dauerhafte Bereitstellung des digitalen 45 Produkts, hat er Aktualisierungen für die Dauer des Bereitstellungszeitraums zur Verfügung zu stellen (§ 327f Abs. 1 S. 3 Nr. 1 BGB). § 327 Abs. 1 S. 3 BGB bezeichnet den Bereitstellungszeitraum als den gesamten vereinbarten Zeitraum der Bereitstellung. D. h. Aktualisierungen sind so lange bereitzustellen, wie auch die digitalen Produkte bzw. die digitalen Elemente der Ware dem Vertrag nach bereitzustellen sind. 58 In § 327b Abs. 5 BGB ist der Fall genannt, dass vertraglich eine „Reihe einzelner Bereitstellungen“ geschuldet ist. Auch wenn im Regelungsbereich der Waren mit digitalen Elementen dieser Fall nicht ausdrücklich genannt wird, kann er unter § 475b Abs. 4 Nr. 2 BGB eingeordnet werden. 59 Vgl. zur Abgrenzung insg. BR-Drs. 60/21, S. 51 f. 60 ErwGr 56, 57 DID-RL; der Gesetzgeber weist in BR-Drs. 60/21, S. 51 daraufhin, dass im Fall einer Reihe einzelner Bereitstellungen Ausnahmen, d.h. die Vereinbarung unbefristeter Zugriffsrechte, denkbar seien. 61 Zu § 475c BGB: Bspw. durch Information auf der Verpackung, Schrader, WRP 2022, 138, 140, Rz. 21. 62 ErwGr 57 S. 3 DID-RL. 63 ErwGr 57 S. 2 DID-RL. 64 BR-Drs. 146/21, S. 33.

115

Kristina Schreiber/Julia Esser

2. Einmalige Bereitstellung eines digitalen Produkts und Kauf von Waren mit digitalen Elementen 46 In den übrigen Fällen, insb. bei einmaligem oder auch wiederholtem Leistungsaustausch, richtet sich die Dauer der objektiven Updatepflicht nach dem Zeitraum, den der Verbraucher „aufgrund der Art und des Zwecks des digitalen Produkts und unter Berücksichtigung der Umstände und der Art des Vertrags für die Bereitstellung von Aktualisierungen erwarten kann“ (§ 327f Abs. 2 S. 3 Nr. 2 BGB). Entsprechendes bestimmt § 475b Abs. 4 Nr. 2 BGB für die Aktualisierung von Waren mit digitalen Elementen. Maßgeblich ist demnach, in welchem Zeitraum ein durchschnittlicher Verbraucher Aktualisierungen erwarten darf (objektiver Maßstab).65 Die berechtigte Erwartungshaltung ist produktbezogen und einzelfallabhängig, gem. § 475c Abs. 1, Abs. 2 BGB „mindestens aber für einen Zeitraum von zwei Jahren ab der Ablieferung der Ware“. Insb. folgende Aspekte beeinflussen die Erwartungen des Verbrauchers und sind für die Bestimmung des Zeitraums heranzuziehen:66 –

– – –

Ist das digitale Produkt mit einer Sache verbunden oder in dieser enthalten, orientiert sich die Dauer der Updatepflichten an der üblichen Nutzungs- und Verwendungsdauer des Produkts („life cycle“).67 Dasselbe gilt auch für Waren mit digitalen Elementen.68 Anhaltspunkte bieten „Aussagen in der Werbung, die zur Herstellung der Kaufsache verwendeten Materialien und der Preis“.69 Je größer das ohne die Aktualisierung drohende Risiko, desto länger erwartet der Verbraucher berechtigterweise Aktualisierungen.70 Wird das digitale Produkt weiterhin vertrieben, ist dies ein Anhaltspunkt dafür, dass der Verbraucher weiterhin Aktualisierungen erwarten darf.71

65 Zu § 327f BGB: BR-Drs. 60/21, S. 64; zu § 475b Abs. 4 Nr. 2 BGB: BRDrs. 146/21, S. 31. 66 Zu § 327f BGB: BR-Drs. 60/21, S. 64; ausführlich hierzu Schreiber/Esser in: Schreiber, Digitale Angebote, § 5 Rz. 183; zu § 475b Abs. 4 Nr. 2 BGB: BRDrs. 146/21, S. 31; ausführlich hierzu Schreiber/Esser in: Schreiber, Digitale Angebote, § 5 Rz. 198. 67 BR-Drs. 60/21, S. 64. 68 BR-Drs. 146/21, S. 31. 69 BR-Drs. 146/21, S. 31. 70 BR-Drs. 60/21, S. 64; BR-Drs. 146/21, S. 31. 71 BR-Drs. 60/21, S. 64; BR-Drs. 146/21, S. 31.

116

Updatepflichten in Verbraucherverträgen über digitale Produkte

–

Keinen Anhaltspunkt bietet die Gewährleistungsdauer, denn der Zeitraum der Updatepflicht kann über diesen Zeitraum hinaus gehen (z. B. Sicherheitsupdates) oder kürzer ausfallen (z. B. begrenzt auf Nutzungszeitraum).72

Daneben bleibt es den Vertragsparteien unbenommen, über den von 47 § 327f Abs. 1 S. 3 BGB bzw. § 475b Abs. 4 Nr. 1 oder § 475c Abs. 2 BGB geforderten Zeitraum hinaus eine längere Dauer der Updatepflichten zu vereinbaren. Diese Absprache wird dann subjektive Anforderung an die Vertragsmäßigkeit i. S. d. §§ 327d, 327e eines kürzeren Zeitraums der Updatepflichten ist hingegen nur unter den Voraussetzungen des § 327h BGB bzw. § 467 Abs. 1 S. 2 BGB zulässig. Hierin liegt eine bedeutende Neuerung, denn damit hält ein für das 48 Schuldvertragsrecht bislang unbekanntes Element Einzug ins Gesetz: Abweichend vom Grundsatz, dass bei einmaligen Leistungsaustausch die Mangelfreiheit im Zeitpunkt des Gefahrübergangs bestimmt wird, muss der Unternehmer seinen Updatepflichten über einen längeren Zeitraum nachkommen. Verträge, die einen einmaligen Leistungsaustausch zum Gegenstand haben wie insb. der Kaufvertrag, erhalten damit dauerschuldvertragliche Elemente.73 Diesen Systembruch begründet der Gesetzgeber i. R. d. § 475b BGB insb. damit, dass Aktualisierungen „ein notwendiges Instrument“ seien, um sicherzustellen, dass Waren mit digitalen Elementen im dynamischen, von fortschreitender technischer Entwicklung geprägten digitalen Umfeld mithalten können und nicht bereits nach kurzer Zeit funktionsuntauglich sind.74 Die Interessen des Unternehmers blieben gewahrt, da es dem Unternehmer regelmäßig ohne großen Aufwand möglich ist, Aktualisierungen der digitalen Elemente der Ware durchzuführen oder durchführen zu lassen.75 Das bislang geltende Kaufvertragsrecht war nicht geeignet, das Aktua- 49 lisierungserfordernis nach Gefahrübergang interessengerecht zu regeln; die einzige, sichere Möglichkeit, die Kaufsache dauerhaft auf dem aktu-

72 BR-Drs. 60/21, S. 64 mit Verweis auf EG 47 DID-RL; BR-Drs. 146/21, S. 31. 73 Vgl. BT-Drs. 19/31116, S. 14. Für den Begriff „partielle[…][s] Dauerschuldverhältnis“, Brönneke/Schmitt/Willburger in: Brönneke/Föhlisch/Tonner, Das neue Schuldrecht, § 4, Rz. 53. Bezeichnung als„asymmetrisches Dauerschuldverhältnis“, Riehm/Abold, CR 2021, 530, 538, Rz. 47; von einem „verkappten Dauerschuldverhältnis“ spricht Rosenkranz, ZUM 2021, 195, 198; siehe auch Heydn, CR 2021, 709, 711; Schneider, CR 2022, 1, 4. 74 BR-Drs. 146/21, S. 30; EG 31 WK-RL. 75 BR-Drs. 146/21, S. 30; EG 31 WK-RL.

117

Kristina Schreiber/Julia Esser

ellen Stand der Technik zu erhalten, war es, eine entsprechende vertragliche Einigung zu erzielen.76 VI. Rechtsfolgen bei Verstößen 50 Kommt der Unternehmer seinen Updatepflichten nicht nach, begründet dies gem. § 327e Abs. 1 bzw. § 475e Abs. 2 BGB einen Produkt- bzw. einen Sachmangel, der gesetzliche Gewährleistungsrechte (§ 327i BGB bzw. § 437 i. V. m §§ 475d BGB) des Verbrauchers zur Folge hat.77 Auch wenn sich die Aktualisierungspflichten bei Waren mit digitalen Elementen nur auf die digitalen Elemente beziehen, führt ein Verstoß gegen die Pflichten zu einem Sachmangel an der gesamten Kaufsache.78 VII. Resumée: Herausforderungen in der Praxis 51 Mit der Einführung von Updatepflichten ist der Gesetzgeber einen bedeutsamen Schritt gegangen, der in Anbetracht der schnell voranschreitenden Digitalisierung unerlässlich war: Digitale Angebote sind nur dann nutzbar, wenn Sicherheitsaktualisierungen und oftmals auch eine Reihe weiterer Updates bereitstehen. Dies auch gesetzlich entsprechend vorzusehen, ist insofern folgerichtig. 52 In der Umsetzung allerdings hätte der Gesetzgeber deutlich über die beinahe 1:1-Umsetzung der EU-Vorgaben hinausgehen können und sollen: Auslegungsspielräume hinsichtlich des geschuldeten Umfangs und insbesondere auch der erforderlichen Zeitspanne führen zu Rechtsunsicherheiten. Der Erfüllungsaufwand für Unternehmen steigt damit, ohne einen konkreten Mehrwert für die geschützten Verbraucher. Erst die anstehende Anwendung der Vorschriften in der Praxis wird, gerade auch durch zu erwartende konkretisierende Rechtsprechung, diese Rechtsunsicherheit beseitigen können.

76 Vgl. BR-Drs. 146/21, S. 30 mit Verweis auf OLG Koblenz, Urt. v. 30.4.2009 – 6 U 268/08; zu der Problematik auch Kumkar, ZfPW 2020, 306, 315; Wendehorst, NJW 2016, 2609, 2611 f.; ausführlich dazu i. R. v. vernetzten Geräten Wiesner in: Leupold/Wiebe/Glossner, Münchener Anwaltshandbuch ITRecht, Teil 10.6, Rz. 18 ff. 77 Zu den Rechtsbehelfen vgl. Riehm/Abold, CR 2021, 530, 538 f. (Rz. 51 ff.). 78 BR-Drs. 146/21, S. 31.

118

Die Reichweite der Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO Markus Schröder* I. Einleitung

1

II. Position des EuGH

2

III. Position des EDSA

3

IV. Tatbestände des Art. 49 Abs. 1 Satz 1 DS-GVO 1. Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO

4 4

2. Art. 49 Abs. 1 Satz 1 lit. b) und c) DS-GVO 3. Art. 49 Abs. 1 Satz 1 lit. d) DS-GVO

6

V. Mögliche Alternativen 1. Standardvertragsklauseln 2. UK: „Data: a new direction“

7 7 8

VI. Fazit

5

9

Literatur: Albrecht/Jotzo, Das neue Datenschutzrecht der EU, 2017, Christakis, „Schrems III“? First Thoughts on the EDPB post-Schrems II Recommendations on International Data Transfers, European Law Blog 17.11.2020; Gierschmann/ Schlender/Stentzel/Veil, Kommentar Datenschutz-Grundverordnung, 2018; Hermstrüwer, Informationelle Selbstgefährdung, 2016, Kremer/ChristmannThoma/Kamm/Matejek, Datentransfer nach Art. 49 DSGVO: Was geht, wenn sonst nichts geht?, CR 2021, 784; Piltz, Art. 49 DSGVO – der Vakuum-Killer für Drittlandtransfers?, DSB 2021, 313; Quiel, Rechtfertigung von Datenübermittlungen im Zusammenhang mit dem Einsatz von Cookies, DSB 2021, 12; Snowden, Permanent Record, 2019; van Eijk/Zanfir-Fortuna, Schrems II: Article 49 GDPR Derogations may not be so narrow and restrictive after all?, FPF Blog 4.2.2021; Winklbauer/Horner, Datentransfer durch Google Analytics nicht DSGVO konform, CR 2022, 84; Winklbauer/Horner, Austria: Data Protection Authority Sees use of Google Analytics as Unlawful Transfer of Data, CRi 2022, 30.

I. Einleitung Das Schrems II-Urteil des EuGH hat den Datenverarbeitern große Unsicher- 1 heit beschert, wie künftig ein Drittlandtransfer, insb. in die USA, gestaltet werden kann: Privacy Shield wurde für nichtig erklärt und die Nutzung

*

Markus Schröder, LL.M., CIPP/A, CIPP/E, CIPP/US, CIPM, FIP ist als Syndikusrechtsanwalt im internationalen Datenschutzrecht tätig. Er studierte Rechtswissenschaften an der Universität zu Köln und der Heinrich-Heine-Universität Düsseldorf (LL.M. Informationsrecht). Er ist Inhaber der Hochschulzertifikate Data Protection Risk Manager (FOM) sowie Data Law, Policy and Regulation (LSE) und veröffentlicht regelmäßig Beiträge in Fachzeitschriften.

119

Markus Schröder

von Standardvertragsklauseln durch das Erfordernis sog. Supplementary Measures zumindest wesentlich erschwert. Als ein möglicher Ausweg aus dem Dilemma wurden schnell die Ausnahmetatbestände des Art. 49 DSGVO identifiziert. So sagte Thomas von Danwitz, der als Berichterstatter an dem Schrems II-Urteil beteiligt war, dass die Möglichkeiten des Art. 49 DS-GVO noch nicht ausgeschöpft wurden und dessen Anwendungsbereich nicht so eng sei, dass jeder Drittlandtransfer nunmehr verboten sei. 1 Von Interesse seien insb. die Ausnahmen der Einwilligung nach Art. 49 Abs. 1 lit. a) DS-GVO und der Vertragsdurchführung nach Art. 49 Abs. 1 lit. b) und c) DS-GVO, obwohl sich die Verantwortlichen hier in einem rechtlichen Graubereich bewegen dürften.2 Ins Spiel gebracht wurde zudem die Ausnahme des öffentlichen Interesses nach Art. 49 Abs. 1 lit. d) DS-GVO. Nach einer Stellungnahme von US-Regierungsbehörden zu dem Schrems II-Urteil stelle dies eine Befugnis zur Übermittlung personenbezogener Daten an US-Sicherheitsbehörden dar.3 II. Position des EuGH 2 Der EuGH selbst sagt in seinem Schrems II-Urteil, dass kein rechtliches Vakuum zu befürchten sei, da in Anbetracht von Art. 49 DS-GVO durch die Nichtigerklärung eines Angemessenheitsbeschlusses wie denjenigen zum Privacy Shield, kein rechtliches Vakuum entstehen könne. In dieser Vorschrift sei nämlich klar geregelt, unter welchen Voraussetzungen personenbezogene Daten in Drittländer übermittelt werden können, falls weder ein Angemessenheitsbeschluss nach Art. 45 Abs. 3 DS-GVO vorliegt noch geeignete Garantien im Sinne von Art. 46 DS-GVO bestehen.4 Dies zeigt, dass der EuGH den Ausweg des Art. 49 DS-GVO gesehen und auch selbst aufgezeigt hat.5 Diese Auslegung wird dadurch gestützt, dass der Generalanwalt in seinen Schlussanträgen diese Frage zwar aufgenommen, aber offen gelassen hat.6 In diesen Zusammenhang sind auch die erwähnten Äußerungen des Berichterstatters Thomas von Danwitz einzuordnen. Diese haben somit ihre Grundlage im Schrems II-Urteil selbst und können nicht als bloße Privatmeinung angesehen werden. 1 2 3

4 5 6

Danwitz, zit. nach van Eijk/Zanfir-Fortuna, FPF Blog 4.2.2021. Christakis, European Law Blog 17.11.2020, Scenario 1: The Grey Zone. Department of Commerce/Department of Justice/Office of the Director of National Intelligence, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, S. 4. EuGH, Urt. v. 16.7.2020 – C-311/18, Rz. 202. So auch Kremer/Christmann-Thoma/Kamm/Matejek/Schneider, CR 2021, 784, 786. Schlussanträge des Generalanwalts, Rz. 96 ff.

120

Die Reichweite der Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO

III. Position des EDSA Der EDSA hingegen geht von einem engen Anwendungsbereich von 3 Art. 49 DS-GVO aus. In seinen Leitlinien 2/2018 zu den Ausnahmen nach Art. 49 DS-GVO vertritt der EDSA die Auffassung, dass der Begriff „gelegentlich“ in Erwägungsgrund 111 und der Begriff „nicht wiederholt“ im Zusammenhang mit der Ausnahme zur Wahrung zwingender berechtigter Interessen nach Art. 49 Abs. 1 Satz 2 verwendet würden. Diese Begriffe sollen darauf hindeuten, dass solche Übermittlungen zwar öfter als einmal, aber nicht regelmäßig erfolgen dürfen und sich außerhalb gewöhnlicher Abläufe zutragen, beispielsweise unter zufälligen, unvorhergesehenen Umständen und in beliebigen Zeitabständen. Eine Datenübermittlung etwa, die im Rahmen einer dauerhaften Beziehung zwischen dem Datenexporteur und einem bestimmten Datenimporteur regelmäßig erfolgt, sei grundsätzlich als systematisch und wiederholt anzusehen und könne deshalb nicht als gelegentlich oder nicht wiederholt betrachtet werden.7 Diese Auffassung vermag allerdings nicht zu überzeugen, da sie in der Verordnung selbst keine Grundlage findet. Die Ausnahmen in Art. 49 Art. 1 Satz 1 DS-GVO sehen diese Einschränkung nicht vor.8 Diese Einschränkung findet sich ausdrücklich nur in Satz 2 für die Fälle, in denen gerade keine Ausnahme nach Satz 1 einschlägig ist. Die Untauglichkeit des Gelegentlichen als Abgrenzungskriterium und zwingendes Tatbestandsmerkmal eines auf Art. 49 DS-GVO gestützten Drittlandtransfers wird auch im Vergleich mit den aktuellen Standardvertragsklauseln deutlich. So wird in deren Anhang I.B. die Frage gestellt, ob die Daten einmalig oder kontinuierlich übermittelt werden. Hieraus wird deutlich, dass das Gelegentliche nicht als entscheidendes Kriterium für die Einschlägigkeit der Ausnahmen nach Art. 49 DS-GVO taugt. Nach Auffassung des EDSA gehe zudem aus Erwägungsgrund 111 ausdrücklich hervor, dass die Ausnahmen aufgrund eines Vertrags und die Ausnahme aufgrund von Rechtsansprüchen (Art. 49 Abs. 1 lit. b), c) und e) DS-GVO) auf gelegentliche Übermittlungen beschränkt seien, wohingegen bei den Ausnahmen aufgrund einer ausdrücklichen Einwilligung, wichtigen Gründen des öffentlichen Interesses, lebenswichtigen Interessen und der Übermittlung aus einem Register nach Art. 49 Abs. 1 lit. a), d), f) und g) DS-GVO keine solche Einschränkung gelte. Es werde somit hinreichend zwischen den einzelnen Ausnahmen differenziert.9 Hier ist

7 8 9

EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 5. So auch Piltz, DSB 2021, 313. EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 5.

121

Markus Schröder

allerdings zu berücksichtigen, dass die Erwägungsgründe lediglich eine Auslegungshilfe darstellen und selbst keinen Normcharakter besitzen.10 Daher kann auch eine Auslegung des Art. 49 DS-GVO anhand des Erwägungsgrundes 111 kein Ergebnis zur Folge haben, welches contra legem ist. Gerade dies stellt jedoch die Auffassung des EDSA dar. Dessen Auffassung geht allerdings noch über dieses Ergebnis hinaus, indem es gleichwohl anzumerken sei, dass auch diejenigen Ausnahmen, die nicht ausdrücklich auf gelegentliche oder nicht wiederholte Übermittlungen beschränkt sind, so auszulegen seien, dass nicht gegen das Wesen einer Ausnahmeregelung verstoßen werde, nämlich dass es sich dabei um eine Ausnahme von der Regel handele, dass personenbezogene Daten nur dann an ein Drittland übermittelt werden dürften, wenn dieses Drittland ein angemessenes Datenschutzniveau bietet oder alternativ dazu geeignete Garantien zur Anwendung gebracht werden.11 Diese Auffassung ist jedoch nicht einmal von Erwägungsgrund 111 gedeckt. Dazu müssten die Voraussetzungen in Satz 1 kumulativ verstanden werden. Dies schließt sich aber schon deswegen aus, da in diesem Falle auch eine Einwilligung und ein Vertragsverhältnis kumulativ vorliegen müssten. Dies ist jedoch unstreitig nicht der Fall, da dies zwei eigenständige Alternativen sind. IV. Tatbestände des Art. 49 Abs. 1 Satz 1 DS-GVO 1. Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO 4 Als Reaktion auf das Schrems II-Urteil wird häufig auf Webseiten eine Einwilligung in einen Drittlandtransfer eingeholt. Folgt man der strengen Auffassung des EDSA, stellt sich zunächst die Frage, ob das Setzen von Cookies nur eine gelegentliche Übermittlung bedingt. Bei reinen Session-Cookies wäre dies der Fall. Diese sind allerdings nach § 25 Abs. 2 Nr. 2 TTDSG vom Einwilligungserfordernis ausgenommen. Somit müsste durch die Anbieter eine separate Einwilligungsmöglichkeit in den Drittlandtransfer implementiert werden. Das Einholen einer Einwilligung in das Cookie-Setzen und den Drittlandtransfer durch eine einzige Erklärung des Nutzers hingegen dürfte nach Erwägungsgrund 43 Satz 2 nicht gegen das Koppelungsverbot verstoßen, da es sich nicht um verschiedene Verarbeitungsvorgänge handelt. Damit würde diese Lösung auch den Anforderungen des § 25 Abs. 1 Satz 2 TTDSG entsprechen. Bei Cookies jedoch, die dauerhaft gespeichert werden, dürfte die Einwil10 Albrecht/Jotzo, Teil 1 Rz. 30; Kremer/Christmann-Thoma/Kamm/Matejek/ Schneider, CR 2021, 784, 788 f. 11 EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 5.

122

Die Reichweite der Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO

ligung vor dem Hintergrund der strengen Auffassung des EDSA keine Übermittlungsgrundlage bieten. Hier liegt keine gelegentliche, sondern eine wiederholte Übermittlung vor. Zwar wird eine Webseite auch nur gelegentlich aufgerufen, jedoch geben weder die DS-GVO noch der EDSA eine Quantifizierung oder Frequenz der Übermittlung vor, ab der eine Übermittlung nicht mehr gelegentlich erfolgt, so dass hier von einer wiederholten Übermittlung auszugehen ist.12 Nach der Auffassung des EDSA muss die Einwilligung zudem Informationen über die möglichen Risiken der Übermittlung enthalten.13 Meist findet sich in Einwilligungstexten der Hinweis, dass eine Übermittlung in die USA erfolgt, die über kein angemessenes Datenniveau verfügen. Allerdings verlangt der EDSA darüberhinausgehend, dass die sich gerade aus diesem Umstand ergebenden Risiken für die betroffene Person benannt werden.14 Diese Anforderung findet sich bereits in Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO. Eine Möglichkeit, dem zu entsprechen, wäre es, darauf hinzuweisen, dass ein Zugriff auf die Daten durch Sicherheitsbehörden im Zielland erfolgen könnte. Ob dies jedoch eine hinreichende Risikoinformation darstellt, ist vor dem Hintergrund des höheren Detaillierungsgrades der in Erwägungsgrund 75 genannten Risiken zumindest offen. Es ist aber auch zu berücksichtigen, dass der Nutzer bei einer Risikoeinschätzung häufig nur bedingt rational vorgehen dürfte.15 Daher ist es ohnehin fraglich, welcher Detaillierungsgrad bei der Risikoinformation adressatengerecht wäre. Eine weitere Möglichkeit bestünde allerdings darin, dem Nutzer ein durchgeführtes Transfer Impact Assessment (TIA) z. B. durch eine Verlinkung zugänglich zu machen. Zunächst ergibt sich die Verpflichtung, ein TIA durchführen zu müssen, nur aus Klausel 14 und Fußnote 12 der aktuellen Standardvertragsklauseln. Allerdings schließt die norwegische Aufsichtsbehörde aus Art. 32 Abs. 2 i. V. m. Art. 5 Abs. 1 lit. f) und Abs. 2 DS-GVO, dass unabhängig von dem einschlägigen Transfermechanismus ein TIA durchzuführen ist.16 Diese Auslegung ist zwar nicht zwingend, jedoch aber zumindest vertretbar. Folgt man nun dieser Auffassung, wäre die Durchführung eines TIA auch für Fälle des Art. 49 Abs. 1 Satz 1 lit. a) DS-GVO keine zusätzliche Belastung für die Anbieter, sondern eine datenschutzrechtliche Pflicht, die ohnehin bestünde. Somit könnte die Einwilligung nach wie vor eine Möglichkeit darstellen, einen rechtskonformen Drittlandtransfer durchführen zu können. So wurde in behörd12 a. A.: Quiel, DSB 2021, 12, 13. 13 EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 9. 14 EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 9. 15 Hermstrüwer, S. 271 ff. 16 Winklbauer/Horner, CR 2022, 84, 88.

123

Markus Schröder

lichen17 und gerichtlichen18 Entscheidungen zur Frage der Zulässigkeit der Nutzung von Google Analytics und des Cookie-Bot die Zulässigkeit einer Einwilligung nicht geprüft, da in beiden Fällen keine eingeholt wurde. Es ist somit bislang nicht geklärt, wie die Einwilligung und die zu erfolgende Risikoinformation ausgestaltet sein müssen. Dies eröffnet für die Anbieter Möglichkeiten und Spielraum bei der Gestaltung einer grundsätzlich zulässigen Einwilligung. Es gibt jedoch auch Stimmen, die gerade in Anbetracht der bestehenden Rechtsunsicherheit davon abraten, einen Drittlandtransfer auf Grundlage einer Einwilligung durchzuführen.19 Dieses Rechtsrisiko ist vor dem Hintergrund der strengen Auffassung des EDSA, die zwar teilweise contra legem ist und gerichtlich überprüft werden müsste, allerdings nicht von der Hand zu weisen. 2. Art. 49 Abs. 1 Satz 1 lit. b) und c) DS-GVO 5 Bei den Ausnahmen, die die Erforderlichkeit zur Durchführung oder Anbahnung eines Vertrages betreffen, versteht der EDSA die Voraussetzungen in Erwägungsgrund 111 Satz 1 („im Rahmen eines Vertrages“, „gelegentlich“ und „erforderlich“) kumulativ. Wie bereits ausgeführt wurde, ist dieses Verständnis jedoch contra legem, da diese Einschränkungen sich erst in Art. 49 Abs. 1 Satz 2 DS-GVO finden und sich nicht auf dessen Satz 1 beziehen. Folgt man nun aber der Auffassung des EDSA, könnten regelmäßig jedenfalls vorvertragliche Maßnahmen auf Art. 49 Abs. 1 Satz 1 lit. b) bzw. lit. c) DS-GVO gestützt werden. Zu denken ist dabei etwa an die Erfüllung etwaig bestehender Identifizierungspflichten z. B. bei einer Kontoeröffnung oder die Übermittlung personenbezogener Daten zur Einholung eines Vertragsangebotes. In diesen Fällen liegt noch keine dauerhafte Beziehung i. S. d. der Leitlinien des EDSA vor. Demnach wäre z. B. auch das Negativbeispiel eines dauerhaften Kooperationsverhältnisses zwischen zwei Banken, welches der EDSA anführt, nicht einschlägig.20 Fraglich sind jedoch dessen Ausführungen, wonach regelmäßige Datenübermittlungen im Rahmen einer dauerhaften Beziehung als systematisch und wiederholt anzusehen seien, damit über einen gelegentlichen Charakter hinaus gingen und daher in einem solchen Fall viele im Rahmen einer Geschäftsbeziehung erfolgende Datenübermittlungen nicht auf Art. 49 Abs. 1 Satz 1 lit. b) DS-GVO gestützt werden

17 DSB Österreich, Teilbescheid – D155.027, 2021-0.586.257, S. 39. 18 VG Wiesbaden, Beschl. v. 1.12.2021 – 6 L 738/21.WI, Ziff. II.2.a); aber aufgehoben durch Hess. VGH, Beschl. v. 17.1.2022 – 10 B 2486/21. 19 Winklbauer/Horner, CR 2022, 84, 88; Winklbauer/Horner, CRi 2022, 30, 32. 20 EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 11.

124

Die Reichweite der Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO

könnten.21 Auch mehrfache jeweils erforderliche Datenübermittlungen im Rahmen eines dauerhaften Vertragsverhältnisses erfolgen gelegentlich, soweit die Datenübermittlung gerade nicht den Kernbereich der Vertragsbeziehung betrifft, wie dies bei einem auch wiederholten Austausch von reinen Kontaktdaten der Fall ist. 3. Art. 49 Abs. 1 Satz 1 lit. d) DS-GVO Von Seiten interessierter US-Behörden wurde die Ausnahme des Art. 49 6 Abs. 1 Satz 1 lit. d) DS-GVO, wonach die Übermittlung in ein Drittland zulässig ist, soweit sie aus wichtigen Gründen des öffentlichen Interesses notwendig ist, ins Spiel gebracht. So fragte die U.S. Securities and Exchange Commission (SEC) beim Information Commissioner´s Office (ICO) an, ob das ICO eine Übermittlung von Daten durch im Vereinigten Königreich ansässige Unternehmen an die SEC als von Art. 49 Abs. 1 Satz 1 lit. d) DS-GVO abgedeckt ansähe. Im Ergebnis bejahte das ICO diese Frage.22 Die Begründung des ICO ist dabei schlüssig. Voraussetzung ist zunächst, dass die fraglichen Unternehmen der Regulierung durch die SEC unterliegen. Weiterhin muss es sich bei dem öffentlichen Interesse um ein solches des Sitzlandes des Datenexporteurs handeln. Hierzu werden Regelungen des Vereinigten Königreichs herangezogen, die die internationale Zusammenarbeit in Finanzangelegenheiten betreffen. So wird im Financial Services and Markets Act 2000 ausdrücklich geregelt, dass ein öffentliches Interesse des Vereinigten Königreichs darin besteht, dass dort ansässige Unternehmen auch nicht im Ausland zu Geldwäscheaktivitäten genutzt werden können. Die Position des ICO entspricht auch den Vorgaben des EDSA an die entsprechende Ausnahme.23 Weiterhin sahen US-Regierungsbehörden die Zulässigkeit einer Datenübermittlung auf der Rechtsgrundlage eines öffentlichen Interesses bei Datenübermittlungen an die NSA nach einer FISA 702 Order als gegeben an.24 Diese Auffassung ist dann doch eher erstaunlich, da FISA 702 gerade einer der Kernpunkte des EuGH war, um eine Unangemessenheit des Datenschutzniveaus in den USA festzustellen.25 Auch die 21 EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 11. 22 ICO, Securities and Exchange Commission transfer analysis, 11.8.2020. 23 EDSA, Leitlinien 2/2018 zu den Ausnahmen nach Artikel 49 der Verordnung 2016/679, S. 12 f. 24 Department of Commerce/Department of Justice/Office of the Director of National Intelligence, Information on U.S. Privacy Safeguards Relevant to SCCs and Other EU Legal Bases for EU-U.S. Data Transfers after Schrems II, S. 4. 25 EuGH, Urt. v. 16.7.2020 – C-311/18, Rz. 178 ff.; s. auch Vladeck, Gutachten (im Auftrag der DSK) zum aktuellen Stand des US-Überwachungsrechts und der Überwachungsbefugnisse, S. 1 ff.; Snowden, S. 283 f.

125

Markus Schröder

von US-Seite angeführten Fälle einer Datenweitergabe durch die NSA an verbündete Staaten vermögen nicht zu überzeugen. Selbst wenn diese Erkenntnisse durch zuvor an europäische Unternehmen gerichtete FISA 702 Orders beruhen sollten, wäre die Datenweitergabe aus den USA auf Grundlage von geheimen zwischenstaatlichen Abkommen erfolgt, die die jeweiligen Behörden adressieren, nicht jedoch Unternehmen in diesen Staaten.26 Daher ist die Konstellation der Datenübermittlung an die NSA nicht mit der vom ICO beurteilten Datenübermittlung an die SEC vergleichbar. V. Mögliche Alternativen 1. Standardvertragsklauseln 7 Am 4.6.2021 veröffentlichte die EU-Kommission die neuen Standardvertragsklauseln, die neben der Herstellung DS-GVO Konformität in den Klauseln 14 und 15 wesentliche Aspekte des Schrems II-Urteils aufgreifen. Aber dennoch ist fraglich, ob die neuen Standardvertragsklauseln in allen Fällen die aus Sicht der Verantwortlichen bessere Alternative zu den Ausnahmen des Art. 49 DS-GVO darstellen. Die Klauseln verlangen einen hohen Aufwand beim Ausfüllen der Anhänge und bei der Auswahl verschiedener Alternativklauseln. Daher dürfte es auch weiterhin in der Praxis häufig vorkommen, dass Drittlandtransfers auf Art. 49 DS-GO gestützt werden.27 Zudem ist die Grenze zwischen beiden Transfermechanismen unscharf. So wird in Anhang I.B. die Frage nach der Häufigkeit der Übermittlung gestellt. Wie bereits zur Auffassung des EDSA ausgeführt, wird hieran deutlich, dass die Häufigkeit einer Übermittlung gerade kein Abgrenzungskriterium sein kann. Anderenfalls könnte es keine Fälle einer einmaligen Datenübermittlung geben, die Standardvertragsklauseln erfordern. Somit muss es aber im Umkehrschluss auch Fälle wiederholter Datenübermittlungen geben, die auf Art. 49 DS-GVO gestützt werden können. Weiterhin sind die Tatbestände in Klausel 8.7 des Moduls 1 („Übermittlung von Verantwortlichen an Verantwortliche“), die eine Weiterübermittlung der Daten durch den Datenimporteur ermöglichen, teilweise identisch mit den in Art. 49 DS-GVO geregelten Ausnahmetatbeständen. Daher stellt sich die Frage, welchen Mehrwert die Standardvertragsklauseln hier bieten, wenn in Teilen lediglich die Regelungen des Art. 49 DS-GVO wiedergegeben wird.

26 BVerfG, Beschl. v. 13.10.2016 – 2 BvE 2/15. 27 Zur bisherigen Praxis s. Schlender, in: Gierschmann/Schlender/Stentzel/Veil, Art. 49 Rz. 4.

126

Die Reichweite der Ausnahmetatbestände des Art. 49 Abs. 1 DS-GVO

2. UK: „Data: a new direction“ Im Zuge der post-Brexit Revision der UK GDPR und des Data Protec- 8 tion Act 2018 veröffentlichte die britische Regierung ein Konsultationspapier unter dem Titel „Data: a new direction“.28 Ein Punkt hierin ist, dass eine Klarstellung in die UK GDPR aufgenommen werden soll, wonach auch wiederholte Übermittlungen auf Art. 49 UK GDPR gestützt werden können.29 Jedoch war die Reaktion des ICO auf diesen Vorschlag eher verhalten. Er wurde zwar nicht grundsätzlich abgelehnt. Es wurde aber auch klargestellt, dass aus Sicht des ICO hier eine feine Balance zu finden sei und im Zweifelsfall Garantien nach Art. 46 UK GDPR vorliegen müssten.30 In einer eigenen öffentlichen Konsultation warf jedoch das ICO selbst die Frage auf, in welchem Umfang Verantwortliche Art. 49 UK GDPR auch für wiederholte Übermittlungen nutzen.31 Da die Diskussion diesbezüglich auch im Vereinigten Königreich noch andauert, ist es interessant, welche Auffassung das ICO hierzu in der finalen International Transfers Guidance vertreten wird. VI. Fazit Auch nach Veröffentlichung der neuen EU-Standardvertragsklauseln 9 bleiben die Ausnahmetatbestände des Art. 49 DS-GVO eine interessante Möglichkeit für Verantwortliche, um einen Drittlandtransfer rechtfertigen zu können. Zwar bieten die Standardvertragsklauseln aktuell noch eine höhere Rechtssicherheit gegenüber den Ausnahmetatbeständen des Art. 49 DS-GVO. Dennoch kann dem Wortlaut nach Art. 49 Abs. 1 Satz 1 DS-GVO durchaus eine Alternative darstellen. Es wäre zur Herstellung von Rechtssicherheit diesbezüglich jedoch eine Klarstellung der Aufsichtsbehörden wünschenswert. Da dies auf EU-Ebene aktuell unwahrscheinlich sein dürfte, bleibt abzuwarten, ob die Entwicklungen im Vereinigten Königreich die Diskussion auf EU-Ebene beeinflussen werden.

28 Department for Digital, Culture, Media & Sport, „Data: a new direction“. 29 Department for Digital, Culture, Media & Sport, „Data: a new direction“, Rz. 270. 30 ICO, Response to DCMS consultation „Data: a new direction“, Rz. 152 ff. 31 ICO, International tranfers under UK GDPR, Proposal 4.

127

Wahrnehmungspsychologische Erkenntnisse und datenschutzrechtliche Einwilligungen: Eine interdisziplinäre Betrachtung am Beispiel von Dark Pattern und Nudging Laura L. Stoll* I. Zusammenfassung

1

II. Die Einwilligung 2 1. Die datenschutzrechtliche Einwilligung und ihre Ursprünge 5 a) Recht auf informationelle Selbstbestimmung 6 b) Rolle der Einwilligung und ihre Voraussetzungen 8 2. Freiwilligkeit 11 III. Menschliche Wahrnehmung 1. Darstellung des Wahrnehmungsprozesses

16 17

2. Das menschliche Sehen als Faktor des Wahrnehmungsprozesses und Möglichkeiten seiner Beeinflussung 3. Rechtliche Einordnung von Beeinflussungen menschlicher Wahrnehmungsprozesse a) Nudging b) Dark Pattern c) Beurteilung durch Rechtsprechung und Aufsichtsorgane IV. Ausblick

21

24 26 30

33 37

Literatur: Anders, Erfindungsgegenstand mit technischen und nichttechnischen Merkmalen, GRUR 2004, 461–572; Baumbach/Hefermehl, Wettbewerbsrecht, 24. Aufl. 2006; Bugelski/Alampay, The role of frequency in developing perceptual sets, Canadian Journal of Psychology 1961, 205–211; Gegenfurtner (Hrsg.): Wahrnehmungspsychologie – Der Grundkurs, 9. Aufl., 2014; Gola (Hrsg.): Datenschutz-Grundverordnung, Kommentar, 2. Aufl., 2018; Herfurth/Benner-Tischler, Nudging in der DS-GVO und die Wirkung von Privacy by Default, ZD-Aktuell 2017, 5901; Hufen, Nudging – Rechtsformen, Möglichkeiten und Grenzen der sanften Beeinflussung des Menschen durch den Staat, JuS 2020, 193–199; Kirchhof, Nudging – zu den rechtlichen Grenzen informalen Verwaltens, ZRP 2015, 136–137; Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl. 2020; Lindner, Fremdbestimmung durch Selbstbestimmung – Die „Entscheidungsalternative“ als Grundrechtsproblem, AöR 2015, 542; MüllerGlöge/Preis/Schmidt (Hrsg.): Erfurter Kommentar zum Arbeitsrecht, Kommentar, 21. Aufl. 2021; von Münch/Kunig/Kämmerer/Kotzur (Hrgs.), Grundgesetz, Kommentar, 7. Aufl. 2021; Scheibehenne/Greieneder/Todd, Can there ever be too many options? A Meta-Analytic review of choice overload, Journal of Consumer Research 2010, 409; Simitris/Hornung/Spieker gen. Döhmann (Hrsg.): Datenschutzrecht, Kommentar, 2019; Spindler/Schuster (Hrsg.): Recht der elek-

*

Laura L. Stoll, B. Sc., intersoft consulting services AG.

129

Laura L. Stoll tronischen Medien, Kommentar, 4. Aufl. 2019; Weinzierl, Dark Patterns als Herausforderung für das Recht – Rechtlicher Schutz vor der Ausnutzung von Verhaltensanomalien, NVwZ 2020, 1087.

I. Zusammenfassung 1 Die Gestaltung der datenschutzrechtlichen Einwilligung bleibt durch die sich stetig weiterentwickelnden Möglichkeiten von höchster Relevanz. Zuletzt durch die Einführung des TTDSG1 im Dezember 2021 und den erweiterten Anwendungsbereich der Einwilligung durch § 25 der Norm, erhöht sich die Bedeutung und die praktischen Ansprüche. Insbesondere die wahrnehmungspsychologischen Wirkmechanismen, die beispielsweise Eingang in die Gestaltung und Nutzung von Dark Patterns und Nudging von Cookie-Bannern finden, stellen das geltende Recht vor Herausforderungen. Der nachfolgende Beitrag setzt sich mit den Auswirkungen dieser Entwicklungen auf die Einwilligung auseinander. II. Die Einwilligung 2 „Ein|wil|lig|ung (weiblich), Substantiv Unter einer Einwilligung versteht man eine Handlung etwas zu genehmigen, was einen betrifft und normalerweise nach einer Bitte oder Anfrage erfolgt. Synonyme sind Einverständnis, Erlaubnis oder auch Zustimmung.“2 3 In eine Handlung oder einen Vorgang einzuwilligen, setzt einen Willensbildungsprozess voraus, der persönlich gewollt, (verhaltens-)psychologisch untersucht und juristisch normiert werden kann. Je nach Blickwinkel können unterschiedliche Schwerpunkte gesetzt werden. Nachfolgend werden Verbindungen zwischen der datenschutzrechtlichen Einwilligung und den dahinterliegenden wahrnehmungspsychologischen Mechanismen untersucht. 4 Die Einwilligung ist ein bedeutsames Rechtsinstrument im Datenschutz, das sich darüber hinaus in verschiedenen Bereichen des deutschen und europäischen Rechts wiederfindet. Viele Handlungen werden erst durch die Einwilligung legitimiert. Gemäß Art. 8 Abs. 2 S. 1 GRCh3

1 2 3

Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien. Abrufbar unter https://www.wortbedeutung.info/Einwilligung/ (abgerufen am 28.6.2021). Charta der Grundrechte der Europäischen Union.

130

Dark Pattern und Nudging

ist die Einwilligung ein grundrechtlicher Erlaubnistatbestand, der tatbestandlich die Verarbeitung von personenbezogenen Daten ermöglicht.4 Wenn somit erst durch die Einwilligung ein Prozess ermöglicht wird, bedarf es einer kritischen Auseinandersetzung mit den dahinterliegenden Entscheidungsmechanismen. 1. Die datenschutzrechtliche Einwilligung und ihre Ursprünge Die Verarbeitung von Daten und die damit entstehenden, widerstreiten- 5 den Interessen führten zur Ausformung des Rechts auf informationelle Selbstbestimmung.5 Wenngleich ursprünglich im Rahmen des Volkszählungsurteils vom 15.12.19836 ein Abwehrrecht vor der staatlichen Erhebung von Daten in Art. 2 Abs. 1 GG durch das BVerfG gelesen wurden7, ist dieses „Datenschutzgrundrecht“ vollständig durch die Einwilligung im Privatrecht angekommen. Der Wert von Daten und ihre damit im Zusammenhang stehende Kommerzialisierung, machen ihre rechtswirksame Verarbeitung nicht nur aus datenschutzrechtlichen Blickwinkeln interessant, sondern aus wirtschaftlichen Erwägungen in vielen Bereichen unverzichtbar. Es wird sogar argumentiert, dass die Einwilligung sich zu einer geschäftsähnlichen Handlung qualifiziert, weil sich vertragsähnliche Austauschverhältnisse, wie Leistung gegen Daten, herausbilden.8 a) Recht auf informationelle Selbstbestimmung Als Ausfluss des allgemeinen Persönlichkeitsrechts gemäß Art. 2 Abs. 1 6 i. V. m. Art. 1 Abs. 1 GG ist das Recht auf informationelle Selbstbestimmung verfassungsrechtlich verankert und schützt die Entscheidungsautonomie eines jeden Einzelnen, welche und in welcher Weise seine personenbezogenen Daten verarbeitet werden dürfen.9 Datenschutzrechtlicher Ausdruck der informationellen Selbstbestim- 7 mung ist die Einwilligung.10 In ihr manifestiert sich die eigenverantwortliche Entscheidung des Einzelnen über die Verarbeitung seiner personenbezogenen Daten. Der Einwilligung wird allein aufgrund der

4 Klement, in: Simitris/Hornung/Spieker, Datenschutzrecht, Art. 7 Rz. 18. 5 Schmidt, in: Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, Art. 2 GG Rz. 41. 6 BVerfGE, Urt. v. 15.12.1983 – 1 BvR 209/83, NJW 1984, 419. 7 Kunig/Kämmere, in: von Münch et al., Grundgesetz, Art. 2 GG Rz. 75. 8 Schulz, in: Gola, Datenschutz-Grundverordnung, Art. 7 Rz. 9. 9 Schmidt, in: Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, Art. 2 GG Rz. 41. 10 Klement, in: Simitris/Hornung/Spieker, Datenschutzrecht, Art. 7 Rz. 19.

131

Laura L. Stoll

systematischen Stellung eine enorme Bedeutung zu Teil.11 Dies ist nicht nur auf die Verbindung zur informationellen Selbstbestimmung zu gründen, sondern fußt darüber hinaus, in den privatautonomen Bedürfnissen, die sonst in Ermangelung anderer Rechtsgrundlagen nicht oder zumindest nur sehr rechtsunsicher umgesetzt werden könnten. b) Rolle der Einwilligung und ihre Voraussetzungen 8 Die datenschutzrechtliche Einwilligung ist in Art. 6 Abs. 1 S. 1 lit. a) DSGVO als Erlaubnistatbestand zum generellen Verbot der Verarbeitung personenbezogener Daten normiert. Danach ist die Verarbeitung rechtmäßig, wenn „die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben [hat].“ Bedingungen an die Einwilligung finden sich wiederum in Art. 7 DSGVO. Einen vollständigen Eindruck zu den Voraussetzungen der Einwilligung ergibt sich jedoch erst in einer Gesamtschau von Art. 4 Nr. 11, Art. 6 Abs. 1 S. 1 lit. a) DSGVO und den dazugehörigen Erwägungsgründen.12 9 Gemäß Art. 4 Nr. 11 DSGVO ist die Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“ 10 Die Einwilligung setzt demnach eine aktive und freiwillige Willensbekundung voraus, die in informierter Weise getätigt wird. Sie muss nachweisbar festgehalten werden und mit den Hinweisen zur Widerrufbarkeit der Einwilligung erfolgen. Eine Einwilligung kann dabei auch elektronisch erfolgen, was in einer Welt von Cookie-Bannern und aufwendigen Consent-Tools unabdingbar ist. Elektronische Einwilligungen müssen jedoch protokolliert werden, um den Anforderungen von Art. 7 Abs. 1 DSGVO gerecht zu werden. 2. Freiwilligkeit 11 Fokus der vorliegenden Ausführungen soll die Freiwilligkeit der Einwilligung sein, denn eine selbstbestimmte Entscheidung kann nur freiwil11 Buchner/Kühling, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, Art. 7 Rz. 9. 12 Buchner/Kühling, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, Art. 7 Rz. 20.

132

Dark Pattern und Nudging

lig erfolgen. Häufig wird das Kriterium der Freiwilligkeit in Abgrenzung zum Zwang zur Entscheidung definiert.13 Hierfür wird Erwägungsgrund 42 Satz 5 DSGVO herangezogen, wonach 12 „nur dann davon ausgegangen werden [kann], dass sie [die betroffene Person] ihre Einwilligung freiwillig gegeben hat, wenn sie eine echte oder freie Wahl hat und somit in der Lage ist, die Einwilligung zu verweigern oder zurückzuziehen, ohne Nachteile zu erleiden.“ Eine Zwangssituation kann insbesondere vorliegen, wenn ein klares Ungleichgewicht zwischen dem Verantwortlichen und der betroffenen Person vorliegt.14 Beispielhaft können hier rechtliche Abhängigkeitsverhältnisse im Arbeitsverhältnis oder auch Monopolstellungen von Unternehmen genannt werden. Zwang in diesem Sinne beeinträchtigt die freie Wahl des Betroffenen und stellt zudem Nachteile in Aussicht. Zwang ist jedoch darüber hinaus ein innerseelischer Vorgang, der Vor- 13 stellungen erweckt und Handlungsimpulse auslöst. Folgerichtig stellt sich die Frage, welche „inneren“ Aspekte – neben den oder über die oben genannten „äußeren“ Faktoren des Zwangs hinaus – ggf. auch unbewusst zur Entscheidung betragen oder diese zumindest beeinflussen und eine Form des Zwanges darstellen können. Hinsichtlich dieses Aspekts des gesetzlich normierten Kriteriums der 14 Freiwilligkeit hat die Rechtsprechung bereits umfängliche Ausführungen zur ordnungsgemäßen Einholung der Einwilligung in die Verarbeitung von personenbezogenen Daten gemacht. So stellte das LG Rostock zu den Gestaltungskriterien bei der Einwilligung eines Cookie-Banners fest, dass die optische Darstellung der Banner-Schaltflächen ein zu berücksichtigender Faktor sei.15 Die Schaltflächen wurden auf Grund der verschiedenen Farbgestaltung als unterschiedlich effektiv und als nicht gleichwertige Einwilligungsmöglichkeiten eingeordnet. Überspitzt man diese Einschätzung des Gerichts, könnte geschlussfolgert werden, dass die konkrete Einwilligung allein durch die Farbgestaltung der Schaltflächen einen Zwang auf die Betroffenen ausübt. Die Einwilligung wäre in diesem Fall nicht mehr freiwillig. Um die Zwangswirkung oder Zwangsmöglichkeit solcher Ausgestaltun- 15 gen, ob nun farblich oder strukturell, einzuordnen, muss man die psy-

13 Schulz, in: Gola, Datenschutz-Grundverordnung, Art. 7 Rz. 21. 14 Spindler/Dalby, in: Spindler/Schuster, Recht der elektronischen Medien, Art. 7 Rz. 17. 15 LG Rostock, Urt. v. 11.8.2020 – 3 O 762/19, GRUR-RS 2020, 32027 Rz. 54; EuGH, Urt. v. 1.10.2019 – C-673/17, EuZW 2019, 916.

133

Laura L. Stoll

chologischen Wahrnehmungs- und sich anschließenden Prozessen näher betrachten. III. Menschliche Wahrnehmung 16 Eine menschliche Handlung – so auch die Einwilligung – ist das Ergebnis eines vorab und zum Teil parallel ablaufenden Wahrnehmungsprozesses. Ob und inwieweit eine Handlung vor diesem Hintergrund auf Freiwilligkeit fußt, hängt von der Reizgestaltung ab. Die menschliche Wahrnehmung ist kein statisches Ergebnis, sondern steht in Abhängigkeit von der Gestaltung von Reizen und darauffolgenden psychischen Verarbeitungsprozessen. Im Rahmen der Untersuchung der datenschutzrechtlichen Voraussetzungen der Einwilligung bedarf es daher einer genaueren Betrachtung des menschlichen Wahrnehmungsprozesses. 1. Darstellung des Wahrnehmungsprozesses 17 Die (visuelle) Wahrnehmung erfolgt in sieben Schritten. Dabei ist festzustellen, dass lediglich die ersten vier Schritte nacheinander ablaufen und die letzten drei sich gegenseitig bedingen. 18 Am Anfang steht der Stimulus bzw. Umgebungsreiz. Licht wird vom Objekt, dem Umgebungsreiz, reflektiert und transformiert. Daraufhin findet in den Rezeptoren ein Transduktionsprozess statt, bei dem Lichtenergie in elektrische Energie umgewandelt wird, damit das Gehirn die Information weiterverarbeiten kann. Im nächsten Schritt werden die elektrischen Signale über das neuronale Netzwerk an die mit ihm verbundenen Nervenzellen weitergegeben. Die Signalwege verlaufen jedoch nicht stringent, sondern verzweigt, so dass manche Signale weniger stark bis gar nicht im Gehirn ankommen und andere verstärkt werden. Die neuronale Verarbeitung hat folglich erheblichen Einfluss auf die Verarbeitung des Stimulus und wie wir letztendlich Wahrnehmung erleben. 19 Die letzten drei Schritte Wahrnehmen, Erkennen und Handeln ergeben zusammen die Verhaltensreaktion. Die elektrischen Signale im neuronalen Netz führen zur Einordnung eines Umgebungsreizes. Man kann den Reiz wahrnehmen, erkennen und danach handeln.

134

Dark Pattern und Nudging

Abb. 1 Visuelle Wahrnehmung

Wird ein Stimulus wahrgenommen, erfolgt die Weiterverarbeitung grund- 20 sätzlich nach einem festen Muster bzw. einer bestimmten Abfolge. Zunächst sieht man etwas (wahrnehmen), dann erfolgt das Einsortieren des Reizes (erkennen) und es schließt sich eine Handlung an. Wahrnehmen, erkennen und handeln folgen jedoch nicht immer dieser festgelegten Reihenfolge. Handelt es sich beim Simulus um ein bereits bekanntest Objekt, gehen die Schritte in einander über und eine Verhaltensreaktion erfolgt auch ohne einen eingehenden Prozess des Erkennens. Ausgangspunkt hierfür ist die Herausbildung von Mustern und Systemen (sog. Wahrnehmungssätze), die dazu dienen schnell Stimuli zu verarbeiten. Sogar bei unvollständigen Stimuli werden diese aufgrund der entwickelten Wahrnehmungssätze logisch ergänzt, um den Wahrnehmungsprozess zu unterstützen.16 Zudem wirkt sich eine wissensbasierte Verarbeitung, die sogenannte Top-Down-Verarbeitung, auf die Wahrnehmung aus. Darunter ist ein wissensbasierter Vorgang zu verstehen, der sich zum Teil – ebenfalls unbewusst – auf die Wahrnehmung auswirkt.17 Beispielhaft sei hier ein Einwilligungsbanner auf einer Webseite angeführt. Der User erwartet bereits beim Aufrufen einer Internetseite ein Banner und kennt aus vorherigen Situationen den Aufbau und Ablauf. Auch ohne weiter das Banner zu untersuchen, weiß der User, dass er „etwas“ anklicken muss, damit das Banner verschwindet. Dafür muss der User weder das Banner selbst noch die konkreten Auswahloptionen genau untersuchen. Die Handlungsentscheidung beruht ggf. auf einem verkürzten Verarbeitungsprozess, der auf vermeintlichem Wissen und nicht unbedingt bewusstem Erkennen beruht.

16 Bugelski/Alampay, Canadian Journal of Psychology 1961, S. 205, 206. 17 Goldstein, in: Gegenfurtner, Wahrnehmungspsychologie, S. 9.

135

Laura L. Stoll

2. Das menschliche Sehen als Faktor des Wahrnehmungsprozesses und Möglichkeiten seiner Beeinflussung 21 Das menschliche Sehen basiert auf dem sichtbaren Lichtspektrum. Menschen sehen in einer Wellenlänge zwischen 400 bis 700 nm.18 Der Mensch ist zudem in der Lage die Empfindlichkeit für Licht zu erhöhen, sog. Dunkeladaptation. Das visuelle System kann im Bedarfsfall empfindlicher auf Licht reagieren, auch wenn sich die Lichtintensität nicht verändert. Anhand der Dunkeladaptationskurve lässt sich belegen, dass die Sensitivität eines helladaptierten Auges in den ersten drei bis vier Minuten nach Verdunkelung schnell zunimmt, dann aber stagniert und erst nach 20 bis 30 Minuten die maximale Empfindlichkeit erreicht. 22 Zudem wirkt die laterale Inhibition auf die Wahrnehmung.19 Als laterale Inhibition wird in der Neurobiologie ein Verschaltungsprinzip der Nervenzellen bezeichnet. Hierbei hemmt eine aktive Nervenzelle die Aktivität der benachbarten Zellen.20 Die laterale Inhibition verstärkt Kontraste, wodurch zum Beispiel Schwarz-Weiß Kontraste stärker wahrgenommen werden können. In Kombination mit dem sogenannten Simultankontrast lassen sich intensive Beeinflussungsmöglichkeiten auf die Wahrnehmung beobachten. Im Rahmen des Simultankontrasts wird die Wahrnehmung eines Areals durch die Helligkeit oder Farbe eines angrenzenden oder umgebenden Areals beeinflusst.

Abb 2. Simultankontrast (Quelle: Goldstein (2014), S. 57)

23 In der Kombination können Hell-Dunkel Darstellungen maßgeblich auf die Wahrnehmung einwirken. Am Beispiel des Einwilligungsbanners,

18 Goldstein, in: Gegenfurtner, Wahrnehmungspsychologie, S. 20. 19 Goldstein, in: Gegenfurtner, Wahrnehmungspsychologie, S. 53. 20 Abrufbar unter https://de.wikipedia.org/wiki/Laterale_Hemmung (zuletzt abgerufen am 30.9.2023).

136

Dark Pattern und Nudging

kann somit eine hellere Schaltfläche, die die Verwendung von einwilligungspflichtigen Technologien einschränkt, weniger deutlich wahrgenommen werden als die danebenliegende dunklere Schaltfläche, bei der man der Verwendung von allen Technologien zustimmt. 3. Rechtliche Einordnung von Beeinflussungen menschlicher Wahrnehmungsprozesse Sowohl Rechtsprechung als auch Aufsichtsbehörden haben sich zu den 24 vorstehend beschriebenen Effekten und Auswirkungen auf das Entscheidungsverhalten von Betroffenen bereits kritisch geäußert. Bisher besteht jedoch keine rechtliche Klarheit, wann eine unrechtmäßi- 25 ge Einflussnahme vorliegt. In den rechtlichen Ausführungen zu diesem Komplex fallen insbesondere die zwei Begriffe Nudging und Dark Pattern auf; diese Methoden sollen daher nachfolgend eingehender betrachtet werden. a) Nudging Der Begriff des Nudgings stammt aus dem Englischen und heißt so viel 26 wie „Anstoßen“, „Schubsen“ bzw. „Stubsen“. Im Rahmen von Entscheidungsfindungen und damit verbundenen Handeln sind Methoden gemeint, die das Verhalten beeinflussen wollen, ohne auf Gebote und Verbote zurückzugreifen. Es findet kein förmlicher Zwang statt. Sozialwissenschaftlich wird das Nudging dem libertären Paternalismus zugeordnet, weil eine scheinbar neutrale Information oder auch Gestaltung auf das Unterbewusste des Empfängers des Nudgings einwirkt und somit das Verhalten lenken kann.21 Im datenschutzrechtlichen Kontext erlangt das Nudging dementspre- 27 chend Bedeutung im Zusammenhang mit der Generierung einer Einwilligung. Insbesondere bei der Zustimmung von Usern zum Einsatz von verschiedenen, einwilligungspflichtigen Technologien auf Webseiten, um möglichst viele Daten der User über das technisch Erforderliche hinaus zu erlangen. Die Anforderungen an die Gestaltung von Einwilligungen in Form von Cookie-Bannern oder auch Consent-Tools sind höchstrichterlich intensiv besprochen, dennoch scheinen sich „Graubereiche“ in der optischen Gestaltung zu finden. Dabei steht nicht mehr in Frage, ob Auswahlmöglichkeiten, nicht vorausgewählte Checkboxen und ähnliches ordnungsgemäß dargestellt werden, sondern es stehen Farbgestaltungen, Positionierungen und Strukturen in Rede. 21 Hufen, JuS 2020, 193, 194; anders Kirchhof, ZRP 2015, 136.

137

Laura L. Stoll

28 Nudging verfolgt genau diese Zielrichtung. Dem User sollen formal alle Möglichkeiten bleiben, seine Entscheidung jedoch faktisch gesteuert werden. Eine blasse Darstellung einer Schaltfläche wird neben einer kräftig dargestellten Schaltfläche vom menschlichen Auge auf Grund der visuellen Wahrnehmung und den Effekten des Simultankontrasts schlechter wahrgenommen. Das reflektierte Licht durch eine kräftigere Farbgestaltung wird stärker wahrgenommen und führt zu einer intensiveren Aktivierung von Rezeptoren. Da Klick-Entscheidungen in kürzester Zeit fallen, „stubst“ die Farbgestaltung den User bereits in eine bestimmte Richtung. Werden dann Farbeffekte und Positionierung gepaart, wirkt zudem eine wissensbasierte Verarbeitung. Der User „weiß“, wenn auch zum Teil unbewusst, wo er klicken muss. Wie bereits weiter oben beschrieben, bildet unsere Wahrnehmung Gruppen bzw. Systeme, um den Stimulus zügig verarbeiten können. Eine schnelle und komfortable Entscheidungsfindung wird von Usern als komfortabel erlebt22, weswegen Darstellungen, die zu einer bestimmten Entscheidung anregen, als angenehm wahrgenommen und daher bevorzugt werden. 29 Zu viele Auswahlmöglichkeiten wirken sich auch auf die Entscheidungsfindung aus. In diesem Zusammenhang äußert sich die sog. Choice Overload Problematik.23 Zu viele Optionen mindern die Motivation, überhaupt eine Entscheidung zu treffen. Es tritt eine Überlastungssituation ein, die eine suboptimale Entscheidung zur Folge hat. Zu viele Möglichkeiten könnten folglich auch unter den Begriff des Nudging subsumiert werden, wenn dieser Ansatz zumindest willentlich eingesetzt wird. b) Dark Pattern 30 In Bezug auf mögliche, ggf. auch unrechtmäßige Beeinflussung von Entscheidungen findet sich auch das Konzept der sogenannten Dark Pattern (dunkle Muster). Die User-Interface-Design Forschung definiert den Begriff als „eine Benutzeroberfläche, die sorgfältig ausgearbeitet wurde, um Benutzer auszutricksen, damit sie Dinge tun, die sie sonst möglicherweise nicht tun würden.“24 Dark Pattern sind Designelemente, die 22 Kettner/Thoran/Spindler, Innovatives Datenschutz-Einwilligungsmanagement Abschlussbericht, v. 7.9.2020, S. 48, https://www.bmjv.de/SharedDocs/ Downloads/DE/Service/Fachpublikationen/090620_Datenschutz_Einwilligung.pdf?__blob=publicationFile&v=1 (abgerufen 28.6.2021); Herfurth/BennerTischler, ZD-Aktuell 2017, 5901. 23 Scheibehenne/Greifeneder/Todd, Journal of Consumer Research 2010, 409, 411. 24 Brignull, Dark Patterns: User Interfaces designed to trick people, https://talks. ui-patterns.com/videos/dark-patterns-user-interfaces-designed-to-trick-people (zuletzt abgerufen am 30.9.2023).

138

Dark Pattern und Nudging

die Wahrnehmung durch Gestaltung, Gewöhnung und komplizierte Entscheidungspfade beeinflussen. Dark Pattern nutzen Heuristiken und Bias als Verhaltensanomalien be- 31 wusst aus und setzen zum Teil auf manipulative Sprache, um eine gewünschte Entscheidung des Users zu erzielen. Aber auch eine vermeintlich nicht oder nur schwer erreichbare Entscheidungsoption, kann Ausdruck dieser Technik sein. Bezogen auf die Gestaltung von Cookie-Bannern sind zum Beispiel sprachliche Ausführungen wie „Wenn Sie die Cookie-Optionen einschränken, können wir Ihnen kein optimales User-Erlebnis garantieren.“ denkbar. Dem User wird eine künstliche Verknappung von Möglichkeiten generiert, die im Regelfall nicht den Tatsachen entspricht. Aber auch das Erschweren von Abmeldemöglichkeiten eines Internetdienstes, kann ein Dark Pattern sein. Womöglich besteht zwar tatsächlich die Option sich abzumelden, die gewählte Darstellung macht es dem User jedoch sehr schwer bis unmöglich, das Begehren durchzusetzen. Design kann als Sprache des Internets verstanden werden und die wahr- 32 nehmungspsychologischen Mechanismen wiegen folglich schwer. Die sprachlichen Inhalte rücken in den Hintergrund und die wahrnehmungssteuernden Aspekte entscheiden. Insbesondere die datenschutzrechtliche Einwilligung, die die Autonomie des Betroffenen unterstellt, ist kaum vor der nachhaltigen Beeinflussung durch Dark Pattern geschützt. Da Dark Pattern an Verhaltensanomalien ansetzen, wirken die bisher von Gesetzgeber und Rechtsprechung entwickelten Voraussetzungen und Grenzen nicht.25 Lediglich der grundlegende Ansatz von Privacy by Default, gem. Art. 25 Abs. 2 DSGVO, sichert datenschutzfreundliche Voreinstellungen. Dark Pattern können jedoch trotz solcher Voreinstellung wirken und stellen eher eine Umgehung als einen Bruch dieser Anforderung dar. c) Beurteilung durch Rechtsprechung und Aufsichtsorgane Sowohl die Methodik des Nudging als auch Dark Pattern sind bereits 33 Gegenstand datenschutzrechtlicher Rechtsprechung sowie von Veröffentlichungen aufsichtsrechtlicher Organe gewesen. So hat das LG Rostock entschieden, es sei nicht ausreichend, verschiede- 34 ne Handlungsmöglichkeiten anzubieten, sondern diese müssen optisch gleichwertig für den Betroffenen auswählbar sein.26

25 Weinzierl, NVwZ 2020, 1087, 1088. 26 LG Rostock, Urt. v. 11.8.2020 – 3 O 762/19, GRUR-RS 2020, 32027 Rz. 54.

139

Laura L. Stoll

35 Hinsichtlich des Nudging äußerte sich die Landesbeauftragte für den Datenschutz in Niedersachsen in einer Handreichung zur Beurteilung der Wirksamkeit der Einwilligung sehr deutlich dahingehend, dass derartige Methoden zur Einflussnahme auf die Nutzungsentscheidung unzulässig seien.27 36 Zuletzt eröffnete der europäische Datenschutzausschuss (EDSA) eine öffentliche Debatte zu einem vom Gremium herausgegebenen Leitfaden zum Umgang und zur Detektivierung von Dark Pattern in sozialen Medien-Plattformen.28 Der Ausschuss arbeitet die unterschiedlichen Formen von Dark Pattern heraus und gibt konkrete Empfehlungen, wie in verschiedenen Fällen datenschutzkonform gehandelt werden kann. Ausdrücklich stellt der EDSA heraus, welche Tragweite Dark Pattern haben und dass datenschutzrechtliche Grundprinzipien kompromittiert oder verletzt werden können. Der Leitfaden versteht sich explizit als Hilfsmittel für datenschutzkonformes Design. Die genaue Prüfung von Designelementen ist der folgerichtige Schritt, um die Grundprinzipien der DSGVO einzuhalten und wirksame Einwilligungen einzuholen. IV. Ausblick 37 Es stellt sich die Frage, ob dem geltenden Recht Mittel zur Verfügung stehen, um die Freiwilligkeit der datenschutzrechtlichen Einwilligung vor der systematischen Ausnutzung durch wahrnehmungspsychologische Effekte zu schützen. Aus der Rechtsprechung wird deutlich, dass die Entscheidungsgrundlage für den Einzelnen selbstbestimmt und rational nach seinen Interessen erfolgen soll.29 Bei effektiver Ausnutzung der beschriebenen Mechanismen ist es jedoch höchst zweifelhaft, ob die Selbstbestimmung als Legitimationsmodell30 durchgreifend Wirkung entfalten kann. Damit die Einwilligung ihre Legitimationswirkung nicht verliert, bedarf es trennscharfer Anforderungen und Voraussetzung, wann und mit welchen Mitteln in der Umsetzung die Grenzen der Zulässigkeit eingehalten werden.

27 Die Landesbeauftragte für den Datenschutz Niedersachsen, Handreichung: Datenschutzkonforme Einwilligungen auf Webseiten – Anforderungen an Consent-Layer (September 2022), S. 5, https://lfd.niedersachsen.de/startseite/ themen/internet/datenschutzkonforme-einwilligungen-auf-webseiten-anforderungen-an-consent-layer-194906.html (zuletzt abgerufen am 30.9.2023). 28 https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-deceptive-design-patterns-social-media_en (zuletzt abgerufen am 30.9.2023). 29 EuGH, Urt. v. 1.10.2019 – C-673/17, EuZW 2019, 916. 30 Lindner, AöR 2015, 542, 546.

140

Online-Wahlen und digitale Abstimmungen – eine Einordnung aktueller Entwicklungen Melanie Volkamer*1, Andreas Mayer*2, Stephan Neumann*3, Bernhard Beckert*4, Jurlind Budurushi*5, Armin Grunwald*6, Robert Krimmer*7, Oksana Kulyk*8, Ralf Küsters*9, Jörn Müller-Quade*10 I. Einleitung

1

II. Hintergrundinformationen 4 1. Prinzipien der Informationssicherheit 4 2. Ende-zu-Ende-Verifizierbarkeit 7 III. Online-Abstimmung im Rahmen des CDU Bundesparteitags 2021 1. Beschreibung der Situation 2. Einordnung der Situation

10 10 11

IV. Online-Wahlen der Universität Jena 1. Beschreibung der Situation 2. Einordnung der Situation a) Secure Link b) Öffentlichkeitsgrundsatz

14 14 15 16 19

V. Aktionärswahlen

VI. BSI-Zertifizierung nach Common Criteria 29 1. Allgemeine Informationen zum Evaluations- und Zertifizierungsverfahren 29 2. Beschreibung der Situation 34 3. Einordnung der Situation 37 a) Erstellung des Schutzprofils vor dem Wahlgeräte-Urteil 37 b) Basis-Anforderung und Disclaimer 40 c) Sicherheitsziele für die Einsatzumgebung 41 d) Eignung von CC Schutzprofilen für Wahlen im Allgemeinen 42 VII. Fazit

43

23

Literatur: Buchmann/Neumann/Volkamer, Tauglichkeit von Common Criteria-Schutzprofilen für Internetwahlen in Deutschland. Datenschutz und Datensicherheit, 38(2):98-102, 2014; Budurushi/Neumann/Shala/Volkamer, Entwicklung *1 *2 *3 *4 *5 *6 *7 *8 *9 *10

Melanie Volkamer: https://secuso.aifb.kit.edu/Team Volkamer.php Andreas Mayer: https://www.hs-heilbronn.de/andreas.mayer Stephan Neumann: https://www.stephanneumann.it Bernhard Beckert: https://formal.iti.kit.edu/beckert/index.phtml Jurlind Budurushi: https://jurlindbudurushi.com Armin Grunwald: https://www.itas.kit.edu/kollegium grunwald armin.php Robert Krimmer: https://www.xing.com/profile/Robert_Krimmer Oksana Kulyk: https://okskulyk.github.io/ Ralf Küsters: https://sec.uni-stuttgart.de Jörn Müller-Quade: https://crypto.iti.kit.edu/head of institute.php

141

Melanie Volkamer et al. eines Common Criteria Schutzprofils für elektronische Wahlgeräte mit Paper Audit Trail. In INF14 – Workshop: Elektronische Wahlen: Unterstützung der Wahlprozesse mittels Technik, volume 232 of Lecture Notes in Informatics (LNI), pages 1415–1426; 2014; Küsters/Truderung/Vogt, Clash Attacks on the Verifiability of E-Voting Systems. In 2012 IEEE Symposium on Security and Privacy, pages 395–409, IEEE, 2012; Mayer, Virtuelle Hauptversammlungen: Ein sicherer Ersatz für Präsenzveranstaltungen? In Deutschland. Digital. Sicher. – 30 Jahre BSI, Tagungsband zum 17. Deutschen IT-Sicherheitskongress, pages 233–248, 2021.

I. Einleitung 1 Im Hinblick auf die Sicherheit von digitalen Abstimmungen und Wahlen sind eine Vielzahl rechtlicher und technischer Anforderungen1 zu berücksichtigen. Wesentliche Teile dieser Anforderungen beziehen sich auf das Wahlgeheimnis sowie die Öffentlichkeit, Nachvollziehbarkeit und Überprüfbarkeit der individuellen Stimmabgabe und der Auszählung der abgegebenen Stimmen. 2 Die Auswahl eines digitalen Abstimmungsverfahrens ist mindestens aus den folgenden Gründen nicht trivial: 1. Digitale Abstimmungsverfahren bzw. Online-Wahlsysteme bauen auf komplexen kryptographischen Verfahren auf. Um die Sicherheit kryptographischer Verfahren zu validieren, bedarf es entsprechender mathematischer Beweise. 2. Es gibt nicht das Verfahren bzw. das System, welches optimal für jegliche Art von Wahl ist. Die grundsätzliche Eignung der Verfahren bzw. Systeme hängt von der Einsatzumgebung ab – eine Abwägung von Vor- und Nachteilen sowie eine Risikobewertung sind notwendig. 3. Die Anbieter von Online-Wahldienstleistungen stellen häufig die Vorteile ihrer Verfahren bzw. Systeme in den Vordergrund, ohne dabei die entsprechenden Nachteile der jeweiligen Einsatzumgebung zu benennen – somit werden Verfahren und Systeme oftmals als „sicher“ angepriesen. 4. Wahlausrichter haben in der Regel ein nachvollziehbares Interesse daran, ihre Online-Wahl als Erfolg zu interpretieren. Somit wird von der Komplexität und den Herausforderungen bei der Implementierung eines Verfahrens bzw. Systems sowie den Rest-Risiken wenig berichtet, sodass leicht der Eindruck entsteht, dass man „einfach“

1

Siehe z. B. die Anforderungen auf europäischer Ebene: https://rm.coe.int/ 0900001680726f6f (Stand: 2.10.2023).

142

Online-Wahlen und digitale Abstimmungen

das gleiche Verfahren bzw. System für andere Wahlen verwenden kann. 5. Es existieren eine Reihe von Anforderungskatalogen, die unterschiedliche Anforderungen formulieren und oft nicht auf die Annahmen (bzw. das Angreifermodell) eingehen. Dadurch ist es schwer, im Rahmen einer Risikobewertung über Rest-Risiken zu sprechen. Ziel dieses Beitrags ist es, darauf aufmerksam zu machen, welche As- 3 pekte allgemein für die Risikobewertung wichtig sind (Abschnitt 2) sowie auf potenzielle Bedrohungen und Missverständnisse in Bezug auf bereits durchgeführte Online-Wahlen hinzuweisen (Abschnitt 3 bis Abschnitt 5), damit Risiken besser abgeschätzt werden können und eine informierte Entscheidung über den Einsatz eines Verfahrens bzw. Systems bei einer Wahl getroffen werden kann. Darüber hinaus möchten wir Hintergrundinformationen zu existierenden Anforderungsdokumenten (Abschnitt 6) – zur Verfügung stellen. Eine ausführlichere Analyse der Entwicklungen finden interessierte Leser*innen in dem im letzten Jahr veröffentlichten technischen Bericht2. II. Hintergrundinformationen 1. Prinzipien der Informationssicherheit Für eine informierte Entscheidung in Bezug auf die IT- bzw. Informa- 4 tionssicherheit von IT-Produkten sind insbesondere die Aspekte Angreifermodell, Annahmen zum Benutzer*innenverhalten und Vertrauenswürdigkeit der Aussagen zu diesem Angreifermodell und der Annahmen wichtig. Dies gilt entsprechend auch für virtuelle Abstimmungen und Online-Wahlen. Daher werden diese im Folgenden mit Bezug auf geheime Abstimmun- 5 gen und Wahlen erläutert: 1. Das Angreifermodell (vereinfacht gesagt, die Annahmen an die Grenzen der Angreifermächtigkeit) definiert, wer das Wahlgeheimnis wie verletzen kann und wer die Stimmen bzw. das Ergebnis wie unbemerkt verändern kann. Mit „wer“ sind beispielsweise Wahlausrichter selbst, Cyber-Angreifer, Server-Administratoren oder Online-Wahldienstleister gemeint. Mit „wie“ ist neben der Vorgehensweise auch gemeint, wie aufwendig der Angriff wäre. Sowohl mit Blick auf das unbemerkte Verändern von Stimmen als auch mit Blick auf das Wahl-

2

https://publikationen.bibliothek.kit.edu/1000137300/126120082 (Stand: 2.10.2023).

143

Melanie Volkamer et al.

geheimnis ist es empfehlenswert, die Annahmen bezogen auf einzelne Stimmen versus viele/alle Stimmen zu evaluieren3. 2. Die Annahmen an das Benutzer*innenverhalten definieren, welches Verhalten notwendig ist, um die Sicherheitseigenschaften (also insbesondere der Schutz des Wahlgeheimnisses und die Erkennung von Manipulationen an Stimmen bzw. Ergebnissen) zu gewährleisten. Benutzer*innen sind dabei neben den Wähler*innen insbesondere auch die Wahlausrichter, Mitarbeiter*innen von Online-Wahldienstleistern, Server-Betreiber bzw. weitere Personen im digitalen Wahlprozess. Hierzu würde z. B. die Verwendung von sicheren Passwörtern sowie die sichere Aufbewahrung von Passwörtern durch Benutzer*innen zählen. 3. Die Vertrauenswürdigkeit der Aussagen zu diesem Angreifermodell und der Annahmen kann unterschiedlich tiefgehend überprüft werden, z. B. kommen die Aussagen vom Online-Wahldienstleister oder gibt es eine Evaluation durch unabhängige Experten, die das Angreifermodell und die Annahmen bestätigt? Im Fall einer Evaluation ist die Frage wie tiefgehend diese durchgeführt wurde (z. B. welche Dokumente/Beschreibungen wurden untersucht bzw. wurde der Source Code analysiert). 6 All diese Informationen sind wichtig, um das Risiko abzuschätzen, das mit der Durchführung der Online-Wahl einhergeht. Wenn das Risiko abgeschätzt ist, stellt sich die Frage, ob das ermittelte Risiko für eine konkrete Wahl vertretbar ist. 2. Ende-zu-Ende-Verifizierbarkeit 7 Ende-zu-Ende-Verifizierbarkeit bedeutet, dass Wähler*innen überprüfen können, dass ihre Stimme so wie beabsichtigt abgeschickt wird (auch als cast-as-intended bezeichnet), dass ihre Stimme in der elektronischen Urne, die ausgezählt wird, so wie abgeschickt gespeichert ist (auch als stored-as-cast bezeichnet) und dass alle in der elektronischen Urne gespeicherten Stimmen (und damit inkl. der eigenen Stimme) korrekt ausgezählt werden. Darüber hinaus sollte es möglich sein zu prüfen, dass nur Stimmen von Wahlberechtigten in der elektronischen Urne enthalten sind (auch Eligibility-Verifizierbarkeit genannt). Ende-zu-Ende-Verifizierbarkeit ist der einzige Weg, bei geheimen Wahlen und Abstimmungen verlässliche Aussagen hinsichtlich (nicht)stattgefundener Manipulationen zu treffen. Ohne Ende-zu-Ende-Verifizierbarkeit ist es 3

In der Regel skalieren Angriffe auf Online-Wahlsysteme besser als Angriffe auf die traditionellen Wahlsysteme.

144

Online-Wahlen und digitale Abstimmungen

nicht möglich nachzuweisen, dass der Betreiber der Online-Wahl oder Cyber-Angreifer das Wahlergebnis unbemerkt verändert haben. Durch die geschickte Kombination verschiedener kryptographischer 8 Methoden ist es möglich, Nachvollziehbarkeit und Überprüfbarkeit der individuellen Stimmabgabe sowie der Auszählung aller abgegebenen Stimmen (also Ende-zu-Ende-Verifizierbarkeit) bei gleichzeitiger Sicherung des Wahlgeheimnisses umzusetzen. Darüber hinaus ermöglicht der Einsatz von Ende-zu-Ende-verifizierbaren Systemen einen gewissen Grad des Öffentlichkeitsgrundsatzes4 zu erreichen. Zuletzt sei darauf verwiesen, dass Ende-zu-Ende-Verifizierbarkeit Vortei- 9 le im Vergleich zur Veröffentlichung des Quellcodes bringt: Unabhängig davon, ob genau der veröffentlichte Quellcode im Einsatz ist, kann überprüft werden, ob die Stimme unverändert in das Ergebnis eingeht und das Ergebnis korrekt berechnet wurde. Die Veröffentlichung des Quellcodes ist dennoch zusätzlich empfohlen, um analysieren zu können, inwieweit das Wahlgeheimnis gesichert ist, sowie allgemein, um das Vertrauen in das System zu erhöhen. III. Online-Abstimmung im Rahmen des CDU Bundesparteitags 2021 1. Beschreibung der Situation Aufgrund der Corona-Pandemie fand im Jahr 2021 der Bundesparteitag 10 der CDU erstmalig digital statt. Ein Novum dieses Parteitags war darüber hinaus, dass die 1.001 Delegierten erstmalig über den zukünftigen Vorsitzenden der CDU digital abstimmen konnten. Dabei handelte es sich um eine geheime Abstimmung. Wegen der absehbaren Bedeutung des CDU-Vorsitzes für die Kanzlerschaft im Jahr 2021 war der digitale Parteitag und die digitale Abstimmung von großem medialem Interesse. Zur Durchführung der digitalen Abstimmung setzte die Partei auf den Online-Wahldienstleister Polyas5. Zur Durchführung der Online-Abstimmung wurde Polyas Core 3.0 eingesetzt, durch das „[. . . ] die eigene Stimmabgabe sowie das gesamte Wahlergebnis überprüfbar geworden sind.“

4

5

Siehe zum Öffentlichkeitsgrundsatz die Rechtsprechung des Bundesverfassungsgerichts zur Vereinbarkeit der elektronischen Wahl mit den Wahlrechtsgrundsätzen (Urteil vom 30.5.2013 – 1 N 240/12 –, juris). https://www.polyas.de/blog/de/allgemein-de/der-cdu-bundesparteitag-undpolyas (Stand: 2.10.2023).

145

Melanie Volkamer et al.

Zwar ist die genaue Spezifikation sowie der Quellcode dieser Version nicht öffentlich, aber die Funktionsweise des digitalen Abstimmungsverfahrens wird in mehreren Quellen6 7 8 beschrieben, u. a. dem Cyber-Sicherheits-Podcast der Allianz für Cybersicherheit. 2. Einordnung der Situation 11 Zur Gewährleistung, dass die Stimme wie beabsichtigt abgegeben und in der digitalen Wahlurne gespeichert wird, stellt das digitale Abstimmungsverfahren den Delegierten nach ihrer Stimmabgabe einen sogenannten Verifikations-Code zur Verfügung, der ihre Wahlentscheidung anonym belegt. Nach Abschluss des Parteitags stellte die CDU alle anonymen Verifikations-Codes sowie die dazugehörigen Stimmen bereit. Der Einsatz derartiger Codes wurde in wissenschaftlichen Arbeiten bereits diskutiert. Sogenannte Clash-Attacken (Clash Attacks) [3] könnten unbemerkt durchgeführt werden. Einfach ausgedrückt würde ein Angreifer denselben Code an mehrere Delegierte ausstellen, die denselben Kandidaten gewählt haben. Die dadurch „frei werdenden“ Stimmen kann der Angreifer anderen Kandidat*innen zuordnen. 12 Zur Veranschaulichung stellen wir Clash-Attacken anhand eines fiktiven Beispiels dar: Angenommen, zwei Delegierte, nennen wir sie Alice und Bob, stimmen in einer fiktiven Wahl für Kandidaten Charly, dann könnte ein Angreifer beiden denselben Verifikations-Code, sagen wir ABCD, zurückliefern, allerdings nur eine Stimme für Charly zählen. Angenommen, beide würden von der Möglichkeit der Überprüfung Gebrauch machen. Dann würden sowohl Alice wie auch Bob den erwarteten Code ABCD neben dem Kandidaten Charly finden. De facto wäre aber nur eine Stimme für Charly gewertet anstatt zwei Stimmen. Dieser Angriff kann selbstverständlich geschickt skaliert werden und somit größeren Schaden anrichten als die Unterschlagung einer einzelnen Stimme. In diesem Beispiel können Alice und Bob den Angriff nur aufdecken, wenn sie sich gegenseitig offenlegen, wie sie gewählt haben, und ihre Verifikations-Codes vergleichen, also letztlich nur durch die Verletzung ihres eigenen Wahlgeheimnisses.

6 7 8

https://cybersnacs.podigee.io/4 (Stand: 2.10.2023). https://www.polyas.de/blog/de/allgemein-de/der-cdu-bundesparteitag-undpolyas (Stand: 2.10.2023). https://archiv.cdu.de/artikel/1-digitaler-parteitag-der-cdu-so-funktioniertendie-abstimmungen (Stand: 2.10.2023).

146

Online-Wahlen und digitale Abstimmungen

Der Angreifer könnte dabei ein Cyberkrimineller, der sich entweder Zu- 13 griff auf die Wahlserver oder auf (einzelne) Endgeräte9 der Delegierten verschafft, der Online-Wahldienstleister (z. B., weil dieser erpresst wird) oder der Wahlserver-Administrator (z. B., weil dieser bedroht wird) sein. Mit dieser Erkenntnis ist es dann wichtig, das Risiko zu bewerten, dass ein Cyberkrimineller sich Zugriff auf die Wahlserver oder auf (einzelne) Endgeräte der Delegierten verschafft, der Online-Wahldienstleister unautorisierte Änderungen am Wahlsystem vornimmt oder der Wahlserver-Administrator unautorisierte Änderungen am Wahlsystem vornimmt. Den Autoren ist nicht bekannt, ob und inwieweit risikomitigierende Maßnahmen zur Abwehr des dargestellten Angriffs ergriffen wurden. IV. Online-Wahlen der Universität Jena 1. Beschreibung der Situation Die Friedrich-Schiller-Universität in Jena gehört zu den ersten Hoch- 14 schulen, die Online-Wahlen erprobt haben. Im Jahr 2013 führte eine Novellierung der Wahlordnung der Friedrich-Schiller-Universität dazu, dass Online-Wahlen grundsätzlich für alle Gremienwahlen möglich sind (§ 16 (1) Wahlordnung10). Soweit bekannt, werden zur Durchführung von Online-Wahlen Systeme der Firma Polyas eingesetzt. Dabei kam zunächst ein System zum Einsatz, bei dem die Wähler*innen per Post Zugangsdaten zugeschickt bekamen. Seit 2016 erfolgt die Anmeldung über das universitätseigene Serviceportal11. Wähler*innen werden vor dort an das Wahlsystem weitergeleitet. Das Verfahren bezeichnet die Firma Polyas als „Secure Link“. Während es im Kontext der Gremienwahlen an der Friedrich-Schiller-Universität in Jena schon mehrere Gerichtsverfahren gab, liegt der Fokus im Folgenden auf dem Urteil der 2. Kammer des Verwaltungsgerichts Gera mit dem Aktenzeichen 2 K 606/16 Ge12.

9 Mit Endgerät ist die technische Umgebung gemeint, über die Delegierte ihre Stimme abgeben z. B. der Laptop oder das Smartphone. Es ist nicht erforderlich, dass Cyberkriminelle physischen Zugriff auf die Endgeräte erhalten. In der Regel verschaffen sich Cyberkriminelle über das Internet Zugriff auf die Endgeräte. 10 https://www.hanfried.uni-jena.de/vhbmedia/Wahlordnung.pdf (Stand: 2.10.2023). 11 https://www.duz.de/beitrag/!/id/398/online-hochschulwahlen – mein-gutesrecht (Stand: 2.10.2023). 12 https://openjur.de/u/2329370.pdf (Stand: 2.10.2023).

147

Melanie Volkamer et al.

2. Einordnung der Situation 15 In Bezug auf die Frage, ob diese Urteile eine informierte Entscheidung zum Einsatz des gleichen Systems an anderen Hochschulen ermöglichen, möchten wir im Folgenden anhand von zwei ausgewählten thematischen Bereichen diskutieren. a) Secure Link 16 Zunächst möchten wir die Argumentation des Urteils bzgl. des Secure Links diskutieren. Der Zertifizierungsreport für das von der Firma Polyas durch das BSI zertifizierte Online-Wahlsystem POLYAS CORE Version 2.2.313 formuliert Aussagen zu dem Anmeldeverfahren. Es wird dort explizit darauf hingewiesen, dass ein System evaluiert wurde, welches eine Anmeldung mittels PIN/TAN für Wähler*innen vorsieht. Ein anderes Anmeldeverfahren kann grundsätzlich neue Schwachstellen mit sich bringen. Entsprechend kann dies nicht einfach ausgetauscht werden, ohne diese Änderung evaluieren und zertifizieren zu lassen. Konkret gilt die durchgeführte Zertifizierung entsprechend nicht mehr, wenn ein anderes Anmeldeverfahren zum Einsatz kommt. Eine neue Evaluierung und Zertifizierung wäre notwendig. 17 Unter anderem erklärt der Zertifizierungsbericht, dass Single-Sign-On Verfahren nicht genutzt werden können: „[. . . ] sind in der evaluierten Konfiguration nicht zulässig“. Im Folgenden gehen wir der Frage nach, ob die von Polyas gewählte Formulierung des „Secure Links“ nicht eine Form von Single-Sign-On ist. Hierzu ist es wichtig zu verstehen, was mit Single-Sign-On gemeint ist. Der IT-Planungsrat14 definiert Single-Sign-On wie folgt: „‚Single Log-In‘ bzw. ‚Single Account‘: Die Möglichkeit, sich mit nur einem Satz an Zugangsdaten in verschiedene geschützte Dienste einzuloggen bzw. gegenüber verschiedenen Diensten mit einem definierten Vertrauensniveau zu authentifizieren.“ Die Firma Polyas verwendet die Bezeichnung Secure Link. Es passiert aber genau das, was hier in der Erklärung von Single-Sign-On beschrieben wird: Der Secure-Link-Ansatz ermöglicht es Wähler*innen, sich mit nur einem Satz an Zugangsdaten (den Uni-Zugangsdaten) in verschiedenen Diensten – eben auch dem Online-Wahlsystem – einzuloggen.

13 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Zertifizierung/ Reporte/Reporte08/0862a_pdf.pdf;jsessionid=B109E877F80FB99AE0F4605F285E7386.internet482?__blob=publicationFile&v=1. 14 https://www.it-planungsrat.de/fileadmin/beschluesse/2019/Beschluss2019-12_ TOP06_Anlage1_SSO.pdf (Stand: 2.10.2023)

148

Online-Wahlen und digitale Abstimmungen

Folgt man dieser Argumentation, ist das bei der Universität Jena einge- 18 setzte Online-Wahlsystem nicht vom BSI zertifiziert. b) Öffentlichkeitsgrundsatz Im Folgenden diskutieren wir die im Urteil genannte Argumentation 19 zum Öffentlichkeitsgrundsatz. Hier wurden zunächst Erläuterungen aus dem Urteil vom 30.5.2013 – 1 N 240/12 zitiert. Daraus leitet das Verwaltungsgericht Gera ab, das „Mindestanforderungen zur Gewährleistung des Grundsatzes der Öffentlichkeit [. . . ] die Kontrolle der Wahlhandlung durch den Wähler sowie die nachträgliche Überprüfung der Ergebnismitteilung dar[stellen]“. Die Kontrolle der Wahlhandlung durch die Wählenden ist jedoch bei dem eingesetzten System nicht möglich. Es bietet lediglich die Möglichkeit der nachträglichen Überprüfung der Ergebnismitteilung, bezogen auf ein Nachzählen von Stimmen (ohne dass ersichtlich ist, dass diese Stimmen auch denen entsprechen, die von den Wähler*innen abgegeben wurden). Dies wurde vom Verwaltungsgericht Gera als ausreichend angesehen, da die „möglicherweise verbundene Einschränkung des Wahlgrundsatzes der Öffentlichkeit hinzunehmen“ ist. Im folgenden Abschnitt diskutieren wir die Kritikalität von Angriffen 20 auf die unterschiedlichen Wahlkanäle, die möglich sind, wenn nur die Auszählung öffentlich ist. Hierdurch soll gezeigt werden, dass es bei Online-Wahlen besonders wichtig ist, dass alle Schritte der Stimmabgabe, der Stimmspeicherung und der Auszählung öffentlich sind, sprich, durch die Wähler*innen (unter Einhaltung des Wahlgeheimnisses) nachvollzogen werden können. –

Bei der Wahl im Wahllokal müssten die Wahlhelfer*innen gemeinsam korrupt agieren und die Urne bereits vor der Auszählung manipulieren (z. B., weil Stimmzettel ausgetauscht werden). Darüber hinaus könnten diese jeweils nur die Stimmen in einem oder in wenigen Wahllokalen manipulieren.

–

Bei der Briefwahl müssten die Wahlhelfer*innen gemeinsam korrupt agieren und die Urne bereits vor der Auszählung manipulieren (z. B., weil Stimmzettel ausgetauscht werden). Ob so im großen Maße Manipulationen durchgeführt werden können, hängt vom Setting ab: d. h. (a) ob es nur ein Briefwahllokal oder wie bei Bundestagswahlen eine sehr große Anzahl an Briefwahllokalen gibt und (b) ob die Briefwahl nur auf Antrag möglich und der Hauptwahlkanal der im Wahllokal ist (und dadurch der Anteil der Briefwähler*innen gering ist). Darüber hinaus könnten Angestellte der Post Briefe entwenden. Allerdings könnten sie dies wegen des eingeschränkten Zuständigkeitsbereichs

149

Melanie Volkamer et al.

i. d. R. nur bei einigen wenigen Wähler*innen tun. Darüber hinaus könnte dies aufgedeckt werden, wenn Wähler*innen nachfragen, ob die Stimme angekommen ist. –

Bei einer Online-Wahl können Stimmen bzw. die Urne an verschiedenen Stellen im Prozess manipuliert werden: Zunächst kann dies bei der Abgabe auf dem Endgerät geschehen, dann bei der Übertragung und dann vor/während der Speicherung. Die Manipulation kann durch Cyberkriminelle oder den Anbieter des Wahlsystems (ggf. auch von Mitarbeiter*innen des Rechenzentrums, von dem das Wahlsystem betrieben wird) durchgeführt werden. Der Angriff kann von einem beliebigen Ort ausgeführt werden und dabei beliebig Stimmen verändern.

21 Nun stellt sich die Frage, wie man die unterschiedlichen Angriffe bewertet. In den beiden ersten Fällen (Papier-Wahl im Wahllokal und Briefwahl) müssen Wähler und Kandidaten den Wahlhelfer*innen vertrauen. Bei einem Online-Wahlsystem, wie dies an der Universität Jena eingesetzt wird, müssen Kandidat*innen und Wähler*innen darauf vertrauen, dass Cyberkriminelle kein großes Interesse an dem Ausgang der Wahl haben, sowie dass die Mitarbeiter*innen des Anbieters des Wahlsystems und des Rechenzentrums nicht korrupt sind. So besteht z. B. die Möglichkeit, dass Cyberkriminelle über Schwachstellen in der Infrastruktur oder dem Online-Wahlsystem selbst Manipulationen durchführen können. Dass solche Schwachstellen in der Realität durchaus existieren können, wird in Kapitel 5 am Beispiel von Online-Abstimmungen auf virtuellen Hauptversammlungen von Aktiengesellschaften gezeigt. Um das für Online-Wahlen notwendige Vertrauen auf ein entsprechendes Niveau zu heben, wäre es erforderlich, ein Ende-zu-Ende-verifizierbares Online-Wahlsystem einzusetzen, Der Öffentlichkeitsgrundsatz hat das Ziel, die Ordnungsmäßigkeit und Nachvollziehbarkeit der Wahlvorgänge zu sichern. Wie die Ordnungsmäßigkeit gesichert wird, hängt vom Wahlkanal ab, sowie von den zu adressierenden Ordnungsmäßigkeiten. Entsprechend kann argumentiert werden, dass eine Übertragung einer Maßnahme von einem Wahlkanal auf einen weiteren nicht notwendigerweise ausreichend ist. Es sollte für jeden Wahlkanal neu geprüft werden, welche Maßnahmen sinnvoll und notwendig sind. 22 Das Thüringer Oberverwaltungsgericht untersucht die Forderung nach dem Öffentlichkeitsgrundsatz bezogen auf die Wahlordnung und kommt zu dem Ergebnis, dass die Möglichkeit der Kontrolle der eigenen Wahlhandlung und Stimmabgabe durch die Wähler*innen durch die Anforderungen in der Wahlordnung abgedeckt sind – konkret durch die folgenden Anforderungen: „Die Wahlberechtigten müssen bis zur endgültigen 150

Online-Wahlen und digitale Abstimmungen

Stimmabgabe die Möglichkeit haben, ihre Eingabe zu korrigieren oder die Wahl abzubrechen.“ und „Die Übermittlung muss für den Wähler am Bildschirm erkennbar sein.“ Wie oben erwähnt können Angriffe an verschiedenen Stellen durchgeführt werden und sollten im Rahmen des Öffentlichkeitsgrundsatzes von Wähler*innen erkannt werden können: bei der Abgabe auf dem Endgerät, bei der Übertragung und dann vor/während der Speicherung. Aus unserer Sicht decken die beiden Anforderungen nur die Erkennung von Manipulationen bei der Übertragung ab. Um auch die anderen Manipulationen aufdecken zu können, ist es wichtig, Ende-zu-Ende-verifizierbare Wahlsysteme einzusetzen. V. Aktionärswahlen Die Corona-Pandemie war die Geburtsstunde der virtuellen Haupt- 23 versammlung (HV) von Aktiengesellschaften. Aufgrund der geltenden Reise- und Kontaktbeschränkungen wurde 2020 ein Großteil der HVs nicht mehr in Präsenz, sondern als digitale Abstimmung online über das Internet durchgeführt. Die erste rein virtuelle HV veranstaltete die Bayer AG für Kosten von rund 1 Million Euro am 28.4.202015. An dieser Veranstaltung nahmen mehr als 5.000 stimmberechtigte Aktionäre teil. Die Grundlage für die Durchführung von virtuellen HVs ist das am 27.3.2020 vom Bundesrat im Eilverfahren verabschiedete Gesetz zur Abmilderung der Folgen der COVID-19-Pandemie im Zivil-, Insolvenz- und Strafverfahrensrecht16. Seitdem hat sich die virtuelle HV schnell und in voller Breite als gesellschaftsrechtliches Kriseninstrument etabliert. Bei einer virtuellen HV werden von den Aktionären kritische Unterneh- 24 mensentscheidungen (z. B. Entlastung von Vorstand und Aufsichtsrat, Gewinnverwendung und Kapitalmaßnahmen) in Form einer OnlineWahl getroffen. Zugleich werden in diesem Kontext sehr sensible personenbezogene Daten von den Anteilseignern verarbeitet. Deshalb bedienen sich die Aktiengesellschaften in aller Regel eines spezialisierten HV Dienstleisters, welcher neben organisatorischer und rechtlicher Unterstützung auch ein HV-Portal zur praktischen Durchführung der virtuellen HV im Internet zur Verfügung stellt. Die Online-Wahl-Funktionalität ist hierbei immer ein wesentlicher Bestandteil.

15 https://www.juve.de/deals/aktionaerstreffen-linklaters-mandantin-bayer-spart-mit-online-hv-25-millionen-euro/ (Stand: 2.10.2023). 16 https://www.bmj.de/SharedDocs/Gesetzgebungsverfahren/DE/2020_FH_AbmilderungFolgenCovid-19.html (Stand: 2.10.2023).

151

Melanie Volkamer et al.

25 In einer auf dem 17. Deutschen IT-Sicherheitskongress des BSI im Februar 2021 veröffentlichten empirischen Studie wurde die Sicherheit von acht HV-Portalen analysiert [4]. Insgesamt wurden im Zeitraum vom 28.4.2020 bis 31.12.2020 in diesen HV-Portalen 584 virtuelle HVs deutscher Aktiengesellschaften durchgeführt. Im Ergebnis wiesen knapp 72 % der untersuchten virtuellen HVs kritische Schwachstellen auf, welche u. a. das unbemerkte Ändern der Stimmabgabe von Aktionären, die vollständige Übernahme des Aktionärs-Accounts durch den Angreifer, das gezielte Verhindern der Durchführung von virtuellen HVs oder das Auslesen der personenbezogenen Daten von Aktionären ermöglichten. Letztere Sicherheitslücke erlaubte es bei dem HV-Portal des Marktführers (über 160 virtuelle HVs waren potenziell betroffen), die personenbezogenen Daten (Name, Adresse, Geburtsdatum, etc.) aller Aktionäre, inkl. Abstimmungsverhalten und deren Anteilsbesitz, von allen durch den HV-Dienstleister durchgeführten HVs auszulesen. Von den gefundenen Sicherheitslücken waren u. a. auch virtuelle HVs von großen DAXund MDAX-Konzernen betroffen. Insgesamt konnten in sechs von acht untersuchten HV-Portalen über das Internet ausnutzbare Schwachstellen gefunden werden. 26 Die Ergebnisse der oben genannten Studie offenbarten deutliche Sicherheitsmängel bei nahezu allen untersuchten HV-Portalen. Es ist hervorzuheben, dass nur wohlbekannte und webbasierte Angriffe aus der OWASPTop-10-Liste17 in Betracht gezogen wurden. Die potenziellen Angreifer waren hierbei außenstehende Cyberkriminelle, die durch den Kauf von Aktien auch die Berechtigung zur Teilnahme an den virtuellen HVs erworben haben18. Das Nachrichtenportal Heise Online fand für den Sachverhalt klare Worte und spricht von „Anfängerfehlern“19. 27 Bei dieser Untersuchung wurden bezogen auf das Angreifermodell einige Angriffsvektoren nicht untersucht. So wurden keine Angriffe durch andere Akteure, z. B. (bösartige) Server-Administratoren, Wahlleiter oder die HV-Dienstleister selbst, in Betracht gezogen. Es gilt jedoch festzuhalten, dass weitergehende Methoden zur Umsetzung von Öffentlichkeit, Nachvollziehbarkeit und Überprüfbarkeit der individuellen Stimmabgabe sowie der Auszählung aller abgegebenen Stimmen, nach eigenen Recherchen, aktuell von keinem HV-Dienstleister angeboten werden. 17 Open Web Application Security Project (OWASP) https://owasp.org/www-project-top-ten/(Stand: 26.3.2022). 18 Zur Teilnahme an einer HV reicht der Kauf einer Aktie aus. Die Kosten hierfür belaufen sich, je nach Höhe des Aktienkurses, auf weniger als 100 €. 19 https://www.heise.de/news/Virtuelle-Hauptversammlungen-mit-Anfaengerfehlern-5045689.html (Stand: 2.10.2023).

152

Online-Wahlen und digitale Abstimmungen

So ist es zwischenzeitlich zwar möglich, sich in den meisten HV-Porta- 28 len einen Nachweis über die eigene Stimmabgabe als PDF-Datei erstellen zu lassen. Gegen am Wahlprozess beteiligte bösartige Akteure oder kompromittierte Endgeräte hilft dieses Dokument jedoch wenig. Zudem ist auch nicht klar, wie ein Notar die Unversehrtheit des Wahlsystems sicherstellen und die Abstimmungsergebnisse am Ende der virtuellen HV gegenüber Fehlern und Manipulationen überprüfen kann. VI. BSI-Zertifizierung nach Common Criteria 1. Allgemeine Informationen zum Evaluations- und Zertifizierungsverfahren Ähnlich wie in anderen sicherheitskritischen Bereichen unseres Lebens, 29 zum Beispiel im Lebensmittel- und Gesundheitswesen, ist es auch in der Informationssicherheit empfehlenswert, die sicherheitsrelevanten Eigenschaften der jeweiligen IT-Produkte zu prüfen, bevor diese zugelassen bzw. eingesetzt werden. Ein Zulassungsverfahren besteht in der Regel aus zwei Schritten: der Evaluierung und der Zertifizierung. Die Evaluierung umfasst die Prüfung und sicherheitstechnische Be- 30 wertung eines IT-Produktes (d. h. des Evaluierungsgegenstandes) gemäß wohldefinierter Sicherheitsanforderungen sowie Annahmen an die Einsatzumgebung und die Angreifermächtigkeit unter Anwendung einer wohldefinierten Prüfmethodik. Die Prüfstelle, die die Evaluierung durchführt, wird häufig vom Hersteller des IT-Produkts bezahlt. Die Zertifizierung überwacht die Evaluierung und bestätigt die Ergeb- 31 nisse der Evaluierung für einen genau festgelegten Konstruktions- bzw. Versionsstand des IT-Produktes. Es ist zu beachten, dass die Zertifizierung eines IT-Produktes von externen, unabhängigen und neutralen Prüfstellen wie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) durchgeführt wird. Ein geänderter Konstruktions- bzw. Versionsstand führt zu einer Nach- 32 evaluierung, die sich ggf. nur auf die geänderten und sicherheitsrelevanten Bestandteile beschränkt, und zu einer Aktualisierung der Zertifizierung. Um ein IT-Produkt bezüglich dessen Sicherheitseigenschaften zu evaluieren, ist es notwendig, den Evaluierungsgegenstand (das zu evaluierende und zertifizierende IT-Produkt), die Sicherheitsanforderungen und Annahmen (potenzielle Restrisiken) sowie die Evaluierungstiefe (legt die Prüfmethodik fest) klar zu definieren. Ein international standardisierter Evaluierungsrahmen für die Sicherheit von IT-Produkten stellt

153

Melanie Volkamer et al.

der Common Critieria (CC) Standard20 dar. Der Common Criteria Standard umfasst folgende wesentliche Konzepte: –

Evaluierungsgegenstand (EVG): Das ist das IT-Produkt oder der Teil davon, das bzw. der Gegenstand der Prüfung ist.

–

Schutzprofil/Protection Profile (PP). Ein Dokument, welches Sicherheitsanforderungen für eine Klasse von IT-Produkten stellt, anhand derer ein IT-Produkt evaluiert werden kann.

–

Security Target (ST). Ein Dokument, welches Sicherheitsanforderungen für ein spezifisches IT-Produkt stellt, anhand derer ein IT-Produkt evaluiert werden kann. Dies kann auf einem PP aufbauen, muss es aber nicht.

–

Funktionale Sicherheitsanforderungen/Security Functional Requirements (SFRs). Ein Katalog einzelner Sicherheitsfunktionen, die von einem IT-Produkt bereitgestellt werden können.

–

Vertrauenswürdigkeitsanforderungen/Security Assurance Requirements (SARs). Beschreibungen der Maßnahmen, die während der Entwicklung und der Evaluation des IT-Produkts ergriffen wurden bzw. werden, um die Einhaltung der funktionalen Sicherheitsanforderungen sicherzustellen.

–

Bewertung der Sicherheitsstufe/Evaluation Assurance Level (EAL). Eine numerische Bewertung, die die Tiefe und Genauigkeit der durchgeführten Evaluation beschreibt. Jede EAL entspricht einem Paket von Sicherheitsanforderungen (SARs, siehe oben). So kann die Prüftiefe zwischen EAL 1 (funktionell getestet) und EAL 7 (formal verifizierter Entwurf und getestet) liegen.

33 Die Idee eines Schutzprofils ist, dass Nutzer*innen zukünftiger IT-Produkte festlegen, welche Sicherheitsziele das IT-Produkt und welche Sicherheitsziele die Einsatzumgebung erfüllen sollen. Außerdem können sie so die Prüftiefe und damit die Evaluationsmethoden festlegen. 2. Beschreibung der Situation 34 Es existiert bereits eine Reihe CC-konformer Schutzprofile im Kontext von elektronischen Wahlen. Budurushi et al. [2] bieten einen vergleichenden Überblick. Das Schutzprofil BSI-CC-PP-0037-2008 „Basissatz von Sicherheitsanforderungen an Online-Wahlprodukte“21 aus dem Jahr 2008

20 https://www.commoncriteriaportal.org/ (Stand: 2.10.2023). 21 https://www.bsi.bund.de/SharedDocs/Zertifikate_CC/PP/Archiv/PP_0037. html (Stand: 2.10.2023).

154

Online-Wahlen und digitale Abstimmungen

ist das einzige mit dem Fokus auf Online-Wahlen. Dieses Schutzprofil entspricht einer erweiterten CC-Evaluierungstiefe, nämlich EAL2+. Das Dokument startet mit folgendem Anwendungshinweis:

35

„Die Erfüllung der in diesem Schutzprofil festgelegten Anforderungen reicht aus, um einige Arten von Vereinswahlen, Gremienwahlen, etwa in den Hochschulen, im Bildungs- und Forschungsbereich und insbesondere nicht-politischen Wahlen mit geringem Angriffspotenzial sicher auszuführen. Zur sicheren Durchführung von Online-Wahlen mit höherem Angriffspotenzial, wie etwa Betriebsratswahlen oder parlamentarische Wahlen, sind weitere Sicherheitsanforderungen zu formulieren und mit nachweisbaren Maßnahmen durchzusetzen, um die Annahmen über die Anwendungsumgebungen, wie sie hier beschrieben sind, zu erfüllen [..].“22 Es beinhaltet 15 Sicherheitsziele an die Einsatzumgebung (abgekürzt 36 mit OE). Hierzu zählen u. a.: OE.Endgerät, OE.Wahlserver. Dabei wird jeweils angenommen, dass die Endgeräte und die Wahlserver nicht manipuliert werden. Laut Zertifizierungsbericht ist das IT-Produkt nur unter einer Reihe weiterer Bedingungen konform zu den bestätigten Vertrauenswürdigkeitskomponenten. Diese sind vor dem Einsatz zu beachten. 3. Einordnung der Situation a) Erstellung des Schutzprofils vor dem Wahlgeräte-Urteil Das Wahlgeräte-Urteil23 von 2009 diskutiert ausführlich den Grundsatz 37 der Öffentlichkeit: „Die Öffentlichkeit der Wahl ist Grundvoraussetzung für eine demokratische politische Willensbildung. Sie sichert die Ordnungsgemäßheit und Nachvollziehbarkeit der Wahlvorgänge und schafft damit eine wesentliche Voraussetzung für begründetes Vertrauen der Bürger in den korrekten Ablauf der Wahl. Die Staatsform der parlamentarischen Demokratie, in der die Herrschaft des Volkes durch Wahlen mediatisiert, also nicht dauernd unmittelbar ausgeübt wird, verlangt, dass der Akt der Übertragung der staatlichen Verantwortung auf die Parlamentarier einer besonderen öffentlichen Kontrolle unterliegt. Die grundsätzlich gebotene Öffentlichkeit im Wahlverfahren umfasst das Wahlvorschlagsverfahren, die Wahlhandlung (in Bezug auf die Stimmabgabe 22 https://www.commoncriteriaportal.org/files/ppfiles/pp0037b.pdf (Stand: 2.10.2023). 23 https://www.bundesverfassungsgericht.de/SharedDocs/Entscheidungen/DE/ 2009/03/cs20090303_2bvc000307.html (Stand: 2.10.2023).

155

Melanie Volkamer et al.

durchbrochen durch das Wahlgeheimnis) und die Ermittlung des Wahlergebnisses (vgl. BVerfG, Urteil des Zweiten Senats vom 3.7.2008 – 2 BvC 1/07, 7/07, NVwZ 2008, S. 991 m. w. N.).“ 38 Das Schutzprofil BSI-CC-PP-0037-2008 „Basissatz von Sicherheitsanforderungen an Online-Wahlprodukte“ wurde im Jahre 2008 vom BSI zertifiziert. Entsprechend ist es nicht überraschend, dass weder die Umsetzung des Öffentlichkeitsgrundsatzes in diesem Schutzprofil gefordert wird, noch Anforderungen an die Umsetzung dieses Grundsatzes gestellt werden. Es ist offen, ob auch ein System, welches den Öffentlichkeitsgrundsatz mittels Ende-zu-Ende-Verifizierbarkeit umsetzt, nach diesem Schutzprofil positiv evaluiert und zertifiziert werden kann. Falls nicht, sei darauf hingewiesen, dass Online-Wahlprodukte grundsätzlich nach Common Criteria auch ohne Verweis auf ein Schutzprofil evaluiert und zertifiziert werden können. 39 Die Tatsache, dass der Öffentlichkeitsgrundsatz im Schutzprofil BSICC-PP-0037-2008 keine Rolle spielt, sollte bei der Entscheidung, ob es ausreicht, dass ein Produkt nach diesem Schutzprofil evaluiert und zertifiziert ist, berücksichtigt werden. Ggf. ist es sinnvoll bzw. sogar erforderlich, das Ende-zu-Ende-Verifizierbarkeit eingebaut ist. Hinsichtlich der Erforderlichkeit sei darauf verweisen, dass das BSI inzwischen in seinem Dokument „Anforderungen an Produkte für virtuelle Versammlungen und Abstimmungen“24 Verifizierbarkeit in 4.3.2 als Anforderung an geheime Wahlen und Abstimmungen benennt. Ebenfalls wird die Anforderung nach Verifizierbarkeit vom BSI in der Technischen Richtlinie „BSI TR-03162 IT-sicherheitstechnische Anforderungen zur Durchführung einer Online-Wahl im Rahmen des Modellprojekts nach § 194a Fünftes Buch Sozialgesetzbuch (Online-Wahl)“ (Fassung: 10.5.2021) genannt – siehe hierzu auch Abschnitt 8. b) Basis-Anforderung und Disclaimer 40 Das Schutzprofil trägt den Titel „Basis-Anforderungen“ und beinhaltet anders als andere Schutzprofile einen Disclaimer für den allgemeinen Einsatzbereich. Vermutlich dient beides dazu, klarzustellen, dass ein Online-Wahlprodukt, welches nach dem Schutzprofil zertifiziert ist, nicht ausreicht, um unbedenklich jegliche Arten von Wahlen durchzuführen. Konkret wird darauf hingewiesen, dass nur Wahlen mit geringem Angriffspotenzial mit dem Schutzprofil adressiert werden. Darüber hinaus 24 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/ Themen/Anforderungen_Produkte_Abstimmungen_Versammlungen.pdf?__ blob=publicationFile&v=5.

156

Online-Wahlen und digitale Abstimmungen

ist zu beachten, dass die Evaluierungstiefe mit EAL2+ auf einer Skala von 1–7 eher am unteren Ende angesiedelt ist. Entsprechend wird auch seitens des BSI in dem Zertifizierungsbericht darauf hingewiesen, dass beim Risikomanagementprozess die Ergebnisse aus dem Zertifizierungsreport der Wahlveranstalter berücksichtigt werden sollen. Durch die Tatsache, dass es sich hier um Basis-Anforderungen und eine eher niedrige Evaluierungstiefe handelt, ist es umso wichtiger, dem Rat des BSI zu folgen und die Dokumente zu berücksichtigen, um eine informierte Entscheidung hinsichtlich der Aussagekraft eines Zertifikats nach dem Schutzprofil BSI-CC-PP-0037-2008 treffen zu können. Das Schutzprofil wird vom BSI nicht mehr für die Zertifizierungen neuer Online-Wahl-Produkte eingesetzt. Aus diesem Grund ist das Schutzprofil im Archiv-Bereich des BSI zu finden. Inwieweit dies damit zu tun hat, dass die dort formulierten Basis- Anforderungen nicht mehr ausreichend sind, müsste das BSI beantworten. Es ist daher nicht ausreichend, dass das potenziell einzusetzende Online-Wahlsystem nach diesem Schutzprofil vom BSI zertifiziert ist. Wahlausrichter können nur eine informierte Entscheidung treffen, wenn sie unter Einbezug von Security Target und dem Zertifizierungsbericht ein Verständnis für die möglichen Bedrohungen entwickeln und sich dadurch der potenziellen Risiken im konkreten Anwendungsfall bewusst sind. c) Sicherheitsziele für die Einsatzumgebung Das Schutzprofil und auch das Security Target (sowohl für POLYAS 41 2.2.3 als auch für 2.5.0) beinhalten eine Reihe von Annahmen an die Einsatzumgebung und entsprechend auch eine lange Liste an Sicherheitszielen für die Einsatzumgebung. Für all diese gilt es im Rahmen der informierten Entscheidung zu prüfen, ob diese bei der eigenen Wahl erreicht werden. Im Folgenden diskutieren wir die Sicherheitsziele für die Einsatzumgebung, deren Erreichung wir für besonders herausfordernd halten. Beispielsweise ist zu prüfen, ob die Annahme, dass das Endgerät vertrauenswürdig ist (OE.Endgerät), erfüllt ist. In Anbetracht der steigenden Zahl an infizierten Geräten insbesondere im privaten Kontext ist es wichtig – zwecks informierter Entscheidung – zu diskutieren, wie wahrscheinlich es ist, dass dieses Ziel erreicht ist – sowohl im Hinblick auf das Wahlgeheimnis als auch im Hinblick auf die unbemerkte Veränderung der Stimme vor dem Versenden. Mit Bezug auf OE.Wahlserver sollte im Rahmen der informierten Entscheidungsfindung diskutiert werden, inwieweit das Ziel erreicht werden kann, dass der Wahlvorstand die Wahlserver so absichert, dass ausgeschlossen werden kann, dass ein Netzwerkangreifer Zugriff auf den Server erhält. Ähnlich gelagert wäre 157

Melanie Volkamer et al.

die Frage, ob es möglich ist, sicherzustellen, dass nur der Wahlvorstand Zugriff und Zugang zum Wahlserver hat (OE.ServerRaum). Zuletzt sei erwähnt, dass auch die Erkennung von anderen Angriffen bei den Wähler*innen und dem Wahlvorstand liegt (z. B. OE.AuthentizitätServer, „ungewöhnliche Häufung von Stimmabgaben“/„Schutz der Vertraulichkeit von TANs, Passwörtern und Schlüsseln“ aus dem Zertifikatsbericht) und entsprechend auch hier zu beurteilen ist, ob dies realistisch ist. An dieser Stelle sei erneut erwähnt, dass die Sicherheitsziele für das IT-Produkt nur erfüllt sind, wenn die Sicherheitsziele für die Einsatzumgebung erfüllt sind. Wenn das nicht der Fall ist, ist die Gesamtsituation neu zu bewerten. d) Eignung von CC Schutzprofilen für Wahlen im Allgemeinen 42 Mit Hinblick auf eine mögliche Weiterentwicklung des jetzigen Schutzprofils sei der interessierte Leser auf den Beitrag „Tauglichkeit von Common Criteria-Schutzprofilen für Internetwahlen in Deutschland“ [1] verwiesen. VII. Fazit 43 Abschließend möchten wir zunächst einige Fragen stellen, die vor der Einführung von Online-Wahlen beantwortet werden sollten: Unter welchem Angreifermodell und unter welchen Annahmen an das Benutzer*innenverhalten erfüllt das System die Wahlrechtsgrundsätze? Muss den Endgeräten (sprich z. B. Smartphones oder Laptops), von denen aus die Stimme abgegeben wird, vertraut werden – oder können diese unbemerkt die Stimme verändern und das Wahlgeheimnis brechen? Wie realistisch sind derartige Manipulationen im konkreten Fall (als Basis für Risikobewertung)? Kann das Risiko durch technische/organisatorische Maßnahmen reduziert werden? Können Manipulationen durch Cyberangriffe, Betreiber und Wahlausrichter zuverlässig erkannt werden oder muss darauf vertraut werden, dass alle ehrlich sind und Cyberangriffe nicht stattfinden? Worauf beruhen die Informationen zu den Sicherheitseigenschaften und dem Angreifermodell bzw. den Annahmen? Welche Aussagen zur Sicherheit werden im Zertifizierungsbericht von wem auf welcher Grundlage getroffen? Wie sind die dort genannten Aussagen zu bewerten? Wie genau wird die Erfüllung der Sicherheitsanforderungen evaluiert?

158

Online-Wahlen und digitale Abstimmungen

Abschließend sei darauf hingewiesen, dass viele Forschungsergebnisse25 44 zur Sicherheit von Online-Wahlen existieren. Diese Forschung umfasst u. a. zahlreiche kryptographische Wahlprotokolle zur Gestaltung verschiedener Wahlformen sowie zur Benutzbarkeit der Verifizierungstechniken. Darüber hinaus setzen andere Länder wie die Schweiz und Estland bereits verifizierbare Online-Wahlsysteme ein.

25 Einen Überblick und ersten Einstieg bietet: https://oparu.uni-ulm.de/xmlui/ handle/123456789/22747?locale-attribute=de.

159

Die Maßnahmenwahl im IT-Sicherheitsrecht Von den Erfordernissen der „Angemessenheit“ und des „Standes der Technik“ Christoph Werner* I. Einleitung – Gefährdungslage der IT-Sicherheit in Deutschland

1

II. Einführung in das IT-Sicherheitsrecht 4 1. Die Sicherung der Schutzgüter 7 2. Die Beschreibung der IT-Sicherheit 10 3. Faktische Umsetzung der IT-Sicherheit 13 4. Die Funktion der Angemessenheit und des Standes der Technik 16 5. Zwischenergebnis 18 III. 1. 2. 3.

Die Angemessenheit Risiko Aufwand/Kosten Genese des Angemessenheitsbegriff

20 22 26 29

a) Begriffliche Zusammenführung b) Methodik zur Analyse c) Zusammenführung IV. Stand der Technik 1. Ausrichtung anhand der schutzgutabhängigen Schutzziele 2. Materielle Bindung 3. Verfahren der Ermittlung und Dokumentation V. Zusammenfassung und Ausblick 1. Verhältnis von Angemessenheit und Stand der Technik 2. Rechtliche Wirkung der Sollvorgabe des Standes der Technik 3. Ausblick

30 32 36 39

45 50 54 58 59

62 67

Literatur: Bartels/Backer, Die Berücksichtigung des Stands der Technik in der DSGVO, Neue Anforderungen an die IT-Sicherheit im Datenschutz, DuD 2018, 214; Bedner/Ackermann, Schutzziele der IT-Sicherheit, DuD 2010, 323; BMJ, Handbuch der Rechtsförmlichkeit, 22.09.2008, https://www.bmj.de/SharedDocs/ Downloads/DE/PDF/Themenseiten/RechtssetzungBuerokratieabbau/HandbuchDerRechtsfoermlichkeit_deu.pdf?__blob=publicationFile; BSI, Die Lage der IT-Sicherheit in Deutschland 2021, https://www.bsi.bund.de/SharedDocs/ *

Christoph Werner, Ass. Iur. Der Autor ist Wiss. Mitarbeiter am Karlsruher Institut für Technologie (KIT) ([email protected]). Dieser Beitrag entstand im Rahmen des vom BMBF geförderten Forschungsprojekts ITSR.sys zur Systematisierung des IT-Sicherheitsrechts. Hierbei handelt es sich um ein Verbundprojekt des ESMT Berlin und des KIT. Der Autor dankt Dr. Henning Lahmann (ESMT Berlin) für seine entscheidenden Beiträge zum Stand der Technik.

161

Christoph Werner Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf;jsessionid=5F93B62DB5E3D47EEF4B32D9CFC8307B.internet461?__blob=publicationFile&v=3; BSI, Glossar der Cyber-Sicherheit, https://www.bsi.bund.de/DE/ Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/ Glossar-der-Cyber-Sicherheit/glossar-der-cyber-sicherheit_node.html; BSI, Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG, 2020, https://www.bsi. bund.de/SharedDocs/Downloads/DE/BSI/KRITIS/oh-nachweise.pdf?__blob=publicationFile&v=5; Bundesverband IT-Sicherheit e. V. (Teletrust), Handreichung zum Stand der Technik, 2021, https://www.teletrust.de/publikationen/broschueren/stand-der-technik/; Ekrot/Fischer/Müller, Kapitel 3. Stand der Technik, in: Kipker (Hrsg.), Cybersecurity, 2020; Fischer, § 13, IT-Sicherheitsanforderungen an Kritische Infrastrukturen und digitale Dienste, in: Hornung, Schallbruch (Hrsg.), IT-Sicherheitsrecht, Praxishandbuch, 2021, S. 299–323; Geppert/Schütz (Hrsg.), Beck‘scher TKG-Kommentar, 4. Aufl. 2013; Gola (Hrsg.), Datenschutz-Grundverordnung, VO (EU) 2016/679: Kommentar, 2. Aufl. 2018; Jandt, § 17, IT-Sicherheit als Mittel und als Bedrohung des Datenschutzes, in: Hornung, Schallbruch (Hrsg.), IT-Sicherheitsrecht, Praxishandbuch, 2021, S. 391–414; Klipper, Information Security Risk Management, 2015; Kühling/Buchner (Hrsg.), Datenschutz-Grundverordnung BDSG, Kommentar, 3. Aufl. 2020; LfD Niedersachsen, Hilfestellung zum Datenschutz im Homeoffice, Juli 2020, https://lfd.niedersachsen.de/download/157542/Datenschutz_im_Homeoffice.pdf; LfD Sachsen-Anhalt, Empfehlungen für KMU zur Verarbeitung personenbezogener Daten in Heimarbeit, https:// datenschutz.sachsen-anhalt.de/fileadmin/Bibliothek/Landesaemter/LfD/PDF/binary/Informationen/Hinweise/Homeoffice_bei_KMU.pdf; Oppliger, Quantitative Risk Analysis in Information Security Management: A Modern Fairy Tale, IEEE Secur. Privacy 13 (2015), 18; Paal/Pauly (Hrsg.), DSGVO, BDSG, 3. Aufl. 2021; Raabe/Schallbruch/Steinbrück, Systematisierung des IT-Sicherheitsrechts, CR 2018, 706; Roßnagel, Das IT-Sicherheitsgesetz, DVBl. 2015, 1206; Schoch/ Schneider (Hrsg.), Verwaltungsrecht VwVfG, 2021;Taeger/Gabel (Hrsg.), DSGVO – BDSG – TTDSG, 4. Aufl. 2022.

I. Einleitung – Gefährdungslage der IT-Sicherheit in Deutschland 1 Die Gefährdungslage der IT-Sicherheit in Deutschland ist nach wie vor „angespannt bis kritisch.“1 Weiterhin werden viele Unternehmen Opfer von Ransomware– 2 und DoS-Angriffen3 sowie Datendiebstahl. 2 Einen wirksamen Schutz kann dabei nur die Gewährleistung von ITSicherheit bieten, die jedenfalls für Teilbereiche der Gesellschaft auch durch das IT-Sicherheitsrecht explizit verlangt wird. Der nachfolgende 1 2

3

BSI, Die Lage der IT-Sicherheit in Deutschland 2021, S. 9. Erpressungsangriffe, im Rahmen derer Daten verschlüsselt werden; für die (oft von den Angreifern tatsächlich gar nicht beabsichtigte) Herausgabe des zugehörigen Schlüssels wird dann Lösegeld gefordert. Angriffe auf die Verfügbarkeit von Webdiensten, Systemen oder Netzen durch eine „Überflutung“ mit Anfragen.

162

Die Maßnahmenwahl im IT-Sicherheitsrecht

Beitrag befasst sich mit den für das IT-Sicherheitsrecht zentralen Begriffen der „Angemessenheit“ sowie dem „Stand der Technik“. Beide Rechtsbegriffe sind von nicht zu unterschätzender Bedeutung für die Entscheidung, die die Adressaten des IT-Sicherheitsrechts im Rahmen der Maßnahmenwahl zur Gewährleistung von IT-Sicherheit zu treffen haben. Zunächst wird die Befassung mit den im Titel genannten Begriffen durch 3 eine Einführung in das IT-Sicherheitsrecht motiviert. (II. – Rz. 4 ff.). Anschließend werden im Detail die Angemessenheit (III. – Rz. 20 ff.) und der Stand der Technik (IV. – Rz. 39 ff.) erläutert. Schließlich werden unter V. (Rz. 58 ff.) beide Begriffe zusammengefasst und ein Ausblick gegeben. II. Einführung in das IT-Sicherheitsrecht Das IT-Sicherheitsrecht beschreibt im weiteren Sinn alle Vorschriften, 4 die sich mit den Schutzzielen Verfügbarkeit, Vertraulichkeit und Integrität befassen, die ihrerseits auf bestimmte Schutzobjekte wie insbesondere informationstechnische Systeme4 und Daten gerichtet sind. Diese Definition im weiteren Sinn betrifft nahezu alle Rechtsbereiche. Hierzu gehören Normen des Computerstrafrechts zum Schutz der Vertraulichkeit von Daten in den §§ 202a ff. StGB. Ebenso ist die fehlende IT-Sicherheit im Zivilrecht als Sachmangel i. S.d. § 434 Abs. 3 S. 2 BGB zu qualifizieren.5 Davon zu unterscheiden ist das hier gegenständliche IT-Sicherheitsrecht 5 im engeren Sinn. Dieses umfasst nur die Normen des öffentlichen Rechts, mit denen der Staat spezifischen Gruppen von Adressaten die explizite Pflicht zur Gewährleistung der IT-Sicherheit auferlegt. Solche typischen „Pflichtennormen“ sind beispielsweise §§ 8a, 8c BSIG, § 11 Abs 1a, 1b EnWG und § 165 Abs. 1, Abs. 2 TKG. Außerdem enthält Art. 32 Abs. 1 DSGVO eine entsprechende Pflichtennorm für die Datensicherheit. Aus Gründen der sprachlichen Vereinfachung wird für diese Arbeit nur die IT-Sicherheit bzw. das IT-Sicherheitsrecht als Oberbegriff verwendet.6

4 5

6

Siehe bis hierhin: Raabe/Schallbruch/Steinbrück, CR 2018, 706, 707. Der Wortlaut beschränkt sich hier auf „Sicherheit“; insbesondere in Verbindung mit § 327e Abs. 3 Nr. 2 BGB, der Mängel digitaler Produkte adressiert, ist aber davon auszugehen, dass dieser Sicherheitsbegriff auch die IT-Sicherheit umfasst. Zur inhaltlichen Unterscheidung zwischen IT-Sicherheits- und Datensicherheitsrecht: Jandt, in: Hornung/Schallbruch, IT-Sicherheitsrecht, § 17, 391, 392 ff.

163

Christoph Werner

6 Den genannten Pflichtennormen liegen im Kern vier Regelungselemente zugrunde, die nachfolgend beschrieben werden (s. Abb. 1.). 1. Die Sicherung der Schutzgüter 7 Am Anfang steht die Frage nach dem Schutzzweck der Pflichtennormen, d.h. welcher normative Zweck verfolgt wird, wenn spezifischen Adressaten IT-Sicherheitspflichten auferlegt werden. 8 Indem die IT-Sicherheit aufgrund normativer Vorgaben in bestimmten Bereichen gewährleistet wird, sollen Risiken für spezifische, rechtliche Schutzgüter reduziert werden. Im Bereich der kritischen Infrastrukturen nach § 8a BSIG sind dies insbesondere Gemeinschaftsrechtsgüter. Kritische Infrastrukturen versorgen die Bevölkerung mit kritischen Dienstleistungen wie Energie, Wasser und Telekommunikation (§ 2 Abs. 10 Nr. 1 BSIG). Ein (IT-bedingter) Ausfall dieser Dienstleistungen kann durch entsprechende Versorgungsengpässe das Funktionieren des Gemeinwesens sowie die öffentliche Sicherheit gefährden (§ 2 Abs. 10 Nr. 2 BSIG). Dieses Schutzgut lässt sich verallgemeinernd auch mit „Versorgungssicherheit“ umschreiben.7 Auf der anderen Seite stehen in Art. 32 DSGVO die Rechte und Freiheiten natürlicher Personen als Individualrechtsgüter im Fokus. 9 Insgesamt sollen somit durch die Vorgabe von IT-Sicherheitspflichten die durch die IT wirkenden Risiken für die jeweiligen Schutzgüter gemindert werden. 2. Die Beschreibung der IT-Sicherheit 10 Um diese „durch die IT“ wirkenden Risiken jedoch zu erfassen, stellt sich zunächst die weitere Frage, wie IT-Sicherheit beschrieben werden kann. Hierfür können die zuvor bereits genannten Schutzziele mit Blick auf die jeweiligen Schutzobjekte herangezogen werden. 11 Die drei sog. klassischen Schutzziele Verfügbarkeit, Vertraulichkeit und Integrität, (CIA-Triad)8 werden z. T. auch noch um die Authentizität ergänzt.9 Schutzziele zeichnen sich insbesondere dadurch aus, dass sie sowohl bestimmte Typen von Einwirkungen als auch spiegelbildlich die sogleich erläuterten (Gegen-)Maßnahmen zusammenfassend kategorisieren.

7 8 9

BT-Drs. 18/4096, S. 28. Confidentiality, Integrity, Availability (CIA), Bedner/Ackermann, DuD 2010, 323, 323. So etwa in der so etwa in der Definition für die „Sicherheit von Netz- und Informationssystemen“ in der Art. 4 Nr. 2 NIS-RL.

164

Die Maßnahmenwahl im IT-Sicherheitsrecht

Sie beziehen sich dabei stets auf bestimmte Schutzobjekte, also bei- 12 spielsweise die Vertraulichkeit von Daten oder die Verfügbarkeit von Systemen. Im Bereich einer kritischen Infrastruktur kann etwa die fortwährende Verfügbarkeit von bestimmten IT-Systemen z. B. zur Verwaltung, Steuerung und Wartung ein für die Beschreibung der IT-Sicherheit relevantes Schutzziel sein. 3. Faktische Umsetzung der IT-Sicherheit Dies führt direkt zum nächsten Aspekt, der faktischen Umsetzung der 13 IT-Sicherheit und damit dem expliziten Handlungsauftrag der Pflichtennormen. Hierfür sind von den Adressaten sowohl technische als auch organisato- 14 rische Maßnahmen zum Schutz ihrer verwendeten Informationstechnik zu treffen. Technische Maßnahmen sind solche, die direkt an der Informationstechnik ansetzen, in obigem Beispiel etwa die redundante Auslegung der IT-Systeme zur Gewährleistung der Verfügbarkeit. Andere bekannte technische Maßnahmen sind etwa die Verschlüsselung von Daten10 sowie der Einsatz von Firewalls, Virenscannern und Intrusion-Detection-Systemen.11 Nicht zu unterschätzen ist neben diesen proaktiven Schutzmaßnahmen auch die Beseitigung von Schwachstellen (Patchmanagement). Die technischen Maßnahmen werden von organisatorischen Maßnah- 15 men (Vier-Augen-Prinzip, Mitarbeiterschulungen)12 flankiert. 4. Die Funktion der Angemessenheit und des Standes der Technik Dieser Handlungsauftrag besteht indes nicht grenzenlos. Nach den bis- 16 herigen Ausführungen könnte man zu der spontanen Einschätzung kommen, dass alle durch die IT wirkenden Risiken für die Schutzgüter bestmöglich zu bewältigen sind. Dies kann bereits aus dem Grundsatz der Verhältnismäßigkeit heraus 17 nicht der Fall sein. Vielmehr gilt der Handlungsauftrag nur in den Grenzen der Angemessenheit, d.h. der mit den Maßnahmen verbundene Aufwand muss gegenüber der damit zu erreichenden Reduktion der Risiken angemessen sein. Hierbei ist außerdem der Stand der Technik zu berücksichtigen.

10 So ausdrücklich in Art. 32 Abs. 1 lit a Alt. 2 DSGVO. 11 Eckhardt, in: Geppert/Schütz, Beck‘scher TKG-Kommentar, § 109, Rz. 46. 12 Martini in Paal/Pauly, DSGVO BDSG, Art. 32 Rz. 20 ff.

165

Christoph Werner

Abb. 1: Kernfunktionen des IT-Sicherheitsrechts

5. Zwischenergebnis 18 Insgesamt kann man die unterschiedlichen Pflichtennormen der IT-Sicherheit wie folgt generalisierend zusammenfassen: „Die Adressaten haben angemessene technische und organisatorische Maßnahmen zu treffen, um die Risiken für das jeweilige Schutzgut zu bewältigen. Dabei ist der Stand der Technik zu berücksichtigen.“13 19 Die beiden wesentlichen Elemente, die Angemessenheit und der Stand der Technik, werden in ihrer rechtlichen Bedeutung und Funktionsweise nun in den beiden folgenden Abschnitten (III. bzw. Rz. 20 ff. und IV. bzw. Rz. 39 ff.) dargestellt. III. Die Angemessenheit 20 Der Begriff der Angemessenheit kommt in zahlreichen IT-Sicherheitsgesetzen vor, unter anderem in § 8a BSIG, § 165 Abs. 1, Abs. 2 TKG sowie § 11 Abs. 1a, 1b EnWG. Ebenso findet er sich in europäischen Normen wie Art. 32 DSGVO sowie Art. 14, 16 NIS-RL, ist dort jedoch aufgrund

13 Angelehnt an: § 8c Abs. 1, Abs. 2 BSIG, § 109 Abs. 2 TKG; Einige Abweichungen von diesem allgemeinen Schema werden an gegebener Stelle erläutert.

166

Die Maßnahmenwahl im IT-Sicherheitsrecht

unterschiedlicher Übersetzungen (en: appropriate and proportionate) schwerer zu fassen.14 Im Weiteren sollen zunächst zwei Begriffe erläutert werden, die für den 21 Angemessenheitsbegriff konstituierend sind: Das Risiko (1.) und der Aufwand (2.). Anschließend wird der Begriff der Angemessenheit unter Berücksichtigung dieser beiden Vorbegriffe beschrieben (3.). 1. Risiko Das Risiko ist ein schillernder Begriff. Ein allgemeines Begriffsverständ- 22 nis lässt sich nicht ausmachen und auch innerhalb des IT-Sicherheitsrechts besteht keine zumindest bereichsspezifisch anerkannte, einheitliche Definition.15 Allgemein festhalten lässt sich lediglich, dass das Risiko ein erkennbares Potential umschreibt, welches sich mit einer bestimmten Wahrscheinlichkeit realisiert und in diesem Fall zu einem Schaden an einem Schutzgut führt. Im europäischen Recht (Art. 4 Nr. 9 NIS-RL, Art. 3 Nr. 4 DORA-E16) wird 23 das Risiko mit Blick auf die mit vernünftigem Aufwand identifizierbaren Umstände bzw. Ereignisse beschrieben, die nachteilige Auswirkungen auf die IT-Sicherheit haben können. Was in diesen Normen indes fehlt, ist eine direkte Bezugnahme auf das 24 Schutzgut, an dem sich der rechtlich relevante Schaden verwirklicht. Auf europäischer Ebene stellt lediglich die DSGVO einen solchen Bezug her, indem das Risiko nach EG 75 „mit unterschiedlicher Eintrittswahrscheinlichkeit und Schwere“ explizit die „Rechte und Freiheiten natürlicher Personen“ gerichtet ist.17 Auf nationaler Ebene wird mit § 11 Abs. 1a EnWG eine entsprechende IT-Sicherheitsnorm im Energierecht jedenfalls untergesetzlich durch den zugehörigen Sicherheitskatalog auf die Behandlung der „Risiken für die Versorgungssicherheit“ konkretisiert.

14 Die Begriffe werden in Art. 14, 16 NIS-RL, Art. 32 DSGVO sowie Art. 40 EECC doppelt verwendet, wobei „appropriate“ teilweise sowohl mit „geeignet“ als auch (ebenso wie proportionate) mit „angemessen“ übersetzt wird. 15 Vgl. exemplarisch Art. 4 Nr. 9 NIS-RL sowie die Definition des Risikos in BSI, Glossar der Cyber-Sicherheit. 16 Digital Operational Resilience Act (DORA), Entwurf vom 24.9.2020, COM(2020) 595 final. Hierbei handelt es sich um den Entwurf einer spezifischen IT-Sicherheitsregulierung für den Finanzsektor. 17 Siehe auch: DSK Kurzpapier Nr. 18, „Risiko für die Rechte und Freiheiten natürlicher Personen“, S. 1.

167

Christoph Werner

25 Nach dieser Bestandsaufnahme wird im nachfolgenden Abschnitt zur Genese des Angemessenheitsbegriff gezeigt werden, dass das jeweilige Schutzgut zu den essentialia negotii einer normativ bedingten IT-Sicherheitsgewährleistung gehört. 2. Aufwand/Kosten 26 Der Aufwand bezieht sich in diesem Fall auf die zu treffenden technischen und organisatorischen Maßnahmen. Ausdrücklich spricht das nationale Recht von dem „erforderlichen“ (§ 8a Abs. 1 BSIG) bzw. spezifischer dem„erforderlichen technischen und wirtschaftlichen Aufwand“ (§ 165 Abs. 6 TKG). 27 Die DSGVO spricht hingegen in Art. 32 Abs. 1 von „Implementierungskosten“. Der Begriff ist dabei nach dem Telos extensiv auszulegen und erfasst demnach nicht nur die Kosten für die Einrichtung der Maßnahmen, sondern auch die laufenden Folgekosten.18 Einschränkend wird der Begriff der Kosten indes teilweise genutzt, indem nur auf den finanziellen Aufwand abgestellt wird und „faktische Schwierigkeiten“ sowie „zeitlicher Aufwand“, sofern diese sich nicht finanziell niederschlagen, außer Acht bleiben19 28 Insgesamt spricht viel dafür, unter dem Begriff „Aufwand“ bzw. „Kosten“ alle Belastungen zu erfassen, die durch die Maßnahmen entstehen.20 Denn nur wenn diese umfassend erfasst werden, können sie auch in der sogleich dargestellten Angemessenheitsprüfung sachgerecht berücksichtigt werden. Ob der Aufwand sich dabei direkt in ausweisbaren Kosten niederschlägt oder sich nur mittelbar auswirkt, etwa indem das Personal mehr Aufwand mit Sicherheitsprüfungen im Rahmen der täglichen Arbeit hat, kann hierfür nicht entscheidend sein.21 3. Genese des Angemessenheitsbegriff 29 Zwischen diesem Dual von Aufwand und Risiko steht die Angemessenheit. Sie beschreibt als Zielvorstellung des Handlungsauftrags die Her-

18 Jandt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, Art. 32 Rz. 11. 19 Piltz, in: Gola, Datenschutz-Grundverordnung, Art. 32 Rz. 21. 20 Und den Begriff der Implementierungskosten in Art. 32 Abs. 1 DSGVO entsprechend weit auszulegen. 21 Vgl. auch EG 52 NIS-RL, Angemessenheit zur Vermeidung unverhältnismäßiger „finanzielle[r] und administrative[r] Belastung“.

168

Die Maßnahmenwahl im IT-Sicherheitsrecht

stellung eines ausgewogenen Verhältnisses zwischen Risiko und Aufwand im Sinne einer Kosten-Nutzen-Abwägung. a) Begriffliche Zusammenführung Die Kosten bzw. der Aufwand werden dabei durch die Belastungen be- 30 schrieben, die die Einrichtung sowie der Betrieb der technischen und organisatorischen Maßnahmen verursacht. Der Nutzen liegt demgegenüber in der Reduktion der Risiken für das jeweilige Schutzgut. So erkennbar etwa in § 8c BSIG, wonach die Maßnahmen zu treffen sind, um die Risiken für die Sicherheit der Netz- und Informationssysteme22 zu bewältigen. Schließlich stellt sich die Frage, wann dieses Ergebnis erreicht ist. Im na- 31 tionalen Recht findet sich in § 8a Abs. 1 S. 3 BSIG sowie § 165 Abs. 6 S. 1 TKG die Definition, wonach Angemessenheit negativ ausgedrückt „nicht außer Verhältnis“ stehend meine. Damit ist freilich noch nicht sehr viel gewonnen; als Negativdefinition konturiert sie den Begriff der Angemessenheit aber zumindest soweit, dass positiv gewendet die Angemessenheit einen zu treffenden Bereich beschreibt und keine punktgenaue Festlegung vorgeben ist. b) Methodik zur Analyse Die Methodik zur Bestimmung der Angemessenheit setzt voraus, dass 32 sowohl das Risiko als auch der zu erwartende Aufwand für die in Betracht kommenden Gegenmaßnahmen analysiert werden. Die Risiken können in ihrer Eintrittswahrscheinlichkeit und Folgen- 33 schwere auf Basis von Empirie, also statistischen Daten aus der Vergangenheit quantitativ bemessen werden. In der Praxis sind konkrete Zahlen aber häufig nicht verfügbar. Selbst wenn jedoch statistische Daten verfügbar sind, können diese stets nur die Bedrohungslage der Vergangenheit abbilden und ihre Aussagekraft für die Bewertung der auf zukünftige Ereignisse gerichteten Maßnahmen setzt somit ein (zweifelhaftes) Gleichbleiben der Bedrohungslage voraus. Auf Seiten der Folgen eines

22 Auch im BSIG bzw. dürfte indes entgegen des Wortlauts die „Sicherheit der Netz- und Informationssysteme“ kein Selbstzweck sein, sondern – wie bereits beschrieben und ausdrücklich im Energierecht benannt – die Versorgungssicherheit und damit verbunden Schutzgüter im Blick haben, die beeinträchtigt werden, wenn die Versorgung nicht mehr gewährleistet sein sollte, vgl. EG 2, 3 NIS-RL.

169

Christoph Werner

Zwischenfalls kann es schließlich generell schwierig sein, diese in konkreten Zahlen auszudrücken. 23 34 Folglich können Risiken immer dann, wenn Zahlenwerte nicht verfügbar sind oder ein entsprechendes Vorgehen aus zuvor genannten Gründen ungeeignet erscheint subjektiv, qualitativ schätzend bestimmt werden. Dafür werden die Risiken dann typischerweise in Kategorien mit beschreibenden Adjektiven (z. B. gering, mittel, hoch) eingeordnet, also gerade keine konkreten Zahlenwerte verwendet. 35 Auch der Aufwand kann grundsätzlich quantitativ mit konkreten Zahlen angegeben werden. Dies setzt indes voraus, dass die Kosten der Maßnahmen bereits in der Phase des Risikomanagements, also der Planungsphase, vollumfänglich bekannt sind. Soweit dies aber gerade bei komplexeren Maßnahmen oder ganzen Maßnahmenpaketen nicht möglich erscheint, können alternativ auch einzelne Kategorien gebildet werden, die gestaffelte Kostenbereiche abbilden. c) Zusammenführung 36 Im nächsten Schritt, dem Herzstück zur Gewährleistung der Angemessenheit, werden beide Aspekte, wie in Abb. 2 dargestellt, zusammengeführt. Den analysierten Risiken werden hierbei geeignete Maßnahmen mit ihrem jeweiligen Aufwand gegenübergestellt. Dabei muss zusätzlich bestimmt werden, inwieweit diese Maßnahmen das jeweilige Risiko mindern. 37 Idealtypisch kann dabei von folgendem Verlauf ausgegangen werden:24 Beginnend mit einem ungesicherten IT-System oder auch einer ungesicherten Datenverarbeitung kann zunächst durch Maßnahmen mit dem Aufwand a eine hohe Risikoreduktion r1 erreicht werden. Je mehr Maßnahmen aber bereits getroffen werden, umso schwieriger wird es, das Risiko noch signifikant weiter zu senken. So kommt es dazu, dass Maßnahmen im weiteren Verlauf mit dem gleichen Aufwand a nur noch eine sehr geringe Risikoreduktion r2 herbeiführen. Solche Maßnahmen liegen dann oberhalb des angemessenen Bereichs und müssen somit nicht mehr 23 Oppliger, IEEE Secur. Privacy 13 (2015), 18, 20. 24 Der dargestellte Verlauf ist idealtypisch und vereinfachend, um die grundsätzliche, näherungsweise Beschreibung der Angemessenheit zu ermöglichen; In der Praxis stellen sich hierbei mehrere Probleme, u.a. dass verschiedene Maßnahmen sich in ihrer Risikominderung nicht schlicht addieren lassen, sondern aufeinander wechselwirken und dass ein hoher Aufwand nicht „automatisch“ zu einem geringen Risiko führt, vgl.: Klipper, Information Security Risk Management, S. 158 f.

170

Die Maßnahmenwahl im IT-Sicherheitsrecht

getroffen werden.25 Ob eine Entscheidung noch innerhalb dieser Grenzen der Angemessenheit liegt, ist auch gerichtlich überprüfbar.

Abb. 2: Angemessenheit von Maßnahmen

Neben der Abwägung dieser beiden Kernelemente nennen die meisten 38 Normen zur IT-Sicherheit aber auch weitere zu berücksichtigende Faktoren, insbesondere den nun zu behandelnden Stand der Technik. IV. Stand der Technik Der Begriff des „Standes der Technik“ findet sich neben dem IT-Sicher- 39 heitsrecht auch in anderen Rechtsmaterien wie insbesondere dem Umweltrecht, wo er in § 3 Abs. 6 BImSchG auch eine Legaldefinition erfahren hat.26 Eine sehr ähnliche Definition legte auch der Gesetzgeber bei der Novelle des BSIG 2015 zugrunde: Der Stand der Technik sei demnach der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zum Schutz der Funktionsfähigkeit von informationstechnischen Systemen, Kompo-

25 Vgl. Jandt, in: Kühling/Buchner, Datenschutz-Grundverordnung BDSG, Art. 32 Rz. 11; Schultze-Melling, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, Art. 32 Rz. 14. 26 Demnach ist der Stand der Technik „der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen oder Betriebsweisen, der die praktische Eignung einer Maßnahme zur Begrenzung von Emissionen in Luft, Wasser und Boden, zur Gewährleistung der Anlagensicherheit […] oder sonst zur Vermeidung oder Verminderung von Auswirkungen auf die Umwelt zur Erreichung eines allgemein hohen Schutzniveaus für die Umwelt insgesamt gesichert erscheinen lässt. […]“.

171

Christoph Werner

nenten oder Prozessen gegen Beeinträchtigungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit gesichert erscheinen lässt.27 40 Neben den bereits im Wortlaut erkennbaren Merkmalen der Geeignetheit und der Fortschrittlichkeit der angewendeten Verfahren (bzw. in diesem Kontext „Maßnahmen“) müssen diese auch allgemein anerkannt sowie in der Praxis bewährt und erprobt sein.28 Anhand dieser Kriterien grenzt sich der Stand der Technik von dem darüber angesiedelten „Stand der Wissenschaft und Technik“ und den darunter zu findenden „Anerkannten Regeln der Technik“ ab. So stellt der Stand der Wissenschaft und Technik die „Speerspitze der technischen Entwicklung“ dar ohne zu verlangen, dass diese Technologien bereits in der Praxis verfügbar, geschweige denn bewährt und erprobt sind.29 41 Die anerkannten Regeln der Technik entsprechen indes bereits über einen längeren Zeitraum der gängigen Praxis, sind aber infolge dessen bereits weniger fortschrittlich als der Stand der Technik. In welche der drei Kategorien eine Maßnahme einzuordnen ist, ist mithin immer eine Momentaufnahme und eine Maßnahme durchläuft bei entsprechender Bewährung und Verbreitung im Laufe ihres Lebenszyklus alle drei Kategorien. 42 Durch den Verweis auf den jeweiligen dynamischen, technologischen Entwicklungsstand wird der Stand der Technik inhaltlich nicht durch juristisches, sondern technisches Wissen gefüllt; er trifft hierbei eine „funktionale, zweckgerichtete Qualitätsaussage“ zu den jeweiligen Maßnahmen.30 Diese wird von den Techniker*innen getroffen, die in dem jeweiligem Sektor diese Maßnahmen empfehlen bzw. in ihren jeweiligen Infrastrukturen einsetzen und damit kollektiv die allgemeine Anerkennung und Praxisbewährung bzw. -erprobung der Maßnahmen erfüllen. 43 Der Stand der Technik ist somit ein interdisziplinärer Verweisungsbegriff. Allein mit materiellen Parlamentsgesetzen ließe sich die Maßnahmenwahl auch nicht hinreichend konkretisieren: Zum einen wäre eine 27 BT-Drs. 18/4096, S. 26; kritisch hierzu: Bartels/Backer, DuD 2018, 214, 215. 28 BMJ, Handbuch der Rechtsförmlichkeit, S. 85, Rz. 256; ebenso: Fischer, in: Hornung/Schallbruch, IT-Sicherheitsrecht, § 13, 299, 314. Die Formulierung „nach herrschender Auffassung führender Fachleute“ dürfte indes zu streng sein, da sich je nach Sektor der IT-Sicherheit die rechtssichere Feststellung von „führenden Fachleuten“ für den Adressaten als schwierig gestalten dürfte. Hinreichend müsste es demnach sein, wenn eine erkennbare Mehrheit etwa in der jeweiligen Fachliteratur die Maßnahmen für geeignet hält. 29 Bartels/Backer, DuD 2018, 214, 215. 30 Bartels/Backer, DuD 2018, 214, 215.

172

Die Maßnahmenwahl im IT-Sicherheitsrecht

entsprechend detaillierte rechtliche Vorgabe mit Maßnahmen aufgrund der dynamischen Technikentwicklung sehr kurzlebig und müsste somit ständig aktualisiert werden.31 Zum anderen fehlt dem Gesetzgeber möglicherweise auch das Wissen, was im jeweiligen Sektor gerade die geeigneten, fortgeschrittenen Maßnahmen sind. Im nachfolgenden sollen nun noch drei Aspekte vertieft betrachtet wer- 44 den: Zunächst wie sich der Stand der Technik an den jeweiligen Schutzzielen und Schutzgütern ausrichtet (1. – Rz. 45 ff.), sodann wie sich die materielle Bindung der Adressaten an den Stand der Technik unterscheidet (2. – Rz. 50 ff.) und 3. (Rz. 54 ff.) wie der Stand der Technik vom Adressaten ermittelt und der Ermittlungsprozess sowie die inhaltliche Berücksichtigung des ermittelten Standes der Technik dokumentiert werden kann. 1. Ausrichtung anhand der schutzgutabhängigen Schutzziele Der Zweck einer jeden Maßnahme richtet sich auf ein oder mehrere be- 45 stimmte technische Ziele, im Umweltrecht etwa die Begrenzung von Emissionen. An diese Stelle treten in der IT-Sicherheit wie bereits gezeigt die Schutzziele (CIA, ggf. auch Authentizität). Im Rahmen des Standes der Technik werden dabei den im jeweiligen 46 Kontext zu erwartenden Einwirkungen typische Maßnahmen zugeordnet. So liegt eine Einwirkung auf die Vertraulichkeit von Information beispielsweise im Versuch diese auszuspähen; eine hiergegen gerichtete Maßnahme stellt z. B. die Verschlüsselung von Daten dar. Eine Maßnahme kann dabei auch mehrere Schutzziele zugleich sichern, so schützt die genannte Verschlüsselung von Daten durch den Ausschluss eines fremden Zugriffs zugleich auch deren Integrität.32 Welche Schutzziele dabei über die Maßnahmen mit welcher Gewichtung 47 vom jeweiligen Stand der Technik erfasst sind, kann auch vom jeweiligen Schutzgut abhängen. So ist etwa im Kontext der Datensicherheit die Vertraulichkeit der personenbezogenen Daten zur Sicherung der Rechte und Freiheiten natürlicher Personen besonders wichtig. In kritischen Infrastrukturen kann dagegen die Verfügbarkeit kritischer Systeme essentieller Gegenstand von Maßnahmen sein. Schließlich ist auch denkbar und ggf. sogar wünschenswert, dass der Stand der Technik sich auf bestimmte Sachphänomene bezieht und die zugehörigen Maßnahmen da31 BVerfG, Beschluss v. 8.8.1978 – 2 BvL 8/77, NJW 1979, 359, 361 f.; zur Anwendbarkeit dieser atomrechtlichen Ausführungen im IT-Sicherheitsrecht: Ekrot/ Fischer/Müller, in: Kipker, Cybersecurity, Kapitel 3. Stand der Technik, S. 83. 32 Bundesverband IT-Sicherheit e. V., Handreichung zum Stand der Technik, S. 25 f.

173

Christoph Werner

bei zugleich die Risiken bezüglich mehrerer Schutzgüter mindern können. Ein Beispiel hierzu folgt sogleich. 48 Umgekehrt ergeben sich mit Blick auf die Schutzgüter aber auch die Grenzen dessen, was der Stand der Technik leisten kann: Er kann nicht als pauschaler Standard zur Sicherung bestimmter Schutzgüter fungieren. So kann es keinen Stand der Technik geben, der den Technologiestand zur Sicherung der Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten enthält. Vielmehr muss immer der jeweilige Kontext hinreichend granular vorgegeben werden, wie etwa der Stand der Technik zur Gewährleistung der Sicherheit personenbezogener Daten im Homeoffice, was beispielsweise zumindest die Zwei-Faktor-Authentifizierung einschließt.33 49 An ebendiesem Beispiel zeigt sich auch die Mehrdimensionalität bezüglich der Schutzgüter, denn der durch eine Zwei-Faktor-Authentifizierung gesicherte Zugriff auf das Unternehmensnetzwerk dient neben dem datenschutzrechtlichen Schutzgut der Rechte und Freiheiten natürlicher Personen z. B. auch der Versorgungssicherheit, wenn es sich bei dem betreffenden Unternehmen um eine kritische Infrastruktur handelt.34 2. Materielle Bindung 50 Der Grad der Einbeziehung in den normativen Entscheidungsprozess ist nicht in allen Normen gleich ausgestaltet, d.h. der Gesetzgeber bindet die jeweiligen Adressaten unterschiedlich streng an den Stand der Technik. In den meisten Normen (§ 8c Abs. 2 S. 1 BSIG, § 165 Abs. 1 S. 2, Abs. 2. S. 3, § 19 Abs. 4, S. 2 TTDSG, Art. 32 Abs. 1 S. 1 DSGVO) wird vorgegeben, der Normadressat habe den Stand der Technik zu „berücksichtigen“. 51 Betreiber kritischer Infrastrukturen werden hingegen nach § 8a Abs. 1 strenger an den Stand der Technik gebunden, dieser „soll […] eingehalten werden.“ Zumindest der nationale Gesetzgeber scheint mit dieser strengeren Bindung bei kritischen Infrastrukturen davon auszugehen, dass je gewichtiger das Schutzgut und desto höher folglich die Anforderungen 33 Siehe etwa ohne ausdrückliche Deklaration als „Stand der Technik“: LfD Sachsen-Anhalt, Empfehlungen für KMU zur Verarbeitung personenbezogener Daten in Heimarbeit, S. 1; LfD Niedersachsen, Hilfestellung zum Datenschutz im Homeoffice; S. 3. 34 Daneben könnte ein Stand der Technik zum Homeoffice auch unternehmenseigene Werte sichern wie etwa Geschäftsgeheimnissen oder den ungestörten Betriebsablauf. Hierbei handelt es sich aber nicht um ein „Schutzgut“ in dem Sinne, dass der Adressat zu dessen Sicherung gesetzlich verpflichtet wäre.

174

Die Maßnahmenwahl im IT-Sicherheitsrecht

an die IT-Sicherheit ausfallen, desto stärker müsse der Adressat an den Stand der Technik gebunden werden. Eine solche Annahme begegnet jedoch teleologischen Bedenken. Wie 52 aus der Definition ersichtlich stellt der Stand der Technik stets nur das praktisch bewährte und erprobte „Mittelmaß“ der Maßnahmen dar. Eine stärkere Bindung hieran ist mithin nicht geeignet, qualitativ höherwertige Maßnahmen und somit ein höheres Schutzniveau zu erreichen. Dies ließe sich allenfalls mit einer Bindung an den höheren Stand der Wissenschaft und Technik erreichen, was jedoch unter Gesichtspunkten der Verhältnismäßigkeit zweifelhaft erscheint. Insgesamt wäre es daher wünschenswert, wenn der Gesetzgeber hier ein- 53 heitlich die bloße Berücksichtigung des Standes der Technik vorschreiben würde. So liegt es bereits in Art. 14 NIS-RL und die nationale Umsetzung des § 8a BSIG weicht hiervon bedauerlicherweise ab. Zusätzlich erweist es sich, wie in den Rz. 62 ff. gezeigt werden wird, als rechtliche Herausforderung, die derzeit bestehende Sollbindung des Standes der Technik mit einer systematisch und teleologisch passenden Auslegung zu operationalisieren. 3. Verfahren der Ermittlung und Dokumentation Eine neben den inhaltlichen Aspekten stehende Frage ist die Art und 54 Weise, wie der Stand der Technik ermittelt und dokumentiert werden kann. Nur für Teilbereiche des IT-Sicherheitsrechts wird in außerrechtlichen 55 Vorgaben beschrieben, was im jeweiligen Kontext Stand der Technik ist. Bestehen solche anerkannten, expliziten Beschreibungen nicht, ist der Adressat selbst gehalten zu ermitteln, welche Maßnahmen im jeweiligen Sektor dem Stand der Technik entsprechen. Hierfür bestehen bislang keine prozeduralen Vorschriften, die Adressaten werden insofern mit dieser Aufgabe alleine gelassen. Dies betrifft insbesondere auch die Frage, ob die vom Adressaten ggf. für geeignet befundenen Maßnahmen „allgemein anerkannt“ sowie „in der Praxis bewährt und erprobt sind.“ Die Ermittlung der jeweiligen Fachleute und Gremien, die die Maßnahmen entsprechend legitimieren könnten, liegt somit im Verantwortungsbereich des Adressaten.35 35 Problematisch zu bewerten ist, dass hierzu mitunter auf internationale Standards wie die ISO 27000-Familie verwiesen wird (so etwa: Martini, in: Paal/ Pauly, DSGVO, BDSG, Art. 32 Rz. 57). Diese Standards beschreiben ein Risikomanagement, also letztlich ein, wenn auch anders konnotiertes, Verfahren

175

Christoph Werner

56 Der Ermittlungsprozess korrespondiert unmittelbar mit der Frage der Dokumentation. Für die rechtliche Überprüfbarkeit muss der Adressat dokumentieren, wie er den Stand der Technik ermittelt und berücksichtigt hat, wenn die Vorgabe faktisch nicht leerlaufen soll.36 57 In Ermangelung von prozeduralen Vorgaben hinsichtlich des Ermittlungsverfahrens ist aber (selbst bei Vorliegen einer Dokumentation) kaum rechtssicher überprüfbar, ob der Stand der Technik ordnungsgemäß ermittelt wurde. Etwas anderes gilt nur, wenn bereits anerkannte Beschreibungen des Standes der Technik existieren, die der Adressat erkennbar hätte als solche kennen und berücksichtigen müssen. V. Zusammenfassung und Ausblick 58 Abschließend sollen die Angemessenheit und der Stand der Technik mit Blick auf die Maßnahmenwahl zusammen betrachtet werden. Hierbei ist zunächst festzustellen (1. – Rz. 59 ff.), dass sich die eigenständige Angemessenheitsprüfung des Standes der Technik grundsätzlich nur als Hilfsmittel bedient. Eine strengere Verknüpfung könnte allenfalls dann bestehen, wenn eine Sollvorgabe des Standes der Technik existiert (2. – Rz. 62 ff.) 1. Verhältnis von Angemessenheit und Stand der Technik 59 Der Stand der Technik beschreibt eine bestimmte Auswahl an Maßnahmen, die den unter Rz. 39 ff. genannten Kriterien entsprechen. Diese sind auch mit spezifischen Kosten verbunden, so dass sie einen möglichen Aufwand konturieren. 60 Nichtsdestotrotz bleibt der Abwägungsvorgang eigenständig (siehe hierzu die nachfolgende Abb. 3.). Welche Maßnahmen angemessen sind, muss immer im Einzelfall bestimmt werden. Im Ergebnis ist somit nicht ausgeschlossen, dass die Risiken im Einzelfall so gering sind, dass die zur angemessenen Bewältigung von Risiken. Die Angemessenheit ist aber, wie in diesem Artikel deutlich wird, gerade vom maßnahmenbezogenen Stand der Technik zu differenzieren, so dass der Verweis auf diese Standards zur Ausfüllung des Standes der Technik fehlgeht. 36 Siehe etwa: § 8a Abs. 3 S. 3, Abs. 4 S. 2 BSIG und implizit zur Darlegung des Standes der Technik: BSI, Orientierungshilfe zu Nachweisen gemäß § 8a Absatz 3 BSIG, S. 21. Normativ ausdrücklich verlangt außerdem § 8f Abs. 1 Nr. 3 BSIG eine Darlegung zur Einhaltung des Standes der Technik; Gegen eine entsprechende Dokumentationspflicht im Rahmen des Art. 32 DSGVO: Bartels/ Backer, DuD 2018, 214, 218.

176

Die Maßnahmenwahl im IT-Sicherheitsrecht

dem Stand der Technik entsprechenden Maßnahmen zu kostenintensiv wären und dieser daher gesetzeskonform unterschritten werden darf.37 Ebenso ist es möglich, dass im Einzelfall höhere Risiken nach kostenintensiven Maßnahmen verlangen, die über den Stand der Technik hinausgehen. Der Stand der Technik stellt somit nur ein Hilfsmittel bei der Wahl der 61 Maßnahmen im Rahmen des Abwägungsprozesses dar, indem er aus dem Fundus von geeigneten Maßnahmen solche vorschlägt, die den übrigen Kriterien aus dem o.g. Katalog entsprechen, mithin insbesondere allgemein anerkannt und in der Praxis bewährt und erprobt sind.

Abb. 3: Angemessenheit und Stand der Technik

2. Rechtliche Wirkung der Sollvorgabe des Standes der Technik Die Eigenständigkeit beider Kriterien könnte indes eine Ausnahme er- 62 fahren, soweit der Stand der Technik nicht nur berücksichtigt werden muss, sondern wie in § 8a Abs. 1 BSIG eingehalten werden „soll“. Im Sinne der teleologischen Auslegung ist in diesen Fällen ein neuer 63 Ansatz in Form einer Vermutungswirkung denkbar. Nach verwaltungsrechtlichen Maßstäben wird mit einer „Soll-Vorschrift“ das Ermessen des Entscheiders gebunden.38 Auch wenn das IT-Sicherheitsrecht nicht in dem Sinne zum Verwaltungsrecht gehört, dass es sich bei dessen Adressaten zwingend um ein verwaltungsrechtliches Ermessen ausübende Behörden handelt, so lässt sich doch zumindest der Rechtsgedanke des gebundenen Ermessens im Falle einer Soll-Vorschrift auch hier mit dem

37 Zu Art. 32 DSGVO ebenso: Bartels/Backer, DuD 2018, 214, 217. 38 Statt vieler siehe nur: Geis, in: Schoch/Schneider, Verwaltungsrecht VwVfG, § 40 Rz. 26 m.w. N.

177

Christoph Werner

Ergebnis fruchtbar machen, dass hierdurch ein Regelfall vorgeschrieben wird, von dem nur in Ausnahmefällen abgewichen werden darf.39 64 Für die konkrete Anwendung einer solchen Vorschrift durch den Adressaten könnte hieraus folgendes abgeleitet werden: Unterschreitet der Adressat den Stand der Technik und weicht somit von dessen Intention negativ ab, müsste er in der o.g. Dokumentation (Rz. 56) besonders begründen, warum hier ein Ausnahmefall, also etwa das Vorliegen untypisch geringer Risiken, ein Unterschreiten des Standes der Technik rechtfertigt. 65 Hat der Adressat den Stand der Technik hingegen eingehalten und ist er damit der Intention der Vorschrift gefolgt, so würde ihm eine positive Vermutungswirkung zugutekommen. Seine Dokumentation könnte mithin kürzer ausfallen und sich auf die Feststellung beschränken, dass die ausgewählten Maßnahmen dem Stand der Technik entsprechen und er zu dem Ergebnis kam, dass diese das Risiko angemessen mindern. Käme es dennoch zu einem Zwischenfall, müsste nun gegenüber dem Adressaten begründet werden, warum er vorliegend wiederum aufgrund eines Ausnahmefalls, also nun eines besonders hohen Risikos, hätte über den Stand der Technik hinausgehen müssen. 66 Da es sich nach dieser Lesart der Norm lediglich um eine widerlegliche Vermutung handeln würde, entbände sie den Adressaten auch nicht von seiner Pflicht zur Durchführung einer materiell zutreffenden Angemessenheitsprüfung, sondern würde sich lediglich auf die formellen Aspekte der Nachweispflichten sowie der Begründungslast auswirken. 3. Ausblick 67 Das dargestellte methodische Verhältnis des Standes der Technik und der Risikoabwägung wird durch den Gesetzgeber meist nicht hinreichend verdeutlicht. Ebendies ist im Sinne der Normenklarheit jedoch dringend erforderlich. 68 Nach dem neu eingeführten § 3 Abs. 1 Nr. 20 BSIG40 soll das BSI den Stand der Technik für IT-Produkte nun selbst festlegen können. Dies mag zwar von Vorteil sein, soweit es den Adressaten die zuvor skizzierte 39 So explizit zu § 8a Abs. 1 BSIG: Fischer, in: Hornung/Schallbruch, IT-Sicherheitsrecht, § 13, 299, 314, Rz. 69; Roßnagel, DVBl. 2015, 1206, 1208; ebenso aber abstrakt zu einer Sollvorgabe des Standes der Technik: Bartels/Backer, DuD 2018, 214, 216. 40 Einführung im Rahmen des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, BGBl. 2021 I, 1122, 1123.

178

Die Maßnahmenwahl im IT-Sicherheitsrecht

Rechtsunsicherheit bei der Ermittlung des Standes der Technik nehmen kann. Andererseits darf rechtspolitisch durchaus bezweifelt werden, ob es möglich und wünschenswert ist, den Stand der Technik in einem behördlichen Verfahren festzuschreiben, da – wie bereits zuvor angesprochen – der Staat auch als Behörde zumindest einen schwereren Zugang zu dem notwendigen Wissen haben könnte, als die sachnäheren Normadressaten. In jedem Fall verstärkt sich aber hierdurch die Notwendigkeit einer ge- 69 setzlichen Klarstellung, wie der (behördlich festgeschriebene) Stand der Technik methodisch in den Abwägungsprozess einzubeziehen ist. Als Lösungsvorschlag wurde dargestellt, wie der Stand der Technik als Hilfsmittel im Rahmen der angemessenen Wahl von Maßnahmen zu berücksichtigen ist. Die bestehenden Rechtsunsicherheiten könnten durch die geforderte Klarstellung somit beseitigt werden.

179

DGRI-Jahrestagung 2022: Daten – Märkte – KI Mona Winau* Nach der zweijährigen pandemiebedingten Umstellung auf das virtuel- 1 le Format, konnte die diesjährige Jahrestagung der Deutschen Gesellschaft für Recht und Informatik e. V. wieder in Präsenz stattfinden. Vom 10. – 12. November wurde der bemerkenswerte Saal des Paulinums mit Blick auf (den) mittelalterlichen Altar unter modern interpretiertem neo-gotischem Gewölbe der Universität Leipzig zum Ort spannender Vorträge, lebhaften Austauschs und kontroversen Debatten zum Thema „Daten, Märkte, KI“. Der fulminante Auftakt zum ersten Themenblock „Datenökonomie“ 2 gelang mit einer Keynote zur „KI aus maschinenethischer (technikphilosophischer) Sicht“. Eindrucksvoll erläuterte Prof.in Dr.in Catrin Misselhorn (Universität Göttingen), inwieweit ein Bedürfnis für die Kompetenz von Maschinen moralische Entscheidungen zu treffen bestehe, und in welcher Hinsicht eine funktionale Maschinen-Moralität, die aus anwendungsbezogener Sicht erstrebenswert sei, hinter menschlicher Moralität zurückbleibe. Ergänzt durch eine Vorstellung gegenwärtig verfolgter Ansätze der Moralimplementation sowie deren Grenzen und Risiken konnten die Zuhörenden einen spannenden Einblick in die komplexe Thematik mitnehmen. Anknüpfend an die rechtsphilosophische Betrachtung maschineller Ent- 3 scheidungen folgte der haftungsrechtliche Blick auf Systeme der sog. Künstlichen Intelligenz. Prof. Dr. iur. Dipl.-Biol. Herbert Zech (Humboldt-Universität zu Berlin) leitete trefflich mit einem Überblick zu den Grundfragen der Diskussion in haftungsrechtliche Problemstellungen ein und berichtete brandaktuell von den „Highlights des Deutschen Juristentags 2022 zur KI-Haftung“. Mit einer pointierten Darstellung und kritischen Würdigung der geplan- 4 ten Unionsrechtsreformen zum Produkthaftungsrecht und speziell zum Haftungsrecht für Systeme Künstlicher Intelligenz folgte Prof. Dr. Gerhard Wagner, LL.M. (Humboldt-Universität zu Berlin) mit einem mei*

Die Autorin ist Projektmitarbeitende am Karlsruher Institut für Technologie (Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL)). Ein herzlicher Dank der Verfasserin geht an die DGRI für die Vergabe des Young-Fellow-Stipendiums, in dessen Rahmen die Teilnahme an der Jahrestagung ermöglicht wurde.

181

Mona Winau

nungsstarken Vortrag. Die geplante umfassendere Reform des europäischen Produkthaftungsrechts sei im Grunde zu begrüßen. Insbesondere sei die Abkehr der EU-Kommission vom, im Parlamentsentwurf noch vorgesehenen, Prinzip der Herstellerhaftung und die anstelle dessen vorgesehene Betreiberhaftung sinnvoll. Nicht sinnvoll sei hingegen die von der EU-Kommission vorgeschlagene spezielle Haftungsrichtlinie für Künstliche Intelligenz, die als Zusatz zu einer umfassenden Produkthaftungsrechtsreform nicht praxisrelevant, sondern komplexitätssteigernd sei. 5 In Ergänzung zur haftungsrechtlichen Perspektive stellte Prof.in Dr.in Janine Wendt (Technische Universität Darmstadt) den Rahmen einer europäischen KI-Regulierung dar. Sie erläuterte das Konzept und die wesentlichen Inhalte des gegenwärtigen Kommissionsentwurfs für eine europäische KI-Verordnung. 6 Kontrovers diskutiert wurde unter Moderation von Prof. Dr. Boris Paal, M. Jur. (Universität Leipzig) in der folgenden Podiumsdiskussion mit den Vortragenden des Themenblocks über das Potenzial des Ansatzes der EU-Kommission durch eine harmonisierte Regulierung für Künstliche Intelligenz Innovation zu fördern und über die generelle Notwendigkeit einer solchen Regulierung neben einer Anpassung des Haftungsrechts. 7 Den anschließenden Themenblock II „Der europäische Datenmarkt“ leitete Dr. Klaus-Heiner Röhl (Institut des deutschen Wirtschaft Köln e. V.) mit Bericht und Bilanz zu „Entwicklung des Datenmarktes aus ökonomischer Sicht“ unter Moderation von RAin Isabell Conrad (CSW Rechtsanwälte Steuerberater Wirtschaftsprüfer, München) ein. Imposant erläuterte er die Rückständigkeit deutscher Unternehmen bei der „Datenbewirtschaftung“, für die aus unternehmerischer Sicht rechtliche Hemmnisse eine zentrale Ursache seien. Er schloss mit einem Plädoyer für einen zügigeren infrastrukturellen Ausbau, Investitionsförderungen und einer gezielten Informationspolitik, die zu einer strategischen Datennutzung deutscher Unternehmen beitragen sollten. 8 Es folgte RA Prof. Dr. Wilfried Bernhardt (Büsing Müffelmann Theye, Berlin; Universität Leipzig) mit einem Blick auf „Europas digitale Dekade“. Nach einem Überblick zu der europäischen und der deutschen Digitalstrategie und der Vorstellung der daraus folgenden legislativen Konsequenzen in Form des EU Data Governance Act und des EU Data Acts zeigte er, anknüpfend an seine Expertise aus der vorherigen ministeriellen Tätigkeit, die großen Herausforderungen bei der Umsetzung der strategischen Ziele auf.

182

DGRI-Jahrestagung 2022: Daten – Märkte – KI

Den Themenblock schloss eine lebhafte Podiumsdiskussion ab. Dabei 9 lag der Fokus auf der Problematik einer zunehmend umfangreichen und komplexer werdenden Regulierung der Datenverarbeitung, die klare Verbindungen einzelner Rechtsakte vermissen lasse, und ihrem Verhältnis zum politischen Ziel einer Deregulierung. Für den dritten Themenblock hatten die Teilnehmer nach bewährter 10 DGRI-Tradition die Wahl zwischen zwei parallel stattfindenden Praxis-Sitzungen. Themenblock IIIa „TTDSG/TKG“ widmete sich unter Moderation von 11 RAin Prof.in Dr.in Sybille Gierschmann, LL.M. (Gierschmann Legal, Hamburg) zunächst dem Recht auf telekommunikative Grundversorgung. Andreas Neumann (Institut für das Recht der Netzwirtschaften, Infor- 12 mations- und Kommunikationstechnologie (IRNIK) GbR, Bonn), legte zur Frage „Endlich schnelles Internet für alle?“ die zahlreichen Unklarheiten und offenen Fragen dar, die im Zusammenhang mit dem Recht auf Versorgung mit Telekommunikationsdiensten (RaTV) aus §§ 156 ff. TKG verblieben. Dr. Stefan Hanloser (ProSiebenSat.1 Media SE) betrachtete kritisch das 13 „Selbstbestimmte Einwilligungsmanagement durch PIMS“ nach dem neuen § 26 TTDSG. Beim so bezeichneten „Seepferdchen-Paragrafen“ stehe für den Regelungsanwender der Aufwand außer Verhältnis zum Ertrag. Letzterer liege im Wesentlichen im Erlangen eines „Abzeichens“ für einen anerkannten Dienst der Einwilligungsverwaltung. Zum Abschluss des ersten Konferenztages beschrieb Richterin Kristin 14 Benedikt (VG Regensburg) anschaulich den Anwendungsbereich des § 25 TTDSG zum Schutz der Privatsphäre bei Endeinrichtungen, dessen Breite und Wirkmächtigkeit seitens des Gesetzgebers unterschätzt worden seien, und demonstrierte Unklarheiten der Regelung anhand von MultiUser-Szenarien. Die parallel stattfindende Sitzung zum Digital Services Act (DSA), mo- 15 deriert von RAin Dr.in Johanna Götz (Taylor Wessing, Hamburg) und Prof. Dr. Franz Hofmann, LL.M. (Friedrich-Alexander-Universität Erlangen-Nürnberg), begann mit einem Beitrag zur „Plattformregulierung nach dem DSA“ von Prof. Dr. Franz Hofmann, LL.M. (Friedrich-AlexanderUniversität Erlangen-Nürnberg). Die Moderatorin nahm dann eine Position zum „DSA aus der Sicht von Internetservice-Anbietern“ ein, womit die Podium- und Publikumsdiskussion eingeleitet war.

183

Mona Winau

16 Den Auftakt zum zweiten Konferenztag bot RAin Dr.in Viktoria Schmittmann, LL.M. M.Sc., (bpc GmbH, Essen) mit ihrem mit dem Best Speech Award der DSRI-Herbstakademie ausgezeichneten Beitrag zu EmployeeExperience-Plattformen und Datenschutz. Anmoderiert von Dr. Matthias Baumgärtel (Glasfaser Nordwest, Oldenburg) lieferte sie sowohl eine datenschutzrechtliche als auch wirtschaftsinformatische Perspektive auf Microsoft Viva als eine solche in Microsoft Teams integrierte Plattform. 17 Der abschließende Themenblock „Datenmanagement“ wurde vom Vorsitzenden der DGRI Prof. Dr. Dr. Walter Blocher (Universität Kassel) moderiert. Ein weiteres Highlight bildete der Vortrag „Datenschutz als Kundenprodukt – Warum es ohne Datenmanagement nicht gelingen wird“ von Jan Wittrodt (Zalando SE, Berlin). Ausgehend von dem Kernproblem, das im Fehlen eines klaren Kurses der Datenpolitik im Spannungsfeld zwischen Datenökonomie und Datenschutz bestehe und sich in einer mangelnden Datenkompetenz deutscher Unternehmen niederschlage, stellte er das unternehmensinterne Konzept einer Datenstrategie vor. Basierend auf den Grundsätzen des Produkt-Managements werde, im Gegensatz zum rechtlichen Konstrukt der datenschutzrechtlichen Einwilligung, das Kunden- bzw. Betroffeneninteresse in den Vordergrund gestellt und so Vertrauen geschaffen. Außerdem würden durch das Management-Konzept geeignete Organisationstrukturen gewährleistet, die es für eine unternehmerische Datenstrategie brauche. 18 Daran schloss Marc. A. Ostoja-Starzewski (Universität des Saarlandes) mit einer Vorstellung verschiedener Produkte der Kategorie Industrie 4.0 und Distributed Ledger Technologien an, anhand derer er „Willens- und Wissenserklärungen im B2B-Netzwerk sowie rechtliche Aspekte dezentraler Datenhaftung und Datenverarbeitung“ erörterte. Mit einem „rechtspolitische[n] Ausblick auf die Datenregulierung der EU und eine datenbasierte politische Steuerung“ lieferte Prof.in Dr.in Anne Paschke (Technische Universität Braunschweig) einen gelungenen Abschluss der Vorträge. Anknüpfend an das Spannungsfeld zwischen Datenschutz und Datennutzung stellte sie bereits verabschiedete und noch im Entwurfsstadium befindliche gesetzliche Konturen der europäischen und deutschen Datenstrategien vor und plädierte abschließend für ein „zeitgemäßes Datenrecht“. Insoweit müsse zum einen das Datenschutzrecht vor dem Hintergrund einer praktischen Konkordanz zwischen kollidierenden Grundrechten gedacht und angewendet werden, und seien zum anderen neue Strukturen der Vertrauensbildung bei handelnden Akteuren zu schaffen. Außerdem solle ein Sozialbindungskri-

184

DGRI-Jahrestagung 2022: Daten – Märkte – KI

terium für die Datennutzung erwogen werden, das allerdings nicht im Sinne eines „Datensozialismus“ verstanden werden dürfe. Mit dem Schlusswort des Vorsitzenden endete eine breit aufgestellte, 19 ebenso intensive wie gelungene DGRI-Jahrestagung mit spannenden Impulsen, kontroversen Diskursen und richtungsweisenden Fragen zum Thema Daten, Märkte, KI und schuf Vorfreude auf das 29. Drei-Länder-Treffen im Juni 2023.

185

Datenökonomie und Unternehmen – Liebe auf den zweiten Blick? Vera Demary/Klaus-Heiner Röhl I. Einleitung II. Daten als Geschäftsmodell III. Datenbewirtschaftung in Deutschland 1. Bewusstsein für Digitalisierung 2. Data Economy Readiness 3. Regionale Zusammenhänge

1 3 12

4. Austausch von Daten zwischen Unternehmen 20 IV. Hemmnisse der Datenbewirtschaftung 22 V. Handlungsfelder

13 15 17

VI. Fazit

28 31

Literatur: Büchel/Demary/Engels/Goecke/Rusche, 2020, Methodik des Digitalisierungsindex, Gutachten im Auftrag des Bundesministeriums für Wirtschaft und Energie (BMWi); Büchel/Engels, 2023a, Digitalisierungsindex 2022. Stagnation in Zeiten multipler Krisen, Gutachten im Rahmen des Projekts „Entwicklung und Messung der Digitalisierung der Wirtschaft am Standort Deutschland“ im Auftrag des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK); Büchel/ Engels, 2023b, Data Sharing in Deutschland: Verbreitung, Intensität und Potenziale, in: IW-Trends, 50. Jg., Nr. 2, 19; Büchel/Engels, 2022a, Datenbewirtschaftung von Unternehmen in Deutschland, in: IW-Trends, 49. Jg., H. 1, 73; Büchel/Engels, 2022b, Viele Unternehmen sind nicht bereit für die Datenwirtschaft, IW-Kurzbericht, Nr. 96; Büchel/Röhl, 2023, Aufbau Ost: Die Gigabit-Lücke, IW-Kurzbericht, Nr. 15; Büchel/Röhl, 2022, Sind anhaltende Produktivitätsunterschiede zwischen West- und Ostdeutschland auch durch Unterschiede in der Datenbewirtschaftung zu erklären?, in: IW-Trends, 49. Jg., Nr. 4, 23; Bundesnetzagentur/BMDV – Bundesministerium für Digitales und Verkehr, 2023, Gigabit-Grundbuch; Demary, 2022, Der Data Act. Welchen Rahmen Unternehmen für Data Sharing wirklich brauchen, IW-Policy Paper, Nr. 2; Demary/Guggenberger/Rabovskaja/Rusche, 2019, Data Sharing im E-Commerce. Rechtliche und ökonomische Grundlagen, Gutachten im Auftrag der ServiCon Service & Consult eG; Demary/Matthes/ Plünnecke/Schaefer (Hrsg.), 2021, Gleichzeitig: Wie vier Disruptionen die deutsche Wirtschaft verändern. Herausforderungen und Lösungen, IW-Studie; Demary/Rusche, 2018, The Economics of Platforms, IW-Analysen, Nr. 123; Fritsch/ Krotova, 2020, Wie datengetrieben sind Geschäftsmodelle in Deutschland?, IW-Report, Nr. 9; Gassmann/Frankenberger/Csik, 2013, Geschäftsmodelle entwickeln: 55 innovative Konzepte mit dem St. Galler Business Model Navigator; Lichtblau/Fritsch/Millack, 2018, Abschnitt A – Digitalisierung von Wirtschaft und Gesellschaft in Deutschland, in: IW Consult (Hrsg.), Digital-Atlas Deutschland; Röhl/Bolwin/Hüttl, 2021, Datenwirtschaft in Deutschland – Wo stehen die Unternehmen in der Datennutzung und was sind ihre größten Hemmnisse?, Stu-

187

Vera Demary/Klaus-Heiner Röhl die im Auftrag des BDI; Röhl/Scheufen, 2023, Hemmnisse beim Data Sharing: Empirie und Handlungsempfehlungen, in: Perspektiven der Wirtschaftspolitik, Bd. 24, Heft 1, 129; Rosenkranz/Scheufen, 2022, Die Lizenzierung von nicht-personenbezogenen Daten, Zeitschrift für Digitalisierung und Recht, Bd. 2, Heft 2, 159; Rusche/Scheufen, 2018, On (Intellectual) Property and other Legal Frameworks in the Digital Economy, IW Report, Nr. 48; Zimmermann, 2022, Digitalisierungsstrategien in kleinen, regional agierenden und nicht-innovativen Unternehmen selten, KfW Research, Fokus Volkswirtschaft, Nr. 382.

I. Einleitung 1 Die Nutzung von Daten in Unternehmen und die Verbreitung datengetriebener Geschäftsmodelle – kurz: die Datenbewirtschaftung – werden zunehmend zu den bestimmenden Faktoren auf volks- und betriebswirtschaftlicher Ebene. Dabei überlagern sich mehrere Treiber des wirtschaftlichen Wandels, deren Schnittmenge in der Diffusion digitaler Lösungen und einer konsequenten Nutzung von Daten liegt: Die Dekarbonisierung und Elektrifizierung der Wirtschaft als Voraussetzung für die bis 2045 angestrebte Klimaneutralität, der demografische Wandel und der damit in Zusammenhang stehende Fachkräftemangel sowie die immer stärkere Verschränkung von Industrie und Dienstleistungen durch die Industrie 4.0 („Internet of Things“) und Plattform-Lösungen in der Wirtschaft sind Triebkräfte einer wachsenden Bedeutung von Daten in Unternehmen und ihrer ökonomischen Nutzung sowie Verbreitung im Sinne eines unternehmensübergreifenden Datenaustauschs. 2 Wesentliche Voraussetzung für eine erfolgreiche Datenbewirtschaftung durch Unternehmen ist ein entsprechend gestalteter rechtlicher Rahmen. Dazu gehört unter anderem die rechtliche Ausgestaltung der Verfügungsgewalt über Daten und der Rechte an ihrer Nutzung.1 Mit der Europäischen Datenschutzgrundverordnung hat die EU in diesem Bereich für personenbezogene und personenbeziehbare Daten tiefgreifende Regelungen eingeführt. Für nicht personenbezogene Daten gibt es kein entsprechendes Gesetz, sondern es gilt, entsprechende Vertragslösungen zu finden.2 Dennoch greift die EU auch in diesem Bereich stellenweise ein: Der Zugang zu Daten spielt im Digital Services Act etwa in Bezug auf Forschungseinrichtungen eine Rolle. Der Data Governance Act definiert die Rolle von Datenintermediären wie Datenräumen oder Daten-Brokern genauer. Auch die beiden derzeit in der Entstehung befindlichen Rechtsakte AI Act und Data Act inkludieren das Thema. Dieser auf EU-Ebene inzwischen also umfängliche Rechtsrahmen für die Datenbewirtschaf1 2

Rusche/Scheufen, 2018. Röhl/Scheufen, 2023.

188

Datenökonomie und Unternehmen

tung hat für Unternehmen den Vorteil einer größeren Rechtssicherheit, insbesondere beim Austausch von Daten mit anderen. Allerdings führt die starke Ausdifferenzierung der relevanten Rahmenbedingungen auch zu einem großen Informationsbedürfnis von Unternehmen, dessen Befriedigung eine Ressourcenfrage darstellt. Zudem lassen neue rechtliche Regelungen oft Interpretationsspielräume, die durch die Anwendungspraxis und Gerichtsentscheide ausgefüllt werden müssen. II. Daten als Geschäftsmodell Nutzen Unternehmen die Daten, die im Rahmen ihrer Geschäftspro- 3 zesse entstehen, kommen verschiedene Vorteile der Datennutzung zum Tragen.3 So können sie oft Kosten senken und ihren Umsatz steigern. Die Unternehmensprozesse können durch zielgerichtete Datenanalyse in Echtzeit beobachtet, prognostiziert und verbessert werden. Dadurch lassen sich Fehler, Ausfälle und Engpässe vermeiden. Neben diesen internen, oftmals prozessbasierten Vorteilen einer Datennutzung und Datenbewirtschaftung können Daten auch darüberhinausgehende Chancen für Unternehmen mit sich bringen. Dazu zählen beispielsweise datenbasierte Produkte und Dienstleistungen, die untrennbar mit Daten verbunden sind und durch sie erst ermöglicht werden. Sogar komplette Geschäftsmodelle lassen sich datenbasiert fortentwickeln. Im Folgenden meint der Begriff „Daten“ immer Daten in digitaler Form. 4 Daten liegen damit elektronisch gespeichert vor und können entsprechend ausgetauscht, ausgewertet und mit geeigneten Verfahren miteinander (und mit anderen Daten) verknüpft werden. Voraussetzung ist allerdings, dass die Daten in einer für die vorgesehene Nutzung geeigneten Qualität und Form vorliegen. Die ökonomischen Charakteristika von Daten machen diese zu einer 5 wichtigen Ressource, deren Potenziale noch lange nicht ausgeschöpft sind. Zu diesen besonderen Eigenschaften von Daten zählen4: –

Daten können von mehreren Akteuren gleichzeitig genutzt werden. Anders als bei physischen Gütern existiert bei Daten eine sogenannte Nichtrivalität im Konsum. Dies bedeutet, dass der gleiche Datensatz von verschiedenen Akteuren gleichzeitig für unterschiedliche Zwecke genutzt werden kann. Der Wert von Daten macht sich damit nicht an einem einzelnen Nutzenden, Nutzungszweck oder

3 4

Büchel/Engels, 2022a. Angelehnt an Demary et al., 2019, 33 ff.

189

Vera Demary/Klaus-Heiner Röhl

Nutzungszeitpunkt fest, sondern ergibt sich aus einer Vielzahl von Nutzungsmöglichkeiten. –

Die nahezu kostenlose Vervielfältigung von Daten: Neben den Reproduktionskosten von Daten ist auch deren Weitergabe nahezu kostenfrei.5 Diese Eigenschaft ermöglicht es erst, dass Daten nicht rivalisierend im Konsum sind.

–

Die Unverbräuchlichkeit von Daten: Die Nutzung von Daten führt, anders als bei physischen Gütern, nicht dazu, dass die Daten weniger werden. Ein Datensatz bleibt auch bei Nutzung typischerweise unverändert. Auch dies führt dazu, dass er problemlos im Anschluss oder zeitgleich von anderen ebenfalls genutzt werden kann.

–

Die Unendlichkeit/Unerschöpflichkeit von Daten: Die Datenmenge, die weltweit zur Verfügung steht, steigt exponentiell an.6 Laufend werden neue Datenmengen geschaffen, gespeichert und verarbeitet. Die Ressource Daten ist somit, im Gegensatz zu materiellen Ressourcen, unerschöpflich.

–

Die Möglichkeit, Akteure von der Datennutzung auszuschließen: Der Besitzer eines Datensatzes, der die faktische Kontrolle über diesen ausübt, kann andere von dessen Nutzung abhalten. Diese Ausschließbarkeit sichert den wirtschaftlichen Nutzen und die Monetarisierbarkeit von Daten. Ist ein Datensatz einmal öffentlich geworden, ist eine Wiederherstellung der Ausschließbarkeit jedoch kaum möglich.

6 Diese Eigenschaften von Daten machen Daten zu einer wichtigen Unternehmensressource. Dabei sind Daten potenziell auf allen Stufen des Geschäftsmodells zu finden. Ein idealtypisches Geschäftsmodell fokussiert (sich) auf die drei Bereiche Nutzenversprechen, Wertschöpfungskette und Ertragsmechanik (siehe Abbildung 1). Dazu gehört auch die Klärung der Zielgruppe, des angebotenen Produkts oder der angebotenen Dienstleistung, der Herstellungsart sowie der Erzielung eines Wertes. Alle diese Aspekte muss ein Unternehmen definieren und festlegen, um ein erfolgreiches Geschäftsmodell erstellen zu können. Daten werden auf allen drei Stufen dieses Modells wichtiger, sie können das Nutzenversprechen verbessern, die Wertschöpfungskette optimieren und die Ertragsmechanik steigern – selbst wenn es sich nicht um ein originär datengetriebenes Geschäftsmodell handelt.

5 6

Lichtblau et al., 2018, 1 ff.; Rusche/Scheufen, 2018, 11 ff. IDC, & Statista, 2021, Volume of data/information created, captured, copied, and consumed worldwide from 2010 to 2020, with forecasts from 2021 to 2025 (in zettabytes) [Abbildung]. Abruf am 22.5.23, https://www.statista.com/statistics/871513/worldwide-data-created/.

190

Datenökonomie und Unternehmen „Was bieten wir den Kunden an?“ Was?

Nutzenversprechen

Wer?

„Wie erzielen wir Wert?“

Wertschöpfungskette

Ertragsmechanik

„Wie stellen wir die Leistung her?“ Wie?

Wert?

„Wer sind unsere Zielkunden?“

Abbildung 1: Elemente eines Geschäftsmodells

Quelle: Eigene Darstellung auf Basis von Gassmann et al., 2013, 6. Die Digitalisierung von Daten führt dazu, dass Daten in jedem Aspekt 7 des Geschäftsmodells anfallen, dann gespeichert und verarbeitet werden können. So liegen im Unternehmen typischerweise zum Beispiel Kundendaten vor, dazu zählen Stammdaten, Transaktionen und die Kommunikation mit den Kunden. Auch bei der Herstellung des Produkts oder der Dienstleistung können auf den unterschiedlichen Stufen der Wertschöpfungskette Daten anfallen. Schon bei den Inputs in den Produktionsprozess, etwa beim verwendeten Material, können Daten zur Menge, Beschaffenheit, Herkunft und anderen Eigenschaften entstehen. In der Transformation von Inputs zu Outputs können Daten etwa zu den verwendeten Ressourcen, wie etwa Maschinen oder Humankapital, aber auch Stammdaten wie zum Beispiel Arbeitspläne oder Konstruktionspläne anfallen. Schließlich können auch Daten in Bezug auf den Output relevant sein, zum Beispiel solche Daten, die bei der Nutzung eines Gutes durch Kunden anfallen oder während der Durchführung einer Dienstleistung. Wesentlich ist in diesem Zusammenhang, dass eine Entstehung und 8 dann Speicherung von Daten in Unternehmen nicht unvermeidbar erfolgt, sondern oftmals mit Investitionen einhergeht. Damit Daten als Ressource in Unternehmen nutzbar gemacht werden können, werden eine Infrastruktur aus Hard- und Software, aber auch personelle Ressour191

Vera Demary/Klaus-Heiner Röhl

cen benötigt. Dies ist ein wesentlicher Grund für den Umstand, dass eine Nutzung von Daten längst nicht für jedes Unternehmen Normalität bedeutet, schon gar nicht in sämtlichen Aspekten des Geschäftsmodells. Es müssen bewusst die Voraussetzungen dafür geschaffen werden. 9 Ein Anreiz dafür besteht auch in der gegenwärtigen Regulierung. Neben den in Ziffer 2 benannten rechtlichen Rahmenbedingungen erfordern auch andere Gesetze eine Speicherung und Nutzung von Daten. Ein Beispiel stellt das geplante Lieferkettengesetz der EU dar.7 Dieses gibt unter anderem vor, dass zukünftig Daten zu den Produktionsbedingungen entlang der gesamten Vorleistungskette erfasst und vorgehalten werden. Hierbei handelt es sich nicht nur um eine neue Bürokratiequelle für Unternehmen, sondern auch um ein Unterfangen, das nur durch Digitalisierung und effiziente Datenbewirtschaftung zu bewältigen ist. 10 Dabei bestehen in Unternehmen grundsätzlich verschiedene Gründe für die Nutzung von Daten, welche die oben skizzierten Investitionen rechtfertigen können. Diese lassen sich nach zwei wesentlichen Treibern unterscheiden: –

Vorteile der Datennutzung. Aus Unternehmenssicht sind derartige aktive Gründe für die Datennutzung optimal, weil eine starke Selbstbestimmung von Art und Umfang der Datennutzung möglich ist und gestalterischer Freiraum besteht. Zu den Vorteilen der Datennutzung zählen die Steigerung der Effizienz (zum Beispiel von Produktionsprozessen), eine bessere Abdeckung von Kundenbedürfnissen sowie die Entwicklung neuer Produkte und Dienstleistungen oder gar ganzer Geschäftsmodelle.8

–

Druck von außen. Vorgaben aus dem Umfeld von Unternehmen können ebenfalls einen Grund für die Datennutzung darstellen, der jedoch ein reaktives Verhalten des Unternehmens nahelegt. Neben Druck aufgrund regulatorischer Vorgaben – wie in Ziffer 9 beschrieben – kann ein Unternehmen auch durch die Anforderungen des Markts, wie etwa durch Kundenanforderungen, oder Druck durch den Wettbewerb zur Datennutzung bewegt werden.

11 Im Folgenden wird gezeigt, wie der Status quo der deutschen Unternehmen bei der Datenbewirtschaftung ausfällt. Es werden Hemmnisse einer

7

8

EU Commission, 2022, Just and sustainable economy: Commission lays down rules for companies to respect human rights and environment in global value chains, Press release, 23 February 2022, Abruf am 1.6.2023, Corporate sustainability due diligence (europa.eu). Fritsch/Krotova, 2020.

192

Datenökonomie und Unternehmen

stärkeren Datennutzung identifiziert und Handlungsfelder beschrieben, die zu einer zukünftig umfangreicheren Datenbewirtschaftung beitragen können. Der Beitrag schließt mit einem Fazit. III. Datenbewirtschaftung in Deutschland Das Thema Datenbewirtschaftung ist facettenreich. Die Möglichkeiten, 12 einen Status quo der Datenbewirtschaftung zu ermitteln, sind demzufolge ebenfalls vielfältig und beinhalten qualitative wie auch quantitative Methoden. Letztere haben den Vorteil, dass bei Verwendung geeigneter quantitativer Methoden im Zeitablauf objektive Vergleiche möglich sind und eine Entwicklung nachvollzogen werden kann. Aus diesem Grund wird im Folgenden auf derartige Methoden abgestellt. Da Datenbewirtschaftung zunächst einmal eine unternehmensinterne Thematik darstellt, bilden Unternehmensbefragungen einen geeigneten Weg, genauere Informationen zu Datennutzung, Datenmanagement und auch datenbasierten Produkten und Dienstleistungen sowie Geschäftsmodellen zu erhalten. 1. Bewusstsein für Digitalisierung Deutschland ist im Bereich der Datenwirtschaft international keines- 13 wegs führend, gerade global dominierende Datenunternehmen – wie digitale Plattformen und große Hightech-Unternehmen – sind überwiegend in den USA und mittlerweile auch in Asien beheimatet.9 Auch in internationalen Vergleichen zum Stand der Digitalisierung allgemein schneidet Deutschland bestenfalls mäßig ab. So liegt es beispielsweise im Digital Economy and Society Index (DESI) der EU-Kommission 2022 unter den EU-27-Staaten lediglich auf Platz 13; führend sind Finnland, Dänemark und die Niederlande.10 Besonders schwach schneidet Deutschland dabei – neben digitalem Humankapital und Konnektivität – bei der Nutzung digitaler Technologien wie Cloud, Big Data oder Künstlicher Intelligenz ab. Grundlage für deren Einsatz sind die Verfügbarkeit und das Management von Daten. Deutschland, aber letztlich auch ganz Europa, haben im digitalen Bereich daher einen Rückstand aufzuholen. Es gibt aber durchaus Grund für einen positiven Blick in die Zukunft: 14 Bei den Unternehmen in Deutschland besteht ein Bewusstsein für die Relevanz der Digitalisierung. In einer Befragung von Firmen aus Industrie und industrienahen Dienstleistungen im November und Dezember 9 Demary/Rusche, 2018, 23 ff. 10 EU-Kommission, 2022, The Digital Economy and Society Index (DESI), Abruf am 26.5.23, The Digital Economy and Society Index (DESI) | Shaping Europe’s digital future (europa.eu).

193

Vera Demary/Klaus-Heiner Röhl

2020 gab knapp ein Viertel der Befragten an, dass Digitalisierung für ihr Unternehmen in den kommenden fünf Jahren einen sehr großen Stellenwert haben werde (vgl. Abbildung 2).11 Weitere knapp 42 Prozent stellten einen großen zukünftigen Stellenwert der Digitalisierung fest. Keine Relevanz der Thematik sahen lediglich knapp 6 Prozent der befragten Unternehmen. Digitalisierung – und damit einhergehend dann auch die Datenbewirtschaftung – ist also durchaus ein Thema für die Mehrzahl der Unternehmen.

Abbildung 2: Stellenwert der Digitalisierung für Unternehmen In Prozent der befragten Unternehmen aus Industrie und industrienahen Dienstleistungen, Stellenwert der Digitalisierung in den nächsten 5 Jahren, 2020 Quelle: Demary et al., 2021.

2. Data Economy Readiness 15 Die im vorigen Abschnitt vorgestellten Befragungsergebnisse zeigen aber auch, dass eine umfassende Data Economy Readiness der deutschen Unternehmen noch nicht gegeben sein kann, denn über ein Drittel der befragten Unternehmen weist der Digitalisierung selbst bis zum Jahr 2025 keine oder nur eine geringe Relevanz zu. Entsprechend haben auch viele Unternehmen im eigenen Betrieb noch nicht die Voraussetzungen geschaffen, um Daten effizient zu bewirtschaften. Inhaltlich bilden die Speicherung von Daten in geeigneter Form – d. h., mit gesicherten zweckorientierten Zu11 Demary et al., 2021, 38.

194

Datenökonomie und Unternehmen

griffsmöglichkeiten –, das Management dieser Daten und ihre zielgerichtete Nutzung für die Geschäftsprozesse den Kern des Konzepts der Data Economy Readiness. Eine Definition des im Institut der deutschen Wirtschaft für das Projekt „Incentives and Economics of Data Sharing – IEDS“12 entwickelten Modells bieten Büchel und Engels (2022a, 75): „Bereit für die Daten-Ökonomie ist … ein Unternehmen, das in den Bereichen Datenspeicherung, Datenmanagement und Datennutzung fortgeschritten ist, also möglichst viele, aber im Durchschnitt mindestens die Hälfte der in diesen Bereichen relevanten Aspekte abdeckt (kumulatives Modell). ... ‚Data Economy ready‘ bedeutet daher, dass das Unternehmen viele verschiedene Arten von Daten speichert, viele unterschiedliche Elemente des effizienten Datenmanagements erfüllt und viele verschiedene Zwecke mit der Datennutzung verfolgt“. Hierzu ist üblicherweise auch eine übergeordnete durch die Unternehmensleitung beschlossene Datenstrategie erforderlich, da für die Speicherung, das Management und die Nutzung von Daten zunächst Investitionen erforderlich sind und Ressourcen benötigt werden, die von der Unternehmensführung verfügbar gemacht werden müssen. Konkret zeigt eine Befragung zur Data Economy Readiness aus dem Jahr 16 2022, dass lediglich 31 Prozent der Unternehmen aus Industrie und industrienahen Dienstleistungen die Voraussetzungen erfüllen, um Daten effizient zu bewirtschaften, also data economy ready sind (vgl. Abbildung 3).13 Größere Unternehmen sind in der Datenbewirtschaftung bereits weiter fortgeschritten als kleine und mittlere Unternehmen, die bezogen auf die Gesamtzahl der Wirtschaftseinheiten aber dominierend sind: Nur 30 Prozent der kleinen Unternehmen waren 2022 data economy ready, aber 58 Prozent der mittleren und sogar mehr als drei Viertel der Großunternehmen. Positiv lässt sich hervorheben, dass es in allen drei Unternehmensgrößenklassen im Vergleich zum Vorjahr deutliche Verbesserungen gab.14 Dennoch ist es bedeutsam, gerade die Datenbewirtschaftung in den kleinen Unternehmen deutlich voranzubringen, damit diese ihren Rückstand ausgleichen und im Rahmen von Lieferketten und Wertschöpfungsnetzwerken nach wie vor umfassend eingebunden werden können.

12 Das mehrjährige Projekt IEDS wird vom Institut der deutschen Wirtschaft und weiteren Projektpartnern für das Bundesministerium für Bildung und Forschung durchgeführt. 13 Büchel/Engels, 2022b, 2. 14 Ebenda.

195

Vera Demary/Klaus-Heiner Röhl

Abbildung 3: Unternehmen, die Daten effizient bewirtschaften können In Prozent der befragten Unternehmen aus Industrie und industrienahen Dienstleistungen, 2022 Quelle: Büchel/Engels, 2022b, 2.

3. Regionale Zusammenhänge 17 Abgesehen vom Einfluss der Unternehmensgröße sind auch die regionalen Unterschiede in der Data Economy Readiness in Deutschland erheblich. Eine Auswertung der IEDS-Daten aus dem Jahr 2021 nach Bundesländern bzw. Bundeslandgruppen15 bietet Abbildung 4.16 Die Hauptstadt Berlin ist ein führender Standort digitaler Start-ups und digitalisierter Dienstleistungsunternehmen, was sich in einem Anteil von 44 Prozent Unternehmen aus Industrie und industrienahen Dienstleistungen niederschlägt, die bereits data economy ready sind. Über dem deutschen Durchschnitt von 29 Prozent der Unternehmen im Jahr 2021 liegen auch Niedersachsen/Bremen sowie Hessen und Bayern mit 35 bzw. 36 Prozent, während die übrigen westdeutschen Länder mit Ausnahme von Hamburg/Schleswig-Holstein dem deutschen Durchschnitt entsprechen. Die ostdeutschen Flächenländer weisen demgegenüber einen erheblichen Rückstand bei der Befähigung der Unternehmen zur Digitalisierung auf, was nur zum Teil durch die Größenstruktur der Betriebe erklärbar ist.17 Die beiden nördli15 Aufgrund nicht ausreichender Fallzahlen für eine statistische Signifikanz der Hochrechnung der Befragungsdaten auf die Gesamtwirtschaft wurden kleinere Bundesländer in der Untersuchung zusammengefasst. 16 Abweichend von Abbildung 3 stammen diese Daten aus der Befragung des Jahres 2021, nicht aus 2022. Der bundesdeutsche Durchschnitt der Data Economy Readiness lag in diesem Jahr bei 29 Prozent der befragten Unternehmen. 17 Büchel/Röhl, 2022.

196

Datenökonomie und Unternehmen

chen Bundesländer Hamburg und Schleswig-Holstein liegen mit einem gemeinsamen Anteil von 16 Prozent auf dem Niveau der schwächsten Ost-Bundesländer, was bezogen auf den Stadtstaat Hamburg verwundert. Möglich ist hier aber eine starke Beeinflussung des gemeinsamen Antwortanteils durch Schleswig-Holstein, das wirtschaftlich gemessen am Bruttoinlandsprodukt je Einwohner das schwächste westdeutsche Land ist.

Abbildung 4: Data Economy Readiness nach Bundeslandgruppen Befragung von 1002 Unternehmen aus Industrie und industrienahen Dienstleistungen, 2021, in Prozent Die weiße Bundeslandgrenze trennt in der Auswertung zusammengefasste Bundesländer. Quelle: Büchel/Röhl, 2022.

Grundsätzlich bestehen Erklärungsansätze für diese Ergebnisse zum 18 einen in der in den Bundesländern bestehenden Größenstruktur der örtlichen Betriebe (vgl. Abbildung 3). Diese schlägt sich in heterogenen regionalen Ergebnissen nieder. Aber es gibt darüber hinaus weitere Erklärungsansätze. So ist auch die Versorgung mit leistungsfähigem Breitbandinternet in den Regionen unterschiedlich stark ausgeprägt. Be197

Vera Demary/Klaus-Heiner Röhl

sonders ländliche Gebiete und damit auch weniger urbanisierte Bundesländer haben hier oftmals beträchtlichen Nachholbedarf.18 Ein verlässlicher und schneller Internetzugang bildet eine notwendige Bedingung für eine effiziente Datenbewirtschaftung in Unternehmen. 19 Neben diesen Faktoren ist auch die Branchenstruktur in den Bundesländern ein Erklärungsansatz. Daten zur allgemeinen Digitalisierung der Wirtschaft in Deutschland belegen eine deutliche Heterogenität der Branchengruppen19, die sich auch in Bezug auf die Datenbewirtschaftung zeigen dürfte. Der Vergleich der Daten zur Data Economy Readiness aus Abbildung 4 mit den Daten zur Digitalisierung der Wirtschaft allgemein zeigt jedoch auch, dass die regionale Verteilung beider Messgrößen zwar zum Teil ähnlich, aber keinesfalls komplett identisch ist. Digitalisierung und Datenbewirtschaftung hängen zwar zusammen, aber letztere wird offenbar noch von anderen Einflussfaktoren bestimmt. Dazu passt, dass das Konzept der Data Economy Readiness sehr detailliert auf unternehmensinterne Faktoren, Prozesse und Vorgänge abstellt, die förderlich für eine Digitalisierung des Unternehmens sind, aber keine notwendige Voraussetzung für das etwas offenere Konzept der Digitalisierung.20 4. Austausch von Daten zwischen Unternehmen 20 Bei der Datenbewirtschaftung im Unternehmen kann es sich um eine interne oder eine externe Datenbewirtschaftung handeln. Im Sinne eines reduzierten Komplexitätsgrades sind das interne Datenmanagement und die interne Datennutzung für Unternehmen oftmals naheliegender als eine über Unternehmensgrenzen hinausgehende Datenbewirtschaftung. Letztere beinhaltet den Austausch von Daten mit außerhalb des eigenen Unternehmens liegenden Einheiten, wie anderen Unternehmen, Institutionen und Behörden. Das so genannte Data Sharing umfasst „Daten an andere Unternehmen abzugeben oder von diesen Daten zu empfangen“.21 Die Potenziale der Datenbewirtschaftung sind beim Data Sharing besonders groß, weil Daten aus unterschiedlichen Quellen miteinander kombiniert werden können.22 Dies kann etwa innerhalb von Prozessen entlang der Lieferkette erfolgen, die sich auf diese Weise transparenter gestalten lassen, oder auch mit dem Ziel der Entwicklung datenbasierter Produkte oder Dienstleistungen.23 Data Sharing kann so entscheidend zur Zukunftsfähigkeit von Unternehmen beitragen.

18 19 20 21 22 23

Büchel/Röhl, 2023. Büchel/Engels, 2023a, 9 ff. Zum Konzept des Digitalisierungsindex siehe Büchel et al., 2020. Büchel/Engels, 2023b, 20. Ebenda. Fritsch/Krotova, 2020, 1 f.

198

Datenökonomie und Unternehmen

Nach Daten einer Befragung im Rahmen des IEDS-Projekts aus dem Jahr 21 2022 spielt die gemeinsame Datennutzung mit Partnern für den Großteil der Unternehmen keine Rolle (Abbildung 5). 62 Prozent der befragten Unternehmen aus Industrie und industrienahen Dienstleistungen empfangen keine Daten von anderen Unternehmen, sogar 79 Prozent geben keine Daten ab.24 Nur 14 Prozent geben Daten mit hoher Intensität ab, während immerhin 18 Prozent intensiv Daten von anderen erhalten. Die Intensität von Datenempfang und -abgabe setzt sich dabei sowohl aus der Quantität als auch aus der Qualität der jeweiligen Daten zusammen. Bezogen sowohl auf hohe wie auch auf niedrige Data-Sharing-Intensität sind 17 Prozent der Unternehmen sowohl Datenempfänger als auch Datengeber. Diese Ergebnisse verdeutlichen, dass es – genau wie in Bezug auf die Datenbewirtschaftung von Unternehmen allgemein – in Bezug auf den Datenaustausch zwischen Unternehmen noch umfangreiche Potenziale zu heben gilt. Es stellt sich diesbezüglich die Frage, worin die Hemmnisse der Unternehmen bestehen, die noch nicht oder nur wenig aktiv sind. Hierauf wird im folgenden Abschnitt eingegangen.

Abbildung 5: Data Sharing in Deutschland Anteil der Unternehmen aus Industrie und industrienahen Dienstleistungen, die Daten mit hoher oder niedriger Intensität an andere Unternehmen abgeben oder von anderen Unternehmen empfangen, in Prozent aller Unternehmen, 2022 Quelle: Büchel/Engels, 2023b, 26.

24 Büchel/Engels, 2023b, 26.

199

Vera Demary/Klaus-Heiner Röhl

IV. Hemmnisse der Datenbewirtschaftung 22 Die vorigen Abschnitte haben zum einen gezeigt, dass die fortschreitende Digitalisierung und die Bewirtschaftung von Daten zunehmend zu maßgeblichen Faktoren der wirtschaftlichen Aktivität von Unternehmen werden. Dies gilt für datenbezogene Geschäftsmodelle, aber ebenso für die Nutzung von Daten in „traditionellen“ Geschäftsmodellen. Zum anderen zeigen die Ergebnisse zum Status quo der Data Economy Readiness wie auch des Data Sharings, dass viele Unternehmen in der Nutzung und insbesondere beim Austausch von Daten hinter den bereits vorhandenen Möglichkeiten zurückbleiben und die sich bietenden geschäftlichen Potenziale nicht ausschöpfen. 23 Dies liegt auch an Hemmnissen, mit denen sich Unternehmen konfrontiert sehen. Um diese hemmenden Faktoren näher zu beleuchten, wurden von Röhl und Scheufen (2023) Daten aus der oben bereits zitierten Unternehmensbefragung von 2021 im Rahmen des IEDS-Projekts bezüglich verschiedener Hemmnisse für das Teilen von Daten analysiert, wobei das Data Sharing eine spezifische Form der Datennutzung durch das Unternehmen darstellt. Insbesondere rechtliche Hemmnisse wurden von einer Mehrheit der Unternehmen als relevant eingestuft, was auf einen erheblichen ungedeckten Bedarf an datenbezogener rechtlicher Expertise hinweist: Über 70 Prozent der befragten Unternehmen sehen sich bei der Teilung von Daten durch rechtliche Hürden und rechtliche Unsicherheit eingeschränkt.25 24 Es zeigt sich zudem, dass vor allem solche Firmen, die data economy ready sind, häufiger rechtliche Hemmnisse für das Data Sharing sehen als Firmen, die Daten noch nicht bewirtschaften (können): Unternehmen, die für die Bewirtschaftung ihrer Daten befähigt sind, nehmen rechtliche Hemmnisse mit 76 Prozent stärker wahr als diejenigen, die nicht data economy ready sind, mit 62 Prozent. Die Einschätzung des rechtlichen Regelungsumfeldes als hemmend ist also nicht auf eine fehlende Befassung mit dem Thema zurückzuführen, sondern steigt mit der Data Economy Readiness des Unternehmens sogar an.

25 In der Wiederholungsbefragung im Jahr 2022 waren es 68 Prozent.

200

Datenökonomie und Unternehmen

Abbildung 6: Hemmnisse des Datenteilens Anteil der Unternehmen aus Industrie und industrienahen Dienstleistungen, die folgende Hemmnisse beim Teilen von Daten als (sehr) wichtig angeben, in Prozent, 2021 Quelle: Röhl/Scheufen, 2023, 133.

Organisatorische, wirtschaftliche und technische Hemmnisse sind hin- 25 gegen in der Sicht der befragten Unternehmen weit weniger relevant als die rechtlichen Hürden. Sie werden jeweils nur von 22 bis maximal 29 Prozent der Unternehmen als hinderlich genannt. Dies erlaubt Schlussfolgerungen hinsichtlich der notwendigen Maßnahmen zum Abbau der Hemmnisse der Datenbewirtschaftung. Es scheint sinnvoll zu sein, vor allem die rechtliche Perspektive in den Blick zu nehmen und die Unternehmen diesbezüglich zu stärken – dies kann durch bessere Information geschehen, aber auch rechtliche Vereinfachungen beinhalten. Bei den rechtlichen Hemmnissen besteht die wichtigste Hürde in daten- 26 schutzrechtlichen Bedenken.26 Knapp 87 Prozent der Unternehmen, die rechtliche Hemmnisse wahrnehmen, ordnen den Datenschutz als besonders hemmend ein. Mit der europäischen Datenschutz-Grundverordnung (DSGVO) besteht hier in Europa seit Jahren ein definierter Rechtsrahmen für den Umgang mit personenbezogenen Daten, der jedoch trotzdem nicht zu ausreichender Klarheit bei den betroffenen Unternehmen geführt hat. Die Wahrnehmung des Datenschutzes als Hürde deutet eine nach wie vor große Unsicherheit der Unternehmen im Umgang mit der Regulierung und mit personenbezogenen Daten an. Die Herausforderung besteht also weniger in einem fehlenden Rechtsrahmen, sondern eher in einer mangelnden Kenntnis desselben oder einer Unsicherheit über

26 Röhl/Scheufen, 2023, 134.

201

Vera Demary/Klaus-Heiner Röhl

dessen Interpretation und die daraus folgenden Compliance-Notwendigkeiten. 27 Darüber hinaus ist für die befragten Unternehmen die Sorge vor unrechtmäßigen Zugriffen auf die Daten durch Dritte erheblich.27 Rund 76 Prozent der Unternehmen und damit der zweitgrößte Anteil unter denjenigen, die rechtliche Hemmnisse für die Datenbewirtschaftung bemerken, nannte in der Befragung diesen Aspekt. Dabei ist davon auszugehen, dass nicht nur der Zugriff auf Daten mit Personenbezug, sondern auch auf nicht personenbezogene Daten beunruhigt. Bei Letzteren besteht die Herausforderung, dass kein Eigentumsrecht an diesen Daten erworben werden kann, so dass auch eine Weitergabe derartiger Daten durch einen (rechtmäßigen) Empfänger kaum unterbunden werden kann. Letztlich müssten hier neben einer guten Datensicherung vertragsrechtliche Regeln greifen, so dass Unternehmen auch Expertise in der Ausgestaltung entsprechender Verträge benötigen.28 Weitere relevante rechtliche Hemmnisse bestehen in der Unklarheit über Haftungsfolgen aus der Datenweitergabe (rund 75 Prozent), der Unklarheit über Nutzungsrechte (etwa 65 Prozent) und dem Fehlen einer rechtssicheren Anonymisierung personenbezogener Daten (etwa 65 Prozent). Es folgen fehlende Kenntnisse in den relevanten Rechtsgebieten (59 Prozent) und Unklarheiten bezüglich Vertragsgestaltungen und wettbewerbs- und kartellrechtlichen Hürden (47 Prozent). V. Handlungsfelder 28 Die Untersuchungen und Befragungen zur Befähigung der Unternehmen zur Digitalwirtschaft und Datennutzung zeigen, dass es in diesem Bereich deutliche Verbesserungspotenziale und damit auch Handlungsbedarf gibt. Datenbewirtschaftung ist ein Thema, das – wie in Ziffer 10 beschrieben – zahlreiche Vorteile für Unternehmen haben kann. Dabei muss die Nutzung von Daten kein Selbstzweck sein, sondern kann auch dazu beitragen, andere Ziele von Unternehmen oder auch der Wirtschaft insgesamt zu erfüllen, wie etwa der Dekarbonisierung. Vor diesem Hintergrund kommt einer Hebung der Verbesserungspotenziale der Datenbewirtschaftung eine besondere Bedeutung zu. 29 Zum einen besteht Handlungsbedarf in der Wirtschaft und den Unternehmen selbst. Es ist für eine verbreitete, effiziente und zukunftsgerichtete Datenbewirtschaftung entscheidend, dass das unternehmerische Mindset 27 Ebenda. 28 Rosenkranz/Scheufen, 2022.

202

Datenökonomie und Unternehmen

stärker auf das Thema Daten ausgerichtet wird. Dazu zählt auch, dass führungsseitig Strategien für die Themenkomplexe Datenspeicherung, Datenmanagement und Datennutzung entwickelt und umgesetzt werden, sofern dies noch nicht geschehen ist.29 Der Weg zu einer effizienten Datennutzung ist für die Unternehmen mit Investitionen verbunden, die sich jedoch relativ zügig amortisieren sollten, wenn das Unternehmen Daten in den verschiedenen Elementen des Geschäftsmodells (vgl. Abbildung 1) zur Optimierung nutzt. Intermediäre wie etwa Wirtschaftsverbände können hier unterstützend tätig werden, was auch die Beratungsfunktion im Bereich der rechtlichen Bedingungen und Hemmnisse einschließt. Zum anderen liegt Handlungsbedarf auf staatlicher Seite vor. Dieser be- 30 steht vor allem in einer Verbesserung der Rahmenbedingungen für die Datenbewirtschaftung durch Unternehmen. Die hier ableitbaren Handlungsfelder lassen sich in drei Bereichen zuordnen: –

Dateninfrastruktur: Obwohl der Ausbau der Breitbandinfrastruktur in der Digitalpolitik ein Dauerthema ist, es Förderprogramme und Verpflichtungen der Telekommunikationsanbieter gibt, lässt die vorhandene Netzinfrastruktur oft noch zu wünschen übrig. Dabei sind leistungsfähige Netze notwendige Voraussetzung für die Entwicklung der Datenökonomie und den Austausch von Daten zwischen Unternehmen. Der Ausbaustand der Breitbandinfrastruktur in Deutschland ist regional noch sehr unterschiedlich, außerhalb der Städte und speziell in Ostdeutschland gibt es erhebliche Defizite.30 Ohne eine flächendeckende Breitbandversorgung mit einer Übertragungsrate von mindestens 500, besser noch 1.000 Mbit/s ist jedoch eine umfassende Datennutzung und das reibungslose Data Sharing der Unternehmen nicht denkbar. Auch ein zügiger Ausbau des Mobilfunkstandards 5G kann die Voraussetzungen für Datennutzung in den Unternehmen und das Data Sharing verbessern.

–

Rechtliche Rahmenbedingungen: Die rechtlichen Hemmnisse kreisen für viele Unternehmen noch immer um die teilweise schwierige Auslegung der DSGVO. Im Mittelpunkt steht hierbei die Problematik der „Personenbeziehbarkeit“ ursprünglich nicht personenbezogener Daten. Dies betrifft etwa Maschinendaten, die mit Daten des Bedienenden zusammengeführt werden könnten und so nach strikter

29 Eine Befragung im Rahmen des KW-Mittelstandspanels hat gezeigt, dass bislang nur ein Fünftel der mittelständischen Unternehmen in Deutschland über eine Digitalisierungsstrategie verfügt – obwohl die Mittelstandsdefinition der KfW bereits größere Unternehmen mit bis zu 500 Millionen Euro Umsatz einschließt (Zimmermann, 2022). 30 Bundesnetzagentur/BMDV, 2023, Gigabit-Grundbuch; Büchel/Röhl, 2023.

203

Vera Demary/Klaus-Heiner Röhl

Rechtsauslegung nicht mehr ohne Zustimmung dieser Personen für weiterführende Zwecke genutzt oder mit anderen Unternehmen geteilt werden können.31 Kommende neue Regulierungen wie der Data Act der EU sollten so ausgestaltet werden, dass sie die Komplexität für die Unternehmen reduzieren und nicht weiter erhöhen.32 –

Öffentliche Beratung: Der Zugang zu relevanten Informationen im Zusammenhang mit dem Thema Datenbewirtschaftung scheint gerade für mittelständische Unternehmen noch schwierig zu sein. Nur dadurch lassen sich die hohen Zustimmungsraten zu einigen der in Ziffer 25 und 26 benannten Hemmnisse der Datenbewirtschaftung erklären. Im Rahmen des Projekts Mittelstand-Digital baut das Bundesministerium für Wirtschaft und Klimaschutz 27 digitale Kompetenzzentren für KMU in ganz Deutschland auf. Zusätzlich zu den Kompetenzzentren gibt es Filialen bei Projektträgern, die aber ein geringeres Angebot aufweisen. Hier sollte ein flächendeckendes Beratungsangebot für Datennutzung und Digitalisierung auch „unterhalb“ industrieller Industrie 4.0-Anwendungen etabliert werden.

VI. Fazit 31 Die Digitalisierung der Gesellschaft und damit auch der Wirtschaft schreitet immer weiter voran, die effiziente und intelligente Nutzung von Daten entscheidet zunehmend über die Wettbewerbsfähigkeit von Unternehmen. Datenunternehmen, insbesondere global agierende Plattformen haben Ölkonzerne als Aktiengesellschaften mit den höchsten Marktbewertungen abgelöst. Daten sind eine wesentliche Ressource des 21. Jahrhunderts, die aufgrund ihrer Unerschöpflichkeit und ihres Potenzials für die Reduktion von CO2-Emissionen sogar weit bessere Eigenschaften als andere Ressourcen aufweist. 32 Deutsche Unternehmen tun sich jedoch bislang noch schwer mit der Datennutzung „und -bewirtschaftung“. Das Land liegt insgesamt in der Digitalisierung von Wirtschaft und Gesellschaft nur im europäischen Mittelfeld, und diese mäßige Positionierung spiegelt sich auch in den Kenntnissen und Aktivitäten der Unternehmen selbst: Nur 31 Prozent der befragten Unternehmen aus Industrie und industrienahen Dienstleistungen waren im Jahr 2022 data economy ready, besaßen also die zur Datenbewirtschaftung notwendigen Fähigkeiten. Fast zwei Drittel der

31 Röhl/Scheufen, 2023. 32 Demary, 2022.

204

Datenökonomie und Unternehmen

Unternehmen erwarteten aber im Jahr 2020 eine große bis sehr große Relevanz der Digitalisierung bis zum Jahr 2025. Eine spezifische Form der unternehmerischen Datennutzung ist das 33 Data Sharing. Durch das Teilen von Daten und die gemeinsame Nutzung mit anderen Marktakteuren können hohe Wertschöpfungspotenziale erschlossen werden. Dies gilt für Optimierungen entlang der Wertschöpfungskette mit Zulieferunternehmen und Kunden im Bereich der Industrie 4.0 ebenso wie für globale Plattformunternehmen, deren Wert überwiegend aus ihren Kundendaten und ihrer Verknüpfung mit weiteren Informationen resultiert. Auch in diesem Bereich gibt es für deutsche Unternehmen noch Verbesserungspotenziale: Acht von zehn Unternehmen geben keine Daten weiter und mehr als sechs von zehn empfangen auch keine Daten von anderen Unternehmen. Handlungsfelder zur Verbesserung der Data Economy Readiness und zur 34 Steigerung der tatsächlichen Datennutzung sowie des Datenaustauschs umfassen die Entwicklung von Datenstrategien auf der Ebene der Unternehmensführungen, wobei Verbände unterstützend und beratend tätig werden könnten. Dazu kommen Maßnahmen des Staates in den Bereichen der Daten-Infrastruktur, den rechtlichen Bedingungen für eine sichere Datennutzung und verstärkten Beratungsleistungen öffentlicher Stellen. Insgesamt ist festzuhalten, dass sich das ressourcenarme Hochlohnland Deutschland, das zudem innerhalb von nur 22 Jahren Klimaneutralität erreichen will, weitere Verzögerungen in der Digitalisierung von Wirtschaft und Gesellschaft kaum erlauben kann.

205

Das Recht auf telekommunikative Grundversorgung Endlich schnelles Internet für alle? Andreas Neumann* I. Einleitung: Woher kommt das Recht auf telekommunikative Grundversorgung?

1

II. Welche Leistungen beinhaltet das Recht auf telekommunikative Grundversorgung? 1. Gesetzliche Ausgestaltung 2. Offene Fragen

5 5 8

III. Wann ist die telekommunikative Grundversorgung erschwinglich? 1. Gesetzliche Ausgestaltung 2. Offene Fragen

12 12 16

IV. Wie wird die telekommunikative Grundversorgung gewährleistet?

18

1. Gesetzliche Ausgestaltung 2. Offene Fragen

18 23

V. Wie wird das Recht auf telekommunikative Grundversorgung finanziert? 1. Gesetzliche Ausgestaltung 2. Offene Fragen

29 29 34

VI. Wie wird das Recht auf telekommunikative Grundversorgung geltend gemacht? 1. Gesetzliche Ausgestaltung 2. Offene Fragen

41 41 45

VII. Fazit

47

Literatur: Fetzer/Scherer/Graulich, TKG, 3. Aufl. 2020; Freund/Mengel, Die TKG-Novelle 2021 – Überblick und Auswirkungen auf die kommunale Praxis, NVwZ 2022, 24; Geppert/Schütz, Beck’scher TKG-Kommentar, 4. Aufl. 2013; Gerpott, Mindestqualität und Erschwinglichkeit der Versorgung mit einem schnellen Internetanschluss, CR 2022, 672; Gerpott, Recht auf Versorgung mit einem schnellen Internetzugang im TKG 2021, K&R 2022, 92; Holznagel, Verbraucherrechte als Instrument der Förderung von Nachhaltigkeitszielen, MMR 2023, 37; Huber, Das neue Recht auf Versorgung mit Telekommunikationsdiensten, MMR 2022, 85; Koenig, Überschreitung der EU-Universaldienstvorgaben durch den Versorgungsumfang nach § 157 TKG 2021, K&R 2021, 478; Kulenkampff/Hackbarth/Ockenfels/Plückebaum/Portugall/Schwarz-Schilling/Sudhues/Zuloaga, Mindestanforderungen Internetzugangsdienst, 2021; Nett/Sörries/ Zoz, Eine anreizökonomische Analyse des neuen Universaldienstregimes zur Versorgung mit schnellem Internet in Deutschland, N&R 2022, 19; Neumann, Telekommunikationsrecht kompakt – Band 2, 2023; Neumann, Das Recht auf

*

Geschäftsführer des privaten Instituts für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie (IRNIK) in Bonn.

207

Andreas Neumann Versorgung mit Telekommunikationsdiensten, N&R 2022, 134; Neumann, Optionen für die Ausgestaltung eines rechtlich abgesicherten Anspruchs auf schnelles Internet aus telekommunikationsrechtlicher Sicht, 2019; Neumann/Sickmann, Schaffung eines rechtlich abgesicherten Anspruchs auf einen Zugang zum schnellen Internet, N&R-Beilage 1/2018, 1; Säcker, TKG, 3. Aufl. 2013; Säcker/Körber, TKG – TDDSG, 4. Aufl. 2023; Scheurle/Mayen, TKG, 3. Aufl. 2018.

I. Einleitung: Woher kommt das Recht auf telekommunikative Grundversorgung? 1 Seit der Liberalisierung und Privatisierung des Sektors Ende des 20. Jahrhunderts werden Telekommunikationsdienstleistungen von privaten Wirtschaftsunternehmen im Wettbewerb erbracht. Diese Öffnung des früher staatsmonopolistisch ausgestalteten Fernmeldebereichs stand aber von Anfang an unter dem Vorbehalt einer Grundversorgungssicherung. Dahinter stand die Sorge, dass ein allein an betriebswirtschaftlichen (Gewinnmaximierungs-)Interessen ausgerichtetes Leistungsangebot zu Versorgungsdefiziten in solchen (vor allem ländlichen) Gebieten führen könnte, in denen die Kosten eines Netzaufbaus und -betriebs durch die zu erwartenden Einnahmen nicht gedeckt werden. Während bei der bisherigen hoheitlichen Leistungserbringung entsprechende Defizite aus den Einnahmen in lukrativen Regionen oder dem Staatshaushalt gedeckt wurden, befürchtete man in einem rein marktwirtschaftlich organisierten Umfeld sehr hohe Entgelte oder gar eine vollständige Leistungseinstellung, in deren Folge jedenfalls wirtschaftlich schwächere Nutzer:innen in den betreffenden Gebieten von der Nutzung telekommunikativer Möglichkeiten abgeschnitten würden. 2 Demzufolge wurde schon in der Frühphase des Marktöffnungsprozesses auf der hier wegweisenden europäischen Ebene die Notwendigkeit anerkannt, die „Telekommunikationspolitik … unter Berücksichtigung des Grundsatzes des sozialen und wirtschaftlichen Zusammenhalts“ zu entwickeln.1 Hieraus könne insbesondere die Notwendigkeit folgen, einen „flächendeckenden Dienst für alle zu gewährleisten“. Die Aufrechterhaltung eines solchen „universellen Diensts“2 wurde dann als „Uni-

1

2

Hierzu und zum Folgenden: Entschließung des Rates v. 17.12.1992 zur Beurteilung der Lage im Bereich der Telekommunikationsdienste der Gemeinschaft, ABl. EG 1993 C 2, 5. Siehe die Entschließung des Rates v. 22.7.1993 zur Prüfung der Lage im Bereich der Telekommunikation und zu den notwendigen künftigen Entwicklungen in diesem Bereich, ABl. EG 1993 C 213, 1.

208

Das Recht auf telekommunikative Grundversorgung

versaldienst“3 gemeinschaftsrechtlich vorgegeben. Die einschlägigen Umsetzungsverpflichtungen finden sich mittlerweile in Art. 84 ff. der Richtlinie (EU) 2018/1972 über den europäischen Kodex für die elektronische Kommunikation (im Folgenden: „Kommunikationskodex“).4 Der europäischen Entwicklung folgend hat auch der verfassungsändern- 3 de Gesetzgeber in Deutschland die Öffnung des Telekommunikationssektors entsprechend abgesichert. So betont die mit der Postreform II im Jahr 1994 geschaffene Grundgesetzvorgabe für diese Öffnung in Art. 87f. GG noch vor der Privatisierungs- und Liberalisierungsentscheidung in Abs. 2, dass „der Bund im Bereich … der Telekommunikation flächendeckend angemessene und ausreichende Dienstleistungen“ gewährleistet (Art 87f Abs. 2 GG).5 In Erfüllung dieses Gewährleistungsauftrags6 enthielt das deutsche Telekommunikationsrecht bereits in §§ 17 ff. TKG 1996 einfachrechtliche Vorschriften über den Universaldienst. Auch nach ihrer Weiterentwicklung und Überführung in §§ 78 ff. TKG 2004/2012 blieben diese Vorschriften allerdings ohne unmittelbare praktische Bedeutung, da das danach erforderliche Grundversorgungsangebot ohnehin im Wettbewerb erbracht wurde.7 Allerdings wurde zunehmend kritisiert, dass das hierfür maßgebliche Versorgungsniveau – insbesondere in Form eines „funktionalen“ Internetzugangs (§ 78 Abs. 2 Nr. 1 TKG 2012) – nicht mehr den realen Leistungsanforderungen entspreche. Bereits im Koalitionsvertrag aus dem Jahr 2018 haben sich die Parteien 4 der damaligen großen Koalition daher zum „Ziel eines flächendeckenden Zugangs zum schnellen Internet aller Bürgerinnen und Bürger“ bekannt.8 Hierzu sollte bereits zur „Mitte der Legislaturperiode“ ein „rechtlich abgesicherte[r] Anspruch“ ausgestaltet werden. Es dauerte dann allerdings beinahe bis zum Ende der 19. Legislaturperiode, bis das neue TKG verabschiedet werden konnte.9 Mit diesem wird insbesondere auch der Kommunikationskodex aus dem Jahr 2018 umgesetzt. Es enthält in seinem 3 4 5 6 7 8

9

Entschließung des Rates v. 7.2.1994 über die Grundsätze für den Universaldienst im Bereich der Telekommunikation, ABl. EG 1994 C 48, 1. Siehe zu diesen Regelungen überblicksartig Neumann, Optionen, S. 14 ff. Ausführlich hierzu Neumann/Sickmann, N&R-Beilage 1/2018, 1, 8 ff. BVerfG Beschl. v. 7.10.2003 – 1 BvR 1712/01, BVerfGE 108, 370, 393. Siehe Gerpott, K&R 2022, 92, 93; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 160. Hierzu und zum Folgenden: CDU/CSU/SPD, Ein neuer Aufbruch für Europa. Eine neue Dynamik für Deutschland. Ein neuer Zusammenhalt für unser Land, Koalitionsvertrag v. 12.3.2018, Rz. 1659 ff. Ausführlich hierzu Neumann, Optionen, S. 2 f.; Neumann/Sickmann, N&R-Beilage 1/2018, 1, 1 ff. Art. 1 des Telekommunikationsmodernisierungsgesetzes v. 23.6.2021, BGBl. 2021 I, 1858. In Kraft getreten ist das Gesetz sogar erst am 1.12.2021 und da-

209

Andreas Neumann

neunten Teil das angekündigte „Recht auf Versorgung mit Telekommunikationsdiensten“, das in seiner Ausgestaltung grundsätzlich dem bisherigen Universaldienstmodell10 folgt. Der folgende Beitrag soll einen kurzen Überblick über diesen „Universaldienst 2.0“ geben und insbesondere einige der offenen Fragen aufzeigen, die von den neuen Regelungen aufgeworfen werden. II. Welche Leistungen beinhaltet das Recht auf telekommunikative Grundversorgung? 1. Gesetzliche Ausgestaltung 5 § 157 Abs. 2 TKG schreibt vor, dass ein Mindestangebot an Telekommunikationsdiensten verfügbar sein muss. Dieses muss Sprachkommunikationsdienste sowie einen schnellen Internetzugangsdienst für eine angemessene soziale und wirtschaftliche Teilhabe umfassen, einschließlich des hierfür notwendigen Anschlusses an ein öffentliches Telekommunikationsnetz an einem festen Standort. Erforderlich ist insoweit also ausdrücklich nur ein Anschluss an einem bestimmten (festen) Ort, aber kein Festnetzanschluss.11 Dieser Anschluss muss nicht leitungsgebunden erfolgen, sondern kann auch drahtlos realisiert werden.12 Auf diese Weise lassen sich ggf. kostenintensive Verlegearbeiten vermeiden, indem die „letzte Meile“ bis zum Teilnehmer mittels Mobilfunktechnologie oder sogar Satellitenfunk überwunden wird. 6 Welchen konkreten Anforderungen ein Sprachkommunikations- und ein Internetzugangsdienst im Sinne des erforderlichen Mindestangebots genügen müssen, wird nach § 157 Abs. 3 S. 1 TKG in einer Rechtsverordnung im Einzelnen festgelegt. Bei der Konkretisierung der Anforderungen an den Internetzugangsdienst sind nach der Vorgabe des Gesetzgebers insgesamt drei Kriterien zu berücksichtigen (§ 157 Abs. 3 S. 2 f. TKG): mit zu Beginn der laufenden 20. Legislaturperiode (vgl. Art. 61 Abs. 1 des Telekommunikationsmodernisierungsgesetzes). 10 Siehe zu den Ausgestaltungsoptionen im Vorfeld der TKG-Novelle Neumann, Optionen, S. 4 ff. 11 Kafka/Wilmes-Horváth, in: Säcker/Körber, § 157 Rz. 9; Neumann, N&R 2022, 134, 142. 12 Siehe die Begründung zum Gesetzentwurf der Bundesregierung, BTDrs. 19/26108, 200, 351 (zu § 156 Abs. 2): „Der Endnutzer hat somit keinen Anspruch auf einen leitungsgebundenen Anschluss … Bei der Verfügbarkeit der Dienste für Endnutzer spielen daher auch alle Technologien eine Rolle.“; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 161. Vgl. auch Nett/Sörries/Zoz, N&R 2022, 19.

210

Das Recht auf telekommunikative Grundversorgung

–

Mehrheitskriterium: Es müssen die von mindestens 80 % der Verbraucher:innen im Bundesgebiet genutzte Mindestbandbreite, Uploadrate und Latenz berücksichtigt werden.

–

Anreiz- bzw. Marktkriterium: Es sind die Auswirkungen auf die Anreize zum privatwirtschaftlichen Breitbandausbau und zu Breitbandfördermaßnahmen zu berücksichtigen.

–

Dienstekriterium: Der Dienst muss in jedem Fall bestimmte Pflichtdienste13 als qualitative Untergrenze ermöglichen.

Diese Konkretisierung ist nach entsprechender Subdelegation der Ver- 7 ordnungsermächtigung durch das Bundesdigitalministerium an die Bundesnetzagentur14 Mitte 2022 mit der Verordnung über die Mindestanforderungen für das Recht auf Versorgung mit Telekommunikationsdiensten (TKMV)15 erfolgt. Darin wurden als Anforderungen an einen Sprachkommunikationsdienst, der für eine Mindestversorgung erforderlich ist, eine Bandbreite von mindestens 64,0 Kilobit pro Sekunde (kbit/s) sowohl in Empfangs- als auch in Senderichtung („Download“ und „Upload“) und eine Latenz von höchstens 150 Millisekunden (ms) festgelegt (§ 3 TKMV). Die Bandbreitenvorgaben folgten dabei einer Empfehlung der Internationalen Fernmeldeunion (International Telecommunication Union, ITU)16 und der Latenzwert beruhte auf einem eingeholten Sachverständigengutachten.17 Für den wesentlich umstritteneren Internetzugangsdienst, der im Rahmen der Mindestversorgung zur Verfügung stehen muss, wurden auch vor dem Hintergrund der gutachterlichen Vorarbeiten eine Empfangsbandbreite von mindestens 10,0 Megabit pro Sekunde (Mbit/s), eine Sendebandbreite von mindestens 1,7 Mbit/s und eine Latenz von (ebenfalls) höchstens 150 ms festgelegt (§ 2 TKMV). An-

13 Hierbei handelt es sich um die in Anhang V des Kommunikationskodex in seiner jeweils gültigen Fassung aufgeführten Dienste, also aktuell um E-Mail, Suchmaschinen, grundlegende Online-Werkzeuge für die Aus- und Weiterbildung, Online-Zeitungen oder Online-Nachrichten, Online-Einkauf oder Online-Bestellung von Waren und Dienstleistungen, Arbeitssuche und Werkzeuge für die Arbeitssuche, berufliche Vernetzung, Online-Banking, Nutzung elektronischer Behördendienste, soziale Medien und Sofortnachrichtenübermittlung sowie Anrufe und Videoanrufe in Standardqualität. Ergänzt werden diese elf „Anhang-V-Dienste“ durch § 157 Abs. 3 S. 3 TKG um „Teleheimarbeit einschließlich Verschlüsselungsverfahren im üblichen Umfang und eine für Verbraucher marktübliche Nutzung von Online-Inhaltediensten“. 14 § 1 der Universaldienst-Übertragungsverordnung v. 1.12.2021, BAnz AT 2.12.2021 V1. 15 Verordnung v. 14.6.2022, BGBl. 2022 I, 880. 16 Verordnungsbegründung, BR-Drs. 227/22, 3, 11 (zu § 3). 17 Kulenkampff u. a., S. IV, 100 ff., 108, 131.

211

Andreas Neumann

gesichts der Kritik an den vielfach als unzureichend erachteten Bandbreiten18 hat die Bundesregierung schon vor Inkrafttreten der Verordnung angekündigt, dass die Vorgaben im Rahmen der jährlichen Überprüfung der festgelegten Anforderungen (§ 157 Abs. 4 S. 2 TKG) bereits in diesem Jahr (2023) angehoben werden sollen. Dabei sollen insbesondere die Anforderungen an die Empfangsbandbreite auf 15,0 Mbit/s steigen.19 2. Offene Fragen 8 Das gesetzlich vorgegebene Mehrheitskriterium sieht vor, dass die von mindestens 80 % der Verbraucher:innen im Bundesgebiet genutzten Leistungsmerkmale eines Internetzugangsdiensts berücksichtigt werden müssen. Nach Art. 84 Abs. 3 S. 1 des Kommunikationskodex müssen die Mitgliedstaaten die Festlegung des Internetzugangsdiensts, der mindestens verfügbar sein muss, „in Anbetracht der von der Mehrheit der Verbraucher in [ihrem] Hoheitsgebiet genutzten Mindestbandbreite“ vornehmen.20 Eine Mehrheit ist aber schon bei jedem Wert oberhalb von 50 % gegeben. Die Gesetzesmaterialien begründen den gewählten Schwellenwert von 80 % mit einem Rückgriff auf einen Kriterienkatalog des Kommunikationsausschusses,21 der zur Vermeidung weitreichender Marktverzerrungen nicht auf eine „einfache Mehrheit“22 gestützt worden sei.23 Dieser Kriterienkatalog beruhte auf der Vorgabe in Erwägungsgrund 25 (S. 3) der Universaldienstrichtlinie 2002/22/EG,24 der noch von einer „großen Mehrheit“ (der Bevölkerung) sprach. Nach jetziger Unionsrechtslage kommt es aber allein auf die „Mehrheit“ an.25 Damit

18 Vgl. hierzu Holznagel, MMR 2023, 37, 39. 19 Siehe zum Ganzen Kluckert, BR-Plenarprotokoll 1022/239. 20 Siehe auch Erwägungsgrund 215 S. 2 des Kommunikationskodex, dem zufolge die „Mindestbandbreite, die von der Mehrheit der Verbraucher im Hoheitsgebiet eines Mitgliedstaats genutzt“ wird, berücksichtigt werden muss. 21 COCOM, Bericht „Implementation of the revised Universal Service Directive: Internet related aspects of Article 4“, COCOM10-31-Final; hieran anknüpfend auch Kommission, Mitteilung „Universaldienst im Bereich der elektronischen Kommunikation: Bericht über die Ergebnisse der öffentlichen Konsultation und die dritte regelmäßige Überprüfung des Universaldienstumfangs entsprechend Artikel 15 der Richtlinie 2002/22/EG“, KOM (2011) 795 endgültig, S. 11. 22 Richtigerweise müsste man wohl von „absoluter Mehrheit“ sprechen. 23 Begründung zum Gesetzentwurf der Bundesregierung, BT-Drs. 19/26108, 200, 351 (zu § 156 Abs. 3). 24 So ausdrücklich die Kommission (Fn. 21), KOM (2011) 795 endgültig, S. 11. 25 Art. 4 Abs. 2 der Universaldienstrichtlinie 2002/22/EG stellte zwar bereits auf die Mehrheit (bzw. in der deutschen Sprachfassung die „Mehrzahl“) (der

212

Das Recht auf telekommunikative Grundversorgung

bestehen nicht unerhebliche Zweifel an der Unionsrechtskonformität des Mehrheitskriteriums in § 157 Abs. 3 S. 2 TKG.26 Diesen könnte ggf. durch eine einschränkende Auslegung Rechnung getragen werden, da das Kriterium nur zu „berücksichtigen“ ist.27 Ihm würde dann angesichts der unionsrechtlichen Vorgaben gegenüber der von (mindestens) 50 % der Verbraucher:innen genutzten Bandbreite keine ausschlaggebende Bedeutung zukommen. In der Sache hätte eine solche Absenkung des Schwellenwerts tendenziell höhere Leistungsanforderungen an den Internetzugangsdienst zur Folge, der mindestens verfügbar sein muss.28 Unionsrechtlich bezweifelt wird darüber hinaus die Ergänzung des Kata- 9 logs der „Anhang-V-Dienste“ um Teleheimarbeit und die Nutzung von Online-Inhaltediensten.29 Die Anhang-V-Dienste bilden allerdings nur das unionsrechtlich erforderliche Minimum an Diensten ab, die über die Bandbreite des Internetzugangsdiensts nutzbar sein müssen (Art. 84 Abs. 3 UAbs. 1 S. 2 des Kommunikationskodex). Ob zur Gewährleistung der gesellschaftlichen Teilhabe in einem Mitgliedstaat eine darüber hinausgehende Bandbreite erforderlich ist, kann dieser aber „angesichts der nationalen Gegebenheiten“ bestimmen (Art. 84 Abs. 3 UAbs. 1 S. 1 des Kommunikationskodex). Das dürfte dafür sprechen, dass es dem deutschen Gesetzgeber möglich war, weitere von ihm für teilhaberelevant

26

27

28 29

„Teilnehmer“) ab, enthielt aber die weitere Einschränkung, dass es auf die von dieser Mehrheit „vorherrschend“ verwendeten Technologien ankomme. Siehe bereits Neumann, N&R 2022, 134, 136 Fn. 12. Darüber hinaus ist es auch der Sache nach unscharf, wenn in den Gesetzesmaterialien allein auf die 80 %-Schwelle abgestellt wird. Denn der Kommunikationsausschuss hatte sich durchaus auf die von (mindestens) 50 % der Haushalte genutzte Bandbreite bezogen. Nur ergänzend hatte er als weitere Einschränkung gefordert, dass die betreffende Bandbreite auch von (mindestens) 80 % der Haushalte „mit Breitbandanschluss“ genutzt werden muss, siehe Kommission (Fn. 21), KOM (2011) 795 endgültig, S. 11. Auch wenn sich (im Festnetz) die Breitbandpenetration in Deutschland mit ungefähr 90 % mittlerweile der Vollversorgung nähert, siehe Bundesnetzagentur, Jahresbericht 2021, S. 51, verbleibt damit doch ein signifikanter Unterschied in der Bezugsgröße. Gerpott, K&R 2022, 92, 94, hält insoweit die diesbezügliche Bezugsgröße in § 157 Abs. 3 S. 2 TKG für unklar. Die Bedeutung dieser Berücksichtigungspflicht ist allerdings auch noch im Detail ungeklärt, siehe Neumann, N&R 2022, 134, 136. Bisweilen wird ohne weitere Problematisierung von einer weitgehenden Bindung ausgegangen, siehe etwa Gerpott, CR 2022, 672, 673 Rz. 7; Gerpott, K&R 2022, 92, 93 („einzuhalten sind“). Siehe entsprechend Gerpott, CR 2022, 672, 674 Rz. 7; Gerpott, K&R 2022, 92, 94. Koenig, K&R 2018, 478, 478 ff.

213

Andreas Neumann

erachtete Dienste festzulegen,30 auch wenn der Kreis der Universaldienstverpflichtungen an sich generell eng zu bestimmen ist.31 Die Notwendigkeit einer wie auch immer gearteten „empirischen“ Fundierung dessen, was zur Gewährleistung der Teilhabe erforderlich ist,32 lässt sich Art. 84 des Kommunikationskodex jedenfalls nicht entnehmen. 10 Zu guter Letzt sind die verordnungsrechtlichen Festlegungen zur Bandbreite und Latenz in §§ 2, 3 TKMV unter den Vorbehalt gestellt, dass ein Sprachkommunikations- bzw. Internetzugangsdienst bereits dann zur gebotenen Mindestversorgung rechnet, wenn er die festgelegten Anforderungen „regelmäßig“ erfüllt. Damit können auch solche Dienste einbezogen werden, die nicht durchgängig die vorgegebenen Bandbreiten bereitstellen33 oder bisweilen höhere Latenzzeiten aufweisen. Zum Teil wird bezweifelt, dass diese Einschränkung rechtmäßig ist, da namentlich der Internetzugangsdienst nach § 157 Abs. 3 S. 3 TKG das Dienstekriterium „stets“ erfüllen müsse. Das erfordere eine 100 %-ige Verfügbarkeit.34 Mit der Forderung, dass das Dienstekriterium „stets“ erfüllt sein muss, ist allerdings nur gemeint, dass die Bandbreite ungeachtet des Mehrheitsund Anreiz-/Marktkriteriums jedenfalls die Nutzung der festgelegten Dienste zu ermöglichen hat.35 Damit dürfte die Festlegung nur „regelmäßig“ zu erfüllender Leistungskriterien grundsätzlich mit den Vorgaben des TKG übereinstimmen. 11 In der Praxis wird sich diese Einschränkung vor allem dadurch auswirken, dass kurzzeitige Leistungseinschränkungen unschädlich sind. Die Frage ist allerdings, in welchem Umfang entsprechende Einschränkungen hinnehmbar sind, ohne dass damit die regelmäßige Bereitstellung des Leistungsniveaus entfällt. Unproblematisch dürften vereinzelte wartungsbedingte Beschränkungen sein.36 Schwieriger könnte es jedoch bei 30 Neumann, N&R 2022, 134, 137 Fn. 43. 31 Siehe zu letztgenanntem Aspekt EuGH, Urt. v. 17.2.2011 – C-16/10 – ECLI: EU:C:2011:92, Rz. 31 – The Number (UK) Ltd.; Neumann, Optionen, S. 15. 32 So das zentrale, aber nicht weiter hergeleitete Argument von Koenig, K&R 2018, 478, 479. 33 Neumann, N&R 2022, 134, 148; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 165. 34 So wohl Kafka/Wilmes-Horváth, in: Säcker/Körber, § 157 Rz. 17. In diese Richtung auch Gerpott, K&R 2022, 92, 94, der jedoch abweichend hiervon Ausnahmen etwa für zwingend notwendige Instandhaltungsmaßnahmen für zulässig hält. 35 Gerpott, CR 2022, 672, 675 f. Rz. 21; Neumann, N&R 2022, 134, 148; siehe auch die Begründung zum Gesetzentwurf der Bundesregierung, BTDrs. 19/26108, 200, 351 (zu § 156 Abs. 3). 36 Gerpott, CR 2022, 672, 675 Rz. 20; Neumann, N&R 2022, 134, 149.

214

Das Recht auf telekommunikative Grundversorgung

technologiebedingten Schwankungen sein, etwa wenn ein über Mobilfunktechnologie realisierter Anschluss aufgrund externer Einflüsse oder Überlastung der Funkzelle bisweilen die festgelegten Bandbreiten oder Latenzen verfehlt. Dabei spricht zwar einiges für ein grundsätzlich restriktives Verständnis.37 Zugleich darf aber auch die Grundentscheidung des Gesetzgebers gegen die Notwendigkeit eines leitungsgebundenen Anschlusses (siehe in Rz. 5) nicht konterkariert werden. Dementsprechend sollte mit der Einschränkung auf eine nur regelmäßige Einhaltung der Leistungsanforderungen gerade auch den Besonderheiten bei „drahtlosen Anschlusstechnologien“ Rechnung getragen werden.38 Damit dürften auch technologiebedingte Schwankungen jedenfalls in gewissem Umfang nicht gegen die Annahme sprechen, dass die verordnungsrechtlichen Anforderungen „regelmäßig“ erfüllt werden.39 Nur schwer erkennbar ist demgegenüber, wie Anschlusstechnologien, die – wie insbesondere eine Realisierung über geostationäre Satelliten – nicht nur ausnahmsweise, sondern durchgehend die festgelegten Leistungsanforderungen verfehlen,40 durch die Beschränkung auf eine nur „regelmäßige“ Anforderungserfüllung noch als Bestandteil des erforderlichen Mindestangebots angesehen werden könnten.41 III. Wann ist die telekommunikative Grundversorgung erschwinglich? 1. Gesetzliche Ausgestaltung Das Mindestangebot an Telekommunikationsdiensten kann seine 12 Grundversorgungsfunktion nur erfüllen, wenn der Preis der Dienste deren Nutzung nicht verhindert. § 158 Abs. 1 S. 1 TKG sieht daher vor, dass der Preis für Verbraucher:innen (nicht aber für sonstige Endnutzer:innen) „erschwinglich“ sein muss. Zur Konkretisierung dieser Anforderung hat die Bundesnetzagentur gemäß § 158 Abs. 1 S. 2 TKG Grundsätze über die Ermittlung erschwinglicher Preise für Telekommunikationsdienste vorgelegt. Diese zunächst am 16.8.2022 allein im Internet veröffentlichten Grundsätze hat die Bundesnetzagentur dann Ende 2022 als Allgemeinverfügung in ihrem Amtsblatt verkündet,42 diese dann jedoch Anfang 2023

37 Verordnungsbegründung, BR-Drs. 227/22, 3; Neumann, N&R 2022, 134, 148. 38 Verordnungsbegründung, BR-Drs. 227/22, 3, 5 (zu § 2). 39 Gerpott, CR 2022, 672, 675 Rz. 20; Neumann, N&R 2022, 134, 149; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 165. 40 Siehe hierzu kritisch Huber, MMR 2022, 85, 86. 41 Neumann, N&R 2022, 134, 149; so jedoch die Verordnungsbegründung, BRDrs. 227/22, 3, 8 (zu § 2 Nr. 1 lit. a). 42 Bundesnetzagentur, Vfg. Nr. 139/2022, ABl. BNetzA 2022, 1519.

215

Andreas Neumann

wieder aufgehoben43 und die – inhaltlich unveränderten – Grundsätze noch einmal als „Verwaltungsgrundsätze“ in Form einer Mitteilung im Amtsblatt veröffentlicht.44 Sie sind daher als Verwaltungsvorschriften anzusehen, was ihrer gesetzlichen Konzeption entsprechen dürfte,45 zumal der Gesetzgeber anders als in anderen Regelungszusammenhängen46 davon abgesehen hat, einen Erlass in Form einer Allgemeinverfügung vorzugeben (auch wenn das für eine entsprechende materielle Qualifizierung nicht erforderlich ist). 13 Als allgemeine Leitlinien für die Preisbildung gibt die Bundesnetzagentur das Ziel gleichwertiger Lebensverhältnisse und die ausgewogene Berücksichtigung der Interessen der Endnutzer:innen einerseits und der zur Dienstleistung verpflichteten Telekommunikationsunternehmen andererseits vor. Auf dieser Grundlage erachtet die Bundesnetzagentur Preise dann als erschwinglich, wenn sie sich an marktüblichen Preisen orientieren, worunter Preise zu verstehen seien, die sich nach einem Großteil der Preise für die betreffende Leistung richten. Für die weitere Konkretisierung differenziert die Bundesnetzagentur dann zwischen dem monatlichen Preis für die Dienstenutzung und dem einmaligen Preis für den Anschluss. 14 Den erschwinglichen monatlichen Preis für die Dienstenutzung ermittelt die Bundesnetzagentur anhand eines technologieneutralen bundesweiten Durchschnitts aus den Preisen der auf dem Markt angebotenen Produktbündel, die den Anforderungen an das Mindestangebot von Telekommunikationsdiensten entsprechen, gewichtet nach den jeweiligen Nutzerzahlen. Ergänzend wird die Höhe der Aufwendungen im Zusammenhang mit dem Betrieb der Telekommunikationseinrichtungen berücksichtigt, die über das übliche Maß – namentlich den grundsätzlich unverzichtbaren Betrieb eines Routers – hinausgehen. Damit sollen insbesondere Mehrkosten für den Betrieb von Satellitenschüsseln erfasst werden. 15 Auch der erschwingliche einmalige Anschlusspreis wird mittels eines bundesweiten technologieneutralen Durchschnitts aus den Preisen der Anschlüsse an einem festen Standort, einschließlich der Bereitstellungsentgelte, ermittelt, erneut gewichtet nach Nutzerzahlen. Im Einzelfall

43 Bundesnetzagentur, Vfg. Nr. 29/2023, ABl. BNetzA 2023, 141. 44 Bundesnetzagentur, Mitteilung Nr. 34/2023, ABl. BNetzA 2023, 143. 45 Neumann, N&R 2022, 134, 138; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 166; siehe auch Gerpott, CR 2022, 672, 676 Rz. 22. 46 Siehe etwa § 57 Abs. 5, § 73 Abs. 2 S. 1, § 112 Abs. 6 S. 3, § 113 Abs. 2 S. 3, § 114 Abs. 2 S. 2, § 167 Abs. 1 S. 1 TKG.

216

Das Recht auf telekommunikative Grundversorgung

kann regionalen Besonderheiten – wie einer sehr geringen Besiedelungsdichte mit daraus folgend höheren Anschlusskosten – Rechnung getragen werden, indem statt des bundesweiten Durchschnittspreises der durchschnittliche Preis für den Anschluss in dem betreffenden Landkreis als Referenz herangezogen wird. 2. Offene Fragen Eine zentrale Weichenstellung bei der Ermittlung des erschwinglichen 16 Preises erfolgt bei der Bestimmung der Produktbündel, die in die Bildung des gewichteten bundesweiten Durchschnittswerts einfließen. Grundsätzlich müsste es um eine Betrachtung solcher Produktbündel aus Sprachtelefon- und Internetzugangsdienst gehen, die exakt den in der TKMV festgelegten Anforderungen an das Mindestangebot von Telekommunikationsdiensten (siehe dazu Rz. 7) entsprechen. Denn nur solche Produktbündel spiegeln den (durchschnittlichen) Preis wider, der für die Inanspruchnahme solcher Dienste zu zahlen ist. Dann wäre die Betrachtung aber auf solche Produktbündel beschränkt, die insbesondere einen Internetzugangsdienst mit einer minimalen47 Sendebandbreite von 1,7 Mbit/s und einer minimalen Empfangsbandbreite von 10,0 Mbit/s umfassen. Solche Produktbündel wird es in der Praxis nicht (bzw. jedenfalls nicht in relevantem Maße) geben. Die Bundesnetzagentur bezieht daher auch solche Produktbündel mit ein, deren Datenraten darüber hinausgehen.48 Da mit höherer Bandbreite jedenfalls tendenziell auch der Preis des betreffenden (Internetzugangs-)Diensts steigt, wird die Frage, bis zu welcher Bandbreite Produktbündel hier zu berücksichtigen sind, in der Praxis von erheblicher Bedeutung für die Bestimmung eines erschwinglichen Preises sein. Eine weitere Frage ist, inwieweit es sachgerecht ist und den gesetzli- 17 chen Vorgaben entspricht, dass bei der Bestimmung des erschwinglichen Preises auch besondere kostentreibende Komponenten etwa im Zusammenhang mit dem Betrieb einer Satellitenschüssel berücksichtigt werden (siehe hierzu Rz. 14). Das wird zum Teil kritisch gesehen, da es dem Grundansatz widerspreche, die Erschwinglichkeit technologieneutral anhand mittlerer Monatsmarktpreise zu bestimmen.49 Zwingend erscheint diese Kritik nicht. Denn wenn eine für die Ermittlung des gewichteten 47 Die Bundesnetzagentur betrachtet für die Bestimmung der relevanten Produktbündel nicht die normalerweise zur Verfügung stehenden, sondern die minimalen Datenraten, siehe Bundesnetzagentur, Mitteilung Nr. 34/2023, ABl. BNetzA 2023, 143, 150. 48 Bundesnetzagentur, Mitteilung Nr. 34/2023, ABl. BNetzA 2023, 143, 150. 49 Gerpott, CR 2022, 672, 676 Rz. 27.

217

Andreas Neumann

Preises relevante Anzahl von Nutzer:innen Breitbanddienste nutzt, deren Inanspruchnahme den kostenverursachenden Betrieb spezifischer Komponenten erfordert, ergibt sich nur unter Einbeziehung auch dieser Kosten ein korrektes Bild dessen, was die betreffenden Nutzer:innen tatsächlich für die Inanspruchnahme dieses Dienstes aufwenden (müssen). Das gilt jedenfalls in Bezug auf solche Zusatzkosten, die wie Stromkosten für den Betrieb einer Satellitenschüssel ohnehin auf monatlicher Basis anfallen und bestimmt werden können. Nicht im Widerspruch zu diesem Ansatz der Bundesnetzagentur, sondern vielmehr im Einklang mit ihm steht es, dass auch bei der Prüfung, ob an einem bestimmten Ort das Mindestangebot an Telekommunikationsdiensten zu einem erschwinglichen Preis verfügbar ist, ggf. solche unvermeidbaren Zusatzkosten berücksichtigt werden (müssen).50 IV. Wie wird die telekommunikative Grundversorgung gewährleistet? 1. Gesetzliche Ausgestaltung 18 Idealerweise stellt bereits – wie bisher – die privatwirtschaftliche Leistungserbringung im Wettbewerb sicher, dass ein Mindestangebot an Telekommunikationsdiensten im vorstehend beschriebenen Sinne zu erschwinglichen Preisen flächendeckend verfügbar ist. Die deutliche Anhebung der Leistungsanforderungen an ein solches Mindestangebot gegenüber der früheren Rechtslage kann aber zur Folge haben, dass möglicherweise nicht mehr allen Haushalten bundesweit ein solches Angebot zur Verfügung steht. Auch marktliche Entwicklungen wie der „Kupferausstieg“ oder inflationsgetriebene Preissteigerungen können jedenfalls perspektivisch zu entsprechenden Versorgungslücken führen. Damit rückt der Mechanismus, mit dem die telekommunikative Grundversorgung gewährleistet wird, in den Fokus. Die diesbezügliche Gewährleistungsverantwortung obliegt dabei der Bundesnetzagentur. Sie muss in regelmäßigen Abständen die Verfügbarkeit des Mindestangebots an Telekommunikationsdiensten (§ 157 Abs. 1 S. 1 TKG) und darüber hinaus auch die Entwicklung und Höhe der Preise für die betreffenden Dienstleistungen überwachen (§ 158 Abs. 2 TKG). 19 Ergibt sich dabei in einem bestimmten räumlichen Gebiet ein aktuelles Versorgungsdefizit oder ist ein künftiges Versorgungsdefizit zu erwarten, veröffentlicht die Bundesnetzagentur eine entsprechende Unterversorgungsfeststellung (§ 160 Abs. 1 S. 1 TKG). Diese Feststellung muss bin-

50 So die Forderung von Gerpott, CR 2022, 672, 676 Rz. 27.

218

Das Recht auf telekommunikative Grundversorgung

nen einer Frist von zwei Monaten, die um bis zu einen Monat verlängert werden kann (§ 160 Abs. 1 S. 2 TKG), erfolgen. Die bloße Feststellung, dass in einem bestimmten Gebiet aktuell kein 20 Mindestangebot an Telekommunikationsdiensten zu einem erschwinglichen Preis verfügbar ist oder dass dort künftig jedenfalls eine entsprechende Unterversorgung droht, löst für sich genommen jedoch noch keine weitergehenden Sicherstellungsmaßnahmen der Bundesnetzagentur aus. Hinzukommen muss vielmehr eine entsprechende Bedarfsfeststellung. Die Bundesnetzagentur muss also zu dem Ergebnis gelangen, dass in dem betreffenden Gebiet auch ein tatsächlicher Bedarf für eine Versorgung mit einem Mindestangebot an Telekommunikationsdiensten besteht (§ 160 Abs. 2 S. 1 TKG), der z. B. durch Beschwerden von Endnutzer:innen oder Kommunen sichtbar werden kann.51 In einem solchen Fall stellt die Bundesnetzagentur im Rahmen bzw. verbunden mit der Unterversorgungsfeststellung auch diesen Bedarf fest und kündigt zugleich an, die telekommunikative Grundversorgung ggf. im Verpflichtungswege durchzusetzen. Diese Sicherstellungsankündigung erfolgt ebenfalls zusammen mit der Unterversorgungs- und der Bedarfsfeststellung. Auch nun können hoheitliche Verpflichtungen allerdings noch vermie- 21 den werden. Hierzu muss innerhalb eines Monats nach Veröffentlichung der Unterversorgungsfeststellung zumindest ein Unternehmen gegenüber der Bundesnetzagentur zusagen, das Mindestangebot an Telekommunikationsdiensten zu erschwinglichen Preisen freiwillig (und ohne Zahlung eines etwaigen Defizitausgleichs) zu erbringen. In diesem Fall prüft die Bundesnetzagentur auf einer ersten Stufe des Sicherstellungsverfahrens, ob eine solche Verpflichtungszusage geeignet ist, die Versorgung sicherzustellen.52 Bei positivem Ausgang der Prüfung kann die Bundesnetzagentur diese Zusage durch Verfügung für bindend erklären (§ 161 Abs. 1 S. 1 TKG). Weitergehende Sicherstellungsmaßnahmen sind damit in dem betreffenden Gebiet ausgeschlossen (vgl. § 161 Abs. 1 S. 2 TKG). Etwas anderes gilt nur, wenn die Verfügung nach Ablauf einer etwaigen Befristung (§ 161 Abs. 1 S. 3 TKG) außer Kraft tritt oder von der Bundesnetzagentur wieder aufgehoben wird (§ 161 Abs. 1 S. 4 TKG), etwa weil die Verpflichtungszusage nicht eingehalten wurde. Hat kein Unternehmen eine geeignete Verpflichtungszusage vorgelegt, 22 die von der Bundesnetzagentur für bindend erklärt wurde, muss die Bundesnetzagentur auf der zweiten Stufe des Sicherstellungsverfahrens ein 51 Nett/Sörries/Zoz, N&R 2022, 19, 20. 52 Zu dieser Eignung Neumann, Telekommunikationsrecht kompakt – Band 2, S. 171.

219

Andreas Neumann

oder mehrere Unternehmen verpflichten, in dem betreffenden Gebiet Telekommunikationsdienste im Umfang des vorgesehenen Mindestangebots zu erschwinglichen Preisen zu erbringen (§ 161 Abs. 2 S. 1 TKG). Hierzu kann grundsätzlich jedes Unternehmen herangezogen werden, das in der Bundesrepublik Deutschland auf dem sachlichen Markt der Versorgung mit Sprachkommunikations- und Internetzugangsdiensten einschließlich des hierfür notwendigen Anschlusses tätig ist (§ 159 S. 1 TKG). Die Entscheidung der Bundesnetzagentur muss in einem effizienten, objektiven, transparenten und diskriminierungsfreien Verfahren erfolgen (§ 161 Abs. 2 S. 8 TKG). Sie muss innerhalb einer Frist von vier Monaten nach Veröffentlichung der Unterversorgungsfeststellung erfolgen, wobei u. U. eine Verlängerung um einen Monat in Betracht kommt (§ 161 Abs. 2 S. 2 f. TKG). 2. Offene Fragen 23 Ein aktuelles Versorgungsdefizit, das den dargestellten Sicherstellungsmechanismus auslösen kann, liegt gemäß § 160 Abs. 1 S. 1 Nr. 1 TKG nicht vor, wenn eine Versorgung mit dem Mindestangebot von Telekommunikationsdiensten zu einem erschwinglichen Preis zwar nicht gegenwärtig, aber „in objektiv absehbarer Zeit“ gegeben ist. Damit kommt angesichts eines fortschreitenden Breitbandausbaus der Frage zentrale Bedeutung zu, welcher Zeitraum damit gemeint ist. Für den eigenwirtschaftlichen Ausbau wird in den Gesetzesmaterialien von einem zeitlichen Horizont von etwa zwölf Monaten ausgegangen.53 Unklar ist, ob im Bereich des geförderten Ausbaus ein entsprechender zeitlicher Maßstab anzulegen ist.54 Angesichts der Dauer von Beihilfeverfahren dürfte viel dafür sprechen, hier auch einen etwas längeren Zeitraum noch als „absehbar“ anzuerkennen.55 Insbesondere liefe es dem subsidiären Ansatz des Universaldienstregimes56 zuwider, eine bereits angestoßene Ausbauförderung durch hoheitliche Sicherstellungsmaßnahmen nach § 161 Abs. 2 TKG zu unterlaufen. 24 Unsicherheiten bestehen aber auch mit Blick auf die Alternative eines erst künftigen Versorgungsdefizits. § 160 Abs. 1 S. 1 Nr. 2 TKG nimmt insoweit nur auf die Sorge Bezug, dass eine Versorgung mit dem Mindestangebot an Telekommunikationsdiensten zukünftig nicht mehr ge-

53 Bericht des Ausschusses für Wirtschaft und Energie, BT-Drs. 19/28865, 370, 406 (zu § 160 Abs. 1). 54 So etwa noch Neumann, N&R 2022, 134, 139. 55 Neumann, Telekommunikationsrecht kompakt – Band 2, S. 169. 56 Siehe zu diesem Neumann, Optionen, S. 15 f. und 20.

220

Das Recht auf telekommunikative Grundversorgung

währleistet sein wird. Anders als bei der Feststellung eines aktuellen Versorgungsdefizits nach § 160 Abs. 1 S. 1 Nr. 1 TKG wird hier nicht darauf abgestellt, ob dieses Mindestangebot auch zu erschwinglichen Preisen bereitgestellt wird. Fraglich ist also, ob eine Unterversorgungsfeststellung auch ergehen kann, wenn in Zukunft zwar keine Verringerung des Leistungsangebots unter das erforderliche Grundversorgungsniveau zu erwarten ist, aber preisliche Entwicklungen zu besorgen sind, in deren Folge die Erschwinglichkeit des Mindestangebots nicht mehr gewährleistet wäre.57 Dafür könnte sprechen, dass dann eben die von § 158 Abs. 1 S. 1 TKG geforderte Erschwinglichkeit künftig nicht mehr gegeben wäre, die auch Voraussetzung für die allgemeine Möglichkeit der Teilhabe an einer telekommunikativen Grundversorgung ist. Dagegen spricht vor allem das systematische Argument des deutlichen Unterschieds in der Formulierung von § 160 Abs. 1 S. 1 Nr. 1 und 2 TKG. Und auch in teleologischer Hinsicht könnte die Beschränkung einer zukunftsgerichteten Unterversorgungsfeststellung auf den Leistungsumfang hinnehmbar sein. Zwar müsste dann mit einer Unterversorgungsfeststellung wegen nicht mehr erschwinglicher Preise gewartet werden, bis die Preise für das Mindestangebot an Telekommunikationsdiensten in dem betreffenden Gebiet tatsächlich nicht mehr erschwinglich sind (etwa wegen entsprechender Preiserhöhungen oder einer auf den Rest des Bundesgebiets beschränkten Senkung des Preisniveaus). Die dann ggf. zu ergreifenden Sicherstellungsmaßnahmen ließen sich aber zeitnah umsetzen. Anders als bei einem unzureichenden Leistungsumfang ginge es nämlich jedenfalls grundsätzlich nur noch um eine kurzfristig mögliche Anpassung des Bereitstellungspreises und nicht um einen zeitaufwendigen Netzausbau. Zahlreiche Fragen stellen sich des Weiteren in Bezug auf die erste Stufe 25 des Sicherstellungsverfahrens. Dem Wortlaut von § 161 Abs. 1 S. 1 TKG zufolge besteht dort bereits ein Entschließungsermessen der Bundesnetzagentur, ob sie eine geeignete Verpflichtungszusage durch Verfügung für bindend erklärt, wodurch weitergehende Sicherstellungsmaßnahmen entbehrlich würden. Auf der zweiten Stufe des Sicherstellungsverfahrens müssten allerdings hoheitliche Verpflichtungen ergehen, die in die Grundrechte des verpflichteten Unternehmens eingreifen. Darüber hinaus käme ein Defizitausgleich mit den daraus folgenden Belastungen weiterer Marktteilnehmer in Betracht. Vor diesem Hintergrund ist insoweit kein Raum für einen weiten Ermessensspielraum der Bundesnetzagentur.58 Abgesehen von ganz besonderen Ausnahmekonstellationen wird die Behörde vielmehr verpflichtet sein, geeignete Verpflichtungs57 Hierzu und zum Folgenden Neumann, N&R 2022, 134, 139. 58 Neumann, N&R 2022, 134, 140.

221

Andreas Neumann

zusagen für bindend zu erklären.59 Lediglich in dem Fall, in dem mehrere Unternehmen solche geeigneten Zusagen abgegeben haben, wird es regelmäßig einer Ermessensausübung der Bundesnetzagentur bedürfen, welche dieser Zusagen sie für bindend erklärt. 26 Unklar ist aber auch der Regelungsgehalt dieser Verbindlichkeitserklärung. Nach § 161 Abs. 1 S. 2 TKG hat sie (neben einer etwaigen Befristung gemäß § 161 Abs. 1 S. 3 TKG als potentielle Nebenbestimmung) „zum Inhalt, dass die Bundesnetzagentur … von ihren Befugnissen nach den folgenden Absätzen gegenüber den beteiligten Unternehmen keinen Gebrauch machen wird“. Fraglich ist, ob sich die Verfügung inhaltlich auf diese den Handlungsspielraum der Bundesnetzagentur begrenzende Regelung beschränkt.60 Es würde dann insbesondere an einer verwaltungsaktmäßigen Bindung des leistungsbereiten Unternehmens fehlen, die zugesagten Verpflichtungen auch tatsächlich einhalten zu müssen. Dagegen spricht zum einen der Wortlaut von § 161 Abs. 1 S. 4 Nr. 2 TKG, der von den „Verpflichtungen“ der beteiligten Unternehmen spricht. Zum anderen geht § 156 Abs. 1 S. 1 TKG davon aus, dass Unternehmen gerade auch nach § 161 Abs. 1 TKG „durch die Bundesnetzagentur … verpflichtet“ werden können. Damit dürfte entgegen der insoweit etwas irreführenden Formulierung von § 161 Abs. 1 S. 2 TKG die Verfügung der Bundesnetzagentur, mit der eine Verpflichtungszusage für bindend erklärt wird, gerade auch diese Bindungswirkung regeln.61 27 Nicht ohne weiteres beantworten lässt sich jedoch, wie zu verfahren ist, wenn eine zunächst ergangene Verfügung, mit der eine Verpflichtungszusage für bindend erklärt wurde, nachträglich wieder aufgehoben wird (etwa weil die Verpflichtungen nicht eingehalten wurden). Nach § 161 Abs. 1 S. 4 TKG ist in diesem Fall „das Verfahren wieder aufzunehmen“. Bei einer Wiederaufnahme wird das Verfahren üblicherweise nach Beseitigung der verfahrensabschließenden Entscheidung in dem Stadium weitergeführt, in dem es sich bei Erlass jener Entscheidung befunden hatte. Ein solches Verständnis hätte aber vorliegend die zweifelhafte Konsequenz, dass die Bundesnetzagentur möglicherweise Monate oder gar Jahre nach Erlass einer Verbindlichkeitserklärung beurteilen müsste, ob noch eine geeignete Verpflichtungszusage vorliegt. Das ergibt insbesondere dann keinen Sinn, wenn die „Wiederaufnahme“ wegen einer nachträglichen Änderung der tatsächlichen Verhältnisse (Nr. 1) oder aufgrund 59 Neumann, Telekommunikationsrecht kompakt – Band 2, S. 171. 60 In diese Richtung wohl Kafka/Wilmes-Horváth, in: Säcker/Körber, § 161 Rz. 3. 61 Hierzu und zum Vorstehenden Neumann, N&R 2022, 134, 140 f.; siehe auch Neumann, Telekommunikationsrecht kompakt – Band 2, S. 171 f.

222

Das Recht auf telekommunikative Grundversorgung

geänderter Anforderungen an das Mindestangebot an Telekommunikationsdiensten (Nr. 3) erfolgte. Hier wäre es sinnvoll und vom Zweck des Sicherstellungsverfahrens geboten, zunächst die Möglichkeit einer freiwilligen Leistungserbringung zu überprüfen, bevor auf der zweiten Stufe des Sicherstellungsverfahrens hoheitliche Verpflichtungsmaßnahmen ergriffen werden. Es spricht daher viel dafür, bei einer Wiederaufnahme des Verfahrens nach § 161 Abs. 1 S. 4 TKG nicht nur die Verbindlichkeitserklärung nach § 161 Abs. 1 S. 1 TKG, sondern jedenfalls auch die Sicherstellungsankündigung nach § 160 Abs. 2 TKG sowie evtl. auch die Bedarfs- und sogar die Unterversorgungsfeststellung aufzuheben, um so den Weg für die Abgabe neuer Verpflichtungszusagen freizumachen.62 Klärungsbedürftig ist schließlich aber auch die zentrale Frage, nach wel- 28 chen Auswahlkriterien auf der zweiten Stufe des Sicherstellungsverfahrens das Unternehmen zu bestimmen ist, dem eine Universaldienstverpflichtung auferlegt wird. Außer den Verfahrensgrundsätzen nach § 161 Abs. 3 S. 8 TKG (dazu Rz. 22), die in der Sache weitestgehend rechtsstaatlichen Selbstverständlichkeiten entsprechen,63 enthält das TKG hierzu keine detaillierten Vorgaben. § 161 Abs. 3 S. 6 TKG führt lediglich aus, dass für die Auferlegung einer Versorgungsverpflichtung „insbesondere solche Unternehmen in Betracht [kommen], die bereits geeignete Telekommunikationsnetze in der Nähe der betreffenden Anschlüsse betreiben und die Versorgung mit Telekommunikationsdiensten nach § 157 Absatz 2 auf kosteneffiziente Weise erbringen können“. Hieraus wird man ableiten können, dass sich die Auswahlentscheidung in erster Linie daran zu orientieren hat, welches der in Frage kommenden Unternehmen die Dienste zu den geringsten Kosten erbringen kann.64 Das entspräche auch dem Ziel einer weitestmöglichen Minimierung des Finanzierungsbedarfs sowie sich hieraus ergebender Wettbewerbsverzerrungen. V. Wie wird das Recht auf telekommunikative Grundversorgung finanziert? 1. Gesetzliche Ausgestaltung Ist es möglich, das Mindestangebot an Telekommunikationsdiensten 29 zu erschwinglichen Preisen bereitzustellen und dabei einen angemesse-

62 Siehe hierzu und zum Vorstehenden Neumann, N&R 2022, 134, 141 f.; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 172. 63 Neumann, N&R 2022, 134, 142. 64 Neumann, N&R 2022, 134, 142; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 173.

223

Andreas Neumann

nen Gewinn zu erwirtschaften, wird sich jedenfalls in aller Regel ein Unternehmen finden, dass eine entsprechende Versorgung übernimmt, zumindest nach Erlass einer Sicherstellungsankündigung durch die Bundesnetzagentur (siehe zu dieser Rz. 20). Das System zur Gewährleistung einer telekommunikativen Grundversorgung beruht aber gerade auf der Erkenntnis, dass diese Voraussetzung nicht immer gegeben sein muss, sondern es Fälle geben kann, in denen die Leistungserbringung zu erschwinglichen Preisen nur defizitär möglich ist. Deshalb kann die Bundesnetzagentur nötigenfalls ein Unternehmen verpflichten, entsprechende Leistungen bereitzustellen. Da ein solchermaßen verpflichtetes Unternehmen im Fremdinteresse zu operativen Verlusten gezwungen wird, bedarf es zur Vermeidung eines unverhältnismäßigen Grundrechtseingriffs und jedenfalls mit Blick auf die diesbezüglichen Vorgaben aus Art. 90 Abs. 1 des Kommunikationskodex65 einer Kompensation des entstehenden Defizits. 30 Voraussetzung für einen solchen Ausgleich ist neben einem entsprechenden Antrag des Diensteverpflichteten, dass diesem Unternehmen in einem Kalenderjahr ein Defizit bei der Erbringung der Versorgung mit dem Mindestangebot an Telekommunikationsdiensten zu einem erschwinglichen Preis entstanden ist (§ 162 Abs. 1 TKG). Maßgeblich hierfür sind die sog. „Nettokosten“ für die verpflichtende Erbringung der telekommunikativen Grundversorgung. Sie werden als Differenz zwischen den Nettokosten des Diensteverpflichteten für den Betrieb ohne Diensteverpflichtung und den Nettokosten für den Betrieb unter Einhaltung der Diensteverpflichtung bestimmt (§ 162 Abs. 2 TKG).66 Einzelheiten zur Berechnung dieser Kosten finden sich in Anhang VII des Kommunikationskodex. In ihrem Rahmen sind auch Vorteile und Erträge des Diensteverpflichteten einschließlich immaterieller Vorteile wie Werbeund Reputationseffekte (defizitmindernd) zu berücksichtigen. Ergänzend wird die Bundesnetzagentur die Grundsätze und das Ergebnis der Kostenberechnung veröffentlichen (§ 162 Abs. 5 S. 1 Nr. 1 und 2 TKG). Hierzu ist es bislang noch nicht gekommen. 31 Nicht bei jedem Defizit ist jedoch eine Ausgleichszahlung vorgesehen.67 Erforderlich ist vielmehr des Weiteren, dass die ermittelten Nettokosten eine „unzumutbare Belastung“ darstellen (§ 162 Abs. 1 Halbs. 2 TKG). Es darf dem Diensteverpflichteten also nicht zumutbar sein, das Defizit 65 Neumann, Optionen, S. 17 und 21. 66 Siehe auch zur früheren Rechtslage EuGH, Urt. v. 21.12.2016 – C-327/15 – ECLI:EU:C:2016:974, Rz. 71 – TDC. 67 So schon zur früheren Rechtslage EuGH, Urt. v. 6.10.2010 – C-389/08 – ECLI:EU:C:2010:584, Rz. 50 – Base u. a.

224

Das Recht auf telekommunikative Grundversorgung

selbst zu tragen. Diese Unzumutbarkeit ist von der Bundesnetzagentur festzustellen (§ 162 Abs. 4 S. 1 TKG), also objektiv zu bestimmen, wenn auch gerade mit Blick auf das betreffende Unternehmen.68 Liegt eine unzumutbare Belastung vor, dann setzt die Bundesnetzagentur 32 die Höhe des Ausgleichs fest (§ 162 Abs. 4 S. 2 TKG). Diese ergibt sich aus dem von der Bundesnetzagentur errechneten Ausgleichsbetrag zuzüglich einer marktüblichen Verzinsung (§ 162 Abs. 4 S. 3 TKG), die mit dem Tag nach Ablauf des defizitrelevanten Kalenderjahres beginnt (§ 162 Abs. 4 S. 4 TKG). Die Ausgleichszahlung selbst wird dann allerdings nicht durch staat- 33 liche Mittel finanziert, sondern durch ein Umlageverfahren. In dessen Rahmen tragen jenseits einer De-minimis-Grenze (§ 163 Abs. 7 S. 1 TKG) grundsätzlich alle Unternehmen, die auch zur Erbringung der telekommunikativen Grundversorgung verpflichtet werden können (siehe Rz. 22), durch eine Abgabe zu dem erforderlichen Defizitausgleich bei (§ 163 Abs. 1 TKG). Die Höhe der jeweils geschuldeten Abgabe bestimmt sich dabei anteilig nach dem jeweiligen Jahresinlandsumsatz des betreffenden Unternehmens (§ 163 Abs. 2 S. 1 TKG). Dabei hat der Diensteverpflichtete selbst einen seinem Umsatz entsprechenden Anteil an dem Defizitausgleich zu tragen. Zusätzlich zu den Anbietern von Sprachkommunikations- und Internetzugangsdiensten kann die Bundesnetzagentur aber auch große Anbieter nummernunabhängiger interpersoneller Telekommunikationsdienste zur Mitfinanzierung der Ausgleichszahlung heranziehen (§ 163 Abs. 6 S. 1 TKG). Dabei wird deren relativer Finanzierungsanteil anhand der Zahl ihrer monatlich aktiven Nutzer im Inland bestimmt (§ 163 Abs. 6 S. 3 TKG). Mit dieser Möglichkeit soll dem Umstand Rechnung getragen werden, dass auch Anbieter plattformunabhängiger („Over-The-Top“-, OTT-) Kommunikationsdienste (wie „WhatsApp“) von einem flächendeckenden Zugang zum schnellen Internet profitieren.69 2. Offene Fragen Offen ist bereits, wann ein Defizit zu einer unzumutbaren Belastung 34 wird. Die Gesetzesmaterialien gehen unter Bezugnahme auf Erwägungsgrund 239 des Kommunikationskodex davon aus, dass dies insbesondere der Fall sei, „wenn die Telekommunikationsdienste nur mit Verlust oder nur zu Nettokosten, die außerhalb der üblichen geschäftlichen Standards 68 Siehe hierzu Fischer, in: Fetzer/Scherer/Graulich, § 82 Rz. 11 und 13. 69 Kafka/Wilmes-Horváth, in: Säcker/Körber, § 163 Rz. 14; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 178.

225

Andreas Neumann

liegen, erfüllt werden können“.70 Das ist jedoch nicht sonderlich überzeugend, bezieht sich dieser Erwägungsgrund doch überhaupt nicht auf die Unzumutbarkeit der Belastung.71 Vielmehr wird man eine Belastung vor dem Hintergrund der Rechtsprechung des EuGH zur früheren Rechtslage dann als unzumutbar anzusehen haben, wenn sie sich für das konkret betroffene Unternehmen angesichts seiner spezifischen Belastungsfähigkeit als übermäßig darstellt.72 Das wiederum ist insbesondere anhand seiner wirtschaftlichen und finanziellen Situation, seines Marktanteils als auch der Leistungsfähigkeit seiner Telekommunikationseinrichtungen zu beurteilen. Damit kann die Kostenbelastung jedenfalls dann als unzumutbar eingestuft werden, wenn sie die Wettbewerbsposition des Diensteverpflichteten nachweisbar beeinträchtigt.73 Da der Diensteverpflichtete gezwungen ist, seine Betriebsmittel im Fremdinteresse defizitär einzusetzen, dürfte einiges dafür sprechen, die Anforderungen an eine so verstandene Unzumutbarkeit einerseits nicht zu hoch anzusetzen.74 Bei der Bewertung der (Un-)Zumutbarkeit einer Belastung mit den Nettokosten könnte aber andererseits auch zu berücksichtigen sein, ob der Diensteverpflichtete seine Leistungen in (evident) unwirtschaftlicher Weise erbringt.75 35 Nicht völlig klar ist des Weiteren, was das Gesetz mit dem „von der Bundesnetzagentur errechneten Ausgleichsbetrag“ meint (§ 162 Abs. 4 S. 3 TKG), der die entscheidende Größe für die festzusetzende Höhe eines Defizitausgleichs darstellt.76 Da § 162 TKG ansonsten nur in Bezug auf die Nettokosten von einem Rechenvorgang spricht (§ 162 Abs. 3, Abs. 5 S. 1 Nr. 1 und 2 TKG), spricht einiges dafür, dass mit dem Ausgleichsbeitrag schlichtweg die errechneten Nettokosten gemeint sind. Das erschiene auch zweckmäßig, da sie dem verpflichtungsbedingten

70 Begründung zum Gesetzentwurf der Bundesregierung, BT-Drs. 19/26108, 200, 357 (zu § 161 Abs. 4). In der Sache ähnlich Kafka/Wilmes-Horváth, in: Säcker/ Körber, § 162 Rz. 3. 71 Neumann, N&R 2022, 134, 144. 72 Hierzu und zum Folgenden EuGH, Urt. v. 6.10.2010 – C-389/08 – ECLI: EU:C:2010:584, Rz. 42 – Base u. a. 73 Zur früheren Rechtslage so Cornils, in: Geppert/Schütz, § 82 Rz. 4 und 31. 74 Neumann, N&R 2022, 134, 144; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 175; vgl. auch Fischer, in: Fetzer/Scherer/Graulich, § 82 Rz. 13. 75 Kafka/Wilmes-Horváth, in: Säcker/Körber, § 162 Rz. 3; Neumann, N&R 2022, 134, 144; alternativ ließe sich dieser Aspekt bei der Bestimmung der ansatzfähigen Kosten durch eine Beschränkung auf die Kosten effizienter Leistungsbereitstellung berücksichtigen, so etwa Cornils, in: Geppert/Schütz, § 82 Rz. 17. 76 Neumann, N&R 2022, 134, 144.

226

Das Recht auf telekommunikative Grundversorgung

Defizit entsprechen. Gerade von diesem soll der Diensteverpflichtete durch den Ausgleichsmechanismus ja an sich entlastet werden. Allerdings besteht der Ausgleichsanspruch nur, soweit das Defizit eine unzumutbare Belastung darstellt (siehe Rz. 31). Dem könnte dadurch Rechnung zu tragen sein, dass der Ausgleichsbetrag auf den unzumutbaren Teil der Nettokosten beschränkt wird.77 Offen ist aber auch, was unter einer marktüblichen Verzinsung nach 36 § 162 Abs. 4 S. 3 TKG zu verstehen ist.78 Im wissenschaftlichen Schrifttum wird hier verbreitet eine Verzinsung für angemessen erachtet, die derjenigen entspricht, die auf dem Kapitalmarkt erzielt werden kann.79 Die Sicherstellung der telekommunikativen Grundversorgung erfolgt aber durch Investitionen im Telekommunikationssektor. Diese sind grundsätzlich risikobehafteter als etwa konventionelle Geldanlagen. Es könnte daher zu erwägen sein, die „marktübliche Verzinsung“ nicht anhand der Verhältnisse auf dem allgemeinen Kapitalmarkt zu bestimmen, sondern die branchenspezifischen Renditeaussichten zugrunde zu legen.80 Nicht zu verkennen ist allerdings, dass das Gesetz in § 162 Abs. 4 S. 3 TKG gerade keine „angemessene“, sondern nur eine „marktübliche“ Verzinsung fordert und auch ansonsten keinen § 42 Abs. 3 TKG vergleichbar elaborierten Kriterienkatalog bereitstellt. Darüber hinaus geht es bei der in § 162 Abs. 4 S. 3 TKG genannten Verzinsung aber auch eher um einen finanziellen Ausgleich für die der Sache nach erfolgende Vorfinanzierung durch den Diensteverpflichteten, nicht aber um die Kapitalrendite für die Investitionen selbst. Das wiederum könnte dafür sprechen, bei dieser Verzinsung auf die Verhältnisse auf dem Kapitalmarkt zurückzugreifen. Die telekommunikationsspezifische Risikorendite könnte dann über eine angemessene Verzinsung des eingesetzten Kapitals bereits bei der Berechnung der Nettokosten selbst zu berücksichtigen sein.81 Besonderen Diskussionsbedarf löst schließlich das Umlageverfahren aus. 37 Das betrifft bereits die ganz grundsätzliche Frage der Verfassungskonformität der Universaldienstabgabe. Sie ist bereits seit der erstmaligen

77 Neumann, N&R 2022, 134, 144; a. A. zur früheren Rechtslage Cornils, in: Geppert/Schütz, § 82 Rz. 26, der darin jedoch zu Recht selbst ein Kohärenzproblem sieht (Rz. 28). 78 Zur weiteren Frage der Unionsrechtskonformität der Verzinsung selbst siehe in Bezug auf die frühere Rechtslage Fischer, in: Fetzer/Scherer/Graulich, § 83 Rz. 12. 79 Vgl. etwa Fischer, in: Fetzer/Scherer/Graulich, § 83 Rz. 11. 80 Neumann, N&R 2022, 134, 144. 81 So nach früherer Rechtslage Cornils, in: Geppert/Schütz, § 82 Rz. 23.

227

Andreas Neumann

Schaffung dieses Instruments in § 21 TKG 1996 äußerst umstritten. Die dabei vorgebrachten Argumente können vorliegend nicht im Einzelnen nachgezeichnet werden. Im Kern geht es vor allem darum, ob (und wie) sich die Abgabe in das finanzverfassungsrechtliche Ordnungssystem einfügt, ob sie durch eine besondere Gruppenverantwortung für die Erfüllung der mit der Abgabe zu finanzierenden Aufgabe gerechtfertigt ist und ob das Abgabeaufkommen gruppennützig verwendet wird.82 38 Aber auch die Neuregelungen aus dem Jahr 2021 werfen Fragen auf. So sieht § 163 Abs. 2 S. 1 TKG nicht nur vor, dass sich die Höhe der Abgabe grundsätzlich anteilig nach dem jeweiligen Jahresinlandsumsatz des betreffenden Unternehmens bemisst. Vielmehr muss sie danach auch „eine eigene Erbringung der Versorgung mit Telekommunikationsdiensten nach § 161 Absatz 1 hinreichend … berücksichtigen“. Dabei leuchtet der dahinterstehende Gedanke unmittelbar ein: Derjenige, der durch die freiwillige Bereitstellung eines Mindestangebots an Telekommunikationsdiensten zu erschwinglichen Preisen in den betreffenden Gebieten die Notwendigkeit eines Defizitausgleichs nach hoheitlicher Inpflichtnahme entbehrlich macht, soll hierfür honoriert werden, indem er in solchen Gebieten, in denen sich kein Unternehmen aus freien Stücken zur Leistungserbringung bereiterklärt hat, bei der Heranziehung zum Defizitausgleich entlastet wird.83 Auf diese Weise werden zusätzliche Anreize geschaffen, entsprechende Verpflichtungszusagen abzugeben.84 Weniger eindeutig ist aber die Art und Weise, in der diese Entlastung erfolgen soll. Denkbar wäre insbesondere, den Jahresinlandsumsatz des betreffenden Unternehmens nur in reduziertem Umfang anzusetzen.85 Dabei könnte sich die Höhe eines solchen Abschlags nach Zahl und Umfang der für bindend erklärten Verpflichtungszusagen des betreffenden Unternehmens richten. 39 Eine weitere Unklarheit ergibt sich im Zusammenhang mit der Festlegung einer De-minimis-Grenze für den Jahresinlandsumsatz, unterhalb derer Unternehmen von der Abgabeverpflichtung befreit sind (§ 163 Abs. 8 S. 1 TKG). Nach § 163 Abs. 8 S. 2 TKG hat die Bundesnetzagentur bei der Festlegung dieser Grenze „unionsrechtliche Vorschriften, welche 82 Siehe zum Ganzen etwa – die Verfassungskonformität bejahend – Mager, in: Säcker, § 83 Rz. 4 ff., sowie tendenziell wohl auch Fischer, in: Fetzer/Scherer/Graulich, § 83 Rz. 17 ff., und – die Verfassungskonformität verneinend – Cornils, in: Geppert/Schütz, § 82 Rz. 8 ff.; Windthorst, in: Scheurle/Mayen, § 83 Rz. 8 ff., jeweils mit zahlreichen weiteren Nachweisen. 83 Neumann, Telekommunikationsrecht kompakt – Band 2, S. 177. 84 Kafka/Wilmes-Horváth, in: Säcker/Körber, § 163 Rz. 7. 85 Neumann, N&R 2022, 134, 144.

228

Das Recht auf telekommunikative Grundversorgung

die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen betreffen“, zu berücksichtigen. In Betracht kommen hierfür insbesondere die Empfehlung 2003/361/EG betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) und die Bilanzrichtlinie 2013/34/EU.86 Dabei würde sich aus letztgenanntem Rechtsakt eine niedrigere Umsatzschwelle ergeben (40 statt 50 Millionen Euro), mit der Konsequenz, dass mehr Unternehmen abgabepflichtig wären. Den Gesetzesmaterialien zufolge soll diese Umsatzschwelle zu verwenden sein.87 Unabhängig davon, dass dieser strikte Anwendungsbefehl mit der weichen Berücksichtigungsvorgabe im maßgeblichen Normtext nicht übereinstimmt, können auch die in der Entwurfsbegründung enthaltenen Argumente88 nicht überzeugen: Da es nur um die Festlegung einer Umsatzschwelle geht, kommt es nicht darauf an, dass bestimmte Unternehmen, die – wie etwa manche Stadtwerke – von der öffentlichen Hand kontrolliert werden, nicht als kleine oder mittlere Unternehmen im Sinne der KMU-Empfehlung 2003/361/ EG selbst angesehen werden können. Die Sorge, dass die in Ansehung dieser Empfehlung festgesetzten Umsatzschwellen nicht ausnahmslos für alle Unternehmen gelten würden, ist daher nicht berechtigt. Auf eine in den Materialien ebenfalls betonte rechtliche Bindung (nur) der Bilanzrichtlinie 2013/34/EU bzw. die Umsetzung ihrer maßgeblichen Vorgaben in §§ 267, 267a HGB kommt es auch nicht an, da die rechtliche Bindung hier allein durch die in § 163 Abs. 8 S. 1 TKG vorgesehene Festsetzung erzeugt wird. Und auch der Umstand, dass die Bilanzrichtlinie 2013/34/EU neueren Datums ist, besagt nichts zu der Frage, ob die in ihr enthaltenen Schwellenwerte besser zur Markierung einer De-minimis-Grenze für die Heranziehung zu einer Universaldienstabgabe geeignet sind als die Werte aus der KMU-Empfehlung 2003/361/EG. Für den Richtliniengesetzgeber waren die Aspekte der stärkeren rechtlichen Verbindlichkeit und der größeren Aktualität jedenfalls nicht maßgebend, wie – wenn auch in einem anderen Regelungszusammenhang – die Bezugnahme auf die KMU-Empfehlung 2003/361/EG in Erwägungsgrund 68 S. 1 des Kommunikationskodex zeigt. Von daher bleibt dunkel, warum der deutsche Gesetzgeber hier formal die Entscheidung dem Rechtsanwender überlässt und das von ihm mit zweifelhafter Argumentation gewünschte Ergebnis nicht durch eine ausdrückliche Bezugnahme auf die Bilanzrichtlinie 2013/34/ 86 Neumann, N&R 2022, 134, 145 Fn. 97. 87 Begründung zum Gesetzentwurf der Bundesregierung, BT-Drs. 19/26108, 200, 359 (zu § 162 Abs. 7). 88 Dazu im Einzelnen die Begründung zum Gesetzentwurf der Bundesregierung, BT-Drs. 19/26108, 200, 359 (zu § 162 Abs. 7). Wohl zustimmend demgegenüber Kafka/Wilmes-Horváth, in: Säcker/Körber, § 163 Rz. 26.

229

Andreas Neumann

EU im Normtext sichergestellt hat. Art. 90 Abs. 2 UAbs. 2 S. 2 des Kommunikationskodex hätte ihm das wohl ohne weiteres erlaubt. 40 Klärungsbedarf besteht schließlich auch, wie die Höhe der jeweiligen Abgabe zu bestimmen ist, wenn neben den Anbietern von Sprachkommunikations- und Internetzugangsdiensten auch große OTT-Anbieter zur Finanzierung des Defizitausgleichs herangezogen werden sollten (siehe dazu Rz. 33). Dem Gesetz ist zwar zu entnehmen, wie der Ausgleichsbetrag auf die einzelnen Unternehmen innerhalb der jeweiligen Gruppe aufzuteilen ist, nämlich im Verhältnis des Jahresinlandsumsatzes (§ 163 Abs. 2 S. 1 TKG) bzw. der Anzahl der monatlich aktiven Nutzer im Inland (§ 163 Abs. 6 S. 3 TKG). Keine Vorgabe enthält § 163 TKG aber zu der Frage, wie der Ausgleichsbetrag auf die beiden Gruppen aufzuteilen ist.89 Dass eine hälftige Aufteilung – die wohl auch nicht sachgerecht wäre – nicht beabsichtigt ist, ergibt sich aus dem lapidaren Auftrag an die Bundesnetzagentur, den Anteil der einbezogenen OTT-Anbieter im Verhältnis zu den Sprachkommunikations- und Internetzugangsanbietern zu berechnen (§ 163 Abs. 6 S. 2 TKG). Nähere Berechnungsparameter lässt die Regelung allerdings nicht erkennen. Denkbar wäre es, zunächst den Anteil beider Gruppen jahresumsatzbezogen zu bestimmen und dann die Aufteilung innerhalb der Gruppen nach dem hierfür jeweils vorgesehenen Maßstab (Umsatz bzw. Nutzerzahl) vorzunehmen.90 VI. Wie wird das Recht auf telekommunikative Grundversorgung geltend gemacht? 1. Gesetzliche Ausgestaltung 41 Hat die Bundesnetzagentur die Verpflichtungszusage eines Unternehmens für bindend erklärt oder einem Unternehmen Verpflichtungen zur Bereitstellung eines Mindestangebots an Telekommunikationsdiensten zu erschwinglichen Preisen auferlegt, haben Endnutzer:innen einen Anspruch auf eine entsprechende Versorgung (§ 156 Abs. 1 S. 1 TKG). Endnutzer:innen sind nach § 3 Nr. 13 und 41 TKG alle natürlichen oder juristischen Personen unabhängig davon, ob sie das Mindestangebot an Telekommunikationsdiensten aus privaten oder geschäftlichen Gründen nachfragen, solange sie nicht selbst im Bereich der öffentlichen Telekommunikation tätig sind.91 89 Kafka/Wilmes-Horváth, in: Säcker/Körber, § 163 Rz. 18; Neumann, N&R 2022, 134, 145. 90 Kafka/Wilmes-Horváth, in: Säcker/Körber, § 163 Rz. 18. 91 Siehe auch Gerpott, K&R 2022, 92, 93; Holznagel, MMR 2023, 37, 38; Kafka/ Wilmes-Horváth, in: Säcker/Körber, § 156 Rz. 12; Neumann, Telekommuni-

230

Das Recht auf telekommunikative Grundversorgung

Anspruchsgegner ist der Diensteverpflichtete.92 Hierbei handelt es sich 42 entweder um das Unternehmen, dessen Verpflichtungszusage für bindend erklärt wurde, oder in Abwesenheit einer solchen Verbindlichkeitserklärung um das Unternehmen, das von der Bundesnetzagentur zur Erbringung der telekommunikativen Grundversorgung verpflichtet wurde. Inhaltlich richtet sich der Anspruch auf Abschluss eines Vertrags93 und 43 begründet damit einen Kontrahierungszwang des Diensteverpflichteten.94 Er muss den Endnutzer:innen die Leistungen, zu deren Erbringung er verpflichtet ist, anbieten und erbringen, und unterliegt dabei einem Entbündelungsgebot (§ 156 Abs. 2 TKG). Die Versorgung umfasst auch den hierfür notwendigen Anschluss an ein öffentliches Telekommunikationsnetz an der Hauptwohnung der Endnutzer:innen oder an ihrem Geschäftsort innerhalb des von der Verpflichtung umfassten Gebiets (§ 156 Abs. 1 S. 1 Halbs. 2 TKG). Handelt es sich bei Endnutzer:innen um Verbraucher:innen, also um natürliche Personen mit rein privatem Nutzungszweck,95 können sie sich dabei auch mit der Inanspruchnahme eines Sprachkommunikationsdienstes begnügen (§ 156 Abs. 4 TKG). Zeitlich muss der Diensteverpflichtete die Versorgung nach Geltend- 44 machung des Anspruchs durch Endnutzer:innen innerhalb einer Frist sicherstellen, die von der Bundesnetzagentur bei Auferlegung der Verpflichtung hierfür festgelegt wurde (§ 156 Abs. 1 S. 2 TKG). Diese Versorgungsfrist muss nach § 161 Abs. 2 S. 4 TKG angemessen sein und „sollte“ in der Regel drei Monate nicht überschreiten. Die Frist beginnt aber bei einem sinnhaften Gesetzesverständnis überhaupt erst nach Ablauf von drei Monaten ab Auferlegung der Verpflichtung,96 da § 161 Abs. 2 S. 4

92

93 94

95 96

kationsrecht kompakt – Band 2, S. 180; enger Nett/Sörries/Zoz, N&R 2022, 19, 20. Freund/Mengel, NVwZ 2022, 24, 28 f.; Gerpott, CR 2022, 672, 672 Rz. 1; Holznagel, MMR 2023, 37, 38; Kafka/Wilmes-Horváth, in: Säcker/Körber, § 156 Rz. 12; Nett/Sörries/Zoz, N&R 2022, 19, 20; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 180. Begründung zum Gesetzentwurf der Bundesregierung, BT-Drs. 19/26108, 200, 349 (zu § 155 Abs. 1); Holznagel, MMR 2023, 37, 38. Kafka/Wilmes-Horváth, in: Säcker/Körber, § 156 Rz. 13; Nett/Sörries/Zoz, N&R 2022, 19, 20; Neumann, N&R 2022, 134, 146; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 181. Siehe Neumann, Telekommunikationsrecht kompakt – Band 2, S. 19. Vgl. Holznagel, MMR 2023, 37, 38, mit der insoweit etwas missverständlichen Formulierung, die Frist betrage in der Regel sechs Monate.

231

Andreas Neumann

TKG dem Diensteverpflichteten einen solchen Vorbereitungszeitraum ausdrücklich einräumt.97 2. Offene Fragen 45 Nicht völlig eindeutig ist zunächst, ob es mit den Vorgaben des Kommunikationskodex vereinbar ist, dass § 156 Abs. 1 S. 1 TKG das Recht auf Versorgung mit Telekommunikationsdiensten allen Endnutzer:innen einräumt. Art. 84 Abs. 1 und 5 des Kommunikationskodex sprechen tendenziell dagegen. Denn danach besteht die Verpflichtung zur Sicherstellung eines erschwinglichen Universaldienstes grundsätzlich nur zugunsten von Verbraucher:innen und kann ausdrücklich nur auf Kleinstunternehmen sowie kleine und mittlere Unternehmen und Organisationen ohne Gewinnerzielungsabsicht ausgeweitet werden,98 nicht aber auf beliebige Endnutzer:innen. Art. 86 Abs. 1 des Kodex spricht demgegenüber für die Unionrechtskonformität von § 156 Abs. 1 S. 1 TKG. Dieser Vorschrift zufolge sollen Universaldienstverpflichtungen gerade darauf gerichtet sein, allen von „Endnutzern“ eingereichten Anträgen auf Zugang zur telekommunikativen Grundversorgung zu entsprechen. 46 Unklar ist des Weiteren, ob die Versorgungsfrist auch bei einer für bindend erklärten Verpflichtungszusage gilt. § 156 Abs. 1 S. 2 TKG verweist insoweit allein auf die Fristvorgabe nach § 161 Abs. 2 S. 4 TKG, die ihrerseits nur bei einer Auferlegung von Verpflichtungen auf der zweiten Stufe des Sicherstellungsverfahrens (dazu Rz. 22) gilt. Wird diese Stufe aufgrund einer Verbindlichkeitserklärung schon gar nicht erreicht, fehlt es damit grundsätzlich an einem Anknüpfungspunkt für die zeitliche Umsetzungsvorgabe. Das dürfte dafür sprechen, dass die Bundesnetzagentur in einer Entscheidung nach § 161 Abs. 1 S. 1 TKG auch eine entsprechende Umsetzungsfrist – etwa in Form einer Auflage – festlegen sollte.99 VII. Fazit 47 Schon kurze Zeit nach Festlegung der Leistungsanforderungen an das Mindestangebot an Telekommunikationsdiensten hat die Bundesnetzagentur für zwölf Standorte in fünf Gemeinden eine Unterversorgung

97 Gerpott, K&R 2022, 92, 95; Neumann, N&R 2022, 134, 143 und 146; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 181. 98 In diese Richtung auch für § 156 TKG Nett/Sörries/Zoz, N&R 2022, 19, 20. 99 Neumann, N&R 2022, 134, 146.

232

Das Recht auf telekommunikative Grundversorgung

festgestellt und Sicherstellungsankündigungen erlassen.100 Das zeigt, dass durch die gegenüber der früheren Rechtslage angehobenen Leistungsanforderungen an die telekommunikative Grundversorgung der Universaldienst aus seinem bisherigen Dornröschenschlaf erwacht ist.101 Bemerkenswert ist allerdings, dass die Bundesnetzagentur die Feststel- 48 lung der Unterversorgung in elf der zwölf Entscheidungen um den Hinweis ergänzt hat, dass die betreffenden Flurstücke „über keinen leitungsgebundenen Anschluss“ verfügen. Das mag eine mitnutzungsbezogene Anschluss- und Versorgungsverpflichtung nach § 161 Abs. 3 TKG rechtfertigen, auf die hier aus Platzgründen vorstehend nicht weiter eingegangen werden konnte.102 Die vorliegenden Allgemeinverfügungen sind aber gerade nicht auf diese Vorschrift gestützt, sondern vollziehen das reguläre Sicherstellungsverfahren gemäß § 160, § 161 Abs. 1 und 2 TKG nach. In dessen Rahmen kommt es jedoch nicht auf eine leitungsgebundene Versorgung an (siehe Rz. 5), soweit die verfügbaren Dienste den Anforderungen aus der TKMV entsprechen. Dementsprechend bezieht sich (erst) die zwölfte Unterversorgungsfeststellung, die mit einem leichten zeitlichen Abstand nach den anderen Feststellungen ergangen ist, richtigerweise darauf, dass es auch an einem „anderen Anschluss“ fehle, „der stets bzw. regelmäßig eine Versorgung mit Telekommunikationsdiensten entsprechend den in der Telekommunikationsmindestversorgungsverordnung (TKMV vom 14.6.2022) festgestellten Werten gewährleistet“. In praktischer Hinsicht bemerkenswert ist überdies, dass sich die Unter- 49 versorgungsfeststellungen wohl fast ausschließlich auf Neubaugebiete beziehen.103 Hier entspräche eigentlich ein Anschluss an ein Hochgeschwindigkeitsnetz dem gesetzgeberischen Regelungsansatz. Das kommt ganz deutlich in § 146 Abs. 2 S. 2 TKG zum Ausdruck, wonach bei der Erschließung von Neubaugebieten stets sicherzustellen ist, dass geeignete passive Netzinfrastrukturen für ein solches Hochgeschwindigkeitsnetz mitverlegt werden. Die Sicherstellung einer telekommunikativen Grundversorgung bleibt hinter den Erwartungen, die mit diesem Ansatz verknüpft sind, deutlich zurück. Zugleich ist nicht ersichtlich,

100 Siehe exemplarisch Bundesnetzagentur, Vfg. Nr. 94/2022 v. 5.10.2022 – 202206-15-0025, ABl. BNetzA 2022, 947; Vfg. Nr. 72/2022 v. 7.9.2022 – 2021-0903-0029, ABl. BNetzA 2022, 857. 101 Im Vorfeld skeptisch Gerpott, K&R 2022, 92, 96. 102 Ausführlich zu diesem Instrument, das den hier geschilderten Universaldienstmechanismus ergänzt: Neumann, N&R 2022, 134, 145 f.; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 178 ff. 103 Siehe den teltarif.de-Beitrag „Bundesnetzagentur nennt erste unterversorgte Orte“ v. 9.9.2022.

233

Andreas Neumann

wie die Bundesnetzagentur entsprechenden Erschließungsversäumnissen vor Ort auf andere Weise entgegenwirken könnte. Es stellt sich auch insoweit nur die Frage, ob nicht vielleicht zu erwägen gewesen wäre, die Auferlegung einer mitnutzungsbezogenen Anschluss- und Versorgungsverpflichtung nach § 161 Abs. 3 TKG als Alternative zu der Unterversorgungsfeststellung nach § 160 Abs. 1 TKG in Betracht zu ziehen.104 50 Seit Anfang Oktober 2022 sind – Stand Mitte April 2023 – dann überhaupt keine weiteren Unterversorgungsfeststellungen mehr ergangen. Das überrascht angesichts der Zahl der potentiell unterversorgten Haushalte, von der im Vorfeld ausgegangen wurde.105 Möglicherweise trägt die aktuelle Zurückhaltung aber einfach dem Umstand Rechnung, dass das neue Rechtsinstitut, wie gezeigt, auch viele neue Rechtsfragen aufwirft. Es erscheint sinnvoll, hier zunächst für weitere Klärung zu sorgen, bevor in größerem Umfang neue Unterversorgungsfeststellungen erlassen werden. Wie und aus welchen Gründen sich die Bundesnetzagentur zu den einzelnen Punkten positioniert, lässt sich mangels einer Begründung der vorliegenden Entscheidungen dabei leider nicht erkennen. Zur Not ist der Gesetzgeber gefordert, zeitnah die größten Unklarheiten auszuräumen, damit es jetzt wirklich heißen kann: Endlich (einigermaßen) schnelles Internet für alle!

104 Zur Verknüpfung der mitnutzungsbezogenen Anschluss- und Versorgungsverpflichtung mit der Erschließung von Neubaugebieten siehe auch Neumann, N&R 2022, 134, 145 f.; Neumann, Telekommunikationsrecht kompakt – Band 2, S. 179. 105 So deuteten erste Abschätzungen der Bundesnetzagentur „auf eine potenzielle Betroffenheit von voraussichtlich ca. 330.000 Haushalten hin“, siehe Bundesnetzagentur, Stellungnahme zu Fragen für Öffentliche Anhörung zur TKMV am 9.5.2022, BT-Ausschussdrs. 20 (23) 29, S. 2.

234

Employee-Experience-Plattformen und Datenschutz – Zulässigkeit der automatisierten Analyse von Beschäftigtendaten durch Microsoft Viva Insights Viktoria Schmittmann* I. Microsoft Viva als Employee Experience Platform 1 1. Zusammenfassung 1 2. Hintergrund von Microsoft Viva 2 3. Microsoft Viva Insights 7 a) Viva Insights Personal 8 b) Viva Team Insights 11 c) Viva Organizational Insights 12 II. Datenschutzrechtliche Relevanz 13 1. Sanktionsrisiko bei der Verarbeitung von Beschäftigtendaten 15 2. Grundsätzliche Risiken beim Einsatz von Microsoft 365-Diensten 17

III. Spezifische Herausforderungen bei Microsoft Viva Insights Personal 22 1. Ausgangslage 23 a) Varianten von Viva Insights Personal 23 b) Viva Insights App für Teams 25 2. Verarbeitete Datenkategorien 26 3. Rechtsgrundlagen für den Einsatz von Viva Insights Personal 32 4. Keine Verhaltens- und Leistungskontrolle und/oder Profiling 36 5. Erfordernis einer Datenschutz-Folgenabschätzung 38 IV. Fazit

41

Literatur: Bendel, Cloud Computing aus Sicht der Ethik, in: Reinheimer et al. (Hrsg.) Cloud Computing. Die Infrastruktur der Digitalisierung, 2018, S. 185–196; Kreutzer/Mittermeier, Maschinelles Lernen und das Recht auf Nichtwissen, in: Friedewald/Kreutzer//Hansen, Selbstbestimmung, Privatheit und Datenschutz. Gestaltungsoptionen für einen europäischen Weg, 2022, S. 57–78; Sörup/Parvez, Nutzung von Microsoft Office 365 im Unternehmen. Datenschutz- und betriebsverfassungsrechtliche Fragestellungen und Gestaltungshinweise, ZD 2021, 291; Weth/Herberger/Wächter/Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis, 2. Aufl. 2019. Alle Online-Quellen wurden zuletzt am 3.7.2022 abgerufen.

*

Dr. Viktoria Schmittmann, LL.M. M.Sc., Zuhorn & Partner Rechtsanwälte mbB [email protected].

235

Viktoria Schmittmann

I. Microsoft Viva als Employee Experience Platform 1. Zusammenfassung 1 Um den Einsatz von Microsoft 365 ranken sich viele datenschutzrechtliche Bedenken. Auch die neueste Ergänzung im Produktportfolio, die Employee Experience Plattform „Viva“, die unter anderem Dienste zur Auswertung von Nutzerverhalten beinhaltet, macht hier keine Ausnahme. Bei genauerer Betrachtung lässt sich jedoch besonders bei der Variante der Personal Insights, die nur der jeweilige Nutzer einsehen kann, eine datenschutzkonforme Einführung durch den Verantwortlichen mit überschaubarem Aufwand sicherstellen. 2. Hintergrund von Microsoft Viva 2 Neben den Vorteilen, die digitale Kollaborationstools in den letzten Jahren zur Aufrechterhaltung von Betrieben während pandemiebedingten Einschränkungen geleistet haben, haben sich als Schattenseite häufig auch eine Vermischung von Privat- und Berufsleben im Home-Office ergeben. Unter anderem als Antwort hierauf hat Microsoft im Jahr 2021 eine neue Produktsparte etabliert: die Employee Experience Platform Microsoft Viva, die auf bestehenden Microsoft 365-Diensten aufbaut. 3 Microsoft begründet den Bedarf nach einer Employee Experience Platform mit dem sog. „Hybrid Work Paradox“1: Mitarbeiter wollen sich langfristig die Flexibilität der Remote-Arbeit erhalten und bei Bedarf von zuhause oder mobil arbeiten – sie wollen aber auch die Inspiration und Leichtigkeit der Arbeit vor Ort erleben, den persönlichen Austausch mit Kollegen und eine klare Abgrenzung zum Privatleben nach der Arbeit einhalten. 4 Microsoft Viva umfasst insoweit verschiedene Dienste, die die Mitarbeitererfahrung – die Employee Experience –2 verbessern sollen und sich u. a. auf die Aspekte Wohlbefinden, Lernen und Wissen fokussieren. Enthalten sind etwa Dienste, die es ermöglichen, Überlastungstendenzen am Arbeitsplatz zu erkennen und Effizienzen bei Meetings zu heben (Viva Insights), eine Lernplattform innerhalb von Microsoft Teams (Viva Learning), eine integrierte betriebliche Wissensplattform (Viva Topics) 1 2

https://www.microsoft.com/en-us/worklab/beyond-the-binary-solving-thehybrid-work-paradox. Vgl. zum Begriff und dem Potenzial der Verbesserung der Employee Experience in HR durch den Einsatz von KI den Beitrag von Zel/Kongar, 2020; auch diese definieren hierin Data Privacy and Security als Risikofaktor für solche Dienste, S. 178.

236

Employee-Experience-Plattformen und Datenschutz

und eine App zur Vernetzung mit Kollegen (Viva Connections). Kurz vor der Einführung steht zudem Viva Goals, womit Beschäftigte sich leichter eigene Ziele setzen und ihre Fortschritte nachvollziehen können sollen. Die einzelnen Anwendungen sind als Apps in der Videokonferenz- und 5 Kollaborationssoftware Microsoft Teams verfügbar. Microsoft Viva wird von Microsoft 365 unterstützt und ist nahtlos in Exchange Online, SharePoint und Azure AD integriert. Darüber hinaus entwickelt Microsoft laufend weitere Features. Die Plattform ist offen für die Integration von Tools und Services von Drittanbietern und erweitert so die Partnerlandschaft von Microsoft. Erstmals im Frühjahr 2021 vorgestellt, hat Microsoft Viva inzwischen 6 über 10 Millionen monatlich aktive Nutzer.3 Eine rechtliche Bewertung der Plattform ist bislang allerdings kaum erfolgt, obwohl sie diverse Problemstellungen aus dem Beschäftigtendatenschutz mit sich bringt. Im Folgenden soll der Fokus auf Microsoft Viva Insights, insbesondere die Personal Insights, als Teil der größeren Viva-Produktfamilie gelegt werden. 3. Microsoft Viva Insights Microsoft Viva Insights bietet laut Microsoft Mitarbeitern umsetzbare 7 Empfehlungen, um ihre Produktivität und ihr Wohlbefinden in Einklang zu bringen. Für Manager soll Viva Insights datenbasierte, geschützte Einblicke und Empfehlungen ermöglichen, um gesunde und erfolgreiche Teams zu fördern. Organisatorische Einblicke sollen Führungskräften helfen, komplexe Herausforderungen zu bewältigen und auf Veränderungen zu reagieren, indem sie organisationsweite Arbeitsmuster und Trends beleuchten.4 Microsoft Viva Insights wird dabei in verschiedenen Varianten mit vorgefertigten Dashboards angeboten: Personal Insights, Team Insights und Organizational Insights. a) Viva Insights Personal Mit Viva Insights Personal können Mitarbeiter persönliche Erkenntnis- 8 se über ihre Arbeitsgewohnheiten gewinnen, die nur sie selbst einsehen können. Dies beinhaltet Einblicke darüber, wie sie arbeiten und was sie ändern könnten, um ihre Kapazitäten besser nutzen zu können. Das Tool 3 4

https://www.microsoft.com/de-de/microsoft-365/blog/2022/02/04/microsoft-viva-celebrates-1-year-transforming-the-employee-experience/. Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-teamsapp.

237

Viktoria Schmittmann

gibt Empfehlungen, wie z. B. die Reservierung von Zeit für regelmäßige Pausen, konzentriertes Arbeiten und Lernen, die dazu beitragen sollen, das Wohlbefinden zu verbessern und die Produktivität zu steigern.5 Über die App können auch Kollegen gelobt werden („send praise“). 9 Zusätzlich zu der Viva Insights Personal App in Microsoft Teams erhalten die Nutzer eine regelmäßige „Digest-E-Mail“, in der die wichtigsten Erkenntnisse nochmals zusammengefasst werden, z. B. an wie vielen Cloud-Dokumenten außerhalb der Kernarbeitszeit gearbeitet worden ist, der prozentuale Anteil der Arbeitszeit, der in Meetings verbracht wird, und mit welchen Personen am häufigsten kommuniziert worden ist. 10 Bevor Viva Personal Insights bei Einführung der Microsoft Viva-Suite neu gelauncht wurde, war die Anwendung in ähnlicher Form als „My Analytics“ erhältlich. b) Viva Team Insights 11 Microsoft Viva Team Insights („My Team“) soll mit Team-Statistiken Arbeitsmuster aufdecken, die potenziell zu Burnout und Stress führen können. Dazu gehören regelmäßige Arbeit nach Feierabend (z. B.: „60% of your team is working after hours for more than one hour each week“), Überlastung durch Meetings oder zu wenig Zeit für Konzentration.6 Manager sollen diese Einblicke nutzen, um ihren Teams zu helfen, eine Balance zwischen Produktivität und Wohlbefinden zu finden. c) Viva Organizational Insights 12 Viva Organizational Insights („My Org“) soll Führungskräften bei der Beantwortung kritischer Fragen zur organisatorischen Belastbarkeit und zur Arbeitskultur mit Einblicken in die Auswirkungen der Arbeit auf ihre Mitarbeiter und ihr Unternehmen helfen. II. Datenschutzrechtliche Relevanz 13 Für einen nicht unerheblichen Teil von Unternehmen stellt Microsoft 365 das Kernstück der betrieblichen Informationsverarbeitung dar: die Mitarbeiter kommunizieren intern und extern über E-Mail und pflegen ihren Kalender (Exchange Online und Outlook), sie legen Daten im Cloud-Speicher ab (OneDrive for Business), sie arbeiten gleichzeitig an 5 6

Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-teamsapp. Vgl. https://docs.microsoft.com/en-us/viva/insights/Use/myteam.

238

Employee-Experience-Plattformen und Datenschutz

Dokumenten oder erstellen Seiten im Intranet (SharePoint) und telefonieren oder chatten in Videokonferenzen (Teams). All die personenbezogenen Daten, die bei der Nutzung dieser Dienste in Microsoft 365 generiert werden (Inhalts- und Metadaten), können als sog. Kollaborationsdaten zusammengefasst werden. Gleichzeitig wird klar, dass diese Kollaborationsdaten ein sehr feingra- 14 nulares Bild der Tätigkeiten einer Person zeichnen können und daher datenschutzrechtlich besonders sorgfältig geprüft werden muss, inwieweit diese Daten gerade im Beschäftigungsverhältnis auch zu weiteren Zwecken genutzt werden dürfen. 1. Sanktionsrisiko bei der Verarbeitung von Beschäftigtendaten Datenschutz-Compliance ist angesichts des hohen Bußgeldrisikos und 15 Reputationsverlusts bei etwaigen Verstößen spätestens seit Geltung der DSGVO nicht nur ein Thema für die datenverarbeitenden Fachabteilungen eines Unternehmens, sondern auch für das leitende Management. Die Reduzierung von Haftungsrisiken für das Unternehmen als „Verantwortlicher“ im Sinne der DSGVO stellt angesichts der drohenden Bußgelder bei Verstößen gegen die Vorschriften der DSGVO von bis zu 20 Millionen Euro oder 4% des weltweiten Vorjahresumsatzes des Unternehmens7 mittlerweile eine Priorität dar. Dabei sind potenzielle Kosten für eine etwaige Umstellung auf andere datenschutzkonforme Systeme oder Anpassung von Prozessen nach Verhängung eines Bußgelds noch unbeachtet. Gerade die unrechtmäßige Verarbeitung von Beschäftigtendaten ist mit Bußgeldrisiken verbunden, da oftmals auf Grund von Beschwerden von (ehemaligen) Mitarbeitern Verfahren der Datenschutzaufsichtsbehörden eingeleitet werden, sodass gerade die transparente Information der Mitarbeiter und eine strukturierte Kommunikationsstrategie bei der Einführung von betrieblicher Software wichtig sind. Neben Bußgeldern stehen gerade im Beschäftigtenkontext Risiken zu 16 immateriellen Schadenersatzansprüchen nach Art. 82 DSGVO im Raum, z. B. für unrechtmäßige Datenverarbeitungen oder zu spät erteilte Auskünfte über Datenverarbeitungen gegenüber Mitarbeitern. 2. Grundsätzliche Risiken beim Einsatz von Microsoft 365-Diensten Die rechtskonforme Einführung von Microsoft 365-Diensten sorgt in der 17 Praxis generell für große Unsicherheiten bei den Unternehmen, die häufig aus vielfältigen Gründen (Kostenersparnisse, bessere Skalierbarkeit, 7

Vgl. Art. 83 Abs. 5 DSGVO.

239

Viktoria Schmittmann

höhere IT-Sicherheitsstandards) einen „Cloud only“-Ansatz8 verfolgen möchten. Da Microsoft keine Rechtsberatung zu seinen eigenen Produkten erbringen darf, liegt die alleinige Verantwortlichkeit bei dem jeweiligen Kunden, die Rechtmäßigkeit der komplexen Dienste vollumfänglich einzuschätzen und entsprechende Maßnahmen umzusetzen.9 18 Obwohl Microsoft-Dienste täglich von Millionen von Nutzern in Deutschland eingesetzt werden, existieren keine einheitlichen Äußerungen oder Orientierungshilfen der Aufsichtsbehörden hierzu und soweit ersichtlich auch keine einzige gerichtliche Entscheidung, die die datenschutzrechtliche Zulässigkeit von Microsoft 365 oder eines einzelnen Dienstes hiervon betrifft.10 19 Die Dienste von Microsoft sind seit geraumer Zeit öffentlicher Kritik ausgesetzt. Die Datenschutzaufsichtsbehörden äußerten in den letzten Jahren Zweifel, ob sich Microsoft 365 im Einklang mit der DSGVO anwenden lässt.11 20 Gleichzeitig setzt etwa die bayerische Justiz Microsoft Teams zur virtuellen Durchführung von Gerichtsverhandlungen mit hoch sensiblen Inhalten ein.12 Daher ist die Diskussion um die Rechtmäßigkeit von Microsoft 365 nicht zuletzt auch ein politisches Thema. 21 Im Kern der Kritik stehen zumeist die Übermittlung von sog. Diagnosedaten13 in die USA, die intransparente Beschreibung der Datenverarbeitung in der Dokumentation von Microsoft und die Verarbeitung von 8 Vgl. Foth, 2020, S. 26. 9 Einen komprimierten Überblick zu den wesentlichen datenschutz- und mitbestimmungsrechtlichen Fragestellungen bei Microsoft 365 bieten Sörup/Parvez, ZD 2021, 291 ff. 10 Vgl. zur arbeitsrechtlichen Mitbestimmung bei der Einführung von Microsoft Office 365 LAG Köln, Beschluss v. 21.5.2021 – 9 TaBV 28/20. 11 Vgl. etwa das Protokoll der Datenschutzkonferenz unter https://www.datenschutzkonferenz-online.de/media/pr/20201030_protokoll_3_zwischenkonferenz.pdf. 12 Vgl. Dienstvereinbarung über die Nutzung der Software Microsoft Teams bei den Gerichten und Staatsanwaltschaften im Geschäftsbereich des Bayerischen Staatsministeriums der Justiz, Bekanntmachung des Bayerischen Staatsministeriums der Justiz vom 8.9.2021 – B8 – 1500 – VI – 9284/2020 (BayMBl. Nr. 854). 13 Microsoft nutzt Diagnosedaten, um die betrachteten Dienste auf dem aktuellen Stand zu halten, die Sicherheit, Zuverlässigkeit und Leistung sicherzustellen und die betrachteten Dienste zu verbessern. Für einen Großteil dieser von Microsoft gesammelten Daten wurde früher der Begriff „Telemetriedaten“ verwendet.

240

Employee-Experience-Plattformen und Datenschutz

Kundendaten zu eigenen Zwecken von Microsoft – Themenkreise, deren Erörterung den Umfang dieses Beitrags leider sprengen würden. III. Spezifische Herausforderungen bei Microsoft Viva Insights Personal Über diese grundsätzlichen Aspekte hinaus sind die Analysetools in Viva 22 Insights Personal insbesondere aufgrund des vermeintlich naheliegenden Schlusses, dass es sich dabei um ein Profiling nach Art. 22 DSGVO von Arbeitnehmern handelt, datenschutzrechtlich besonders zu berücksichtigen. Um hier eine zutreffende Wertung vorzunehmen, sind die verschiedenen Formen, in denen Viva Insights Personal angeboten wird, zu differenzieren. 1. Ausgangslage a) Varianten von Viva Insights Personal Der Dienst Microsoft Viva Insights Personal steht in folgenden Formen 23 zur Verfügung.14 –

Viva Insights App in Microsoft Teams15

–

Viva Insights Outlook Add-in16 für Windows Outlook-Desktop, Outlook im Web oder Mac Outlook Desktop

–

Web-Dashboard17: einheitliche Weboberfläche zeigt Statistiken darüber, wie Zeit im letzten Monat verbracht wurde, Produktivitätserkenntnisse über Arbeitsgewohnheiten und wie das Netzwerk, die wichtigsten Mitarbeiter und Zusammenarbeitsaktivitäten erkunden werden können.

–

Briefing E-Mails in Outlook18: E-Mail über alle relevanten Elemente, die helfen sollen, die Kontrolle über den Kalender zu behalten, einschließlich ausstehender Verpflichtungen oder Anfragen, Vorberei-

14 Die offizielle Micrsoft-Dokumentation zu Viva Insights Personal ist abrufbar unter: https://docs.microsoft.com/de-de/viva/insights/personal/introduction. Welche Abonnements welche Formen von Viva Insights enthalten, ist unter https://docs.microsoft.com/de-de/viva/insights/personal/overview/plans-environments einsehbar. 15 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/use/add-in. 16 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/use/add-in. 17 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/use/dashboard-2. 18 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/briefing/be-overview.

241

Viktoria Schmittmann

tung auf anstehende Besprechungen und vorgeschlagene Zeiten für das Konzentrieren oder Wiederaufnehmen von Nachrichten. –

Digest E-Mails in Outlook19: E-Mails zum besseren Verständnis von Arbeitsmustern und ggf. Verbesserungsvorschlägen.

–

Online Vorschläge in Outlook20: KI-gesteuerte Benachrichtigungen, die in Outlook angezeigt werden, während entweder eine E-Mail oder eine Besprechungseinladung gelesen oder verfasst wird zur Erleichterung effektiver E-Mail- und Besprechungsentscheidungen.

24 Viva Insights Personal generiert personalisierte Empfehlungen, die den Nutzern Erkenntnisse zur Entwicklung besserer Arbeitsgewohnheiten bieten sollen, z. B. die Einhaltung von Zusagen gegenüber Kollegen und die Wahrung von täglicher Fokuszeit für ungestörtes, individuelles Arbeiten. b) Viva Insights App für Teams 25 Die Viva Insights Personal-App als eine der Varianten von Viva Insights Personal (siehe oben) verfügt zudem über folgende Funktionen: –

In Verbindung bleiben – KI-basierte Aufgabenvorschläge und Besprechungsunterstützung21

–

Zeit schützen – Vermeidung von Ablenkungen und Multitasking sowie Konzentration auf Kernprioritäten22

–

Lob senden – Senden von Anerkennung an Mitarbeiter und Kollegen, entweder in einem privaten Chat oder in einer Teams-Kanal-Unterhaltung.23

–

Selbstreflektion – Nachdenken und Festhalten des Gefühlszustands.24

19 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/use/email-digests-3. 20 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/use/mya-notifications. 21 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-stay-connected. 22 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-protect-time. 23 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-praise. 24 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-reflect.

242

Employee-Experience-Plattformen und Datenschutz

–

Headspace – Achtsamkeit und geführte Meditation25

–

Eine Pause einlegen – einminütige „Atempause“26

–

Virtuelles Pendeln – Bewusster Abschluss des Arbeitstags27

–

To-Do-Liste – Ergreifen von Maßnahmen für eine Aufgabe in einer Microsoft To-Do-Liste28

2.

Verarbeitete Datenkategorien

Viva Insights Personal leitet diese Erkenntnisse ab, indem Kollabora- 26 tionsdaten aus Microsoft 365 (Exchange Online, Skype for Business Online und Teams) – d. h. Daten, auf die der Nutzer bereits Zugriff hat – zu E-Mails, Besprechungen, Anrufen und Chats zusammengefasst werden. Aus lokalen Installationen können keine Daten für Viva Insights Personal extrahiert werden. In Viva Insights Personal werden Postfachdaten verarbeitet. Dies umfasst 27 Daten zu E-Mail-, Kalender-, Chat- und Anrufaktivitäten, die durch die Verwendung von Microsoft 365 generiert werden, z. B. wie viel Zeit in Besprechungen verbracht wird oder E-Mails, die an eine bestimmte Person oder Gruppe gesendet werden:29 –

Informationen aus E-Mail-Elementen –

Metadaten – die den Zeitstempel der E-Mail, den Absender, die Empfänger und das „Lesesignal“ enthalten

–

Anweisungen, die von Personen im E-Mail-Körpertext gemacht wurden – diese Anweisungen werden verwendet, um Aufgabenkarten nur für Ihren Gebrauch zu erstellen

–

Aktionen anderer Benutzer, die eine E-Mail des Nutzers erhalten – zum Beispiel, ob diese die E-Mail geöffnet haben oder nicht. Dies wird nur in aggregierter Form verwendet, um die Privatsphäre Dritter zu schützen.

25 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-headspace. 26 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-home#take-a-break. 27 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-virtual-commute. 28 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/teams/viva-insights-home#microsoft-to-do. 29 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/overview/privacy-guide-users#mailbox-data und https://docs.microsoft.com/de-de/viva/ insights/personal/overview/mya-faq.

243

Viktoria Schmittmann

–

–

Informationen aus Kalenderelementen –

Typ (Besprechung oder Termin)

–

Status (beschäftigt, frei, außer Haus, unbesetzt)

–

Kategorie

–

Betreff

–

Dauer

–

Teilnehmer

Informationen aus Teams und aus Skype for Business –

–

Viva Insights Personal zählt Audioanrufe, Videoanrufe und Chats, die Personen in Teams und in Skype for Business tätigen, als Zusammenarbeitsaktivitäten.

OneDrive und SharePoint-Daten –

Viva Insights zeigt eine Anzahl von OneDrive und SharePoint Dokumenten an, an denen Sie gearbeitet haben.

28 Soweit nicht durch den IT-Administrator der Organisation deaktiviert, können auch Windows 10-Aktivitätsverlaufsdaten ausgewertet werden. Dies sind Daten über die Nutzung von Anwendungen und Diensten auf dem Endgerät, etwa ob der Nutzer an einem Dokument gearbeitet hat oder im Internet gesurft hat.30 29 Schließlich können, soweit nicht deaktiviert, auch inkrementelle Daten, insbesondere E-Mail-Leseraten, die in aggregierter Form präsentiert werden, durch Viva Personal Insights ausgewertet werden.31 30 Verantwortlichen ist anzuraten, die Verarbeitung von Windows 10-Aktivitätsverlaufsdaten und die Verarbeitung zum Zwecke der Generierung von E-Mail Leseraten organisationsweit „by default“ zu deaktivieren, da diese Verarbeitungen regelmäßig zur Erfüllung des Zwecks nicht zwingend erforderlich sein werden und im Verhältnis zur übrigen Datenverarbeitung durch Viva Insights Personal stärker in die Rechte natürlicher Personen eingreifen können. Sollen diese Funktionen admin-seitig nicht deaktiviert werden, ist das berechtigte Interesse an der Datenverarbeitung (dazu sogleich) entsprechend zu prüfen und zu begründen durch den Verantwortlichen.

30 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/overview/privacy-guide-users#windows-10-activity-history-data. 31 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/overview/privacy-guide-users#incremental-data.

244

Employee-Experience-Plattformen und Datenschutz

Die persönlichen Einblicke und Aktionen in der Viva Insights Perso- 31 nal-App basieren auf Exchange Online-Postfachdaten, z. B. E-Mail- und Kalenderdaten.32 Die Einblicke werden aus Daten abgeleitet, die dem jeweiligen Nutzer bereits in seinem Exchange Online-Postfach zur Verfügung stehen. Alternativ zu den durch den Dienst generierten Aufgabenvorschlägen wäre ebenso eine manuelle Überprüfung jeder E-Mail in dem Postfach möglich. Die Viva Insights Personal-App erleichtert diesen Prozess. 3. Rechtsgrundlagen für den Einsatz von Viva Insights Personal Die Datenverarbeitung durch Viva Insights Personal kann bei entspre- 32 chender Begründung auf Art. 6 Abs. 1 UAbs. 1 lit. f. DSGVO gestützt werden, da sowohl berechtigte Interessen des Arbeitgebers als auch des Nutzers in Betracht kommen. Für diese Einschätzung sprechen insbesondere folgende Aspekte: –

Für die Funktionen „In Verbindung bleiben“, „Zeit schützen“ und „To-Do-Liste“ werden keine Daten erhoben, die nicht schon im Exchange Online-Postfach bzw. der To-Do-Liste des Nutzers vorhanden sind.

–

Die Funktionen „Lob senden“, „Selbstreflektion“, „Headspace“, „Eine Pause einlegen“ und „Virtuelles Pendeln“ können auf freiwilliger Basis genutzt werden.

–

Dem Nutzer wird mit Viva Insights Personal eine Erleichterung für den Arbeitsalltag zur Verfügung gestellt (Erinnerung an Aufgaben, Reservieren von Zeiten für konzentriertes Arbeiten, Anerkennung von Mitarbeitern/Kollegen, Förderung der mentalen Gesundheit).

Ein Opt-in oder Opt-out durch den Nutzer ist jederzeit – auch teilwei- 33 se für nur bestimmte Varianten von Viva Insights Personal – möglich.33 Auch eine Deaktivierung seitens des IT-Administrators für die gesamte Organisation kann vorgenommen werden. Auch eine Bezugnahme auf § 26 Abs. 1 BDSG (Durchführung des Arbeits- 34 verhältnisses) ist – je nach Art der Beschäftigung und dem konkreten Nutzen des Dienstes im Beschäftigungskontext – denkbar.

32 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/overview/privacy-guide-users#data-types. 33 Vgl. https://docs.microsoft.com/de-de/viva/insights/personal/use/opt-out-ofmya.

245

Viktoria Schmittmann

35 Soweit der Nutzer in der Viva Insights-App freiwillig zusätzliche Daten bereitstellt, kann auch diese Datenverarbeitung auf die berechtigten Interessen nach Art. 6 Abs. 1 UAbs. 1 lit. f. DSGVO gestützt werden. Eine Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO i. V. m. § 26 Abs. 2 BDSG ist durch die bloße aktive Bereitstellung der zusätzlichen Daten in der Viva Insights Personal App mangels einer ausdrücklichen Einwilligung des Nutzers (vgl. § 26 Abs. 2 Satz 3 BDSG) hier nicht anzunehmen. 4. Keine Verhaltens- und Leistungskontrolle und/oder Profiling 36 Außer für die aufrufende Person selbst sind die Informationen aus Viva Insights Personal für keine Dritten zugänglich. Ein Profiling gemäß Art. 22 DSGVO ist von vornherein technisch „by design“ ausgeschlossen, da der Dienst keine Entscheidungsgrundlage für einen Verantwortlichen durch automatisierte Datenverarbeitung schafft. 37 Auch eine Leistungs- und Verhaltenskontrolle (vgl. § 87 Abs. 1 Nr. 6 BetrVG) scheidet mangels der Nachvollziehbarkeit für den Arbeitgeber aus. Der Dienst ist isoliert betrachtet daher nicht mitbestimmungspflichtig. Da andere Dienste aus Microsoft 365 jedoch unstrittig mitbestimmungspflichtig sind, wird sich regelmäßig anbieten, diese etwa gemeinsam in einer Betriebsvereinbarung zu Microsoft 365 zu regeln. 5. Erfordernis einer Datenschutz-Folgenabschätzung 38 Die datenschutzrechtlichen Schutz- und Gewährleistungsziele ergeben kein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen. –

Datenminimierung: Es werden nur die Inhalte des eigenen Exchange Online-Postfachs verarbeitet. Die Verarbeitung zusätzlicher Daten in der Teams Insights-App (z. B. Angabe der Zufriedenheit) erfolgt auf Grundlage freiwilliger Bereitstellung durch den Nutzer.

–

Vertraulichkeit: Nur öffentliche bzw. eigene private Beziehungen (bestehende Kommunikation zwischen der aufrufenden Person und anderen Personen) werden der aufrufenden Person angezeigt.

–

Nichtverkettung: Es werden keine Daten zusammengeführt, die für unterschiedliche Zwecke erhoben wurden. Der zu Grunde liegende Zweck ist die Bereitstellung von Kollaborationstools zur Optimierung des Arbeitsalltags (Bereitstellung adäquater Softwareunterstützungen).

246

Employee-Experience-Plattformen und Datenschutz

–

Transparenz: Die Mitarbeiter sind gemäß Art. 13 DSGVO über die Datenverarbeitung durch Viva Insights Personal und insbesondere ihre Widerspruchsmöglichkeiten transparent zu informieren. Es wird empfohlen diese Informationen rechtzeitig vor der organisationsweiten Aktivierung der Viva Insights Personal Varianten zu teilen, damit sich die Nutzer individuell eine Meinung darüber bilden können, ob Sie Viva Insights Personal nutzen oder ggf. von einem (teilweisen) Opt-out Gebrauch machen möchten. Die Dokumentation seitens Microsoft ist detailliert ausgestaltet für die unterschiedlichen Viva Insights Personal Varianten.

–

Intervenierbarkeit: Ein Opt-in oder Opt-out ist jederzeit, auch teilweise für bestimmte Varianten von Viva Insights Personal, für den Nutzer möglich. Die Arbeitnehmer müssen aber auch transparent informiert werden über diese Möglichkeiten.34

–

Integrität/Verfügbarkeit: Da alle persönlichen Insights-Daten aus Viva Insights Personal in dem Exchange Online-Postfach des Nutzers gespeichert werden, erfüllt Viva Insights Personal diese Gewährleistungsziele. Für die Verarbeitungen durch Exchange Online als Online Core Service gelten die regulären Bedingungen des Microsoft Data Protection Addendum („DPA“)35 und der Product Terms36.

Eine Drittlandübermittlung findet für die Bereitstellung des Diens- 39 tes – soweit der Tenant in der EU angesiedelt ist – nicht statt. Viva Insights Personal wird in dem Rechenzentrum ausgeführt, in dem auch der Tenant zu dem betroffenen Exchange Online-Postfach liegt. Es ist daher von keinem hohen Risiko für die Rechte und Freiheiten 40 natürlicher Personen auszugehen. Eine separate Datenschutz-Folgenabschätzung nach Art. 35 Abs. 1 DSGVO ist vor der Einführung von Viva Insights Personal nicht notwendig. Es sollten allerdings die angestellten Erwägungen zu den obigen Punkten dokumentiert werden durch den Verantwortlichen.

34 Vgl. zu den einzelnen Rechten des Arbeitnehmers vertieft Weth/Herberger/ Wächter/Sorge, Daten- und Persönlichkeitsschutz im Arbeitsverhältnis XII. Rz. 51 ff. 35 Abrufbar unter: aka.ms/dpa. 36 Abrufbar unter https://www.microsoft.com/licensing/terms/welcome/welcomepage.

247

Viktoria Schmittmann

IV. Fazit 41 Unternehmen sind gerade bei dem Einsatz von Analyse-Tools wie Microsoft Viva Insights gut beraten, die DSGVO-Implementierung im Zusammenhang mit dem Einsatz von solchen Tools auch stets als Teil ihrer dezidierten internen Kommunikationspolitik zu verstehen. 42 Auch wenn die obenstehenden Ausführungen gezeigt haben, dass der Einsatz von Microsoft Viva Insights datenschutzkonform möglich ist, verbleiben dennoch einige generelle Kritikpunkte an Microsoft 365 als Produktivitätscloud, die auch nach intensiven Gesprächen zwischen Microsoft und der Datenschutzkonferenz (DSK) bislang noch nicht vollständig ausgeräumt sind (wie etwa die Frage der Datenverarbeitung zu eigenen Zwecken von Microsoft). 43 Schließlich kann im Kontext von Microsoft Viva Insights – auf einer ethischen Ebene – die Frage aufgeworfen werden, ob ein Mitarbeiter nicht auch ein „Recht auf Nichtwissen“37 hat, sprich das Recht, nicht jeden Aspekt seiner Berufstätigkeit zur vermeintlichen Selbstoptimierung oder zur langfristigen Profitmaximierung seines Arbeitgebers digital erfassen und analysieren (lassen) zu müssen.38 Auch wenn die von Microsoft Viva Insights versprochenen Vorteile der Steigerung der Resilienz und des Wohlbefindens der Mitarbeiter auch diesem zugutekommen, stehen dahinter ebenso finanzielle unternehmerische Interessen wie die Vermeidung von krankheitsbedingten Ausfällen, stressbedingter Schlechtleistung, Kündigungen und Aufwand bei der Neueinarbeitung von Mitarbeitern. Die Anwendung Microsoft Viva Insights verkörpert insoweit anschaulich den modernen Konflikt zwischen den Interessen von Arbeitgeber und Arbeitnehmer unter den Bedingungen von digitalen und hybriden Arbeitsumgebungen.

37 Zum Begriff im Kontext des maschinellen Lernens vgl. Kreutzer, 2022, S. 57 ff. 38 Vgl. hierzu weiterführend zum Cloud Computing aus Sicht der Ethik Bendel, 2018, S. 185 ff.

248

Haftungsregeln für das digitale Zeitalter Gerhard Wagner* I. Einleitung

1

II. Das neue Phänomen: Autonome digitale Systeme 4 III. Technologieneutralität des Haftungsrechts

6

IV. Haftungsrechtliche Weichenstellungen 8 1. ePerson: Das Artefakt als Haftungssubjekt? 8 2. Der Hersteller als Zentralfigur des Haftungsgeschehens 9 V. Parlament vs. Kommission – Betreiber- vs. Herstellerhaftung 11 VI. Der Vorschlag einer neuen Produkthaftungs-Richtlinie 16 1. Überblick 16 2. Erweiterter Produktbegriff 17 a) Ausgangslage 17 b) Einbeziehung von Software 18 c) Digitale Dienstleistungen 20 d) Würdigung 21 3. Erweiterter Fehlerbegriff – verengte Entlastungsgründe 23 a) Maßstäbe und Bezugspunkte der Fehlerbeurteilung 24 b) Dynamisierung des Fehlerbegriffs 26 c) Verpflichtung zu Aktualisierungen 28 4. Sachlicher Schutzbereich der Produkthaftung 30

*

5.

6.

7. 8.

a) Körper- und Eigentumsverletzung 31 b) Daten 33 Vermehrung der Haftungssubjekte 35 a) Haftungssubjekte nach bisherigem Recht 35 b) Einbeziehung der Intermediäre des e-Commerce 36 c) Bastler und Manipulateure 38 Beweislast und Beweiserleichterungen 41 a) Überblick 41 b) Zugang zu Beweismitteln 42 c) Fehlervermutungen 44 d) Kausalitätsvermutungen 45 Haftungsumfang und Haftungshöchstgrenzen 48 Würdigung 50

VII. Die Richtlinie über KI-Haftung 51 1. Zweck und Inhalt 51 2. Anwendungsbereich 52 3. Adressaten 54 a) Anbieter und Nutzer 54 b) Behörden – Staatshaftung 55 4. Die Regelungen des Richtlinienentwurfs im Einzelnen 58 a) Zugang zu Beweismitteln 59 b) Verschuldensvermutung 62 c) Kausalitätsvermutung 63 aa) Die Mechanik der Vermutung: Pflichtverletzung und Output 64

Prof. Dr. Gerhard Wagner, LL.M. (University of Chicago). Der Autor ist Inhaber des Lehrstuhls für Bürgerliches Recht, Wirtschaftsrecht und Ökonomik der Juristischen Fakultät der Humboldt-Universität zu Berlin. Der Beitrag ist eine integrierte und modifizierte Version der früheren Publikationen in JZ 2023, 1 und JZ 2023, 123.

249

Gerhard Wagner bb) Sonderregeln für Anbieter von Hochrisiko-KI-Systemen 66 cc) Sonderregeln für Nutzer von Hochrisiko-KI-Systemen 68 dd) Normale KI-Systeme, private Nutzer 69 5. Das Verhältnis der KI- zur Produkthaftungsrichtlinie 71 a) Der Grundsatz kumulativer Anwendung 71 b) Hersteller als primäre Adressaten auch der Richtlinie über KI-Haftung 72 c) Nutzer als Haftungsadressaten 75 d) Schlussfolgerung: Ausdehnung des Schutzbereichs 77 6. Die Richtlinie über KI-Haftung im deutschen Deliktsrecht 78 a) Grundstruktur des deutschen Deliktsrechts 78 b) Anspruchsgrundlagen der Verschuldenshaftung 81

aa) Haftung für Schutzgesetzverletzung gemäß § 823 Abs. 2 BGB 81 bb) Haftung für Rechtsgutsverletzungen gemäß § 823 Abs. 1 BGB 84 7. Ausfüllung von Schutzlücken der Produkthaftungsrichtlinie 87 a) Eigentumsschutz 88 b) Schutz des Allgemeinen Persönlichkeitsrechts 91 c) Reine Vermögensschäden 96 8. Bewertung des Richtlinienvorschlags zur KI-Haftung 102 VIII. Schlussfolgerungen 1. Noch mehr Produkthaftung? 2. Verschuldensunabhängige Betreiberhaftung? 3. Der Brussels Effect im Haftungsrecht

103 103 105 107

Literatur: Angelopoulos, European Intermediary Liability in Copyright: A Tortbased Analysis, 2018; Bachmann/Grundmann/Mengel/Krolop (Hrsg.), Festschrift für Christine Windbichler zum 70. Geburtstag am 08.12.2020, 2020; Barocas/Selbst, Big Data’s Disparate Impact, 104 California Law Review 671 (2016); Becker/Michelutti, Corona-Verlängerung: Neuerungen für grenzüberschreitende B2C-Lieferungen nunmehr zum 1.7.2021, DStR 2020, 1817; Beckhaus, Die Bewältigung von Informationsdefiziten bei der Sachverhaltsaufklärung, 2010; Bundesministerium der Justiz (Hrsg.), Gutachten und Vorschläge zur Überarbeitung des Schuldrechts, 1981; Bomhard/Merkle, Europäische KI-Verordnung – Der aktuelle Kommissionsentwurf und praktische Auswirkungen, RDi 2021, 276; Bradford, The Brussels Effect: How the European Union Rules the World, 2021; Brüggemeier, Produkthaftung und Produktsicherheit, ZHR 152 (1998), 511; Brüggemeier, Tort Law in the European Union, 2015; Burmann/Heß/Hühnermann/ Jahnke, Straßenverkehrsrecht, 27. Aufl. 2022; Callies (Hrsg.), Transnationales Recht, 2014; Deutsch, Einheitliche Dienstleistungshaftung in Europa: Vorentwurf einer Richtlinie der EG, ZRP 1990, 454; Deutsch, Fahrlässigkeit und erforderliche Sorgfalt, 2. Aufl. 1995; Dreier/Schulze, Urheberrechtsgesetz, 7. Aufl. 2022; Ebers/ Hoch/Rosenkranz/Ruschemeier/Steinrötter, Der Entwurf für eine EU-KI-Verordnung: Richtige Richtung mit Optimierungsbedarf – Eine kritische Bewertung durch Mitglieder der Robotics & AI Law Society (RAILS), RDi 2021, 528; Eifert/

250

Haftungsregeln für das digitale Zeitalter Metzger/Schweitzer/Wagner, Digitale Ordnungspolitik – Haftung und Verantwortung, 58 CML Rev 987; Erman, BGB, 2020; Faust/Schäfer, Zivilrechtliche und rechtsökonomische Probleme des Internet und der künstlichen Intelligenz, 2019; Finkelmeier, Keine Produkthaftung für unrichtigen Gesundheitstipp in Zeitung, NJW 2021, 2015; Frankenreiter, The Missing ‚California‘ Effect in Data Privacy Law, Yale J. Regulation 1068 (2022); Frühlich/Spiecker gen. Döhmann, Können Algorithmen diskriminieren?, Verfassungsblog, 26.12.2018; Gansmeier/Kochendörfer, Konkurrenzen im Kontext der §§ 327d ff. BGB, JuS 2022, 704; Geiß/Felz, Neue Akteure und neue Befugnisse im Recht der Produktsicherheit und der Marktüberwachung – Fulfilment-Dienstleister, Reverse Engineering und Mystery Shopping sowie die Verbotsmöglichkeit unsicherer Produkte, NVwZ 2022, 299; Gniadek, Die Beweisermittlung im gewerblichen Rechtsschutz und Urheberrecht, 2011; Grützmacher, Die zivilrechtliche Haftung für KI nach dem Entwurf der geplanten KI-VO, CR 2021, 433; Günther, Produkthaftungsrecht: Keine Produkthaftung für unrichtigen Gesundheitstipp in Zeitung, EuZW 2021, 765; Günther, Produkthaftung für Informationsgüter, 2001; Hacker, The European AI Liability Directives – Critique of a Half-Hearted Approach and Lessons for the Future, 2022; Hacker, Europäische und nationale Regulierung von Künstlicher Intelligenz, NJW 2020, 2142; Hacker, Teaching Fairness to Artificial Intelligence: Existing and Novel Strategies Against Algorithmic Discrimination Under EU Law, CMLR 55 (2018), 1143; Hauck/Blaut, Die (quasi-)vertragliche Haftung von Plattformbetreibern, NJW 2018, 1425; Kalbhenn, Designvorgaben für Chatbots, Deepfakes und Emotionserkennungssyteme: Der Vorschlag der Europäischen Kommission zu einer KI-VO als Erweiterung der medienrechtlichen Plattformregulierung, ZUM 2021, 663; Kapoor, „New Legislative Framework“ im EU-Produktsicherheitsrecht – Neue Marktüberwachung in Europa?, EuZW 2008, 649; Klindt, Produktsicherheitsgesetz, 3. Aufl. 2021; Koch, Keine Produkthaftung für Zeitungsinhalte, ZEuP 2022, 980; Kötz, Haftung für besondere Gefahr – Generalklausel für die Gefährdungshaftung, AcP 170 (1970), 1; Koziol, Die Sicherstellungshaftung – eine weitere Spur im Haftungsrecht?, AcP 217 (2017), 376; Larenz/Canaris, Lehrbuch des Schuldrechts, 13. Aufl. 1994; Linardatos, Autonome und vernetzte Aktanten im Zivilrecht, 2021; Lohsse/Schulze/Staudenmayer (Hrsg.), Smart Products, 2021; Lorenz (Hrsg.), Karlsruher Forum 2004, 2005; Lorenz/Reymann, beck-online. Grosskommentar, 2022; Löwisch, Festschrift für Fritz Rittner zum 70. Geburtstag, 1991; Magnus/Micklitz, Liablity for the Safety of Services, 2006; Marburger, Die haftungs- und versicherungsrechtliche Bedeutung technischer Regeln, VersR 1983, 597; Martini/Nink, Wenn Maschinen entscheiden … – vollautomatisierte Verwaltungsverfahren und der Persönlichkeitsschutz, NVwZ-Extra 10/17, 1; Nachbar, Algorithmic Fairness, Algorithmic Discrimination, FSULR 509 (533), 2021; Oechsler, Produkthaftung beim 3D-Druck, NJW 2018, 1569; Ogorek, Untersuchungen zur Entwicklung der Gefährdungshaftung, 1985; Orssich, Das europäische Konzept für vertrauenswürdige Künstliche Intelligenz, EuZW 2022, 254; Owen, Products Liability Law, 3. Aufl. 2015; Podszun/Offergeld, Plattformregulierung im Zivilrecht zwischen Wissenschaft und Gesetzgebung: Die ELI Model Rules on Online Platforms, ZEuP 2022, 244; Säcker/Rixecker/Oetker/Limperg (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch, 2020; Schirmer, Robotik und Verkehr – Was bleibt von der Halterhaftung?, RW 2018, 453; Schlechtriem, Angleichung der Produktehaftung in der EG – Zur Richtlinie des Rates der

251

Gerhard Wagner Europäischen Gemeinschaften vom 25.7.1985, VersR 1986, 1033; Schricker/Loewenheim, Urheberrecht, 6. Aufl. 2020; Schucht, 30 Jahre New Approach im europäischen Produktsicherheitsrecht – prägendes Steuerungsmodell oder leere Hülle?, EuZW 2017, 46; Spindler, Neue Haftungsregelungen für autonome Systeme, JZ 2022, 793; Spindler, Die Vorschläge der EU-Kommission zu einer neuen Produkthaftung und zur Haftung von Herstellern und Betreibern Künstlicher Intelligenz, CR 2022, 689; Staudinger, J. von Staudingers Kommentar zum Bürgerlichen Gesetzbuch, 2021; Stein/Jonas, Kommentar zur Zivilprozessordnung, 23. Aufl. 2018; Teubner, Digitale Rechtssubjekte?, AcP 218 (2018), 155; Thomas/Putzo, Zivilprozessordnung, 43. Aufl. 2022; Van Dam, European Tort Law, 2. Aufl. 2013; Wagner, Produkthaftung für das digitale Zeitalter – ein Paukenschlag aus Brüssel, JZ 2023, 1; Wagner, Die Richtlinie über KI-Haftung: Viel Rauch, wenig Feuer, JZ 2023, 123; Wagner, Haftung für Künstliche Intelligenz – Eine Gesetzesinitiative des Europäischen Parlaments, ZEuP 2021, 545; Wagner, Deliktsrecht, 14. Aufl. 2021; Wagner, Verantwortlichkeit im Zeichen digitaler Techniken, VersR 2020, 717; Wagner, Haftung von Plattformen für Rechtsverletzungen (Teil 1), GRUR 2020, 329; Wagner, Robot, Inc.: Personhood for Autonomous Systems?, 88 (2019) Fordham Law Review 591; Wagner, Produkthaftung für autonome Systeme, AcP 217 (2017), 707; Wagner, Organhaftung im Interesse der Verhaltenssteuerung – Skizze eines Haftungsregimes, ZHR 178 (2014), 227; Wagner, Urkundenedition durch Prozessparteien – Auskunftspflicht und Weigerungsrechte, JZ 2007, 706; Wagner, Geldersatz für Persönlichkeitsverletzungen, ZEuP 2000, 200; Weber, Die Umsetzung der Enforcement-Richtlinie in Deutsches Recht, 2010; Wilhelmi, Risikoschutz durch Privatrecht, 2009; Will, Quellen erhöhter Gefahr, 1980; Willoweit, Rechtswissenschaft und Rechtsliteratur im 20. Jahrhundert, 2007; Wischmeyer, Regulierung intelligenter Systeme, AöR 143 (2018), 1; Whittaker, Liability for Products, 2005; Zech, Verhandlungen des 73. Deutschen Juristentages Bonn 2022, Ergänzungsband zu den Gutachten, 2022; Zech, Entscheidungen digitaler autonomer Systeme: Empfehlen sich Regelungen zu Verantwortung und Haftung, Verhandlungen des 73. Deutschen Juristentages, Band 1, 2020; Zimmermann (Hrsg.), Grundstrukturen des europäischen Deliktsrechts, 2003.

I. Einleitung 1 Mit zwei aktuellen Richtlinienentwürfen zielt die EU-Kommission auf die Anpassung des Haftungsrechts an die Digitalisierung. Einer der Richtlinienentwürfe bleibt auf die Haftung für künstlich intelligente Systeme bezogen und beschränkt, doch der andere enthält nichts weniger als eine Neufassung der Produkthaftungs-Richtlinie aus dem Jahr 1985, die in ihrer Bedeutung kaum unterschätzt werden kann. Während die geltende Produkthaftungs-Richtlinie das U.S.-amerikanische Produkthaftungsrecht rezipierte, präsentiert sich der aktuelle Vorschlag als globaler Vorreiter eines modernen Produkthaftungsrechts, das die Entmaterialisierung der Güterwelt ebenso verarbeitet wie das Aufkommen neuer Intermediäre, die den e-Commerce organisieren. Wie der folgende Beitrag zeigt, weisen die Vorschläge zur Produkthaftung in die richtige Richtung 252

Haftungsregeln für das digitale Zeitalter

und sind auch im Detail gut begründet. Der Entwurf einer Richtlinie zur KI-Haftung ist im Vergleich dazu wesentlich schwieriger einzuschätzen. Es stellt sich die Frage, ob es einer zweiten Richtlinie tatsächlich bedarf. Klimaschutz und Digitalisierung – dies sind die beiden großen Themen 2 der EU-Kommission von Ursula von der Leyen. Zum Themenkreis Digitalisierung hat die EU-Kommission Ende September 2022 zwei Richtlinienentwürfe vorgelegt, die es wahrlich in sich haben. Die sog. Richtlinie „über KI-Haftung“ zielt ihrem Titel nach auf künstlich intelligente digitale Systeme und stellt dafür erstmals spezifische haftungsrechtliche Bestimmungen bereit.1 Daneben tritt ein weiterer Gesetzgebungsvorschlag, mit dem die Produkthaftungs-Richtlinie 85/374/EWG reformiert, nämlich durch ein neues Regelwerk ersetzt werden soll.2 Dieser zweite Vorschlag ist von kaum zu unterschätzender Bedeutung, weil er die bestehende Produkthaftungs-Richtlinie – nach nahezu 40 Jahren – auf den aktuellen Stand bringt. Die Reform des Produkthaftungsrechts soll dementsprechend auch nicht auf digitale Produkte begrenzt sein, sondern gilt ganz allgemein für sämtliche Produkte und – wie zu zeigen sein wird – sogar für einige Dienstleistungen. Es handelt sich um nichts weniger als eine umfassende Reform des Produkthaftungsrechts der EU, ergänzt um einige Sonderbestimmungen für „künstlich intelligente“ Digitalprodukte. Die Entscheidung der EU-Kommission für eine Reform des Produkt- 3 haftungsrechts im Rahmen der EU-Digitalstrategie kommt durchaus überraschend. Im Jahr 2020 hatte das EU-Parlament den Entwurf einer Verordnung über die KI-Haftung vorgelegt, der in die entgegengesetzte Richtung marschierte, indem er die Betreiberhaftung ausbauen wollte.3 Die EU-Kommission hat den Parlamentsentwurf nicht weiterentwickelt, sondern fallen gelassen. Sie setzt nicht auf eine verschärfte Betreiberhaftung, sondern auf die Verschärfung der Herstellerhaftung. Dies ist die zentrale rechtspolitische Weichenstellung, die beiden Richtlinienvorschlägen zugrunde liegt. Sie ist nachdrücklich zu unterstützen.4 Die

1 2 3

4

Richtlinienvorschlag KI-Haftung, COM (2022) 496 final. Richtlinienvorschlag Produkthaftung, COM (2022) 495 final. Europäisches Parlament, Regelung der zivilrechtlichen Haftung bei künstlicher Intelligenz vom 20.10.2020, P9_TA-PROV(2020)0276; dazu der Bericht mit Empfehlungen an die Kommission für eine Regelung der zivilrechtlichen Haftung beim Einsatz künstlicher Intelligenz, Berichterstatter Axel Voss, v. 5.10.2020, A9-0178/2020. Eingehend zum Parlamentsentwurf Wagner, ZEuP 2021, 545; Zech, in: Verhandlungen des 73. Deutschen Juristentages Bonn 2022, Ergänzungsband zu den Gutachten, S. A 117. Zu den Gründen Wagner, ZEuP 2021, 545, 555 f.; Wagner, VersR 2020, 717, 724 ff.

253

Gerhard Wagner

Verschärfung der Herstellerhaftung ist die richtige Antwort auf die Digitalisierung, nicht hingegen eine Verlagerung der haftungsrechtlichen Verantwortung auf den Nutzer bzw. Betreiber des KI-Systems. II. Das neue Phänomen: Autonome digitale Systeme 4 Was unterscheidet künstlich-intelligente Systeme von herkömmlichen Produkten?5 – Es ist die Steuerung des Produkts durch ein Computerprogramm (Software), das in einer konkreten Handlungssituation „Entscheidungen“ trifft, die nicht deterministisch vorherbestimmt sind.6 An die Stelle eines starr programmierten Algorithmus‘ aus Befehlen nach dem „wenn …., dann“-Schema treten selbstlernende Systeme, die in der konkreten Handlungssituation eine Fülle von Inputs verarbeiten und zu einem Output gelangen, der nicht „vorprogrammiert“ ist. Auf welche technische Weise die so beschriebene Autonomie des digitalen Systems erreicht wird, ist für die haftungsrechtliche Beurteilung im Grunde gleichgültig. Auch auf die Klassifizierung des Systems als in einem gehaltvollen Sinne „künstlich intelligent“ oder „lernfähig“ kommt es nicht an. Haftungsrechtlich entscheidend ist allein, dass sich das System der vollständigen Steuerung und Kontrolle durch seinen Hersteller und seinen Nutzer bzw. Betreiber entzieht. 5 Mit künstlich-intelligenten oder besser: autonomen digitalen Systemen tritt also ein neuer Akteur in die Welt des Haftungsrechts. Erstmals sind Artefakte dazu in der Lage, selbst Entscheidungen zu treffen. Das Sorgfaltsniveau eines autonomen digitalen Systems in einer konkreten Handlungssituation bestimmt das System selbst. Der Nutzer des Systems hat hingegen keinerlei Einfluss auf dessen „Verhalten“. Sein Hersteller behält einen erheblichen Einfluss auf das System, weil er es schließlich so und nicht anders programmiert hat und in der Regel auch nach dem Inverkehrbringen noch Kontrolle über das System ausübt, etwa durch Software-Updates und – Upgrades.

5 6

Die Ausdrücke „KI-System“ und autonomes digitales System werden im Folgenden synonym gebraucht. Teubner AcP 218 2018, 155, 174; Zech, Entscheidungen digitaler autonomer Systeme: Empfehlen sich Regelungen zu Verantwortung und Haftung, Verhandlungen des 73. Deutschen Juristentags, Bd. I, 2020, S. A 44; Wagner, AcP 217 2017, 707, 710; Wagner, VersR 2020, 717, 719 ff.

254

Haftungsregeln für das digitale Zeitalter

III. Technologieneutralität des Haftungsrechts Wenn insoweit über Reformfragen nachgedacht wird, dann kommt viel 6 darauf an, den Ausgangspunkt richtig zu wählen. Es ist keineswegs so, dass Hersteller und Nutzer solcher Systeme „bisher“ – also ohne Reform des einschlägigen Rechtsrahmens – keiner Haftung unterlägen. Das geltende Haftungsrecht ist vielmehr technologieneutral.7 Es gilt für Pferdefuhrwerke und Dampfmaschinen ebenso wie für Schiffe, Kraftfahrzeuge und Maschinen aller Art. Die Verschuldenshaftung gemäß §§ 823 ff. BGB differenziert nicht nach der Art der eingesetzten Technologie, sondern trifft jede Person gleichermaßen. Dies gilt auch für die Hersteller und Nutzer autonomer digitaler Systeme; auch sie sind Dritten für fahrlässig verursachte Schäden nach Maßgabe der §§ 823 ff. BGB verantwortlich. Zu der allgemeinen Verschuldenshaftung hinzu kommen Sondergesetze 7 über die verschuldensunabhängige Gefährdungshaftung.8 Die Gefährdungshaftungstatbestände sind nun tatsächlich auf jeweils wohldefinierte Gefahrenquellen bezogen, die überwiegend, wenn auch nicht ausschließlich (§ 833 BGB, § 89 WHG), technischer Natur sind.9 Insoweit können sich theoretisch Haftungslücken ergeben, wenn autonome digitale Systeme aus den Anwendungsbereichen dieser Sondertatbestände ausgeklammert würden. Beispiele dafür gibt es: So verhielte es sich, wenn die Gefährdungshaftung des Kraftfahrzeughalters für Verkehrsunfallschäden gemäß § 7 StVG auf den Betrieb „analoger“ Kraftfahrzeuge beschränkt bliebe. Tatsächlich ist in der Literatur vertreten worden, dass die Gefährdungshaftung für Kraftfahrzeuge nicht für vollautonome Autos gelte, weil die Verantwortlichkeit des Halters nach § 7 StVG implizit voraussetze, dass der Fahrer Einfluss auf das Fahrverhalten habe.10 Dieser Auffassung hat der Gesetzgeber selbst mit der StVG-Reform des Jahres 2021 den Boden entzogen.11 Seither steht außer Zweifel, dass § 7 StVG auch auf Fahrzeuge mit autonomen Fahrfunktionen anwendbar ist. 7 Wagner in: Faust/Schäfer, Zivilrechtliche und rechtsökonomische Probleme des Internet und der künstlichen Intelligenz, 2019, S. 1, 3 f.; Wagner, VersR 2020, 717 f. 8 Ogorek, Untersuchungen zur Entwicklung der Gefährdungshaftung, 1985, S. 98 ff. 9 Dazu Wagner, Deliktsrecht, Kap. 8 Rz. 2 ff. 10 Schirmer, RW 2018, 453, 457 ff.; dazu Zech, Entscheidungen digitaler autonomer Systeme: Empfehlen sich Regelungen zu Verantwortung und Haftung?, Verhandlungen des 73. Deutschen Juristentags, Bd. I, 2020, S. A 62. 11 Gesetz zur Änderung des Straßenverkehrsgesetzes und des Pflichtversicherungsgesetzes – Gesetz zum autonomen Fahren, v. 12.07.2021, BGBl. I, 3108; dazu BT-Drucks. 19/27439 S. 25 ff.; vgl. auch Beschluss der 90. Justizministerkonferenz v. 05.06.2019, S. 2.

255

Gerhard Wagner

IV. Haftungsrechtliche Weichenstellungen 1. ePerson: Das Artefakt als Haftungssubjekt? 8 Eine naheliegende Reaktion auf das Auftreten eines neuen Akteurs besteht darin, diesen selbst zum Haftungssubjekt zu machen. Eben diese Option hat das Europäische Parlament in einer früheren Resolution aus dem Jahre 2017 ins Spiel gebracht.12 Die Idee einer haftungsrechtlichen ePerson löst eine gewisse Faszination aus, gehört einstweilen jedoch in das Gebiet der Science Fiction.13 Ernsthaft infrage kommt die Schaffung eines neuen Haftungssubjekts nur, wenn dieses mit finanziellen Ressourcen ausgestattet wird, die die Erfüllung von gegen das System gerichteten Schadensersatzansprüchen sicherstellen. Geeignete Mittel zu diesem Zweck sind Mindestkapitalerfordernisse, die dem Kapitalgesellschaftsrecht geläufig sind, oder Versicherungspflichten, wie sie beispielsweise im Bereich der Straßenverkehrsunfallhaftung existieren. Beide Optionen werfen die Frage nach der Finanzierung auf, d.h. danach, wer das Mindestkapital der ePerson aufbringen und die Prämien für die obligatorische Haftpflichtversicherung zahlen soll. Dafür kommen wiederum Hersteller und Betreiber in Betracht. Dann aber ist es vorzugswürdig, diese Parteien direkt als Haftungssubjekte zu adressieren und den Umweg über die ePerson zu ersparen. Nur so lässt sich vermeiden, dass Schadensrisiken zu Lasten der Geschädigten externalisiert werden, soweit sie das Mindestkapital bzw. die Versicherungssumme übersteigen. 2. Der Hersteller als Zentralfigur des Haftungsgeschehens 9 Scheidet die ePerson als Haftungssubjekt aus, verbleiben als mögliche Adressaten der Haftung für digitale autonome Systeme Hersteller und Nutzer. Theoretisch ist es denkbar, beide Akteure ins Visier zu nehmen, also Hersteller- und Nutzerhaftung zu verschärfen. Indessen ist ein zielgerichteter Ansatz vorzugswürdig, der auf die spezifische Herausforderung durch autonome digitale Systeme abgestimmt ist. Diese besteht

12 Europäisches Parlament, Zivilrechtliche Regelungen im Bereich Robotik, Entschließung vom 16.2.2017, P8_TA-PROV(2017)0051, Rz. 59, unter f.; dafür auch Linardatos, Autonome und vernetzte Aktanten im Zivilrecht, 2021, S. 479 ff.; eingehend dazu Wagner, in: Faust/Schäfer, Zivilrechtliche und rechtsökonomische Probleme des Internet und der künstlichen Intelligenz, 2019, S. 1, 29 ff.; Wagner, 88 2019 Fordham Law Review 591. 13 Ablehnend auch der Deutsche Juristentag, Beschlüsse des 73. Deutschen Juristentags, Abteilung Zivilrecht, These 16; im Internet unter https://djt.de/ wp-content/uploads/2022/09/Beschluesse.pdf (zuletzt abgerufen am: 4.10.2023, 13:47 Uhr).

256

Haftungsregeln für das digitale Zeitalter

im Kern darin, dass der Nutzer seinen Einfluss auf das „Verhalten“ des digitalen Systems einbüßt.14 Das Verhalten eines herkömmlichen Kraftfahrzeugs, insbesondere Geschwindigkeit und Fahrtrichtung, bestimmt der Fahrer, doch auf Geschwindigkeit und Richtung eines autonomen Fahrzeugs hat er keinerlei Einfluss. Die Hersteller autonomer Kraftfahrzeuge werden sogar sicherstellen müssen, dass der Passagier, der einmal der Fahrer war, keinerlei Einfluss auf das Fahrverhalten des Systems ausüben kann. Alles andere wäre viel zu gefährlich! Vor diesem Hintergrund liegt eigentlich auf der Hand, was in haftungs- 10 rechtlicher Hinsicht geschehen muss, um der Herausforderung durch autonome digitale Systeme gerecht zu werden. Es gilt diejenige Partei zu adressieren, die überhaupt noch Einfluss auf und Kontrolle über das System ausüben kann, und dies ist – abgesehen von dem Artefakt selbst – der Hersteller.15 Der Hersteller ist diejenige Instanz, die die geforderte Sicherheit des Systems gewährleisten und, besonders wichtig, dessen Sicherheit im Zeitablauf fortwährend verbessern kann. Das Haftungsrecht muss diejenigen wirtschaftlichen Anreize generieren, derer es bedarf, damit der Hersteller seine Sicherheitsverantwortung wirksam wahrnimmt. Ausgehend von dieser Prämisse sind Vorschläge zur Reform des Haftungsrechts für digitale Systeme zu würdigen. V. Parlament vs. Kommission – Betreiber- vs. Herstellerhaftung Wie bereits erwähnt, setzte der Parlamentsentwurf aus dem Jahr 2021 auf 11 die Verschärfung der Betreiberhaftung.16 Für Betreiber sogenannter Hochrisiko-KI-Systeme sollte eine verschuldensunabhängige Gefährdungshaftung eingeführt werden, die insbesondere auch autonome Fahrzeuge erfasst hätte. Im Grunde ging es darum, das im deutschen Recht etablierte Haftungssystem der §§ 7 ff. StVG in modifizierter Form auf sämtliche digitalen Hochrisikosysteme auszuweiten. Der Betreiberbegriff wurde dabei aufgespalten und zwischen Frontend-Betreiber und Backend-Betreiber differenziert (Art. 3 lit. e), f) des Entwurfs).17 Der Frontend-Betreiber entsprach mehr oder weniger dem Halter des deutschen Haftungsrechts,

14 Wagner, VersR 2020, 717, 724 f.; Wagner, ZEuP 2021, 547, 555 f. 15 Vgl. die vorherige Fußnote. 16 Europäisches Parlament, Regelung der zivilrechtlichen Haftung bei künstlicher Intelligenz vom 20.10.2020, P9_TA-PROV(2020)0276; dazu Wagner, ZEuP 2021, 545, 550 ff.; Zech, in: Verhandlungen des 73. Deutschen Juristentages Bonn 2022, Ergänzungsband zu den Gutachten, S. A 117 ff. 17 Wagner, ZEuP 2021, 545, 550 ff.; Zech, in: Verhandlungen des 73. Deutschen Juristentages Bonn 2022, Ergänzungsband zu den Gutachten, S. A 117, 121 ff.

257

Gerhard Wagner

während der Backend-Betreiber in den meisten Fällen mit dem Hersteller des KI-Systems identisch gewesen wäre. In Bezug auf die Herstellerhaftung kam daher alles auf die Schnittstelle zur Produkthaftungs-Richtlinie an. Nach Art. 11 Satz 2 des Parlaments-Entwurfs sollte für die Haftung des Backend-Betreibers die Produkthaftungs-Richtlinie Vorrang genießen, doch ob diese Regelung im Sinne einer Ausschlusswirkung der Produkthaftungs-Richtlinie18 oder im Sinne eines kumulativen Nebeneinanders beider Regelwerke19 gemeint war, blieb unklar und umstritten. 12 Die EU-Kommission hat den Fokus des Parlamentsentwurfs auf die Haftung des Betreibers fallen gelassen und konzentriert das Haftungsrecht für autonome digitale Systeme stattdessen auf den Hersteller. Dieser unterliegt bereits de lege lata der harmonisierten Produkthaftung. Folgerichtig muss es darum gehen, das Regime der Richtlinie 85/374/EWG den aktuellen Herausforderungen anzupassen. Genau dies geschieht mit dem Vorschlag einer neuen Produkthaftungs-Richtlinie. 13 Daneben soll nach dem Willen der Kommission ein zweiter Rechtsakt treten, der keinen Vorläufer hat, nämlich eine Richtlinie über KI-Haftung. Anders als der Vorschlag zur Produkthaftungs-Richtlinie ist dieser Entwurf auf KI-Systeme beschränkt. Die Richtlinie über die KI-Haftung schafft indessen keine neuen Haftungstatbestände, sondern lediglich Beweisregeln. Die Haftungstatbestände muss das nationale Recht bereitstellen, und der Vorschlag der Richtlinie über KI-Haftung macht insoweit keine Vorgaben außer den Klarstellungen, dass die außervertragliche Haftung gemeint ist, und hier die Verschuldenshaftung. Im deutschen Recht sind damit die §§ 823 ff. BGB angesprochen. Im Übrigen ist der Richtlinienvorschlag zur KI-Haftung auf komplexe Weise mit den Definitionen und Bestimmungen des Vorschlags der sog. KI-Verordnung verbunden,20 die die sicherheitsrechtlichen Aspekte digitaler Systeme regulieren soll. Die KI-Verordnung wiederum begründet Sicherungspflichten primär zu Lasten der sog. Anbieter und nur ganz sekundär zu Lasten der Nutzer von KI-Systemen. Der „Anbieter“ iSd der Rechtsakte zur KI ist wiederum mit dem „Hersteller“ iSd Produkthaftungs-Richtlinie identisch. Das bedeutet im Klartext: Auch der Vorschlag einer Richtlinie über die KI-Haftung richtet sich primär an die Hersteller solcher Systeme. Deshalb stellt sich

18 So Wagner, ZEuP 2021, 545, 554 f.. 19 So Zech in: Verhandlungen des 73. Deutschen Juristentages Bonn 2022, Ergänzungsband zu den Gutachten, S. A 117, 125. 20 Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für Künstliche Intelligenz (Gesetz über künstliche Intelligenz), COM (2021) 206 final.

258

Haftungsregeln für das digitale Zeitalter

nachdrücklich die Frage nach Legitimation und Funktion einer zweiten Richtlinie zur Herstellerhaftung. Unabhängig von der Frage, ob die Herstellerhaftung in zwei verschiede- 14 nen Richtlinien geregelt werden soll, ist es nachdrücklich zu begrüßen, dass die EU-Kommission den Vorschlag des Parlaments zur Verschärfung der Betreiberhaftung nicht weiterentwickelt, sondern verworfen hat. Angesichts der mit der Digitalisierung schwindenden Einfluss- und Kontrollmöglichkeiten des sog. Frontend-Betreibers, also des Nutzers, auf das Verhalten digitaler Systeme ist es kontraproduktiv, die Haftung eben dieses Rechtssubjekts zu verschärfen. Wer den Eintritt von Schäden durch Erhöhung des Sorgfaltsaufwands nicht vermeiden kann, der sollte nicht mit Schadensersatzpflichten konfrontiert werden. Als Nutzer des digitalen Systems ist der Betreiber nicht dazu in der Lage, dessen Verhalten wesentlich zu bestimmen. Zwar kann er die Haftung dadurch vermeiden, dass er das Aktivitätsniveau senkt, also zum Beispiel sein autonomes Fahrzeug weniger nutzt, doch die Steuerung dieses Parameters ist auch auf anderem Wege als durch Haftung möglich. Der Hersteller hat die Möglichkeit – und bei richtig eingestellter Herstellerhaftung auch den Anreiz – die Preise für das digitale System so zu gestalten, dass sie auf die Nutzungsintensität abgestimmt sind.21 Die Weichenstellung zugunsten der Herstellerhaftung hat auch keineswegs zur Folge, dass die Betreiber überhaupt kein Haftungsrisiko zu fürchten hätten, denn sie unterliegen selbstverständlich der (technologieneutralen) Verschuldenshaftung, im deutschen Recht also den §§ 823 ff. BGB. Eine Verschärfung dieser Haftung zu einer verschuldensunabhängigen Gefährdungshaftung der Betreiber von KI-Systemen ist nicht sinnvoll. Unter dem Gesichtspunkt der Schadensvermeidung, die auf die Steuerungsfunktion der Haftung angewiesen ist, spricht nichts für die Betreiberhaftung und alles für die Herstellerhaftung. Dieser Prämisse tragen die Entwürfe der EU-Kommission voll und ganz Rechnung. Es bleibt zu hoffen, dass der Parlamentsentwurf im Brüsseler Gesetzge- 15 bungsverfahren keine Wiederauferstehung erlebt. Insoweit besteht Anlass zur Sorge, weil Art. 5 des Vorschlags einer Richtlinie über KI-Haftung nicht nur – wie üblich – die Evaluation der Richtlinie nach Ablauf eines bestimmten Zeitraums vorsieht, hier von fünf Jahren nach Ablauf der Umsetzungsfrist, sondern darüber hinaus den Auftrag zur Prüfung erteilt, „ob Vorschriften über die verschuldensunabhängige Haftung für Ansprüche gegenüber Betreibern bestimmter KI-Systeme angemessen

21 Wagner in: Faust/Schäfer, Zivilrechtliche und rechtsökonomische Probleme des Internet und der künstlichen Intelligenz, 2019, S. 1, 19 f.

259

Gerhard Wagner

sind“ (Art. 5 Abs. 2). Dieser Vorbehalt lässt befürchten, dass die Gefährdungshaftung zu Lasten der Betreiber noch nicht ganz „vom Tisch“ ist. Sie sollte es aber sein, weil Betreiber bei KI-Systemen das falsche Haftungssubjekt sind. VI. Der Vorschlag einer neuen Produkthaftungs-Richtlinie 1. Überblick 16 Mit dem Vorschlag zur Produkthaftung wird die bisherige Produkthaftungs-Richtlinie 85/374/EWG einer Reform an Haupt und Gliedern unterzogen. Dabei liegt ein Schwerpunkt auf der Anpassung des Produkthaftungsregimes an digitale Systeme bzw. KI-Systeme. Der Reformvorschlag ist jedoch nicht darauf begrenzt, sondern enthält zahlreiche Veränderungen, die auf Produkte jeder Art Anwendung finden sollen, etwa der Wegfall der bisherigen Haftungshöchstgrenze. Zentrale Elemente des Richtlinienvorschlags sind die Ausweitung des Produktbegriffs auf Software jeder Art sowie digitale Dienstleistungen, die Einbeziehung von Daten in den sachlichen Schutzbereich der Haftung, die Ausdehnung des Fehlerbegriffs auf Sicherheitsmängel, die der Hersteller nach Inverkehrbringen durch Einwirkung auf das im Feld befindliche Produkt insbesondere durch Updates und Upgrades verursacht, die Erstreckung der den Hersteller treffenden Haftung auf Plattformen und andere Intermediäre des elektronischen Geschäftsverkehrs sowie Beweiserleichterungen für den Geschädigten in den Bereichen Produktfehler und Kausalität. Mit diesen Regelungen würde die Produkthaftung nicht nur auf digitale Produkte ausgeweitet, sondern generell erheblich verschärft. 2. Erweiterter Produktbegriff a) Ausgangslage 17 Ein zentrales Element des Vorschlags zur Produkthaftung ist die Anpassung des Produktbegriffs an die digitale Welt. Derzeit definiert Art. 2 der Richtlinie 85/374/EWG in ihrer deutschen Sprachfassung den Produktbegriff durch Verweisung auf den Sachbegriff.22 Demnach sind Produkte bewegliche Sachen, einschließlich Elektrizität. Das BGB versteht unter Sachen „nur körperliche Gegenstände“ (§ 90 BGB). Demgegenüber ist die englische Sprachfassung, die den Ausdruck „movable“ verwendet,

22 Dazu Wagner AcP 217 2017, 707, 716 ff.; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 2 ProdHaftG Rz. 2 f.; Oechsler in: Staudinger, 2021, § 2 ProdHaftG Rz. 11; Rebin in: BeckOGK, 1.9.2022, § 2 ProdHaftG Rz. 13.

260

Haftungsregeln für das digitale Zeitalter

für unkörperliche Gegenstände offener.23 Die ausdrückliche Erwähnung von Elektrizität lässt methodisch sowohl eine Analogie zu – auch andere unkörperliche Gegenstände können einbezogen werden – als auch einen Umkehrschluss, nachdem die explizite Regelung für die Elektrizität die Anwendung des Art. 2 auf Software ausschließt.24 Der EuGH hat in der Entscheidung in Sachen Krone die Anwendung der Produkthaftungs-Richtlinie auf in Druckerzeugnissen enthaltene Informationen mangels Körperlichkeit ausgeschlossen.25 Damit hat sich die Argumentationslast für den Einschluss von Software nochmals erhöht.26 b) Einbeziehung von Software Die Zweifel erledigen sich, wenn Software ausdrücklich in den Anwen- 18 dungsbereich der Richtlinie einbezogen wird. Genau dies ist in Art. 4 Abs. 1 Richtlinienvorschlag vorgesehen, der wie bisher Elektrizität nennt, darüber hinaus aber auch Software und digitale Bauunterlagen. Die ausdrückliche Nennung digitaler Vorlagen für und Versionen von beweglichen Sachen (Art. 4 Abs. 2) wäre an sich nicht erforderlich gewesen, handelt es sich bei diesen doch zweifellos um „Software“. Immerhin wird unmissverständlich klargestellt, dass der 3D-Druck in den Anwendungsbereich der Richtlinie einbezogen werden soll.27 Praktische Bedeutung hat die Qualifizierung von Software als Produkt nicht so sehr für Endhersteller, die Hardware-Software-Kombinationen in den Verkehr bringen, beispielsweise ein Fahrzeug mit autonomen Fahrfunktionen oder auch mit einer „einfachen“ Motorsteuerungssoftware oder ein Smartphone oder einen Laptop mit integrierter Software. Hier bestand bisher weitgehende Einigkeit, dass der Endhersteller auch für Fehler solcher „embedded software“ einzustehen hat.28 Zwar hat die Krone-Entscheidung des EuGH auch hier Zweifel gesät, die die Neuregelung ausräumen würde.

23 Wagner in: Lohsse/Schulze/Staudenmayer, Smart Products, 2021, S. 157, 169. 24 Eingehend Wagner, AcP 217 2017, 707, 718. 25 EuGH v. 10.6.2021 – C-65/20 (VI ./. Krone Verlag), Rz. 29 ff. = NJW 2021, 2015 Anm. Finkelmeier; eingehend dazu Wagner in: Lohsse/Schulze/Staudenmayer, Smart Products, 2022, 157, 171 ff. 26 So auch Finkelmeier, NJW 2021, 2015, 2017; anders Günther, EuZW 2021, 765, 766. 27 ErwGr 14; zur gegenwärtigen Rechtslage Wagner in: MünchKommBGB, 8. Aufl. 2022, § 2 ProdHaftG Rz. 28 f., § 4 ProdHaftG Rz. 15 ff. Vgl. auch Oechsler in: Staudinger, 2021, § 4 ProdHaftG Rz. 33; Oechsler, NJW 2018, 1569. 28 Wagner, AcP 217 2017, 707, 714 ff.; Wagner in: MünchKommBGB, 8. Aufl. 2022, § 2 ProdHaftG Rz. 6, 21; Oechsler in: Staudinger, 2021, § 2 ProdHaftG Rz. 64; Günther, Produkthaftung für Informationsgüter, 2001, S. 189 f.

261

Gerhard Wagner

Vor allem aber würde die Regelung den Weg ebnen zur Haftung auch der Software-Hersteller als Teilhersteller bzw., wie der Richtlinienvorschlag formuliert, als Komponentenhersteller (Art. 7 Abs. 1 Unterabs. 2). 19 Nach dem Willen der Kommission soll nur das eigentliche Software-„Produkt“ als solches gelten, nicht aber der diesem zugrunde liegende Quellcode. Nach Maßgabe dieser Unterscheidung sollen die Verfasser von OpenSource-Software von der Haftung nach der Richtlinie verschont bleiben.29 Begründen lässt sich diese Ausnahme mit der Erwägung, dass die Anreize zur Mitwirkung an offenen Softwareprojekten nicht durch Haftungsandrohungen belastet werden sollten. Gleichwohl ist zweifelhaft, ob die Haftungsprivilegierung, die lediglich in den Erwägungsgründen erwähnt wird, tatsächlich eingreift. Schließlich wird Open-Source-Software häufig „wie ein Produkt“ gegen Entgelt und im Paket mit weiteren Dienstleistungen vertrieben. In diesem Fall steht die Haftung des Anbieters, der das Paket in den Verkehr bringt, als Endhersteller außer Zweifel,30 aber auch der Programmierer müsste eigentlich als Komponentenhersteller für Fehler des jeweiligen Open-Source-Moduls einstehen. Wenn eine Ausnahme gewollt ist, muss sie in den Text der Richtlinie aufgenommen werden. Dabei ist zu bedenken, dass jede Ausnahme vom Geltungsbereich der Richtlinie das nationale Deliktsrecht auf den Plan ruft. c) Digitale Dienstleistungen 20 Ein weiterer Schritt zur Ausweitung des Anwendungsbereichs der Richtlinie wird durch die Einbeziehung von digitalen Dienstleistungen durch Art. 4 Abs. 4 Richtlinienvorschlag vollzogen. Maßgebend ist insoweit, dass es sich um einen „verbundenen Dienst“ handelt, der unter Kontrolle des Herstellers in das Produkt integriert oder mit diesem verbunden wird. Unter dieser Voraussetzung gilt die Dienstleistung als „Komponente“ des Endprodukts (Art. 4 Abs. 3), mit der Folge, dass nicht nur der Endhersteller für Fehler des verbundenen Diensts haftet, sondern darüber hinaus auch der Dienstleister als Komponenten- bzw. Teilprodukthersteller (Art. 7 Abs. 1 Unterabs. 2).31 Auf diese Weise wird die Dienstleistungshaftung unter dem Mantel der Produkthaftungs-Richtlinie nun doch teilweise harmonisiert, nachdem viele Vorstöße der Kommission, der Produkthaftungs- eine Dienstleistungshaftungs-Richtlinie an die Seite zu stellen, gescheitert sind.32 Die Einbeziehung von Dienstleistungen 29 30 31 32

Richtlinienvorschlag Produkthaftung, ErwGr 13. Zweifelnd Spindler, CR 2022, 689 Rz. 11. Richtlinienvorschlag Produkthaftung, ErwGr 15. Insbesondere COM (1990) 482 final, ABl. 1991, C 12/8. Vgl. dazu Deutsch, ZRP 1990, 454. Ferner etwa Verbraucherpolitischer Aktionsplan, KOM(1998)

262

Haftungsregeln für das digitale Zeitalter

bleibt allerdings eng begrenzt auf solche digitalen Dienste, einschließlich Daten,33 ohne die das Produkt nicht ordnungsgemäß funktioniert und die unter der Kontrolle des Herstellers stehen (Art. 2 Abs. 4 i. V. m. Abs. 3 Richtlinienvorschlag). Tatsächlich ginge die Einbeziehung verbundener digitaler Dienstleistungen tout court zu weit: Dass der Hersteller eines Navigationsgeräts für Fehler des aufgespielten Kartenmaterials haften soll,34 leuchtet ein, aber der Hersteller eines Smartphones sollte nicht für Inhalte von Apps einstehen müssen, die der Nutzer aufgespielt hat. Würde der Krone-Fall „digitalisiert“, der falsche Behandlungshinweis also in einer elektronischen Zeitung publiziert,35 sollte der Publizist nach allgemeinem Deliktsrecht dafür einzustehen haben, nicht aber der Hersteller des Smartphones nach der Produkthaftungsrichtlinie. d) Würdigung Die Vorschläge der Kommission zur Erstreckung des Produktbegriffs 21 auf Software, einschließlich Programmen für den 3D-Druck sowie produktbezogene digitale Dienstleistungen verdienen Unterstützung. Sie bewirken die notwendige Anpassung des Produkthaftungsrechts an das digitale Zeitalter. Die notwendigen Weichenstellungen ließen sich zwar auch durch extensive Interpretation des Art. 2 der bisherigen Richtlinie vornehmen,36 doch dieser Prozess benötigte Zeit und wäre mit einer Phase der Unsicherheit verbunden. Der Nachteil der legislativen Lösung besteht darin, dass der Rechtsprechungsprozess als „Entdeckungsverfahren“ ausfällt. So mag es sein, dass die Ausweitung des Produktbegriffs auf Software jeder Art zu weit führt. Möglicherweise wäre es vorzugswürdig, zunächst allein Standardsoftware in den Blick zu nehmen, die „wie eine Ware“ vertrieben wird, während im Rahmen von Werkverträgen angefertigte Spezialsoftware weiter als Dienstleistung anzusprechen und zu behandeln wäre.37

33 34 35 36 37

369 endg., S. 18; zum aktuellen Stand der Dienstleistungshaftung im EU Recht Magnus, in: Magnus/Micklitz, Liability for the Safety of Services, 2006, S. 113 ff. Spindler, CR 2022, 689 Rz. 9. Richtlinienvorschlag Produkthaftung, ErwGr 15. Vgl. nochmals EuGH v. 10.6.2021 – C-65/20 (VI ./. Krone Verlag). Ein Versuch in diese Richtung bei Wagner in: Lohsse/Schulze/Staudenmayer, Smart Products, 2021, S. 157. So Wagner, AcP 217 2017, 707, 717 f.; Wagner in: MünchKommBGB, 8. Aufl. 2022, § 2 ProdHaftG Rz. 25; aA Oechsler in: Staudinger, 2021, § 2 ProdHaftG Rz. 69.

263

Gerhard Wagner

22 Dabei ist zu bedenken, dass nach der Rechtsprechung des EuGH ein die Produkthaftung auslösendes Inverkehrbringen auch dann vorliegt, wenn das selbst erzeugte Produkt im Rahmen einer unternehmensinternen Dienstleistung verwendet wird, beispielsweise eine von der Krankenhausapotheke hergestellte medizinische Lösung im Rahmen einer medizinischen Behandlung.38 Wird diese Judikatur auf Software übertragen, unterliegen auch solche Anbieter, die Daten für andere speichern und sie im Auftrag ihrer Kunden mit Hilfe eigener Softwaretools analysieren, der Produkthaftung. Auf diese Weise „frisst“ sich die Produkthaftungsrichtlinie sehr weit in den Dienstleistungssektor hinein. Die Beschränkung auf Standardsoftware würde diesen Effekt vermeiden bzw. reduzieren. 3. Erweiterter Fehlerbegriff – verengte Entlastungsgründe 23 Der Haftungstatbestand der harmonisierten Produkthaftung ist aus drei Elementen zusammengesetzt: Produktfehler, Schaden bzw. Rechtsgutsverletzung und Kausalität zwischen Fehler und Verletzung. Der Fehlerbegriff ist das Nadelöhr der Haftung, denn er definiert, ob der Hersteller für einen Schaden, der durch sein Produkt verursacht wurde, aufkommen muss oder nicht. a) Maßstäbe und Bezugspunkte der Fehlerbeurteilung 24 Was unter einem Produktfehler zu verstehen ist, ist in der europäischen und internationalen Diskussion umstritten.39 Die beiden Hauptwettbewerber sind der sog. consumer expectations test, der auf die Sicherheitserwartungen der Konsumenten abstellt, und der risk/utility test, nach dem es auf eine Kosten-Nutzen-Abwägung ankommt. Die bisherige Formulierung des Fehlerbegriffs in Art. 6 Richtlinie 85/374/EWG legte wegen der Bezugnahme auf berechtigte Sicherheitserwartungen eine Interpretation im Sinne des consumer expectations test nahe, war allerdings auch für eine Kosten-Nutzen-Abwägung offen. In der Neufassung der Richtlinie sollen nun die Sicherheitserwartungen maßgeblich sein, die die „breite“ Öffentlichkeit erwarten darf. Das scheint noch mehr als die bisherige Formulierung in Richtung Verbrauchererwartungen zu weisen. Tatsächlich ist mit der neuen Terminologie keine Entscheidung gegen die

38 EuGH v. 10.5.2001 – C-203/99 (Veedfald ./. Arhus Amtskommune) Rz. 16 f.; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 1 ProdHaftG Rz. 26; Oechsler in: Staudinger, 2021, § 1 ProdHaftG Rz. 50; Seibl in BeckOGK, 1.10.2022, § 1 ProdHaftG Rz. 75. 39 Wagner, AcP 217 2017, 707, 731 ff.; Owen, Products Liability Law, S. 336; Whittaker, Liability for Products, 2005, Part IV 17 2 (a).

264

Haftungsregeln für das digitale Zeitalter

Kosten-Nutzen-Abwägung verbunden. Im Gegenteil, in den Erwägungsgründen wird betont, es sei eine objektive Analyse anzustellen, während die Sicherheitserwartungen einzelner Produktnutzer nicht maßgeblich seien.40 Die objektive Analyse kann nicht darin bestehen, eine Umfrage durchzuführen und die Bürger darüber zu befragen, welche Sicherheitserwartungen sie hinsichtlich einzelner Produkte hegen. Die meisten Menschen erwarten einfach „Sicherheit“ und machen sich über das Maß keine Gedanken. Da absolute Sicherheit weder möglich noch bezahlbar ist, führt an einer Kosten-Nutzen-Rechnung kein Weg vorbei. Dabei sind die Kosten möglicher Sicherheitsmaßnahmen in Gestalt einer alternativen Produktgestaltung mit dem Nutzen in Form reduzierter Schadenskosten in Beziehung zu setzen und, soweit Schadensrisiken durch Sicherheitsvorkehrungen nicht zu vermeiden sind, der Nutzen des Produkts mit der Summe aus Herstellungs- und Schadenskosten zu vergleichen. Im Übrigen erweitert Art. 6 Abs. 1 Richtlinienvorschlag die in dem gel- 25 tenden Art. 6 Richtlinie 85/374/EWG genannten Kriterien für die Fehlerbeurteilung, um sie den Anforderungen an Digitalprodukte sowie den Praktiken anzupassen, die sich speziell für deren Vermarktung gebildet haben. Richtigerweise ist gemäß Art. 6 Abs. 1 lit. c) Richtlinienvorschlag die Fähigkeit des Produkts, nach Einsatzbeginn weiter zu lernen ebenso zu berücksichtigen wie sein Zusammenwirken mit anderen Produkten, mit denen es interagiert (Art. 6 Abs. 1 lit. d). Letzteres war auch nach geltendem Recht bereits möglich, sodass ein Motorradhersteller beispielsweise dafür einstehen musste, wenn es infolge einer vom Nutzer angebrachten Lenkerverkleidung zu einem Unfall kam,41 doch es schadet nicht, wenn es ausdrücklich klargestellt wird. Genauso liegt es bei Art. 6 Abs. 1 lit. f), der die im Rahmen des Fehlerbegriffs zu stellenden Anforderungen auf die Cybersicherheit erstreckt, sodass ein Digitalprodukt fehlerhaft ist, wenn es nicht die gebotene Sicherheit gegenüber Hackerangriffen bietet.42 b) Dynamisierung des Fehlerbegriffs Digitalprodukte lösen Anpassungsbedarf beim Fehlerbegriff auch in Be- 26 zug auf den Beurteilungszeitpunkt aus. Gemäß Art. 6 Abs. 1 lit. c) Richtlinie 85/374/EWG ist der Fehler zum Zeitpunkt des Inverkehrbringens festzustellen. Maßgebend für das Inverkehrbringen ist das sog. Werk40 Richtlinienvorschlag Produkthaftung, ErwGr 22. 41 So zu § 823 Abs. 1 BGB BGH v. 9.12.1986 – VI ZR 65/86, BGHZ 99, 167, 172 ff. = NJW 1987, 1009; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 979. 42 Dazu eingehend Wagner, AcP 217 2017, 707, 727 f.

265

Gerhard Wagner

torprinzip, also der Moment, in dem das Produkt die Herstellungsphase verlassen hat und vom Hersteller in den Vertrieb gegeben wird.43 Anders als herkömmliche Produkte unterliegen Digitalprodukte dem Zugriff des Herstellers auch noch nach ihrem Inverkehrbringen. Insbesondere ist es möglich und auch üblich, die in dem Produkt enthaltene Software nachträglich durch Updates oder Upgrades zu verändern, entweder im Rahmen von Inspektionen in der Werkstatt oder auch „over the air“. Werden auf diese Weise die sicherheitsrelevanten Eigenschaften des Produkts „im Feld“ durch den Hersteller verändert, ist es unangemessen, für die Fehlerbeurteilung auf den Zeitpunkt des Inverkehrbringens des ursprünglichen Produkts abzustellen.44 Entsprechend ist Art. 6 Abs. 1 lit. c) Richtlinie 85/374/EWG auszulegen.45 Der Entwurf stellt dies klar, indem Art. 6 Abs. 1 lit. e) Richtlinienvorschlag nun ausdrücklich auf den Zeitpunkt abstellt, „ab dem das Produkt nicht mehr unter der Kontrolle des Herstellers steht“. Das sollte richtigerweise aber nur insoweit gelten, als es um die Sicherheitseigenschaften des letzten Updates oder Upgrades geht, nicht aber für das Produkt insgesamt. Die unveränderte Hardware ist also weiter an dem Maßstab zu messen, der im Zeitpunkt ihres Inverkehrbringens relevant war. Diese Rechtslage wird durch Art. 10 Abs. 2 lit. b) bestätigt, der eine Entlastung des Herstellers mit Rücksicht auf die Fehlerfreiheit des Produkts im Zeitpunkt des Inverkehrbringens nur dann ausschließt, wenn der Produktfehler auf Software-Updates oder – Upgrades beruht. 27 Entsprechendes gilt auch für verbundene Dienstleistungen; hier tritt gemäß Art. 10 Abs. 2 lit. a) Richtlinienvorschlag keine Entlastung ein, wenn der Fehler des Produkts auf einer verbundenen Dienstleistung beruht, die der Kontrolle des Herstellers unterliegt. Diese Vorschrift nimmt nicht den Anbieter der digitalen Dienstleistung selbst ins Visier, denn dieser haftet gemäß Art. 6 Abs. 1 Richtlinienvorschlag als Komponentenhersteller ohnehin für Fehler, die im Zeitpunkt des Inverkehrbringens seiner Dienstleistung vorliegen. Vielmehr geht es bei Art. 10 Abs. 2 lit. a) um die Haftung des Endherstellers, der ein Digitalprodukt in den Verkehr bringt, in das nachträglich mit seiner Zustimmung digitale Dienste integriert oder mit dem digitale Dienste verbunden werden (Art. 4 Abs. 5).46 Der Endhersteller kann sich also nicht entlasten, wenn das Produkt im

43 Wagner in: MünchKommBGB, 8. Aufl. 2020, § 1 ProdHaftG Rz. 24 ff.; Oechsler in: Staudinger, 2021, § 1 ProdHaftG Rz. 50 ff; Seibl in BeckOGK, 1.10.2022, § 1 ProdHaftG Rz. 75. 44 Eingehend Wagner, AcP 217 2017, 707, 754 ff. 45 Wagner, AcP 217 2017, 707, 756. 46 Richtlinienvorschlag Produkthaftung, ErwGr 37.

266

Haftungsregeln für das digitale Zeitalter

Zeitpunkt seines Inverkehrbringens fehlerfrei war, jedoch danach durch mit ihm verbundene digitale Dienste fehlerhaft geworden ist. c) Verpflichtung zu Aktualisierungen Ein besonders neuralgischer Punkt der Sicherheit von Digitalproduk- 28 ten wird mit der Frage aufgeworfen, ob und unter welchen Umständen der Hersteller bzw. diesem gleichgestellte Haftungssubjekte dazu verpflichtet sind, Updates oder Upgrades vorzunehmen, also die bereits im Feld befindlichen Produkte auf den neuesten Stand zu bringen. Die Verpflichtung des Vertragspartners zur Bereitstellung solcher „Aktualisierungen“ ist vertragsrechtlich bereits geltendes Recht, und zwar gemäß Art. 7 lit. d), Art. 8 Abs. 2 Richtlinie 2019/770 über die Bereitstellung digitaler Inhalte.47. Aus der Existenz dieser Vertragspflicht ist in der Literatur der Schluss gezogen worden, eine deliktische Pflicht zu Updates und Upgrades sei ausgeschlossen.48 Diese Auffassung übersieht, dass die Richtlinie 2019/770 ausschließlich den Verkäufer ins Visier nimmt49 und das deutsche Schuldrecht auf dem Kumulationsprinzip gebaut ist, nach dem ein Vertragsverhältnis die Anwendung des Deliktsrechts nicht ausschließt, sondern beide Anspruchsgründe parallel anwendbar sind.50 Zudem lässt die Richtlinie über digitale Inhalte Aktualisierungspflichten aus anderen Rechtsgründen ausdrücklich unberührt.51 Schließlich gilt die deliktische Produkthaftung nur für Sicherheitsmängel, die die Rechtsgüter anderer bedrohen, nicht aber für bloße Qualitätsmängel, die die Domäne des Vertragsrechts bleiben. Schon deshalb kann die Verpflichtung zu Updates und Upgrades nach der Richtlinie 2017/770 keine Sperrwirkung gegenüber dem Deliktsrecht äußern. Unter dem europäischen Produkthaftungsrecht liegt es wieder anders, 29 weil die Richtlinie 85/374/EWG die Verantwortung des Herstellers auf den Zeitraum bis zum Inverkehrbringen begrenzt; eine Haftung für die Verletzung sog. Produktbeobachtungspflichten post market kennt die Richtlinie nicht.52 Das soll sich mit der Neufassung ändern. Während Art. 6 Abs. 1 lit. e) Updates und Upgrades, die nach Inverkehrbringen tatsächlich aufgespielt werden, dem Fehlerbegriff unterwirft, begründet 47 48 49 50 51

ABl. L 136, 1. Gansmeier/Kochendörfer, JuS 2022, 704, 707 f. Spindler, CR 2022, 689 Rz. 27. Wagner in: MünchKommBGB, 8. Aufl. 2020, Vor § 823 Rz. 82 m. w. N. Richtlinie 2017/770 ErwGr 47, S. 6; Metzger in: MünchKommBGB, 9. Aufl. 2022, § 327 f. Rz. 4. 52 Wagner in: MünchKommBGB, 8. Aufl. 2020, § 1 ProdHaftG Rz. 62; Oechsler in: Staudinger, 2021, § 1 ProdHaftG Rz. 117.

267

Gerhard Wagner

Art. 10 Abs. 2 lit. c) Richtlinienvorschlag eine haftungsbewehrte Verpflichtung zur Vornahme solcher digitaler „Nachbesserungsarbeiten“ nach Inverkehrbringen. Die Vorschrift steht im Kontext der Haftungsbefreiung nach Art. 10 Abs. 1 lit. c), wonach sich der Hersteller entlasten kann, wenn er nachweist, dass der schadensursächliche Fehler zum Zeitpunkt des Inverkehrbringens „wahrscheinlich noch nicht bestanden hat“. Gemäß Art. 10 Abs. 2 lit. c) Richtlinienvorschlag steht dieser Entlastungsgrund nicht zur Verfügung, wenn „das Fehlen von Software-Updates oder – Upgrades, die zur Aufrechterhaltung der Sicherheit erforderlich sind“, zur Fehlerhaftigkeit des Produkts geführt hat. Mit anderen Worten besteht also eine produkthaftungsrechtliche Verpflichtung des Herstellers zu Updates und Upgrades nach dem Inverkehrbringen des Produkts, sofern die Aufrechterhaltung der Produktsicherheit dies gebietet. 4. Sachlicher Schutzbereich der Produkthaftung 30 Der sachliche Schutzbereich der Produkthaftungs-Richtlinie ist ausweislich von Art. 9 RL auf die traditionellen Rechtsgüter Leben, Körper, Eigentum beschränkt. Einschränkungen gelten gemäß Art. 9 lit. b) RL bei der Beschädigung oder Zerstörung von Sachen; hier gilt ein Selbstbehalt von ECU 500 (500 Euro, § 11 ProdHaftG), und Schäden an vorwiegend kommerziell genutzten Sachen bleiben ebenso ausgenommen wie sog. Weiterfresserschäden an dem fehlerhaften Produkt selbst. a) Körper- und Eigentumsverletzung 31 Die Neuregelung des Art. 4 Abs. 6 Richtlinienvorschlag hält an diesen Weichenstellungen grundsätzlich fest, bringt jedoch einige Klarstellungen. Psychische Beeinträchtigungen werden ausdrücklich zur Körperverletzung gerechnet, was auch bisher schon anerkannt war,53 zu den Weiterfresserschäden zählen nunmehr ausdrücklich auch Beschädigungen und Zerstörungen des Produkts durch eine seiner Komponenten, einschließlich digitaler Dienstleistungen, und ausgeschlossen bleiben nur solche Sachen, die ausschließlich für berufliche Zwecke genutzt werden. Bei dem letzten Punkt hatte die Kommission vor allem Immobilien im

53 Wagner in: MünchKommBGB, 8. Aufl. 2020, § 1 ProdHaftG Rz. 2; Oechsler in: Staudinger, 2021, § 1 ProdHaftG Rz. 3; Seibl in BeckOGK, 1.10.2022, § 1 ProdHaftG Rz. 27; jeweils mit Verweis auf den Gleichlauf mit § 823 Abs. 1 BGB. Zur Anerkennung psychischer Störungen iRv § 823 Abs. 1 BGB etwa BGH v. 17.4.2018 – VI ZR 237/17, BGHZ 218, 220 Rz. 10 = JZ 2019, 101; Wagner in MünchKommBGB, 8. Aufl. 2020, § 823 BGB Rz. 207.

268

Haftungsregeln für das digitale Zeitalter

Blick, die sowohl zu gewerblichen als auch zu privaten Zwecken (Wohnen) genutzt werden und in die bewegliche Sachen eingebaut werden, wie beispielsweise „smart“-digitale Temperaturregler.54 Ist ein solches Produkt fehlerhaft und verursacht die Beschädigung oder Zerstörung des Gebäudes, bleibt letzteres im Schutzbereich des Richtlinienvorschlags, weil es nicht ausschließlich für berufliche Zwecke genutzt wird. Schließlich soll bei der Beschädigung oder Zerstörung von Sachen der Selbstbehalt von 500 Euro wegfallen. Dieser Schritt ist nachdrücklich zu begrüßen, weil die bisherige Regelung bei Sachschäden stets ein Ausweichen auf die deliktische Produkthaftung erzwungen hat, für die selbstverständlich das Prinzip der Totalreparation gilt.55 Diese Änderungen gehen in die richtige Richtung, doch vorzugswürdig 32 wäre es gewesen, die Differenzierung zwischen gewerblich und privat genutzten Sachen insgesamt aufzugeben und Eigentumsverletzungen generell in den Schutzbereich der Produkthaftungsrichtlinie einzubeziehen. Für die Richtlinie 85/374/EWG war der Verbraucherschutzgedanke durchaus eine Triebfeder, jedoch hat die Produkthaftung diese Herkunft längst abgeschüttelt. Aus heutiger Sicht geht es nicht um Verbraucherschutz im Sinne eines Schutzes des „Schwächeren“, der der „industriellen Massenproduktion“ schutzlos ausgeliefert ist, sondern um wirksame Sorgfaltsanreize für Produkthersteller und um die Kompensation von Schäden durch Produkte, die nicht die erforderliche Sicherheit bieten, ganz unabhängig davon, ob sich diese bei Verbrauchern oder bei Unternehmern manifestieren. Dementsprechend hat der EuGH die Richtlinie 85/374/EWG maßgeblich auf das Ziel der Wettbewerbsgleichheit ausgerichtet und die verbraucherschutzrechtlich inspirierte These, sie bewirke lediglich eine Mindestharmonisierung, klar zurückgewiesen.56 Diesen Gedanken sollte die Kommission zu Ende denken und die Ausklammerung gewerblich genutzter Sachen aus dem Schutzbereich der Produkthaftung fallen lassen. b) Daten Eine bedeutende Ausweitung ihres Schutzbereichs soll die Produkthaf- 33 tung durch die Einbeziehung von Daten erfahren. Gemäß Art. 6 lit. c) Richtlinienvorschlag stellt auch der Verlust und die Verfälschung von Daten einen ersatzfähigen Schaden dar, jedenfalls dann, wenn die Daten 54 Richtlinienvorschlag Produkthaftung, ErwGr 19. 55 Wagner in: MünchKommBGB, § 11 ProdHaftG Rz. 2. 56 EuGH v. 25.4.2002 – C-183/00 (María Victoria González Sánchez/Medicina Asturiana SA) Rz. 27; Wagner in: MünchKommBGB, 8. Aufl. 2020, Einl. ProdHaftG Rz. 3.

269

Gerhard Wagner

nicht ausschließlich für berufliche Zwecke verwendet werden. Mit der Gleichstellung von Daten und Sachen im Hinblick auf die Haftung für Beschädigung und Zerstörung trägt der Richtlinienvorschlag der wachsenden Bedeutung von Daten als Wirtschaftsgut Rechnung und balanciert die Regelung insofern aus, als Daten, sofern sie über verbundene Dienstleitungen zugeführt werden, nicht nur als Schädigungsinstrument, sondern eben auch als Schutzgegenstand in Betracht kommen. 34 Zudem wird der Anschluss an die Entwicklung der nationalen Deliktsrechte gewahrt, soweit diese Daten dem Sacheigentum gleichstellen.57 Die Ausklammerung ausschließlich für berufliche Zwecke verwendeter Gegenstände aus dem Schutzbereich ist gerade bei Daten jedoch ausgesprochen dysfunktional, weil Vermögensschäden vor allem bei der Beschädigung oder Zerstörung gewerblich genutzter Daten entstehen. Die Löschung digitaler Fotos von Angehörigen, anderen geliebten Menschen oder von köstlichen Urlaubserinnerungen mag den Berechtigten sehr schmerzen, ein Vermögensschaden tritt bei der Löschung privater Daten typischerweise nicht ein und ein Anspruch auf Immaterialschadensersatz besteht nach deutschem Recht nicht (§ 253 BGB). Die Einbeziehung von Daten in den sachlichen Schutzbereich der Richtlinie ändert daran nichts, weil der Richtlinienvorschlag die Haftungsausfüllung – zu Recht – dem nationalen Recht überlässt, und zwar ausdrücklich auch die Entschädigung für immaterielle Beeinträchtigungen.58 Diese Überlegungen sprechen einmal mehr dafür, die verbraucherschutzrechtlichen Wurzeln der Produkthaftungsrichtlinie zu kappen und gewerblich genutzte Daten in ihren Schutzbereich einzubeziehen.59 5. Vermehrung der Haftungssubjekte a) Haftungssubjekte nach bisherigem Recht 35 Produkthaftung ist grundsätzlich Herstellerhaftung. Der Endhersteller, also diejenige Partei, die das Endprodukt in den Verkehr bringt und vermarktet, haftet für sämtliche Fehler dieses Endprodukts, unabhängig davon, ob die fehlerhafte Komponente selbst hergestellt oder von einem Zulieferer bezogen wurde, ob der Fehler auf fehlerhaften Grundstoffen beruht und ob die Konstruktion des Gesamtprodukts mangelhaft war.60 Der Endhersteller ist unabhängig von der Fehlerursache immer verant57 58 59 60

Dazu Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 332 ff. m. w. N. Richtlinienvorschlag Produkthaftung, ErwGr 18. Vgl. oben, bei Fn. 56. Wagner in: MünchKommBGB, § 1 ProdHaftG Rz. 63 ff., § 4 ProdHaftG Rz. 13; Oechsler in: Staudinger, 2021, § 1 ProdHaftG Rz. 147.

270

Haftungsregeln für das digitale Zeitalter

wortlich, wenn das Produkt den geforderten Sicherheitsstandard verfehlt. Entsprechendes gilt für Teilhersteller, aber begrenzt auf die von ihnen jeweils hergestellten Teilprodukte.61 Gesamtverantwortung für das Endprodukt tragen sie nicht. Dem Hersteller gleichgestellt ist der sog. Quasi-Hersteller, der sein Markenzeichen auf dem Produkt anbringt, ohne es selbst fabriziert zu haben (Art. 3 Abs. 1 RL, § 4 Abs. 1 S. 2 ProdHaftG), sowie der Importeur, der das Produkt in den EU-Binnenmarkt bzw. den Europäischen Wirtschaftsraum einführt (§ 4 Abs. 2 ProdHaftG). Schließlich trifft den Händler eine subsidiäre Ausfallhaftung, wenn der Hersteller nicht bekannt ist und er binnen eines Monats nach Aufforderung des Geschädigten nicht dazu in der Lage ist, diesen zu benennen (Art. 3 Abs. 3 RL, § 4 Abs. 3 ProdHaftG).62 b) Einbeziehung der Intermediäre des e-Commerce Der Richtlinienvorschlag behält die Haftungssubjekte des Art. 3 36 RL 85/374/EWG bei, gesellt ihnen jedoch weitere hinzu. Diese rekrutiert er aus dem Kreis der Intermediäre, die den Handel im Internet organisieren und abwickeln. Deren Verantwortlichkeit wird nicht auf Digitalprodukte beschränkt, sondern gilt ganz allgemein, auch für herkömmliche Waren. Gemäß Art. 7 Abs. 3 Richtlinienvorschlag steht dem EU-Importeur der sog. Fulfillment-Dienstleister gleich. Damit vollzieht der Entwurf eine Weichenstellung des Produktsicherheitsrechts nach, das den Begriff mit Art. 3 Nr. 11 der VO 2019/1020 über Marktüberwachung und die Konformität von Produkten eingeführt hat.63 Vorausgesetzt ist, dass der Hersteller des Produkts seinen Sitz außerhalb der EU hat und es weder einen Bevollmächtigten des Herstellers noch einen Importeur mit Sitz innerhalb der EU gibt. Diese Bestimmung zielt offensichtlich auf Fälle, in denen Produkte aus Drittstaaten, vor allem aus China, von dort domizilierten Verkäufern über Internet-Plattformen direkt, d. h. ohne Zwischenschaltung eines Importeurs, auf dem europäischen Markt angeboten werden. Der Begriff des Fulfillment-Dienstleisters ist in Art. 4 Richtlinienvorschlag definiert. Es handelt sich um jede natürliche oder juristische Person, die im Rahmen ihrer Geschäftstätigkeit fremde Produkte lagert, verpackt, adressiert und versendet, wobei zwei dieser vier Tätigkeiten ausreichen. Post- und Frachtdienste sind ausdrücklich aus-

61 Wagner in: MünchKommBGB, § 4 ProdHaftG Rz. 31. 62 Dazu Koziol, AcP 219 2019, 376, 388 ff.; Wagner in: MünchKommBGB, § 4 ProdHaftG Rz. 48 ff. 63 ABl. 2019, L 169, 1; dazu Geiß/Felz, NVwZ 2022, 299, 300.

271

Gerhard Wagner

genommen. Nicht ganz klar ist, ob diese Fulfillment-Dienstleistungen zwingend innerhalb des Binnenmarkts ausgeführt werden müssen und ob der Fulfillment-Dienstleister seinen Sitz oder eine Niederlassung innerhalb der EU haben muss. Letzteres ist ausdrücklich nicht vorgesehen, aber das Erfordernis eines engen Binnenmarktbezugs entspricht der Logik, den Fulfillment-Dienstleister einem EU-Importeur gleichzustellen.64 Immerhin ist in Art. 4 Abs. 13 Richtlinienvorschlag ausdrücklich bestimmt, dass der Importeur in der Union niedergelassen sein muss. 37 Der Fulfillment-Dienstleister haftet nach der Konzeption des Richtlinienvorschlags wie ein Importeur und damit vorrangig vor dem Händler, den lediglich eine Ausfallhaftung trifft.65 Der Händler wiederum ist nur verantwortlich, wenn der Hersteller nicht ermittelt werden kann oder zwar ermittelt werden kann, jedoch außerhalb der Union domiziliert ist und weder auf einen Bevollmächtigten des Herstellers, einen Importeur oder einen Fulfillment-Dienstleister, der im Binnenmarkt niedergelassen ist, zugegriffen werden kann (Art. 7 Abs. 5 Richtlinienvorschlag). In einem letzten Schritt stellt Art. 7 Abs. 6 Richtlinienvorschlag dem Händler „jeden Anbieter einer Online-Plattform“ gleich, der Fernabsatzverträge zwischen Verbrauchern und Unternehmern vermittelt und dabei den Eindruck erweckt, er selbst – der Betreiber der Plattform – werde Vertragspartner. Mit dieser Regelung wird die vertragsrechtlich favorisierte Lösung66 auf die außervertragliche Haftung erstreckt. Für die Anwendung des Art. 7 Abs. 6 Richtlinienvorschlag kommt es allerdings nicht auf das Vertragsrecht, sondern auf den Maßstab des Art. 6 Abs. 3 Gesetz über digitale Dienste an.67 Sofern ein Unternehmen wie Amazon also mit seiner Marketplace-Plattform diese Voraussetzungen erfüllt, haftet es aufgrund der Produkthaftungsrichtlinie für durch das vertriebene fehlerhafte Produkt verursachte Rechtsgutsverletzungen. Gegen eine vollumfängliche Produkthaftung von Verkaufsplattformen lässt sich einwenden, dass die Plattform jedenfalls nicht den Eindruck erweckt, sie sei Hersteller des Produkts. Die subsidiäre Haftung gleich einem Händler trifft dieser Einwand nicht. Im Übrigen steht sie in Einklang mit der Regelung in Art. 14a Richtlinie 2006/112/EG zur Mehrwertsteuer, nach 64 Richtlinienvorschlag Produkthaftung, ErwGr. 27; sowie ErwGr 13 der Marktüberwachungs-VO 2019/1020, ABl. L 169, 1; so wohl auch Geiß/Felz, NVwZ 2022, 299, 300. 65 Richtlinienvorschlag Produkthaftung, ErwGr 27. 66 Dazu Hauck/Blaut, NJW 2018, 1425; Podszun/Offergeld, ZEuP 2022, 244, 256 ff. 67 Verordnung (EU) 2022/2065 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG (Gesetz über digitale Dienste), ABl. 2022 L 277, 1.

272

Haftungsregeln für das digitale Zeitalter

der Online-Plattformen, die Fernverkäufe von Händlern aus Drittstaaten vermitteln, unter bestimmten Umständen als „fiktive Lieferer“ qualifiziert und so zum Mehrwertsteuerschuldner gemacht werden.68 c) Bastler und Manipulateure Produkte können nach ihrem Inverkehrbringen durch ihre Nutzer ver- 38 ändert werden, und zwar auch in Bezug auf ihre sicherheitsrelevanten Eigenschaften. Dies gilt keineswegs nur, aber durchaus auch für Digitalprodukte. Werden die Sicherheitseigenschaften eines Produkts durch Eingriffe Dritter in nachteiliger Weise verändert, entfällt die Haftung des Herstellers gemäß Art. 10 Abs. 1 lit. c) Richtlinienentwurf, wenn und soweit der Produktfehler im Zeitpunkt des Inverkehrbringens noch nicht vorhanden war. Aber wie steht es um die Haftung des Eingreifenden? Schon bisher ließ sich die Haftung desjenigen, der die sicherheitsrelevan- 39 ten Eigenschaften eines Produkts nach dessen Inverkehrbringen veränderte, auf der Grundlage der Richtlinie 85/374/EWG begründen.69 Art. 7 Abs. 4 Richtlinienvorschlag bestimmt nunmehr ausdrücklich, dass derjenige, der die sicherheitsrelevanten Eigenschaften eines Produkts nach Inverkehrbringen verändert, die Haftung als Hersteller auf sich zieht, wenn die Veränderung wesentlich ist und außerhalb der Kontrolle des ursprünglichen Herstellers erfolgt, letzterer der Veränderung also nicht zugestimmt hat (Art. 4 Abs. 5 Richtlinienvorschlag). Das ist eine harte Rechtsfolge zu Lasten derjenigen, die an einem Produkt nach seinem Inverkehrbringen „herumbasteln“, und sie kann ausdrücklich auch natürliche Personen treffen. Immerhin kann sich der Eingreifende gemäß Art. 10 Abs. 1 lit. g) durch den Nachweis entlasten, dass die von ihm vorgenommene Modifikation nicht zu dem Fehler geführt hat, der schließlich den Schaden verursacht hat. Das gilt erst recht, wenn diejenige Produkteigenschaft, die den Schaden verursacht hat, nicht als fehlerhaft zu qualifizieren ist. Auch Art. 7 Abs. 4 Richtlinienvorschlag ist nicht auf Software und an- 40 dere Digitalprodukte begrenzt, mag aber für diese besondere Bedeutung erlangen, soweit der Nutzer dazu in der Lage ist, Änderungen an einem

68 Zu Art. 14a Mehrwertsteuer-Richtlinie vgl. die Richtlinie (EU) 2017/2455 des Rates v. 5.12.2017, ABl. 2017 L 348; dazu Becker/Michelutti, DStR 2020, 1817, 1820 f. 69 Wagner in: MünchKommBGB, § 4 ProdHaftG Rz. 11, 13, 24; Spickhoff in: BeckOGK, 1.11.2022, § 4 ProdHaftG Rz. 14; ähnlich, aber die wirtschaftliche Bedeutung der Modifikation in den Vordergrund stellend, Oechsler in Staudinger, 2021, § 4 ProdHaftG Rz. 12, 22 ff.

273

Gerhard Wagner

Computerprogramm vorzunehmen oder es wesentlich zu ergänzen. Eine Ausuferung der Haftung zu Lasten der Nutzer ist zu vermeiden, indem die Schwelle der Veränderung sicherheitsrelevanter Eigenschaften nicht zu niedrig angesetzt wird. 6. Beweislast und Beweiserleichterungen a) Überblick 41 Gemäß Art. 4 Richtlinie 85/374/EWG trägt der Geschädigte die Beweislast für die drei zentralen Haftungsvoraussetzungen, also Produktfehler, Rechtsgutsverletzung (Schaden) und Kausalität. Dabei soll es ausweislich des Art. 9 Abs. 1 Richtlinienvorschlag bleiben. Allerdings bringt die Neufassung Beweiserleichterungen für den Geschädigten, nämlich einen Anspruch auf Offenlegung von Beweismitteln, eine an dessen Nichterfüllung geknüpfte Fehlervermutung sowie eine dem Anscheinsbeweis ähnelnde Regelung für den Kausalitätsnachweis. b) Zugang zu Beweismitteln 42 Der Anspruch auf Offenlegung von Beweismitteln in Art. 8 Richtlinienvorschlag ist der Regelung des Art. 6 der Enforcement-Richtlinie 2004/48/ EG nachempfunden.70 Der Geschädigte hat Anspruch auf Offenlegung der in der Verfügungsgewalt des Beklagten befindlichen Beweismittel, wenn er seinen Schadensersatzanspruch durch Tatsachen und Belege plausibilisieren kann (Art. 8 Abs. 1) und die Offenlegung erforderlich und verhältnismäßig ist (Art. 8 Abs. 2). Dabei sind die berechtigten Geheimhaltungsinteressen des Beklagten und Dritter angemessen zu berücksichtigen (Art. 8 Abs. 3). Ihnen kann nicht nur durch Verweigerung oder Begrenzung der Offenlegung, sondern vor allem auch durch Schutzmaßnahmen Rechnung getragen werden, die das Gericht anordnen kann, um die Vertraulichkeit der Informationen zu gewährleisten (Art. 8 Abs. 4). In Betracht kommen insbesondere sog. In-camera-Verfahren, bei denen die sensiblen Informationen nur dem Gericht und einem zur Verschwiegenheit verpflichteten Sachverständigen oder den ebenso verpflichteten Anwälten, nicht aber der Gegenpartei zur Kenntnis gebracht werden.71 70 Beckhaus, Die Bewältigung von Informationsdefiziten bei der Sachverhaltsaufklärung, 2010, S. 167 ff.; Gniadek, Die Beweisermittlung im gewerblichen Rechtsschutz und Urheberrecht, 2011, S. 247 ff., 317 ff.; Weber, Die Umsetzung der Enforcement-Richtlinie in Deutsches Recht, 2010, S. 41 ff.; Wimmers in: Schricker/Loewenheim, 6. Aufl. 2020, § 101a UrhG, Rz. 5 f. 71 Vgl. Spindler, CR 2022, 689 Rz. 48; eingehend Wagner, JZ 2007, 706, 717 f.; aus der Rechtsprechung des EuGH vgl. EuGH v. 13.7.2006 – C-438/04

274

Haftungsregeln für das digitale Zeitalter

Diese Maßgaben bringen die konfligierenden Aufklärungs- und Geheim- 43 haltungsinteressen in ein angemessenes Gleichgewicht. Der Anspruch auf Zugang zu Beweismitteln und die daran gekoppelten Fehlervermutungen des Art. 9 Abs. 2 Richtlinienentwurf sind eine angemessene Antwort auf die Schwierigkeiten für den Geschädigten, die Fehlerhaftigkeit komplexer, Software-getriebener Systeme nachzuweisen.72 Die Sorge, mit Art. 8 Richtlinienvorschlag könnte die U.S.-amerikanische pre trial discovery in Europa Einzug halten, ist nicht begründet.73 Es erscheint auch nicht nötig, die im Rahmen von Art. 8 durchzuführende Interessenabwägung noch weiter zu strukturieren. c) Fehlervermutungen Weigert sich der Beklagte, einer gerichtlichen Offenlegungsanordnung 44 nach Art. 8 Abs. 1 Richtlinienvorschlag zu entsprechen, greift zu seinen Lasten die Fehlervermutung des Art. 9 Abs. 2 lit. a) ein. Gleiches gilt, wenn der Geschädigte nachweisen kann, dass das Produkt verbindliche Anforderungen des europäischen oder des nationalen Produktsicherheitsrechts nicht einhält, sofern zwischen dem Rechtsverstoß und dem Schaden ein Schutzzweckzusammenhang besteht (Art. 9 Abs. 2 lit. b)). Für Digitalprodukte dürfte der Vermutungstatbestand des Art. 9 Abs. 1 lit. c) besonders relevant sein, nachdem von der Fehlerhaftigkeit des Produkts auszugehen ist, wenn der Schaden „durch eine offensichtliche Funktionsstörung des Produkts bei normaler Verwendung oder unter normalen Umständen verursacht wurde“. Diese Regelung zielt auf „digitale Fabrikationsfehler“, bei denen sich das Produkt anders „verhält“ als es die Steuerungssoftware „eigentlich“ vorgesehen hat. d) Kausalitätsvermutungen Der Richtlinienentwurf enthält überdies zwei Kausalitätsvermutungen, 45 eine konventionelle und eine brisante. Konventionell ist die Regelung des Art. 9 Abs. 3 Richtlinienentwurf, nach der die Kausalität zwischen Fehler und Schaden – gemeint ist gemäß Art. 4 Abs. 6 die Rechtsgutsverletzung – vermutet wird, wenn „der entstandene Schaden von der dem betreffenden Fehler typischerweise entsprechenden Art ist“. Diese

(Mobistar SA ./: IBPT) Rz. 40 ff.; vgl. auch § 140c Abs. 1 S. 3 PatG und dazu BGH v. 16.11.2009 – X ZB 37/08, GRUR 2010, 318 Rz. 19 ff.; § 101a Abs. 1 S. 3 UrhG und dazu Dreier in: Dreier/Schulze, UrhG, 7. Aufl. 2022, § 101a Rz. 7. 72 Wagner, VersR 2020, 717, 735; zu den Fehlervermutungen sogleich, unter c). 73 So aber Spindler, CR 2022, 689 Rz. 47, 51.

275

Gerhard Wagner

Formulierung wird man als eine etwas eigenwillige Paraphrasierung der Voraussetzungen des Anscheinsbeweises lesen müssen.74 46 Viel brisanter ist Art. 9 Abs. 4 Richtlinienentwurf, der auf Situationen zugeschnitten ist, in denen es für den Kläger übermäßig schwierig ist, die Voraussetzungen eines Schadensersatzanspruchs nachzuweisen, und zwar aufgrund hoher technischer oder wissenschaftlicher Komplexität. In dieser Situation soll der Produktfehler oder dessen Kausalität für die Rechtsgutsverletzung oder beides vermutet werden, wenn das Produkt zu dem Schaden beigetragen hat und es wahrscheinlich fehlerhaft war und/oder der Fehler den Schaden wahrscheinlich verursacht hat. Was unter dem „Beitragen“ zum Schaden anderes zu verstehen sein soll als Kausalität, ist nicht ersichtlich. Wenn der Kläger aber einen solchen Beitrag nachweisen muss, ist die Kausalität nachgewiesen und es ist nichts mehr zu vermuten. Vernünftigen Sinn lässt sich der Regelung des Art. 4 Abs. 4 Richtlinienvorschlag nur abgewinnen, wenn sie als Beweismaßreduktion gelesen und verstanden wird. In diesem Sinne wäre die in Art. 9 Abs. 4 lit. b) genannte Voraussetzung der Wahrscheinlichkeit des Fehlers bzw. des Kausalzusammenhangs im Sinne von überwiegender Wahrscheinlichkeit (more likely than not) zu interpretieren. Das Recht des Beklagten, die überwiegende Wahrscheinlichkeit und die übrigen Voraussetzungen des Art. 9 Abs. 4 „anzufechten“ wie es in S. 2 der Regelung heißt, müsste nicht geregelt werden und trägt nur zur Verwirrung bei. Am besten wäre es, wenn nicht eine Vermutung normiert, sondern die Beweismaßreduktion explizit angeordnet würde. 47 Darüber hinaus ist fragwürdig, ob es der Vermutungsregelungen des Art. 9 Abs. 4 Richtlinienvorschlag überhaupt bedarf. Die davon erfassten Fälle lassen sich jedoch problemlos unter Art. 9 Abs. 3 Richtlinienvorschlag bringen, denn wenn das Produkt fehlerhaft ist und der Fehler zur Verursachung des Schadens geeignet ist, dann ist ein Kausalzusammenhang ohnehin überwiegend wahrscheinlich. Eine weitere Erleichterung des Kausalitätsnachweises in Fällen, in denen die Voraussetzungen des Art. 9 Abs. 3 nicht gegeben sind, ist nicht gerechtfertigt und führt zu weit. Entsprechendes gilt für die Vermutung der Fehlerhaftigkeit. Angesichts der weitreichenden Fehlervermutungen des Art. 9 Abs. 2 Richtlinienvorschlag bedarf es keiner weiteren Fehlervermutung, um komplexen Fallgestaltungen Rechnung zu tragen. Wenn das Produkt weder eine Funktionsstörung gezeigt noch gegen Rechtsvorschriften verstoßen

74 Dazu Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 92, 1020 ff.; § 1 ProdHaftG Rz. 82; Thole in: Stein/Jonas, 23. Aufl. 2018, § 286 Rz. 218 ff.; Seiler in: Thomas/Putzo, 43. Aufl. 2022, § 286 Rz. 12 ff.

276

Haftungsregeln für das digitale Zeitalter

und der Hersteller sämtliche Informationen offengelegt hat, ein Fehler aber trotzdem nicht nachgewiesen werden konnte – aus welchen Gründen sollte dann ein Fehler dennoch „wahrscheinlich“ (Art. 9 Abs. 4 lit. b) sein? Von einer solchen Regelung ist abzuraten. 7. Haftungsumfang und Haftungshöchstgrenzen In Bezug auf den Haftungsumfang, also die Ersatzfähigkeit einzelner 48 Schadensposten und die Schadensberechnung, bleibt es bei dem Verweis auf nationales Recht. In Art. 5 Abs. 2 Richtlinienentwurf wird klargestellt, dass sich auch Zessionare und qualifizierte Einrichtungen, die kraft Unionsrechts oder nationalen Rechts zur kollektiven Liquidation von Schadensersatzansprüchen berechtigt sind, auf die neue Produkthaftungs-Richtlinie berufen können. Damit sind qualifizierte Einrichtungen iSd Art. 4 Verbandsklage-Richtlinie 2020/1828 gemeint. Aus der Sicht des deutschen Rechts bedeutsam ist der Umstand, dass die 49 Ermächtigung der Mitgliedstaaten durch Art. 16 Abs. 1 Richtlinie 85/374/ EWG, die Haftung des Herstellers auf ECU 75 Millionen zu begrenzen, in dem Novellierungsvorschlag fehlt.75 Haftungshöchstgrenzen entsprechen der Tradition des deutschen Rechts der verschuldensunabhängigen Haftung, auch wenn die dafür angeführten Gründe nicht besonders stark sind.76 Insbesondere das Versicherbarkeitsargument überzeugt nicht, weil die Beschränkung der Deckung eine weitergehende Haftung nicht ausschließt, wie die seit jeher unlimitierte Verantwortlichkeit nach allgemeinem Deliktsrecht belegt. Hinzu kommt, dass es sich speziell im Fall der europäischen Produkthaftung gar nicht um eine verschuldensunabhängige Verantwortlichkeit handelt, weil die Schadensersatzpflicht an einen Produktfehler geknüpft ist und der Fehlerbegriff die Sorgfaltsanforderungen der Fahrlässigkeitshaftung „verschlüsselt“.77 Insofern ist der Wegfall der Haftungshöchstgrenze konsequent und richtig. Wenn nicht alles täuscht, hat sie in der Regulierungspraxis in Deutschland bisher auch keinerlei Rolle gespielt.

75 Kritisch Spindler, CR 2022, 689 Rz. 62. 76 Vgl. Kötz, AcP 170 1970, 1, 36 ff.; Kötz, Gefährdungshaftung, in: Bundesministerium der Justiz (Hrsg.), Gutachten und Vorschläge zur Überarbeitung des Schuldrechts, Bd. II, 1981, S. 1825 ff.; Schlechtriem, VersR 1986, 1033, 1042; Will, Quellen erhöhter Gefahr, 1980, S. 305 ff.; Wagner, Deliktsrecht, 8. Kap. Rz. 44. 77 Schlechtriem, FS Rittner, 1991, S. 545, 546; Brüggemeier, ZHR 152 1998, 511, 517; Wagner, Deliktsrecht, Kap. 9 Rz. 12.

277

Gerhard Wagner

8. Würdigung 50 Der Vorschlag zur Reform der Produkthaftungs-Richtlinie ist ein „großer Wurf“. Mit ihm wird das herkömmliche System der Produkthaftung entschlossen und konsequent an das digitale Zeitalter angepasst. Dass bei diesem Anlass ein paar alte Zöpfe wie die Haftungshöchstgrenze abgeschnitten werden, ist eine willkommene Draufgabe. Es wäre wünschenswert, die Kommission würde die verbraucherschutzrechtlichen Wurzeln der Produkthaftungsrichtlinie vollständig kappen und auch gewerblich genutzte Sachen vollumfänglich in ihren Schutzbereich einbeziehen. Geschieht dies nicht, wird insoweit die deliktische Produkthaftung nach nationalem Recht weitergepflegt werden müssen. VII. Die Richtlinie über KI-Haftung 1. Zweck und Inhalt 51 Die weitgehend positive Einschätzung des Kommissionsvorschlags zur Reform der Produkthaftung erhöht den Druck auf den zweiten Richtlinienvorschlag „über KI-Haftung“. Wenn die Produkthaftungs-Richtlinie künftig das Zentraldokument der KI-Haftung sein soll, wozu bedarf es dann noch eines zweiten Rechtsakts? Die Antwort darauf fällt nicht leicht, zumal der Vorschlag zur Richtlinie über KI-Haftung juristisch hoch komplex und in seinen Auswirkungen schwer abzuschätzen ist. Die Komplexität ergibt sich einerseits aus der legislatorischen Entscheidung, die Richtlinie über KI-Haftung eng an den Entwurf einer KI-Verordnung, die das diesbezügliche Produktsicherheitsrecht enthält, anzulehnen. Auf diese Weise werden sämtliche Unsicherheiten und Schwierigkeiten die den Entwurf zur KI-Verordnung umgeben, inklusive der Spekulationen über seine finale Gestalt, in die Haftungsrichtlinie „importiert“. Hinzu kommt, dass die Richtlinie weder Grund noch Umfang der Haftung regelt, sondern lediglich Vermutungsregeln enthält, die einen nach nationalem Recht bestehenden Schadensersatzanspruch voraussetzen. Was der Richtlinienvorschlag tut und wie dies zu bewerten ist, das lässt sich erst nach seiner Einpassung in das jeweilige nationale Haftungsrecht abschätzen. 2. Anwendungsbereich 52 Der Entwurf der Richtlinie über KI-Haftung bestimmt seinen eigenen Anwendungsbereich in Art. 2 durch Verweisung auf die Definitionen des Entwurfs der KI-Regulierungs-VO. Er übernimmt die extrem weite Fassung des Begriffs „KI-System“ in Art. 3 Nr. 1 KI-VO, nach der fast jede 278

Haftungsregeln für das digitale Zeitalter

Software darunter fällt.78 Aufgegriffen wird auch die Unterscheidung zwischen normalen KI-Systemen und Hochrisiko-KI-Systemen iSd Art. 6 KI-VO, wobei die für Letztere Verantwortlichen stärker in die Pflicht genommen werden. Anspruchsgrundlagen für Schadensersatzansprüche enthält der Richt- 53 linienentwurf nicht, sondern verweist insoweit auf die nationalen Haftungsrechte, und zwar ausschließlich auf die außervertragliche Haftung (Art. 1 Abs. 2). Unter den Haftungsgründen des mitgliedstaatlichen Rechts kommen zudem nur solche der Verschuldenshaftung infrage. Allerdings bleiben die Mitgliedstaaten gemäß Art. 1 Abs. 4 dazu befugt, die Begründung eines zivilrechtlichen Schadensersatzanspruchs noch weiter als nach dem Richtlinienentwurf vorgesehen zu erleichtern. Beweiserleichterungen nach nationalem Recht sind daher ebenso möglich wie die Erstreckung der Kausalitätsvermutung nach Art. 4 Richtlinienvorschlag auf Tatbestände verschuldensunabhängiger Haftung. Die Haftungsprivilegien für Internet-Provider, die bisher in Art. 12 ff. der e-Commerce-Richtlinie 2000/31/EG geregelt waren79 und sich künftig in der Verordnung (EU) 2022/2065 (Gesetz über digitale Dienste, Digital Services Act)80 finden, bleiben unberührt (Art. 1 Abs. 3 lit. c) und Erwägungsgrund 23 Richtlinienvorschlag). 3. Adressaten a) Anbieter und Nutzer Adressaten des Richtlinienentwurfs sind Anbieter und Nutzer von 54 KI-Systemen i. S. d. KI-VO-E. Gemäß Art. 3 Nr. 2 KI-VO-E ist Anbieter jede natürliche oder juristische Person, die ein KI-System entwickelt oder entwickeln lässt, um es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr zu bringen oder in Betrieb zu nehmen. In der Terminologie des Produkthaftungsrechts geht es also primär um den Hersteller, wie ein Vergleich mit der weitgehend identischen Definition des Art. 4 Abs. 11 des Vorschlags zur Produkthaftungs-Richtlinie belegt.81 Zwar

78 Vgl. Bomhard/Merkle, RDi 2021, 276 Rz. 5 ff.; Ebers/Hoch/Rosenkranz/ Ruschemeier/Steinrötter, RDi 2021, 528 Rz. 6 ff.; Hacker, NJW 2020, 2142 Rz. 6 ff.; Kalbhenn, ZUM 2021, 663, 664 f.; zur Richtlinie über KI-Haftung kritisch auch Spindler, CR 2022, 689 Rz. 70. 79 ABl. 2000, L 178; dazu Angelopoulos, European Intermediary Liability in Copyright: A Tort-Based Analysis, 2018; Wagner, GRUR 2020, 329, 333. 80 ABl. 2022, L 277, 1; eingehend dazu Eifert/Metzger/Schweitzer/Wagner, 58 CML Rev 987, 1005 ff. 81 Richtlinienvorschlag Produkthaftung, COM (2022) 495 final.

279

Gerhard Wagner

fehlt in dem Entwurf zur Produkthaftung die Variante des Inbetriebnehmens, doch dürfte diese Lücke mit Hilfe der Rechtsprechung des EuGH leicht zu füllen sein. Nach dieser ist ein Inverkehrbringen i. S. d. Produkthaftungs-Richtlinie auch dann zu bejahen ist, wenn ein Krankenhaus ein Medizinprodukt nicht herausgibt, sondern im Rahmen einer medizinischen Dienstleistung selbst anwendet.82 Dem Anbieter gleichgestellt sind für die Zwecke des Art. 3 des Vorschlags der Haftungs-Richtlinie Quasi-Hersteller, Importeure und Händler des KI-Systems sowie Personen, die das KI-System nach Inverkehrbringen verändert haben (Art. 3 Abs. 1 Richtlinienvorschlag i. V. m. Art. 24, 28 KI-VO). Anders als der Entwurf zur Produkthaftung soll die Richtlinie zur KI-Haftung auch die Nutzer von KI-Systemen ins Visier nehmen, wobei ausweislich des Art. 3 Nr. 4 KI-VO diejenige Person oder Behörde gemeint ist, die ein KI-System „in eigener Verantwortung“ verwendet. Dies dürfte mehr oder weniger dem Halterbegriff des deutschen Rechts entsprechen.83 Verpflichtet sind überdies nur gewerbliche Halter, denn Nutzer, die ein KI-System im Rahmen ihrer persönlichen, nicht beruflichen Tätigkeit einsetzen, bleiben ausgeklammert. b) Behörden – Staatshaftung 55 Die von dem Richtlinien-Entwurf in Bezug genommenen Definitionen von Anbietern und Nutzern in der KI-VO schließen jeweils auch Behörden ein. Tatsächlich richtet sich ein Großteil der „harten“ Verhaltensnormen des Art. 5 KI-VO ausdrücklich an Behörden, insbesondere an Strafverfolgungsbehörden. Anhang III über Hochrisiko-Systeme nennt überdies eine Reihe behördlicher Einsatzbereiche für KI-Systeme, darunter Strafverfolgung sowie Migration, Asyl und Grenzkontrolle. Dieser Regelungszusammenhang wirft die Frage auf, ob der Entwurf zur KI-Haftung auch für die Staatshaftung gelten soll. Ausweislich seiner Begründung wird dieser Anspruch tatsächlich erhoben.84 56 Die Rechtsprechung des EuGH zum europäischen Zivilprozessrecht weist Staatshaftungsansprüche wegen Handlungen von Beamten de iure gestionis umstandslos dem Deliktsgerichtsstand des Art. 7 Nr. 2 Brüssel

82 EuGH v. 10.5.2001 – C-203/99 (Veedfald ./. Arhus Amtskommune) Rz. 16 f.; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 1 ProdHaftG Rz. 26. 83 Dazu BGH v. 29.5.1954 – VI ZR 111/53, NJW 1954, 1198; Burmann in: Burmann/Heß/Hühnermann/Jahnke, Straßenverkehrsrecht, 27. Aufl. 2022, § 7 StVG Rz. 3 f. 84 Vorschlag für eine Richtlinie über KI-Haftung, COM (2022) 496, S. 13; Spindler, CR 2022, 689 Rz. 72.

280

Haftungsregeln für das digitale Zeitalter

I-VO zu, obwohl auch dieser Rechtsakt nur für „Zivil- und Handelssachen“ i. S. d. Art. 1 VO 1215/2012 gilt.85 Dies spricht dafür, im Bereich des materiellen Haftungsrechts genauso zu entscheiden und jedenfalls die Staatshaftung wegen „privatrechtlicher“ Handlungen von Beamten einzubeziehen. Tätigkeiten von Beamten in den Bereichen Strafverfolgung, Grenzkontrolle und Asyl sind allerdings eindeutig hoheitlicher Natur. In diesem Bereich ergibt sich die Staatshaftung der Mitgliedstaaten aus der unmittelbaren Geltung des Unionsrechts in Verbindung mit der Schutznormtheorie.86 Die sektorale Kodifikation der einschlägigen Rechtsprechung des EuGH durch eine Richtlinie dürfte sich im Sinne eines Annexes aus der für die Sachregelung in Anspruch genommenen Zuständigkeit ergeben, in Bezug auf die KI-VO also aus der Binnenmarktkompetenz des Art. 114 AEUV.87 Zusätzlich zur Verantwortung staatlicher Stellen bleibt der Hersteller 57 des KI-Systems, das von der Behörde eingesetzt wird, verantwortlich. So ergibt sich auf indirektem Wege eine (weitere) Bindung der Behörde an die Regelungen der Richtlinie über KI-Haftung. Schließlich würde der Hersteller im Eigeninteresse darauf dringen, dass die Vorgaben der KIVO eingehalten werden und, falls die Behörde insoweit Risiken eingehen möchte, im Schadensfall bei dieser Regress nehmen. 4. Die Regelungen des Richtlinienentwurfs im Einzelnen Die substantiellen Regeln der Richtlinie über KI-Haftung über den Zu- 58 gang zu Beweismitteln sowie Verschuldens- und Kausalitätsvermutungen sind äußerst kompliziert. Im Ergebnis sind sie ein Spiegelbild der Parallelregelungen im Entwurf der Produkthaftungs-Richtlinie, die dieselbe Materie bündiger und klarer fasst. a) Zugang zu Beweismitteln Art. 3 Abs. 1 Richtlinienentwurf gewährt dem Geschädigten ein Recht 59 auf Zugang zu Beweismitteln, die sich in der Sphäre des Anspruchsgegners befinden. Verpflichtet sind alleine Anbieter, also Hersteller, QuasiHersteller und Importeure, sowie Nutzer von Hochrisiko-KI-Systemen i. S. v. Art. 6 KI-VO. Die im Detail hochkomplizierte Definition von Hochrisiko-KI-Systemen, die sehr weit ausgreift und beispielsweise auch 85 EuGH v. 21.3.1993 – C-172/91 (Sonntag ./. Waidmann) Rz. 22 ff.; vgl. dazu Thole in: Stein/Jonas, ZPO, 23. Aufl. 2022, Art. 1 Rz. 25 ff. 86 Eingehend Brüggemeier, Tort Law in the European Union, 2015, Rz. 115 ff. 87 Vorschlag einer KI-Verordnung, COM (2021) 206 final, S. 6; genauso übrigens Vorschlag einer Richtlinie über KI-Haftung, COM (2022) 496 final, S. 5 f.

281

Gerhard Wagner

Spielzeug erfasst, das ein KI-System – also mehr oder weniger komplexe Software – als Sicherheitskomponente enthält (KI-VO, Anhang II Nr. 2), schlägt auf die Haftungsregelung durch. 60 Der Anspruch auf Offenlegung von Beweismitteln ist begründet, wenn der Kläger seinen Schadensersatzanspruch plausibilisieren und mit Hilfe von Beweismitteln glaubhaft machen kann. Entgegenstehende Geheimhaltungsinteressen des Anspruchsgegners sind zu berücksichtigen, wobei neben der Beschränkung der Offenlegung auch die Anordnung spezifischer Schutzmaßnahmen zur Wahrung der Vertraulichkeit in Betracht kommt (Art. 3 Abs. 4 Richtlinienentwurf). Dieser Regelungskomplex gehört seit der Richtlinie 2004/48/EG zur Durchsetzung der Rechte des geistigen Eigentums88 zum Standardrepertoire unionsrechtlicher Vorgaben für das mitgliedstaatliche Haftungsrecht. 61 Für die Sorge, Aufklärungspflichten dieser Art könnten in Europa ein Erpressungspotential gegenüber potentiellen Beklagten nach dem Muster der U.S.-amerikanischen discovery generieren,89 gibt es keinen Anlass. Der willkürlichen Durchsetzung von Aufklärungsansprüchen in Fällen, in denen ein materieller Haftungsanspruch fehlt, steht die enge Fassung des Art. 3 KI-Richtlinie entgegen, nach dem der Geschädigte Tatsachen nachweisen muss, die den Verdacht begründen, dass ein KI-Hochrisiko-System seinen Schaden verursacht hat. Die in Deutschland und Europa maßgebliche Kostenregeln, nach der die obsiegende Partei die Erstattung der ihr entstandenen Prozesskosten verlangen kann, verhindert zuverlässig den Missbrauch des Zivilprozesses zur Erpressung von Beklagten. b) Verschuldensvermutung 62 Kommt der Beklagte einer gerichtlichen Offenlegungsanordnung nach Art. 3 Abs. 1 Richtlinienentwurf nicht nach, greift die widerlegliche Verschuldensvermutung des Art. 3 Abs. 5. Dabei versteht der Richtlinienentwurf unter Verschulden den Verstoß gegen eine „einschlägige Sorgfaltspflicht“. Die dogmatischen Unsicherheiten, die beispielsweise das deutsche Deliktsrecht im Spannungsfeld der Begriffe Verschulden, Fahrlässigkeit und Sorgfaltspflichtverstoß kennzeichnen, werden weder gere-

88 ABl. L 195, 16. 89 So Spindler, CR 2022, 689 Rz. 47, 51.

282

Haftungsregeln für das digitale Zeitalter

gelt noch gelöst.90 Eine Harmonisierung des zentralen Elements der Verschuldenshaftung ist nicht erfolgt, und sie war auch nicht beabsichtigt.91 c) Kausalitätsvermutung Die Kausalitätsvermutung des Art. 4 Richtlinienentwurf ist ein kom- 63 plexes Gebilde, weil in mehrfacher Hinsicht differenziert wird, nämlich zwischen Hochrisiko-KI-Systemen und gewöhnlichen KI-Systemen sowie zwischen Anbietern (Herstellern etc.) und Nutzern sowie zwischen privaten und beruflichen Nutzern. aa) Die Mechanik der Vermutung: Pflichtverletzung und Output Die Grundregelung zur Kausalitätsvermutung findet sich in Art. 4 Abs. 1 64 Richtlinienentwurf. Sie setzt voraus, dass das Verschulden des Anspruchsgegners feststeht, weil es vom Anspruchsteller entweder nachgewiesen oder gemäß Art. 3 Abs. 5 vermutet wird und dass ein Schutzzweckzusammenhang zwischen der verletzten Sorgfaltspflicht und dem Schaden besteht. Weiter muss feststehen bzw. „nach vernünftigem Ermessen davon ausgegangen werden“ können, dass die Pflichtverletzung den „Output“ des KI-Systems beeinflusst hat. Schließlich ist vom Kläger nachzuweisen, dass der Output des KI-Systems zu dem von ihm erlittenen Schaden geführt hat. Mit Output ist gemeint, was das KI-System „hervorgebracht“ bzw. nicht hervorgebracht hat. Für die Anwendung des Art. 4 Richtlinienentwurf ist es essentiell, zu- 65 nächst die Mechanik der Vermutung zu verstehen. Sie betrifft weder das Vorliegen einer Sorgfaltspflichtverletzung noch den Kausalzusammenhang zwischen dieser und dem Schaden und schließlich auch nicht die Ursächlichkeit des KI-Systems für den erlittenen Schaden. Vielmehr betrifft sie allein das Verursachungsverhältnis zwischen Sorgfaltspflichtverletzung und Output des KI-Systems. Vermutet wird lediglich, dass die Pflichtverletzung des Schädigers das „Fehlverhalten“ des KI-Systems verursacht hat; alles Übrige ist vom Geschädigten nachzuweisen, soweit nicht anderweitige Beweiserleichterungen eingreifen. Gleichwohl gilt die Vermutung nur unter der Voraussetzung, dass ein Schutzzweckzusammenhang zwischen der Sorgfaltspflichtverletzung des Anbieters oder Nutzers und dem vom Anspruchsteller erlittenen Schaden gegeben ist. Schließlich ist zu bedenken, dass die Nichterfüllung der Verpflichtung 90 Klassisch dazu Deutsch, Fahrlässigkeit und erforderliche Sorgfalt, zum aktuellen Stand der Debatte Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 28 ff. 91 ErwGr 22.

283

Gerhard Wagner

zur Offenlegung von Beweismitteln nach Art. 3 Abs. 1 Richtlinienentwurf dazu geeignet ist, eine „Kaskade“ von Vermutungen auszulösen, nämlich zunächst die Verschuldensvermutung nach Art. 3 Abs. 5 und sodann – auf deren Grundlage – die Kausalitätsvermutung des Art. 4 Abs. 1 Richtlinienvorschlag. bb) Sonderregeln für Anbieter von Hochrisiko-KI-Systemen 66 Auf der Grundlage der allgemeinen Voraussetzungen der Kausalitätsvermutung, die in Art. 4 Abs. 1 geregelt sind, enthält Art. 4 Abs. 2 Richtlinienvorschlag qualifizierende Anforderungen für Schadensersatzansprüche gegen Anbieter, Quasi-Hersteller und Importeure (nicht: Nutzer) von Hochrisiko-KI-Systemen. Hier muss der Kläger nachweisen, dass bestimmte Pflichten nach dem Entwurf der KI-VO verletzt worden sind, indem nämlich mangelhafte Trainingsdaten verwendet (Art. 10 KI-VO), gegen die Transparenzanforderungen des Art. 13 KI-VO verstoßen, die Kontrolle durch natürliche Personen nicht gewährleistet (Art. 14 KI-VO), die Standards der Genauigkeit, Robustheit und Cybersicherheit gemäß Art. 15 KI-VO verfehlt oder schließlich die Pflichten zur Korrektur, Rücknahme oder zum Rückruf im Feld befindlicher KI-Systeme (Art. 21 KI-VO) nicht erfüllt wurden. Die Pflicht zur Einrichtung, Anwendung und Dokumentierung eines Risikomanagementsystems gemäß Art. 9 KI-VO wird merkwürdigerweise nicht ausdrücklich in Bezug genommen.92 67 Der Pflichtenkatalog des Entwurfs der KI-VO beschreibt sicher zentrale Sorgfaltspflichten der Hersteller von KI-Systemen. Gleichwohl irritiert, dass ausgerechnet für die Hersteller von Hochrisikosystemen ein abschließender Pflichtenkatalog aufgestellt wird, der die Begründung weiterer Sorgfaltspflichten nach dem allgemeinen Deliktsrecht der Mitgliedstaaten offenbar ausschließt, wie der Wortlaut des Art. 4 Abs. 2 Richtlinienvorschlag deutlich macht („nur“). Diese Beschränkung der Schadensvermeidungspflichten ausgerechnet für die Anbieter der als besonders gefährlich qualifizierten KI-Systeme ist irritierend. Können die Verfasser des Entwurfs der KI-VO wirklich sicher sein, sämtliche Pflichten der Anbieter erfasst und katalogisiert zu haben? Immerhin scheinen die Pflichten zur Gewährleistung von „Genauigkeit, Robustheit und Cybersicherheit“ trotz der ungewohnten Terminologie (Genauigkeit?, Robustheit?) geräumig genug, um die im Rahmen des Deliktsrechts entwickelte Sorgfaltsanforderungen im Interesse des Rechtsgüterschutzes

92 Vgl. aber ErwGr 26 des Richtlinienvorschlags; dazu Spindler, CR 2022, 689 Rz. 91.

284

Haftungsregeln für das digitale Zeitalter

aufnehmen zu können. Prima facie verwundert es allerdings, dass die im Vergleich dazu „harten“ Verhaltensnormen des Art. 5 KI-VO, der bestimmte Praktiken schlicht verbietet, bei Art. 4 Richtlinie über KI-Haftung keine Rolle spielen. Dies dürfte daran liegen, dass die Pflichten der Art. 9 ff. KI-VO den Verboten des Art. 5 KI-VO-E „nachgelagert“ sind, also Zuwiderhandlungen verhindern sollen. Steht die schuldhafte Verletzung eines Verbots nach Art. 5 KI-VO-E fest, dürfte auch der Kausalitätsnachweis keine Probleme machen. cc) Sonderregeln für Nutzer von Hochrisiko-KI-Systemen Spezielle Regeln gelten auch für die Nutzer von Hochrisiko-KI-Systemen. 68 Ausweislich von Art. 4 Abs. 3 Richtlinienvorschlag wird die Kausalitätsvermutung ihnen gegenüber ausgelöst, wenn sie das KI-System nicht entsprechend seiner Gebrauchsanweisung verwendet und überwacht haben oder Eingabedaten verwendet haben, die der Zweckbestimmung des Systems nicht entsprechen (Art. 29 KI-VO). Die Abweichung vom Wortlaut des Art. 4 Abs. 2 Richtlinienentwurf (kein „nur“) legt den Schluss nahe, dass diese Aufzählung nicht abschließend ist, sondern die Kausalitätsvermutung zu Lasten der Nutzer von Hochrisiko-KI-Systemen auch durch sonstige Pflichtverletzungen ausgelöst werden kann. Umso mehr fragt es sich, warum dies nicht auch für die „Anbieter“ solcher Systeme gilt. In Bezug auf die Nutzer wiederum drängt sich die Einsicht auf, dass die Kausalitätsvermutung deshalb keine erhebliche praktische Bedeutung erlangen wird, weil Nutzer nach der KI-VO nur sehr eingeschränkten Pflichten unterliegen. Wenn sie das KI-System nicht missbrauchen und entsprechend seiner Betriebsanleitung nutzen und mit Daten „versorgen“, sind sie vor Haftung sicher. Der reduzierte Pflichtenumfang der Nutzer entspricht ihren reduzierten Kontrollmöglichkeiten in Bezug auf die von KI-Systemen ausgehenden Schadensrisiken.93 Und darüber hilft auch keine Kausalitätsvermutung hinweg. dd) Normale KI-Systeme, private Nutzer Art. 4 Abs. 5 Richtlinienentwurf senkt den Standard, dessen Verletzung 69 die Kausalitätsvermutung auslöst, für die Anbieter und die Nutzer von normalen KI-Systemen weiter ab. Hier gelten die allgemeinen Voraussetzungen des Art. 4 Abs. 1 Richtlinienentwurf mit der zusätzlichen Maßgabe, dass es für den Kläger übermäßig schwierig sein muss, den ursächlichen Zusammenhang zwischen der Pflichtverletzung des Beklagten und dem Output des KI-Systems zu beweisen. 93 Dazu Wagner, VersR 2020, 717, 724 f.; Wagner, JZ 2023, 1, 3f.

285

Gerhard Wagner

70 Schließlich privilegiert Art. 4 Abs. 6 Richtlinienentwurf solche Schädiger, die das System im Rahmen einer persönlichen nicht beruflichen Tätigkeit verwenden. Die Regelung greift nur zugunsten privater Nutzer von KI-Systemen, sofern diese das System entsprechend seiner Gebrauchsanweisung in Betrieb nehmen.94 Umgekehrt greift die Vermutung gegenüber dem privaten Nutzer ein, wenn der Beklagte die Betriebsbedingungen des KI-Systems wesentlich verändert oder es unterlassen hat, die Betriebsbedingungen des Systems festzulegen, obwohl er dazu in der Lage war. Die Regelung ist insofern redundant, als Art. 3 Nr. 4 KI-VO, auf den Art. 2 Nr. 4 Richtlinienentwurf verweist, den Nutzerbegriff ohnehin auf Personen beschränkt, die das KI-System beruflich nutzen, also nicht im Rahmen einer persönlichen Tätigkeit. Vor diesem Hintergrund scheint die Regelung des Art. 4 Abs. 6 Richtlinienentwurf ohne Anwendungsbereich, denn ein Nutzer, der ein KI-System im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet, fällt schon gar nicht unter die Richtlinie über KI-Haftung. 5. Das Verhältnis der KI- zur Produkthaftungsrichtlinie a) Der Grundsatz kumulativer Anwendung 71 Die Gesetzgebungsvorschläge der Kommission zum europäischen Rechtsrahmen der Haftung für digitale Systeme beschränken sich nicht auf die Richtlinie über KI-Haftung, sondern schließen eine grundlegende Reform der Produkthaftung mit ein. Beide Richtlinienentwürfe sieht die Kommission selbst als Gesamtpaket.95 Die Wechselbezüglichkeit der Richtlinienvorschläge lässt erwarten, dass die Richtlinie über KI-Haftung diejenige über Produkthaftung in einer klar zu benennenden Weise abgrenzt. Tatsächlich findet sich in Art. 3 lit. b) des Richtlinienentwurfs zur KI-Haftung die Klarstellung, dass Schadensersatzansprüche aufgrund der nationalen Umsetzungsvorschriften zur Richtlinie 85/374/EWG unberührt bleiben. Derselbe Vorbehalt würde für die überarbeitete Fassung der Produkthaftungsrichtlinie gelten.96 b) Hersteller als primäre Adressaten auch der Richtlinie über KI-Haftung 72 Art. 3 lit. b) Richtlinie über KI-Haftung geht demnach davon aus, dass Ansprüche aus europäischer Produkthaftung mit solchen aufgrund des 94 ErwGr 29. 95 Richtlinienvorschlag Produkthaftung, COM (2022) 495 final, S. 5; Richtlinienvorschlag KI-Haftung, COM (2022) 496 final, S. 3, 13 f. 96 ErwGr. 11; zur Reform der Produkthaftung Wagner, JZ 2023, 1.

286

Haftungsregeln für das digitale Zeitalter

nationalen Haftungsrechts miteinander konkurrieren können. Das entspricht dem herkömmlichen Rechtszustand und ist dennoch bemerkenswert. Grund für Irritationen ist der große Überschneidungsbereich der beiden Richtlinienentwürfe zur Produkthaftung und zur KI-Haftung. Beide Richtlinienentwürfe adressieren im Kern dieselben Akteure, nämlich die Hersteller von KI-Systemen. Während die passivlegitimierte Partei in der Produkthaftungsrichtlinie auch so genannt wird – Hersteller – wird sie in der Richtlinie über KI-Haftung als „Anbieter“ angesprochen. Der Verweis in Art. 2 Nr. 3 Richtlinie über KI-Haftung auf Art. 3 Nr. 2 KI-VO ergibt jedoch, dass „Anbieter“ iSd KI-VO niemand anderes ist als der „Hersteller“ iSd Produkthaftungsrichtlinie. Wieso die KI-VO den Begriff des „Anbieters“ prägt, obwohl die Verordnung 2019/1020 über Marktüberwachung und Konformität von Produkten wie auch der aktuelle Entwurf einer allgemeinen Produktsicherheits-VO den Begriff „Hersteller“ verwenden (Art. 3 Nr. 8 VO 2019-102, Art. 3 Nr. 8 COM (2021) 346 final), ist unklar. Möglicherweise ging es darum, nicht nur Privatunternehmen, sondern darüber hinaus auch Behörden und sonstige Einrichtungen und Stellen zu erfassen. Wie dem auch sei, die Hauptadressaten der beiden Richtlinienentwürfe 73 sind identisch. Was soll dann die Richtlinie über KI-Haftung? Zwar ist es richtig, dass das deutsche Recht die deliktische Produkthaftung auf Basis des allgemeinen Deliktsrechts (§ 823 BGB) „mitschleppt“ und neben der harmonisierten Produkthaftung nach der Richtlinie als „zweite Spur“ der Produkthaftung fortführt,97 doch praktische Bedeutung hat dies kaum noch, nachdem der deutsche Gesetzgeber seit 2002 den Anspruch auf Immaterialschadensersatz auch für Ansprüche nach dem ProdHaftG zur Verfügung stellt (§ 8 S. 2 ProdHaftG).98 Die deliktische Produkthaftung kommt nur dort zum Zuge, wo die harmonisierte Produkthaftung „nicht hinkommt“, nämlich bei Sachschäden an gewerblich genutzten Sachen, bei Weiterfresserschäden sowie beim Selbstbehalt von ECU 500 (Art. 9 lit. b) Richtlinie 85/374/EWG), bei der Verletzung von Produktbeobachtungspflichten post market (Art. 6 Abs. 1 lit. c) Richtlinie 85/374/ EWG) sowie bei Erschöpfung der Haftungshöchstgrenze des Art. 16 Abs. 1 Richtlinie 85/374/EWG. Von diesen „Haftungslücken“ der Richtlinie 85/374/EWG lässt der Reformvorschlag nur die erstgenannten Ausnahmen bei Sachschäden übrig; die übrigen werden geschlossen.99 Die

97 Wagner, Deliktsrecht, Kap. 9 Rz. 9 ff. 98 Dazu eingehend Wagner in: MünchKommBGB, 8. Aufl. 2020, § 8 ProdHaftG Rz. 1. 99 Vgl. Art. 4 Abs. 6 des Richtlinienentwurfs zur Produkthaftung, COM (2022) 495 final; eingehend dazu Wagner, JZ 2023, 1, 8.

287

Gerhard Wagner

Verdoppelung der Produkthaftung im europäischen Einheits- und im nationalen Deliktsrecht spielt daher in Zukunft eine noch geringere Rolle als bisher. Dies bedeutet umgekehrt, dass im Bereich der Herstellerhaftung die künftige Produkthaftungsrichtlinie die dominante Anspruchsgrundlage stellen wird. Mit dem Bedeutungsverlust der deliktischen Produkthaftung geht ein solcher der Richtlinie über KI-Haftung einher. 74 An diesem Befund wird der Inhalt der Richtlinie über KI-Haftung nichts ändern können. Das Recht auf Zugang zu Beweismitteln findet sich auch in dem Richtlinienvorschlag zur Produkthaftung (Art. 8 Richtlinienentwurf Produkthaftung). Der Verschuldensvermutung des Art. 3 Abs. 5 KI-Richtlinie entspricht die Fehlervermutung des Art. 9 Abs. 2 lit. a) Richtlinienentwurf Produkthaftung, und die Kausalitätsvermutung des Art. 4 KI-Richtlinie findet eine Parallele in Art. 9 Abs. 3, 4 Richtlinienentwurf Produkthaftung. Auf den Punkt gebracht: Für die Herstellerhaftung spielt die Richtlinie über KI-Haftung überhaupt keine Rolle. Für Importeure, Fulfillment-Dienstleister, Händler und Online-Handelsplattformen gilt dies erst recht, weil sie in Art. 7 Produkthaftungs-Richtlinie weitergehenden Pflichten unterworfen werden, als ihnen nach der Richtlinie über KI-Haftung i. V. m. Art. 28 KI-VO obliegen.100 c) Nutzer als Haftungsadressaten 75 Auch im Bereich der Nutzerhaftung richtet die Richtlinie über KI-Haftung wenig aus. Die Nutzer von Hochrisiko-Systemen unterliegen gemäß Art. 29 KI-VO nur rudimentären Sorgfaltspflichten, deren Verletzung die Zugangsrechte und Vermutungen der Art. 3, 4 KI-Richtlinie auslösen. Auch die ergänzend anwendbaren Sorgfaltspflichten des allgemeinen Deliktsrechts (§ 276 Abs. 2 BGB) geben nicht viel mehr her, denn es ist gerade ein Kennzeichen digitaler Produkte, dass der Nutzer bei ihrem Betrieb von relevanten Entscheidungen und Einflussnahmen weitgehend ausgeschlossen bleibt.101 Wenn dem so ist, dann muss das Sorgfaltsgebot insoweit auf die ordnungsgemäße Handhabung des Systems beschränkt werden. Genau dies besagt Art. 29 KI-VO. 76 Was aber, wenn der Nutzer sich nicht an das Abstinenzgebot hält und das KI-System manipuliert, also seine sicherheitsrelevanten Eigenschaften verändert? Wäre dies nicht ein Fall für die deliktische Verschuldenshaftung, zu deren Durchsetzung die Zugangsrechte und Beweislastregelungen der KI-Richtlinie einen wichtigen Beitrag leisten könnten? Tatsächlich ziehen Nutzer, die die Zweckbestimmung eines Hochrisi100 Wagner, JZ 2023, 1, 8. 101 Wagner, VersR 2020, 717, 724 f.

288

Haftungsregeln für das digitale Zeitalter

ko-KI-Systems verändern oder eine wesentliche Änderung an einem solchen vornehmen, das für Anbieter (Hersteller) konzipierte Pflichtensystem der Art. 8 ff., Art. 16 Abs. 1 lit. a) KI-VO auf sich. Doch auch mit Blick auf diese Fallgruppe kommt der Vorschlag zur Reform der Produkthaftungsrichtlinie der Richtlinie über KI-Haftung in die Quere. Gemäß Art. 7 Abs. 4 des Vorschlags zur Produkthaftungsrichtlinie haftet nämlich jede Person, die ein bereits in Verkehr gebrachtes Produkt verändert, als bzw. wie ein Hersteller.102 Wiederum enthält die künftige Produkthaftungsrichtlinie dieselbe Regelung wie die Richtlinie über KI-Haftung, die letztere rechtstechnisch zwar nicht verdrängt, aber für die Praxis obsolet macht. d) Schlussfolgerung: Ausdehnung des Schutzbereichs Was bleibt danach von der praktischen Bedeutung der Richtlinie über 77 KI-Haftung? Nicht allzu viel. Die Richtlinie über KI-Haftung kann in der Praxis nur dort relevant werden, wo die (reformierte) Produkthaftungs-Richtlinie „nicht eingreift“, weil ihr Schutzbereich beschränkt ist. Der Schutzbereich der Produkthaftungsrichtlinie soll auch nach der Reform auf Verletzungen der klassischen Rechtsgüter Leben, Körper, Gesundheit, Eigentum begrenzt sein, mit den bereits erwähnten Beschränkungen beim Eigentumsschutz (Art. 4 Abs. 6 Vorschlag zur Produkthaftungsrichtlinie). Ist keines dieser klassischen Rechtsgüter verletzt, kann das nationale Haftungsrecht im Verein mit der KI-Richtlinie praktische Bedeutung entfalten. Diese Ausgangslage führt zu der Frage, an welchen Stellen der Schutzbereich des nationalen Haftungsrechts über denjenigen der Produkthaftungsrichtlinie hinausgeht. Die Antwort ist klar: Die Haftung nach nationalem Deliktsrecht kann in drei Bereichen über die harmonisierte Produkthaftung hinausgehen, nämlich beim Eigentumsschutz, beim allgemeinen Persönlichkeitsrecht und bei reinen Vermögensschäden. 6. Die Richtlinie über KI-Haftung im deutschen Deliktsrecht a) Grundstruktur des deutschen Deliktsrechts Der Vorschlag einer Richtlinie über KI-Haftung verweist auf das natio- 78 nale Recht, nämlich auf die deliktische Verschuldenshaftung, die in allen europäischen Rechtsordnungen das Rückgrat der außervertraglichen Haftung darstellt.

102 Eingehend Wagner, JZ 2023, 1, 8f.

289

Gerhard Wagner

79 In Deutschland ist das Deliktsrecht in den §§ 823 ff. BGB kodifiziert. Diese Bestimmungen beruhen auf der Differenzierung zwischen Rechtsgutsverletzungen einerseits und reinen Vermögensschäden andererseits.103 Für Rechtsgutsverletzungen gilt die allgemeine Fahrlässigkeitshaftung des § 823 Abs. 1 BGB, bei der sich das „Verschulden“ nur, aber immerhin, auf die Verursachung der Rechtsgutsverletzung, nicht aber allein auf den Verstoß gegen eine Verhaltensnorm oder auch auf den Folgeschaden beziehen muss. Im Gegensatz dazu löst die Verursachung reiner Vermögensschäden eine Schadensersatzhaftung nur dann aus, wenn der Schädiger entweder schuldhaft gegen ein Gesetz verstoßen hat, das den Schutz vor eben diesem Schaden zum Zweck hatte (§ 823 Abs. 2 BGB) oder wenn der Schädiger den Schaden durch sittenwidriges Verhalten und mit Schädigungsvorsatz verursacht hat (§ 826 BGB). Der Kreis der nach § 823 Abs. 1 BGB geschützten Interessen war ursprünglich, nach dem Willen der Gesetzesverfasser, auf die Rechtsgüter Leben, Körper, Gesundheit, Fortbewegungsfreiheit und Eigentum sowie eigentumsähnliche „sonstige Rechte“ beschränkt. Nicht-physische Persönlichkeitsinteressen, etwa der Schutz der Ehre, des Bildes der Person in der Öffentlichkeit und der Privatsphäre, lagen danach außerhalb der allgemeinen Fahrlässigkeitshaftung.104 Diese Rechtslage hat sich in den Jahren nach 1949 unter dem Einfluss des Grundgesetzes und nach Maßgabe der rechtsfortbildenden Rechtsprechung des BGH dahin gewandelt, dass der Schutzbereich des § 823 Abs. 1 BGB das sog. allgemeine Persönlichkeitsrecht, das die eben genannten nicht-physischen Persönlichkeitsinteressen umfasst, miteinschließt.105 80 Im Kontext der §§ 823 ff. BGB kann die Richtlinie über KI-Haftung jenseits von Verletzungen der in § 823 Abs. 1 BGB ausdrücklich genannten Rechtsgüter mehrere Funktionen wahrnehmen. Am naheliegendsten ist ihre Verarbeitung im Rahmen der Schutzgesetzhaftung gemäß § 823 Abs. 2 BGB (unten, Rz. 81 ff.). Darüber hinaus können die Vermutungsregeln auch im Rahmen der allgemeinen Fahrlässigkeitshaftung gemäß § 823 Abs. 1 BGB eine Rolle spielen (unten, Rz. 84 ff.).

103 Zum Folgenden Wagner, Deliktsrecht, Kap. 5 Rz. 4 ff. 104 Wagner, ZEuP 2000, 200, 203 f.; Wagner in: MünchKommBGB, 8. Aufl. 2020, Vor § 823 Rz. 8 ff., § 823 Rz. 417. 105 Larenz/Canaris, Schuldrecht Besonderer Teil, Bd. II/2, § 80 I, S. 491 ff.; Wagner in Willoweit, Rechtswissenschaft und Rechtsliteratur im 20. Jahrhundert, 2007, S. 181, 192 ff.; Klass in: Erman, BGB, 16. Aufl. 2020, Anh. § 12 Rz. 8 ff.; Hager in: Staudinger, BGB, 2017, § 823 Rz. C 2 ff.; Wagner, Deliktsrecht, Kap. 5 Rz. 70 f., Kap. 7 Rz. 5 ff.

290

Haftungsregeln für das digitale Zeitalter

b) Anspruchsgrundlagen der Verschuldenshaftung aa) Haftung für Schutzgesetzverletzung gemäß § 823 Abs. 2 BGB Der Entwurf einer Richtlinie über KI-Haftung enthält selbst keinerlei 81 Verhaltensnormen, die sich über § 823 Abs. 2 BGB mit haftungsrechtlichen Sanktionen bewehren ließen. Anders liegt es bei dem Entwurf einer VO zur Regulierung von KI, auf den der Richtlinienentwurf Bezug nimmt. Die auf die Gewährleistung von KI-Sicherheit bezogenen Verhaltensnormen der KI-VO lassen sich ggf. als Schutzgesetze einordnen und ihre Verletzung über § 823 Abs. 2 BGB sanktionieren.106 Die Einordnung der KI-VO als Schutzgesetz entspräche der anerkannten 82 Rechtslage im Bereich der deliktischen Produkthaftung. Die Schutzgesetzeigenschaft des deutschen und europäischen Produktsicherheitsrechts ist seit den Anfängen des Gerätesicherheitsgesetzes (GSG) anerkannt.107 Der Sache nach ist die KI-VO spezielles Produktsicherheitsrecht, wie ihre Verzahnung mit den in Anhang II aufgezählten Rechtsakten des Unionsrechts nach dem sog. „neuen Rechtsrahmen“ (New Legislative Framework – NLF) belegt.108 Das auf dieser Grundlage seit den 1980er Jahren entstandene europäische Produktsicherheitsrecht kombiniert in substantieller Hinsicht allgemeine Anforderungen an die Produktsicherheit mit dem Verweis auf technische Normen und setzt prozedural auf die Zertifizierung der Unionsrechtskonformität durch technische Prüfstellen, ergänzt um Eingriffsbefugnisse der Behörden der Mitgliedstaaten in Fällen, in denen sich ex post Sicherheitsdefizite zeigen. In dieses Regelungsmuster fügt sich auch die KI-VO ein. Die an Hochrisiko-Systeme zu stellenden Anforderungen der „Genauigkeit, Robustheit und Cybersicherheit“ (Art. 15) sind an Vagheit kaum zu überbieten und bedürfen dringend der Konkretisierung durch technische Standards. Diese finden sich in der KI-VO selbst nicht, werden von Art. 40 KI-VO aber in Aussicht genommen. Die Schnittstelle zu den Konformitätsbewertungsverfahren des Produktsicherheitsrechts wird in Art. 41 ff. KI-VO näher ausgestaltet; die Anbringung des CE-Kennzeichens in Art. 49 KI-VO. Die Eingriffskompetenzen der nationalen Behörden bei Sicherheitsmängeln

106 So bereits Grützmacher, CR 2021, 433, 437; Spindler, JZ 2022, 793, 801 f. 107 BGH v. 11.12.1979 – VI ZR 141/78, NJW 1980, 1219, 1220; BGH v. 18.1.1983 – VI ZR 270/80, VersR 1983, 346, 347; dazu Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 1028 ff. 108 Dazu Kapoor/Klindt, EuZW 2008, 649; Schucht, EuZW 2017, 46; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 1025 f.; speziell im Kontext der KI-VO Orssich, EuZW 2022, 254, 258.

291

Gerhard Wagner

beruhen einstweilen auf Art. 8 Richtlinie 2001/95/EG über die allgemeine Produktsicherheit.109 83 Welche haftungsrechtlichen Konsequenzen hätte es, wenn die KI-VO bzw. die dort normierten Verhaltensnormen als Schutzgesetze iSd § 823 Abs. 2 BGB qualifiziert würden? Ein vollständiger Haftungstatbestand setzte nicht nur einen Verstoß gegen eine durch die KI-VO begründete Pflicht voraus, sondern darüber hinaus auch die Verursachung eines Schadens.110 Dabei könnte die Kausalitätsvermutung des Art. 4 Richtlinienentwurf zur Anwendung kommen und – soweit ihre Voraussetzungen vorliegen – dem Geschädigten den Nachweis der Kausalität zwischen Normverstoß und Schaden erleichtern. Der Normverstoß selbst ließe sich ggf. mit Hilfe des Art. 3 Abs. 1, Abs. 5 Richtlinie über KI-Haftung feststellen. Auf diese Weise würde die Richtlinie über KI-Haftung die Durchsetzung von Schadensersatzansprüchen gegen Adressaten der KI-VO erleichtern und für ein „private enforcement“ dieses Segments des Produktsicherheitsrechts sorgen. bb) Haftung für Rechtsgutsverletzungen gemäß § 823 Abs. 1 BGB 84 Im Kontext des § 823 Abs. 1 BGB ist es Aufgabe der Rechtsprechung, nicht des Gesetzgebers, die zum Schutz der Rechtsgüter anderer gebotenen deliktischen Sorgfaltspflichten im Einzelfall zu konturieren und das Verhalten des Schädigers an diesen Maßstäben zu messen. Die dabei entwickelten deliktischen Sorgfaltspflichten werden in der deutschen Dogmatik als „Verkehrspflichten“ angesprochen. Die europäischen Nachbarrechtsordnungen verfahren in der Sache genauso, verzichten aber auf den eigenwilligen Terminus der „Verkehrspflichten“ und sprechen einfach von Sorgfaltspflichten (duty of care).111 85 Bei der Konkretisierung der deliktischen Sorgfaltspflichten orientieren sich die Gerichte seit jeher auch am öffentlichen Recht, insbesondere an Sicherungspflichten des Verwaltungsrechts. Allerdings vermag das öffentliche Recht das Maß dessen, was zum Schutz der Rechtsgüter anderer erforderlich ist, nicht abschließend zu determinieren.112 Das Deliktsrecht kann weitergehende Sorgfaltsanforderungen stellen als das öffentliche Recht, das insoweit lediglich einen Mindeststandard dar109 ABl. L 11, 4 ff. Die Kommission schlägt vor, diese Richtlinie durch eine Verordnung über die allgemeine Produktsicherheit zu ersetzen; vgl. COM (2021) 346 final. 110 Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 614. 111 Vgl. Van Dam, European Tort Law, S. 57, 102 ff.; 136 f. 112 Eingehend Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 497 ff.

292

Haftungsregeln für das digitale Zeitalter

stellt.113 Hat der Schädiger gegen diesen Mindeststandard verstoßen und die öffentlich-rechtlichen Pflichten verletzt, steht ihm immer noch der Nachweis offen, dass er alternative Sorgfaltsmaßnahmen getroffen hat, die gleich oder besser wirksam waren als das verwaltungsrechtlich Gebotene.114 Auf Basis dieser Grundsätze liegt es nahe, die Verhaltenspflichten der 86 KI-Verordnung wie diejenigen des übrigen Produktsicherheitsrechts als Orientierungspunkte bei der Konturierung der deliktischen Sorgfaltspflichten (Verkehrspflichten) der Anbieter und Nutzer von KI-Systemen heranzuziehen.115 Gegenüber der Haftung wegen Schutzgesetzverletzung führt diese „Aufladung“ des § 823 Abs. 1 BGB mit den Pflichten der KI-VO allerdings zu nichts, d. h. zu keiner weitergehenden Verantwortlichkeit wie sie sich bereits aus § 823 Abs. 2 BGB ergibt. Relevant wird die allgemeine Fahrlässigkeitshaftung für Rechtsgutsverletzungen hingegen jenseits der Pflichten der KI-VO. Obwohl diese sehr geräumig und vage formuliert sind, wie insbesondere die Verpflichtung auf Genauigkeit, Robustheit und Cybersicherheit gemäß Art. 15 KI-VO belegt,116 kann der europäische Gesetzgeber alles andere als sicher sein, die „digitalen Sorgfaltspflichten“ der Anbieter und Nutzer von KI-Systemen bereits zu diesem frühen Zeitpunkt der technischen Entwicklung abschließend und treffend bestimmt zu haben. Unter dem Schirm des § 823 Abs. 1 BGB lassen sich die speziellen Pflichten der KI-VO in das allgemeine Sorgfaltsgebot einbetten und ggf. durch weitere Sicherungspflichten einrahmen. Insoweit, d. h. außerhalb des Regelungsrahmens der KI-VO, spielt § 823 Abs. 1 BGB eine unverzichtbare Rolle im Interesse des Rechtsgüterschutzes. 7. Ausfüllung von Schutzlücken der Produkthaftungsrichtlinie Nachdem die möglichen Anspruchsgrundlagen geklärt sind, gilt es, im 87 Lichte der Schutzbereichslücken der Produkthaftungsrichtlinie deren Erweiterung durch das nationale Deliktsrecht zu prüfen. Wie zu zeigen sein wird, geht es bei der Richtlinie über KI-Haftung vor allem um Be113 BGH v. 26.5.1998 – VI ZR 183/97, BGHZ 139, 43, 46 f. = NJW 1998, 2436; BGH v. 9.6.1998 – VI ZR 238/97, BGHZ 139, 79, 83 = NJW 1998, 2905, 2906; BGH v. 14.3.1985 – III ZR 206/83, VersR 1985, 641; 1987, 102, 103; BGH v. 19.12.1989 – VI ZR 182/89, NJW 1990, 1236, 1237; BGH v. 9.9.2008 – VI ZR 279/06, NJW 2008, 3779 Rz. 16; weiter Wilhelmi, Risikoschutz durch Privatrecht, 2009, S. 36 ff. 114 Marburger, VersR 1983, 597, 603; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 502. 115 Grützmacher, CR 2021, 433, 442; Spindler, JZ 2021, 793, 802. 116 Vgl. oben, Rz. 82.

293

Gerhard Wagner

schädigung oder Zerstörung privat genutzter Sachen (unten, Rz. 88 ff.), Verletzungen des allgemeinen Persönlichkeitsrechts (unten, Rz. 91 ff.) und um reine Vermögensschäden (unten, Rz. 96 ff.). a) Eigentumsschutz 88 Nach dem Vorschlag zur Reform der Produkthaftungs-Richtlinie bleibt der Eigentumsschutz in zweierlei Hinsicht hinter demjenigen nach § 823 Abs. 1 BGB zurück, nämlich in Bezug auf gewerblich genutzte Sachen und Weiterfresserschäden, also Schäden am Produkt selbst.117 Wird beispielsweise durch ein Kraftfahrzeug mit autonomen Fahrfunktionen ein Verkehrsunfall verursacht und dabei ein privat genutzter Pkw und ein gewerblich genutzter Lieferwagen beschädigt, gilt die Produkthaftungs-Richtlinie nur für die Haftung des Herstellers gegenüber dem Eigentümer des Privatwagens, nicht hingegen für seine Haftung gegenüber dem Eigentümer des Lieferwagens. Im zuletzt genannten Fall richtet sich die Haftung des Herstellers nach harmonisiertem Produkthaftungsrecht, beim Privatwagen hingegen nach nationalem Deliktsrecht. Die Regeln zur deliktischen Produkthaftung entsprechen zwar weitgehend denjenigen der Richtlinie 85/374/EWG, und erst recht denjenigen im Reformvorschlag, doch einen Anspruch auf Offenlegung von Beweismitteln enthalten sie ebenso wenig wie Fehler- und Kausalitätsvermutungen. An dieser Stelle würde die Richtlinie über KI-Haftung eingreifen und genau diese Regelungen bereitstellen. Damit käme es zu einer partiellen Harmonisierung der Produkthaftung nach nationalem Recht. Zwar wird nach Art. 9 Abs. 2 des Vorschlags zur Produkthaftungsrichtlinie der Fehler, hingegen nach Art. 3 Abs. 5 des Vorschlags zur KI-Richtlinie der Sorgfaltspflichtverstoß vermutet. Der Unterschied ist aber bloß terminologischer Natur, denn bei den praktisch im Vordergrund stehenden Konstruktions- und Instruktionsfehlern manifestiert sich im Fehler der Sorgfaltspflichtverstoß des Herstellers.118 89 Allerdings ist zu beachten, dass der Vorschlag einer Richtlinie über KI-Haftung im Rahmen der deliktischen Produkthaftung nach nationalem Recht nur eingreift, wenn der Fehler gerade das KI-System betrifft – und nicht den konventionellen, nicht-digitalen „Rest“ eines komplexen Produkts. Für den Zugang zu Beweismitteln muss der Geschädigte also i. S. d. Art. 3 Abs. 1 Richtlinie über KI-Haftung plausibel 117 Art. 4 Abs. 6 Richtlinienvorschlag Produkthaftung, COM (2022) 495 final; eingehend Wagner JZ 2023, 1, 7. 118 BGH v. 16.6.2009 – VI ZR 107/08, BGHZ 181, 253 Rz. 12 = NJW 2009, 2959 – Airbags; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 3 ProdHaftG Rz. 3, 7.

294

Haftungsregeln für das digitale Zeitalter

machen, dass gerade das KI-System „im Verdacht steht, einen Schaden verursacht zu haben“. Nur unter dieser Voraussetzung löst die Weigerung, die entsprechenden Beweismittel offenzulegen, die Vermutung einer Pflichtverletzung gemäß Art. 3 Abs. 5 aus. Für die Kausalitätsvermutung des Art. 4 gilt diese Einschränkung erst recht, denn deren Mechanik lässt sich allein auf KI-Systeme anwenden, nicht aber auf konventionelle Produkte.119 Nur bei digitalen Systemen lässt sich i. S. d. Art. 4 Abs. 1 Richtlinie über KI-Haftung vermuten, dass ein ursächlicher Zusammenhang zwischen der Pflichtverletzung des Beklagten und dem Output des digitalen Systems besteht. Entsprechend ist die Rechtslage bei den sog. Weiterfresserschäden, wenn 90 also ein fehlerhafter Teil des Produkts den vormals fehlerfreien „Rest“ beschädigt oder zerstört. Nach einer umstrittenen Rechtsprechung des BGH greift hier unter bestimmten Voraussetzungen die deliktische Produkthaftung gemäß § 823 Abs. 1 BGB ein;120 nach Unionsrecht ist und bleibt die Haftung hingegen ausgeschlossen.121 Erneut gewährte die KI-Richtlinie dem Geschädigten einen Anspruch auf Zugang zu Beweismitteln sowie die Vermutung des Sorgfaltspflichtverstoßes (Art. 3 Abs. 5) und der Kausalität zwischen dem Sorgfaltspflichtverstoß und dem Output des KI-Systems (Art. 4). b) Schutz des Allgemeinen Persönlichkeitsrechts Gänzlich außerhalb des Schutzbereichs der europäischen Produkthaf- 91 tung liegt das allgemeine Persönlichkeitsrecht in seinen verschiedenen Dimensionen. Solange der Produktbegriff durch Art. 2 Richtlinie 85/374/ EWG auf körperliche Gegenstände beschränkt bleibt, fällt diese Schutzlücke nicht weiter auf, denn technische Geräte, Fahrzeuge, Maschinen und Medikamente, um nur einige Beispiele für Warengattungen zu nennen, führen normalerweise nicht zu Beeinträchtigungen der persönlichen Ehre, des Bildes des Einzelnen in der Öffentlichkeit oder der Privatsphäre. Dies gilt um so mehr, als der EuGH die durch ein Druckerzeugnis vermittelten Informationen vom Schutzbereich der Produkthaftung aus-

119 Vgl. oben, Rz. 64 ff. 120 BGH v. 24.11.1976 – VIII ZR 137/75, BGHZ 67, 359, 363 ff. = JZ 1977, 343 Anm. Lieb – Schwimmerschalter; BGH v. 18.1.1983 – VI ZR 310/79, BGHZ 86, 256, 258 ff. = JZ 1983, 499 Anm. Stoll – Gaszug; eingehend Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 281. 121 Vgl. oben, Rz. 88 ff.

295

Gerhard Wagner

genommen hat.122 Durch vom Inhalt gelöstes Druckpapier ist noch niemand in seinen allgemeinen Persönlichkeitsinteressen verletzt worden. 92 Im Gegensatz dazu ist das allgemeine Persönlichkeitsrecht als Schutzgut des § 823 Abs. 1 BGB anerkannt, und es kann gerade auch durch Kommunikationsakte – Äußerungen – verletzt werden.123 Wird durch ein KI-System der Schutzbereich des allgemeinen Persönlichkeitsrechts rechtswidrig verletzt, kommt eine Haftung des Verursachers in Betracht. Dabei lässt sich sowohl an eine Haftung des Herstellers des KI-Systems als auch an eine Verantwortlichkeit des Nutzers denken. Entscheidend ist wiederum, dass die KI-Richtlinie diese Haftung nicht begründet, sondern voraussetzt. Nur wenn ein solcher Anspruch nach § 823 BGB in Betracht kommt, greifen die Regelungen der Art. 3 und 4 des Richtlinienvorschlags zur KI-Haftung ein, gewähren dem Geschädigten u. U. einen Anspruch auf Zugang zu Beweismitteln und lösen ggf. die beiden Vermutungen aus. Die Frage, ob der Hersteller einer Spracherkennungssoftware dafür einzustehen hat, dass diese Ausdrücke verfälscht und so die Angehörigen einer bestimmten Gruppe in ein falsches Licht rückt, beleidigt oder diskriminiert, hat bisher kein Gericht entschieden. Die deliktische Produkthaftung ist bisher nicht in Richtung auf den Schutz von allgemeinen Persönlichkeitsinteressen entwickelt worden, doch deren Einbeziehung ist nur konsequent, wenn § 823 Abs. 1 BGB die Anspruchsgrundlage ist. 93 Besondere Bedeutung kommt dieser Maßgabe im Rahmen der Haftung für Schutzgesetzverletzung zu. Soweit mit § 823 Abs. 2 BGB Verletzungen von Pflichten aus der KI-VO sanktioniert werden,124 kommt es für die Bestimmung des persönlichen, sachlichen und modalen Schutzbereichs auf die Zwecksetzungen des Unionsrechts an.125 In der Ausdehnung der Schutzbereichsgrenzen des § 823 Abs. 1 BGB liegt geradezu die Funktion des § 823 Abs. 2 BGB, die im Bereich der nicht-physischen Persönlichkeitsinteressen allerdings brach liegt, seitdem das allgemeine Persönlichkeitsrecht als Schutzgut des § 823 Abs. 1 BGB anerkannt ist.126 Mit der KI-VO könnte § 823 Abs. 2 BGB eine Renaissance erleben, wenn die Rechtsprechung den Pflichtenkanon der VO nicht schon in den Sorgfalts122 EuGH v. 10.6.2021 – C-65/20 (VI ./. Krone Verlag), Rz. 29 ff. = NJW 2021, 2015 Anm. Finkelmeier; Koch, ZEuP 2022, 980; eingehend dazu Wagner, in: Lohsse/Schulze/Staudenmayer (Hrsg.), Smart Products, 2022, 157, 171 ff. 123 Larenz/Canaris, Schuldrecht Besonderer Teil, Bd. II/2, § 79, S. 488 ff.; Wagner, Deliktsrecht, Kap. 7 Rz. 13 ff. 124 Vgl. oben, Rz. 81 ff. 125 Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 539 ff. 126 Wagner in: MünchKommBGB, 8. Aufl. 2020, Vor § 823 Rz. 16, § 823 Rz. 533 f.

296

Haftungsregeln für das digitale Zeitalter

standard des § 823 Abs. 1 BGB spiegelt.127 Jedenfalls besteht kein Zweifel daran, dass die KI-VO vor allem um den Schutz der Grundrechte der Unionsbürger bemüht ist, denn dieser Regelungszweck zieht sich wie ein roter Faden durch die Begründung des Entwurfs.128 Dabei werden die Menschenwürde, der Schutz des Privatlebens und personenbezogener Daten, das Recht auf Gleichbehandlung, die Meinungs- und die Versammlungsfreiheit sowie das Recht auf ein hohes Umweltschutzniveau ausdrücklich hervorgehoben.129 Verletzen die Anbieter (Hersteller) die ihnen gemäß Art. 9 ff. KI-VO obliegenden Sicherungspflichten, droht somit im Rahmen von § 823 Abs. 2 BGB eine Haftung auch für die Verletzung allgemeiner Persönlichkeitsinteressen. Das allgemeine Persönlichkeitsrecht bietet auch einen gewissen Schutz 94 vor Diskriminierungen. Diese Fallgruppe hat erhebliche Bedeutung, weil KI verbreitet die Eigenschaft zugeschrieben wird, besonders anfällig für Diskriminierungen aufgrund verbotener Merkmale – Geschlecht, Rasse, ethnische Herkunft, Religion, Weltanschauung, Behinderung – zu sein.130 Allerdings erfüllt nicht jede rechtswidrige Ungleichbehandlung zugleich den Tatbestand der Persönlichkeitsrechtsverletzung. Erforderlich ist vielmehr, dass die Diskriminierung zugleich eine Verletzung der persönlichen Ehre darstellt, weil der Betroffenen abgewertet, sein sozialer Achtungsanspruch bestritten oder er sonst in seiner Würde verletzt wird.131 Dafür ist es erforderlich, dass die Diskriminierungsabsicht nach außen kundgetan wird, entweder gegenüber dem Betroffenen oder gegenüber Dritten. Soweit mit einer „bloßen“ Diskriminierung keine Persönlichkeitsrechtsverletzung verbunden ist, bleibt sie im Rahmen des § 823 Abs. 1 BGB sanktionslos. Demgegenüber qualifiziert das BAG jede Dis-

127 Dazu oben, Rz. 84 ff. 128 Entwurf KI-VO, COM (2021) 206 final, S. 1 ff., ErwGr. 1, 2, 5, 13, 15, 18, 27 f., 32, 37 ff. usw. 129 Entwurf KI-VO, COM (2021) 206 final, S. 12 ff. 130 Vgl. Barocas/Selbst, 104 California Law Review 671 2016; Hacker, CMLR 55 2018, 1143; Nachbar, 48 Florida State University Law Review 509, 533 2021; Wischmeyer, AöR 143 2018, 1, 26; Fröhlich/Spiecker gen. Döhmann, Können Algorithmen diskriminieren, Verfassungsblog, 26.12.2018, im Internet unter: https://verfassungsblog.de/koennen-algorithmen-diskriminieren/ (zuletzt abgerufen am: 4.10.2023, 13:29 Uhr). 131 Rixecker in: MünchKommBGB, 9. Aufl. 2021, Anh. § 12 Rz. 125; Picker, Antidiskriminierungsprogramme im freiheitlichen Privatrecht, in: E. Lorenz (Hrsg.), Karlsruher Forum 2004, 2005, S. 7, 56 ff.

297

Gerhard Wagner

kriminierung wegen Geschlechts oder Behinderung als Verletzung des allgemeinen Persönlichkeitsrechts.132 95 Eine weitergehende Haftung für Diskriminierungsschäden auf der Grundlage von § 823 Abs. 2 BGB ist denkbar. Der materielle Schutzzweck der verletzten Verhaltensnorm ließe sich allerdings nicht allein aus der KIVO heraus begründen, was leicht möglich wäre, weil die VO an mehreren Stellen ihre Stoßrichtung gegen Diskriminierung betont.133 Darüber verfolgen selbstverständlich auch die Anti-Diskriminierungs-Richtlinien der EU134 bzw. Art. 21 EU-Grundrechtecharta, die die eigentlichen Diskriminierungsverbote enthalten, entsprechende Schutzzwecke.135 c) Reine Vermögensschäden 96 Das deutsche Haftungsrecht schützt in § 823 Abs. 1 BGB die dort genannten Rechtsgüter und diskriminiert alle übrigen Interessen. Diese Entscheidung ist für nicht-physische Persönlichkeitsinteressen rückgängig gemacht worden, indem das allgemeine Persönlichkeitsrecht in den Schutzbereich des § 823 Abs. 1 BGB einbezogen wurde. Mit Blick auf reine Vermögensschäden hat es keine entsprechende Entwicklung gegeben. 97 Jenseits des Rechts am eingerichteten und ausgeübten Gewerbebetrieb gilt der Grundsatz, dass das Vermögen als solches kein Schutzgut des § 823 Abs. 1 BGB ist.136 Deliktischer Vermögensschutz lässt sich demnach nur über § 823 Abs. 2 BGB, im Rahmen von Spezialgesetzen wie § 9 UWG und §§ 33a ff. GWB137 und – in letzter Linie – auf der Grundlage des § 826 BGB begründen. Wird ein künstlich intelligentes System mit der Absicht von seinem Hersteller in den Verkehr gebracht oder von einem Nutzer betrieben, Dritten in sittenwidriger Weise Schäden zuzufügen, greift die Haftung nach § 826 BGB. Solche Fallgestaltungen, in denen ein digitales System absichtlich und mit Schädigungsvorsatz als eine Art „Waffe“ gegen Individuen oder Unternehmen eingesetzt wird sind keineswegs ausgeschlossen und deshalb dazu geeignet, den Kanon der bei § 826 BGB versammelten Fallgruppen zu erweitern. 132 BAG v. 14.3.1989 – 8 AZR 447/87, NZA 1990, 21 f.; BAG v. 15.2.2005 – 9 AZR 635/03, NZA 2005, 870, 871; Thüsing in: MünchKommBGB, 9. Aufl. 2021, § 15 AGG Rz. 52, § 21 AGG Rz. 71. 133 Vgl. Begründung zum Vorschlag der KI-VO, COM (2021) 206 final, S. 4, 12 f., sowie ErwGr 15, 17, 28, 35 ff., 44 f. 134 Übersicht bei Thüsing in: MünchKommBGB, 9. Aufl. 2021, Einl. AGG Rz. 14. 135 So Mörsdorf in BeckOGK BGB, 2022, § 21 AGG Rz. 90. 136 BGH v. 15.11.1982 – II ZR 206/81, BGHZ 86, 152, 155 = NJW 1983, 2313; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 423. 137 Vgl. Wagner, Deliktsrecht, Kap. 7 Rz. 63 ff.

298

Haftungsregeln für das digitale Zeitalter

Im Mittelpunkt der Haftung für reine Vermögensschäden durch digita- 98 le Systeme wird indessen § 823 Abs. 2 BGB stehen. Bisher spielte die Vorschrift als Transmissionsriemen für das nationale und europäische Produktsicherheitsrecht eine große Rolle.138 Dessen Schutzbereich blieb dabei auf die Vermeidung von Personenschäden beschränkt.139 So heißt es in § 3 Abs. 1 Nr. 2 ProdSG, ein Produkt dürfe „die Sicherheit und Gesundheit von Personen oder sonstige in den Rechtsverordnungen nach § 8 Absatz 1 aufgeführte Rechtsgüter bei bestimmungsgemäßer oder vorhersehbarer Verwendung nicht gefährden“. Die entscheidende Frage lautet, ob die KI-VO an diesem Zuschnitt des 99 Schutzbereichs des europäischen Produktsicherheitsrechts etwas ändert, jedenfalls, soweit es um die Sicherheitseigenschaften von KI-Systemen geht. In der Begründung und in den Erwägungsgründen zur KI-VO wird ausdrücklich auf die Verwendung von KI-Systemen durch Kreditinstitute eingegangen, und sie werden im Text des Verordnungsentwurfs mehrfach angesprochen.140 An der Einbeziehung von reinen Vermögensschäden, die von Kreditinstituten durch Einsatz von digitalen Systemen im Rahmen ihrer Geschäftstätigkeit verursacht werden, in den Schutzbereich der KI-VO und damit auch des § 823 Abs. 2 BGB führt somit kein Weg vorbei. Damit scheint beispielsweise der Schutzgesetzhaftung für die Fehlberatung von Anlegern durch sog. Robo Advisor der Weg bereitet.141 Immerhin ließe sich noch bestreiten, dass sich eine solche Haftung in das haftungsrechtliche Gesamtsystem einfügte,142 weil auf diese Weise neben dem Vertragsrecht eine Deliktshaftung für fehlerhafte Anlageberatung etabliert würde. Bei der Einbeziehung weiterer Fallgruppen reiner Vermögensschäden in 100 den Schutzbereich des § 823 Abs. 2 BGB ist somit Vorsicht geboten. Eine allgemeine Fahrlässigkeitshaftung in unbeschränkter Höhe für reine Vermögensschäden ist untragbar, und sie darf auch nicht über § 823 Abs. 2

138 Vgl. oben, Fn. 107. 139 Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 1028; Klindt, ProdSG, 3. Aufl. 2021, § 3 Rz. 55. 140 COM (2021) 206 final, S. 5, ErwGr 37, 80, Art. 9 Abs. 9, Art. 17 Abs. 3, Art. 18 Abs. 2, Art. 19 Abs. 2, Art. 20 Abs. 2, Art. 29 Abs. 2 und 5. 141 Zur Deliktshaftung für Robo Advice Wagner/Luyken, FS Windbichler, 2020, S. 155, 174 ff. 142 Dazu BGH v. 8.6.1976 – VI ZR 50/75, BGHZ 66, 388, 390 = NJW 1976, 1740; BGH v. 13.3.2018 – II ZR 158/16, BGHZ 218, 80 Rz. 22 = NJW-RR 2018, 738; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 567.

299

Gerhard Wagner

BGB eingeführt werden.143 Diese Wertung gilt unverkürzt auch für die moderne Welt, in denen die Kommunikation auch durch KI-Systeme gesteuert und beeinflusst werden. 101 Der BGH ist sich der Gefahren einer allgemeinen Fahrlässigkeitshaftung für reine Vermögensschäden stets bewusst. Nach ständiger Rechtsprechung kommt die Ausdehnung des Schutzbereichs des Deliktsrechts auf reine Vermögensschäden nur in Betracht, wenn sie sich in das haftpflichtrechtliche Gesamtsystem einfügt.144 Diese Einschränkung ist bei den allgemein und vage formulierten Pflichten der KI-VO von besonderem Gewicht. Die Haftung der Hersteller von digitalen Systemen, die i. S. d. Art. 15 KI-VO für nicht hinreichend genau, robust und cybersicher befunden werden, für sämtliche finanziellen Nachteile Drittbetroffener ist zu verneinen, weil sie die fundamentale Entscheidung des deutschen Gesetzgebers gegen eine allgemeine Fahrlässigkeitshaftung für reine Vermögensschäden rückgängig machen würde, soweit es um Herstellung und Nutzung digitaler autonomer Systeme geht. 8. Bewertung des Richtlinienvorschlags zur KI-Haftung 102 Der Richtlinienvorschlag zur KI-Haftung enthält nur wenige Bestimmungen, die zudem lediglich einen Anspruch auf Offenlegung von Beweismitteln und zwei Vermutungsregeln normieren. Die Anspruchsbegründung sowie der Haftungsumfang richtet sich nach nationalem Deliktsrechts. Die Pflichten hingegen stammen vor allem auch aus dem Verordnungsvorschlag zur KI-Regulierung. Das Zusammenspiel dieser drei Materien führt zu einer hochkomplexen Gesamtregelung, die hohe Anforderungen an die rechtstechnischen Fertigkeiten der Anwälte und Gerichte stellt, in ihren konkreten Auswirkungen auf die betroffenen Haftungssubjekte schwer vorherzusehen ist und bei alledem für den Geschädigten nur einen begrenzten Nutzen generiert. Aufklärungspflichten sowie Verschuldens- und Kausalitätsvermutungen sind gut und schön, doch das Herz des Haftungsrechts schlägt woanders, nämlich beim Haftungsgrund und der Haftungsausfüllung. Dazu findet sich in der Richt143 Dazu ausführlich Wagner in: Zimmermann (Hrsg.), Grundstrukturen des europäischen Deliktsrechts, 2003, S. 189, 230 ff.; Wagner in: Callies (Hrsg.), Transnationales Recht, 2014, S. 307, 324 ff.; Wagner, ZHR 178 2014, 227, 275 ff.; Wagner in MünchKommBGB, 8. Aufl. 2020, § 826 Rz. 14 ff. 144 BGH v. 8.6.1976 – VI ZR 50/75, BGHZ 66, 388, 390 = NJW 1976, 1740; vgl. auch BGH v. 13.12.2011 – XI ZR 51/10, BGHZ 192, 90 Rz. 21 = JZ 2012, 571 (mit Anm. Bachmann) = NJW 2012, 1800; BGH v. 13.3.2018 – II ZR 158/16, BGHZ 218, 80 Rz. 22 = NJW-RR 2018, 738; Wagner in: MünchKommBGB, 8. Aufl. 2020, § 823 Rz. 567.

300

Haftungsregeln für das digitale Zeitalter

linie über KI-Haftung nichts. Da sich parallele Regelungen zudem in dem gleichzeitig vorgelegten Entwurf über eine reformierte Produkthaftungsrichtlinie finden, ist die Frage berechtigt, ob es der Richtlinie über KI-Haftung überhaupt bedarf. Immerhin wird durch sie eine Ausdehnung der Aufklärungspflichten und Vermutungsregeln auf die Haftung wegen Verletzungen des allgemeinen Persönlichkeitsrechts und bestimmter Fallgruppen reiner Vermögensschäden insoweit ermöglicht, als bei der Schädigung KI im Spiel ist. VIII. Schlussfolgerungen 1. Noch mehr Produkthaftung? Die Haftung der Hersteller autonomer digitaler Systeme ist in dem Vor- 103 schlag einer neuen Produkthaftungsrichtlinie in überzeugender Weise geregelt. Überzeugend ist es insbesondere, keine Kausalhaftung für Schäden durch Produkte vorzusehen, sondern eine quasi-Verschuldenshaftung für fehlerhafte Produkte.145 Speziell und allein für den Bereich der KI wäre zwar eine fehlerunabhängige Gefährdungshaftung zu erwägen,146 doch beim gegenwärtigen Stand der technischen Entwicklung und der damit verbundenen Schadensszenarien besteht für einen solchen radikalen Schritt kein Anlass. Es kann keinerlei Rede davon sein, dass der Einsatz von KI zu massenhaften Schädigungen führt, und es ist unwahrscheinlich, dass KI – trotz aller heiß diskutierten Mängel – mehr Schäden verursacht als herkömmliche Systeme, die von Menschen gesteuert werden und damit auf menschliche Entscheidungen setzen.147 Im Gegenteil, in vielen Sektoren ist von der Einführung autonomer digitaler Systeme eine deutliche Reduktion der Unfallzahlen zu erwarten.148 Hinzu kommt, dass ein Verzicht auf das Fehlererfordernis ohnehin nur bei KI-Systemen, nicht bei konventionellen Waren, in Betracht käme, was ein gespaltenes Produkthaftungsregime zur Folge hätte. Schließlich ist die Forderung zurückzuweisen, den sachlichen Schutz- 104 bereich der harmonisierten Produkthaftung auf Verletzungen des allgemeinen Persönlichkeitsrechts (Diskriminierung) und reine Vermögens-

145 Wagner, JZ 2023, 1, 5f. 146 Wagner in: Faust/Schäfer, Zivilrechtliche und rechtsökonomische Probleme des Internet und der künstlichen Intelligenz, 2019, S. 1, 18 f. 147 Vgl. Martini/Nink, NVwZ-Extra 10/17, 1; Schmitz/Prell, NVwZ 2016, 1273, 1277; abwägend m. w. N. Wischmeyer, AöR 143 2018, 1, 26. 148 Wagner, AcP 217 2017, 707, 709, 734 f.

301

Gerhard Wagner

schäden zu erstrecken.149 Es ist ausgeschlossen, den Schutzbereich der Haftung allein für KI-Systeme oder ausschließlich für die Produkthaftung auf unionsrechtlicher Ebene zu definieren, die weitere Konkretisierung dem EuGH zu überlassen – und im Übrigen auf das nationale Recht zu setzen. Bei reinen Vermögensschäden führt bereits eine allgemeine Fahrlässigkeitshaftung zu weit, von einer verschuldensunabhängigen Gefährdungshaftung ganz zu schweigen. 2. Verschuldensunabhängige Betreiberhaftung? 105 Mit der sehr gelungenen Reform der Produkthaftungs-Richtlinie ist zugleich entschieden, dass für eine separate Richtlinie „über KI-Haftung“ kaum etwas übrig bleibt. Wer sich damit nicht zufriedengeben will, ruft nach einer Gefährdungshaftung zu Lasten der Betreiber von KI.150 Genau dies war die Stoßrichtung des Verordnungsentwurfs, den das Europäische Parlament in 2020 vorgelegt hat.151 Art. 5 Abs. 2 des Vorschlags einer Richtlinie über KI-Haftung erteilt der Kommission insoweit noch einen Prüfauftrag, sodass zu befürchten ist, die strikte Betreiberhaftung könnte im Gesetzgebungsverfahren wiederaufleben. Doch dies wäre die schlechteste aller Lösungen.152 Abgesehen davon, dass es keinen Grund dafür gibt, KI-Systeme „across the board“ einer strikten Haftung zu unterstellen, ist der Betreiber der falsche Adressat, denn er hat allenfalls geringen Einfluss auf das Verhalten des Systems. Diese Einsicht wird durch die nutzerbezogenen Privilegierungen des Art. 4 Abs. 3 und 6 des Richtlinienvorschlags über KI-Haftung, Art. 29 KI-VO eindrucksvoll bestätigt. Schließlich gibt es in Bereichen mit erhöhtem Risikopotential bereits Gefährdungshaftungstatbestände, zum Beispiel für Kraftfahrzeuge (§ 7

149 So offenbar Hacker, The European Liability Directives, S. 46 ff., 59 ff., im Internet unter https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4279796 (zuletzt abgerufen am: 4.10.2023, 13:33 Uhr). 150 So Spindler, CR 2022, 689 Rz. 67; Hacker, The European Liability Directives, S. 46 ff., im Internet unter https://papers.ssrn.com/sol3/papers.cfm?abstract_ id=4279796 (zuletzt abgerufen am: 4.10.2023, 13:34 Uhr). 151 Europäisches Parlament, Regelung der zivilrechtlichen Haftung bei künstlicher Intelligenz vom 20.10.2020, P9_TA-PROV(2020)0276; dazu der Bericht mit Empfehlungen an die Kommission für eine Regelung der zivilrechtlichen Haftung beim Einsatz künstlicher Intelligenz, Berichterstatter Axel Voss, v. 5.10.2020, A9-0178/2020. Eingehend zum Parlamentsentwurf Wagner, ZEuP 2021, 545; Zech, in: Verhandlungen des 73. Deutschen Juristentages Bonn 2022, Ergänzungsband zu den Gutachten, S. A 117 ff. 152 Dazu Wagner in: Faust/Schäfer, Zivilrechtliche und rechtsökonomische Probleme des Internet und der künstlichen Intelligenz, 2019, S. 1, 23 ff.; Wagner, ZEuP 2021, 545, 551.

302

Haftungsregeln für das digitale Zeitalter

StVG). Diese gelten umstandslos auch für Maschinen, in denen KI zum Einsatz kommt (vgl. §§ 1d ff. StVG).153 Eine darüber hinaus gehende Haftungsverschärfung ist nicht erforderlich und daher auch nicht begründbar. Im Ergebnis bleibt es somit dabei: Der Vorschlag einer Richtlinie über 106 KI-Haftung rundet den Vorschlag zur Reform der Produkthaftungsrichtlinie insofern ab, als für Verletzungen des allgemeinen Persönlichkeitsrechts, für reine Vermögensschäden und überdies in Randbereichen der Eigentumsverletzung Vermutungsregelungen eingeführt werden, die dem Geschädigten im Rahmen der Geltendmachung deliktischer Schadensersatzansprüche den Nachweis einer Pflichtverletzung oder deren Kausalität für den Output des KI-Systems erleichtern. Das ist nicht nichts, aber auch nicht viel. Ob dieser Regelungszweck den hoch komplexen Richtlinienentwurf und den Aufwand einer zweiten Richtlinie zu tragen vermag, wird der Gesetzgebungsprozess in Brüssel erweisen. 3. Der Brussels Effect im Haftungsrecht Der Reformvorschlag zur Produkthaftungs-Richtlinie regelt die Haftung 107 für digitale Systeme umfassend, und zwar sowohl für Hersteller von Software als auch für die „Zulieferer“ digitaler Dienstleistungen, einschließlich Trainingsdaten. Der Entwurf tut gut daran, bei dieser Gelegenheit den Kreis der Verantwortlichen neu zu bestimmen und eine Reihe von Intermediären des e-Commerce, die dem Lager des Herstellers zuzurechnen sind, subsidiär in die Haftung zu nehmen. Damit passt er in durchaus vorbildlicher Weise die Produkthaftung an die Herausforderungen der Digitalisierung an. Der Vorschlag zur Reform der Produkthaftungsrichtlinie ist ein „großer Wurf“, der ohne Weiteres das Zeug dazu hat, den viel beschworenen „Brussels Effect“ auszulösen, also eine globale Vorreiterrolle bei der Anpassung des Produkthaftungsrechts an die Digitalisierung einzunehmen.154 Der einzige wesentliche Kritikpunkt an dem Richtlinienvorschlag be- 108 trifft den Gesetzgebungsstil. Zwar kommt der Text nicht annähernd so technisch und verbal ausschweifend daher wie beispielsweise der Vorschlag zur KI-Regulierung, doch im Vergleich zu dem Reformtext er153 Arg. §§ 8 Nr. 1, 12 Abs. 1 Nr. 1 StVG; BGBl. I, S. 3108; Begründung zum Gesetz über das autonome Fahren v. 12.06.2021, BT-Drucks. 19/27439, S. 25; vgl. auch BGBl. I, S. 3108. 154 Dazu grundlegend Bradford, The Brussels Effect, 2020; aus der Diskussion Eifert/Metzger/Schweitzer/Wagner, 58 CML Rev 987, 1025 ff.; Frankenreiter 39 Yale J. Regulation 1068, 2022.

303

Gerhard Wagner

scheint die ursprüngliche Produkthaftungs-Richtlinie geradezu als Muster sprachlicher Anmut und Schönheit. Davon bleibt nun kaum etwas übrig, und mit dem inzwischen üblichen Definitionskatalog am Anfang (Art. 4) wird man künftig leben müssen. Immerhin ist zuzugeben, dass in einer diverser gewordenen EU mit 27 Mitgliedstaaten deutlicher gesagt werden muss, was gemeint ist, als dies im Jahre 1985 bei 12 Mitgliedstaaten erforderlich war.

304

B. Drei-Länder-Treffen DGRI Drei-Länder-Treffen 2021 Länder-Update Schweiz Robert Briner* I. Eingangsbemerkung II. In den ganz grossen Linien: III. Rahmenabkommen Schweiz-EU IV. Neues Datenschutzgesetz (nDSG) zur Umsetzung der DSGVO

1 2 3

V. Änderung des Urheberrechtsgesetzes (URG) VI. Gesetzliche Regelung DLT/Blockchain

7 9

VII. Gerichtliche Entscheidungen und wichtige Publikationen 10 4

I. Eingangsbemerkung Nach dem Corona-bedingten Ausfall des Drei-Länder-Treffens 2020 wa- 1 ren zwei Jahre zu rapportieren. Es standen 20 Minuten für zwei Jahre zur Verfügung, so dass strikte Beschränkung auf das wirklich Wesentliche angezeigt war. II. In den ganz grossen Linien: –

das Rahmenabkommen zwischen der Schweiz und der EU endete vor- 2 läufig mit einem Verhandlungsabbruch am 26.5.21;

–

die Datenschutzgesetz-Totalrevision („nDSG“) zur Umsetzung der DSGVO wurde 2020 verabschiedet, aber auf Eis gelegt;

–

eine Urheberrechtsgesetz(URG)-Änderung stellte nicht mehr und nicht weniger als einen weiteren Schritt im Kampf gegen digitale Windmühlen dar;

–

eine Regierungsvorlage zu punktuellen gesetzlichen Regelungen (Änderungen bestehender Erlasse) betreffend DLT/Blockchain von 2018 wurde damals als grosser Schritt gefeiert, im Eiltempo durch

*

Rechtsanwalt Dr. Robert Briner, Horgen, Schweiz.

305

Robert Briner

die legislatorischen Kanäle gehämmert, und auf 1.2.2021 in Kraft gesetzt – aber ohne dass dies in der Praxis zu deutlich sichtbaren Änderungen geführt hätte, was wiederum von der DLT-Branche als positives Zeichen für die Realitätsnähe der Änderungen gewertet wurde. –

Rechtsprechung: da und dort ein Entscheid, ohne grosse Würfe oder erkennbare bedeutende Linien. Einige sehr gescheite juristische Beiträge.

III. Rahmenabkommen Schweiz-EU 3 Ein Rahmenabkommen als Ersatz des von der EU zur Fortsetzung abgelehnten Bilateralen Vertragswerks wurde von der Schweizer Wirtschaft 1997 angestossen, und wurde gegenüber der EU 2008 lanciert. Die EU bekundete im Prinzip Wohlwollen, machte aber umgehend klar, dass der vorgeschlagene Weg für sie nur akzeptabel sei, wenn sich die Schweiz eng an die EU binde (Beispiele: EuGH als auch für die Schweiz bindende letzte Instanz, für die Schweiz eine sehr grosse Kröte; schrittweises Fallenlassen des Lohnschutzes für Branchen unter Druck). Die sehr zähen jahrelangen Verhandlungen wurden am 26.5.21 abgebrochen. Unmittelbar danach kündigte die EU an, die Schweiz sei für MedDevices ab sofort „ein ganz gewöhnliches Drittland“ – wobei die Schweiz einer der weltgrössten Hersteller von MedDev’s ist, und die EU einer der grossen Abnehmer; man hätte sich eine etwas gescheitere Reaktion gewünscht ... (Update Mitte 2023: nach Vorverhandlungen wird ein weiterer Versuch lanciert). IV. Neues Datenschutzgesetz (nDSG) zur Umsetzung der DSGVO 4 Der Bundesrat legte dem Parlament bereits am 15.9.2017 einen Gesetzesentwurf vor; es handelte sich nicht um eine Revision oder Änderung des bestehenden DSG, sondern um eine vollkommen neu aufgesetzte Regelung (daher „nDSG“); für Details sehe man BBl. 2017, S. 6941 (sog. Botschaft, d. h. Erläuterungen) und S. 7193 (Text-Entwurf). Die DSGVO wurde nicht einfach übernommen; man nähert sich dem nDSG besser, wenn man davon ausgeht, dass die als wichtig erachteten Regelungen der DSGVO im Kern übernommen, aber vielfach „helvetisiert“ wurden. Im Detail waren die Änderungen gegenüber dem bisherigen DSG unübersehbar zahlreich; die wichtigsten: –

Aufgabe des Schutzes von juristischen Personen;

–

neu besonders schützenswert: ethnische Herkunft;

306

Drei-Länder-Treffen 2021 Update Schweiz

–

Profiling wurde aus der DSGVO übernommen, aber unnötigerweise verschärft – dafür waren die Anforderungen an Einwilligungen zu Bearbeitung geringer;

–

viele sprachliche Neuschöpfungen (statt die DSGVO zu übernehmen), z. B. „Verantwortlicher“ anstatt „Inhaber der Datensammlung“;

–

Auftragsbearbeitung wurde viel weniger detailliert geregelt als in der DSGVO;

–

Einführung einer persönlichen Strafbarkeit (bisher nur Organ-Haftung), mit Bussen bis 250.000 CHF.

Die parlamentarische Debatte war gekennzeichnet von Skurrilitäten, 5 realitätsfremden Änderungen gegenüber der DSGVO, und letztlich der Hoffnung, irgendwie werde die EU das nDSG unter dem Rahmenabkommen schon irgendwie durchwinken – aber die Rahmenabkommens-Verhandlungen wurden bekanntlich am 26.5.2021 abgebrochen, und die Neulancierung Mitte 2023 hat noch kein Resultat gezeitigt. Die Schlussabstimmung im Parlament vom 25.9.2020 ergab sehr breite 6 Zustimmung zum nDSG, aber das Inkrafttreten wurde auf „nach 2022“ verschoben (Update Mitte 2023: Inkrafttreten nunmehr am 1.9.2023). Im Ergebnis – insbesondere nach der parlamentarischen Debatte und vielen Änderungen – ist es von der Gesetzeslage her so, dass die DSGVO im nDSG erkennbar ist, aber in keinem Punkt einfach davon ausgegangen werden kann, dass die Regelungen identisch sind. In der Realität setzen vielfach zumindest grössere KMU sowie die international tätigen Unternehmen wegen Art. 3 Abs. 2 lit. a DSGVO einfach die DSGVO um. V. Änderung des Urheberrechtsgesetzes (URG) Basierend auf einer Gesetzesvorlage (sog. „Botschaft“) des Bundesrates 7 von 2018 (Details und Erläuterungen in BBl. 2018, 591, Gesetzesvorlagetext S. 693) wurde vorgeschlagen – und vom Parlament akzeptiert –, dass –

Photographien auch ohne individuellen Charakter „als Werke gelten“, was von weiten Kreisen als Sündenfall erachtet wurde;

–

die Vergütungspflicht bei „Zugänglichmachen“ ausgedehnt wurde;

–

Archiv- und Sicherungskopien von Bibliotheken ausdrücklich legitimiert wurden;

–

ein Forschungs-Verwendungs-Privileg eingeführt wurde;

–

eine „take-down-on-notice“-Regelung für Internet-Provider verankert wurde.

307

Robert Briner

8 Diese Änderungen waren zur Stärkung des Urheberschutzes im Internet gedacht, verpufften aber in der Realität derart, dass das Parlament vom Bundesrat schon im Jahr der Inkraftsetzung eine „Überprüfung der Wirksamkeit“ verlangte (Postulat SR 19.3421), und in der sic! 2020, S. 599 eine sehr kritische Beurteilung publiziert wurde (Update Mitte 2023: der Bericht des Bundesrates ist auf dem Internet verfügbar1). VI. Gesetzliche Regelung DLT/Blockchain 9 Am 14.12.2018 publizierte der Bundesrat einen Bericht zu DLT/Blockchain, 170 Seiten lang; der Bericht widmete sich allen Aspekten – Technik, Recht, Regulatory – und war metikulös dokuentiert. Bereits im März 2019 ging der Bericht in die Vernehmlassung, hervorgehoben wurden Änderung des Wertpapierrechts (Schaffung eines digitalen Quasi-Registerrechts), Konkursrecht (Verwertung von z. B. Bitcoins), und Regulatory. Die daraufhin ausgearbeitete Vorlage (Bundesrätliches Geschäft Nr 19.074) wurde wenige Monate später eilig beraten, von den Räten am 10.9.2020 durchgewunken, und resultierte in einem Gesetzesentwurf vom 25.9.202 (publiziert in AS 2021, 33) mit Schwergewicht auf Schuld- und Registerrecht, Konkursrecht, Internationalem Privatrecht, Regulatory und insbesondere Finance-Regulatory, der auf den 1.2.2021 in Kraft gesetzt wurde. Soweit ersichtlich hat die Branche die Regelungen im Kern begrüsst, weil sie Rechtssicherheit geschaffen haben. VII. Gerichtliche Entscheidungen und wichtige Publikationen 10 In den zwei Jahren ergingen keine fundamentalen oder sonst wie überragend wichtigen Entscheidungen, aber eine Vielzahl von Urteilen mit Bedeutung in Spezialbereichen. Der interessierte Leser möge sich bitte die Publikationen ansehen. Die nachfolgende Liste umfasst auch Entscheide, die erst ab Juni 2019 publiziert wurden. –

Bundesgericht, 2.3.2018, Entscheid 1C_598/2016: Vorratsdatenspeicherung in Ansehung restriktiver Rahmenbedingungen (EMRK, Verfassung, DSG u. a. m.) zulässig.

–

Bundesgericht, 8.2.2019, Entscheid 4A_433/2018: keine Verpflichtung von Providern zur Sperrung ausländischer Streaming-Sites mangels relevantem Kausalzusammenhang zur (allfälligen) URG-Verletzung.

1

https://www.parlament.ch/de/ratsbetrieb/suche-curia-vista#k=19.3421#l=1033

308

Drei-Länder-Treffen 2021 Update Schweiz

–

Bundesgericht, 9.4.2019, Entscheid 4A_503/2018: Markeneintragungsfähigkeit von „Apple“, weil nicht beschreibend soweit beansprucht.

–

Bezirksgericht Zürich, 20.8.2020, publiziert in ZR 119, S. 233–273 (!): die Übernahme eines ganzen Bündels von Ideen und Plänen für einen Tunnelbau aus einer Wettbewerbseingabe des A durch dessen Konkurrenten B ist nicht unlauter – man vergleiche das mit dem Schutz nicht-individueller Photographien im URG...

–

Bundesgericht, 28.3.2019, Entscheid 1C_297/2018: Gegenstand war die Frage, wer im Öffentlichkeitsgesetz als „Verfasser“ eines Berichts gilt, wenn der Bericht der Behörde A im Auftrag der Behörde B erstellt wurde; besprochen in sic! 2020, S. 620.

–

sic! 2019, S. 353: ein sehr sorgfältig analysierender und dokumentierter Beitrag zum Thema der Kennzeichnung bzw. Trennung von Werbung und Sache (u. a. am Beispiel Social Media).

–

sic! 2019, S. 573: Bericht einer AIPPI-Arbeitsgruppe über Urheberrechte an „künstlich erzeugten Werken“ (d. h. unter Mithilfe von KI.AI). Eine gute und gut recherchierte Zusammenfassung dieses (leidigen? ewigen?) Themas nach Schweizer Urheberrecht.

–

Bundesgericht, 18.4.2019, Entscheide 6B_99/2019 und 6B_148/2019, zu Kryptowährungen. Allerdings nicht technisch/DLT-spezifisch, sondern UWG: es ist nicht irreführend, zu sagen, „die Kryptowährung A“ seit „weltweit als Zahlungsmittel geeignet“; besprochen in sic! 2019, S. 619.

–

Bundesgericht, 26.9.2019, Entscheid 6B_1188/2018: Dashcam-Aufnahmen im Auto verletzen meistens DSG, was zum Beweisverwertungsverbot führt, ausser wenn die Aufnahme erlaubnis-fähig gewesen wäre; besprochen in sic! 2020, S. 211.

–

sic! 2020, S. 177: eine sorgfältig analysierende Auslegeordnung zu den Themata Gesundheitsdaten und Digitalisierung, zunehmende sog. personalisierte Medizin, (Schwarz-)Handelsfähigkeit von Gesundheitsdaten, elektronisches Patientendossier bzw. zum diesbezüglichen Flickwerk in DSG und Spezialerlassen.

–

Bundesgericht (Strafrecht), 29.1.2020, Entscheid 6B_1114/2018: die Weiterverbreitung von ehrverletzenden Äusserungen über „Likes, Shares“ kann selber ehrverletzend sein; besprochen in sic! 2020, S. 349.

–

sic! 2020, S. 395: Rezension eines Buchs über Dateneigentum, Datenzugang und Datenportabilität (Thouvenin, Weber, Früh, Elemente einer Datenpolitik). Nach Meinung des rapportierenden R. G. Briner 309

Robert Briner

sollte in diesem Zusammenhang unbedingt die Festschrift für Nicolas Druey, 2002, zum Thema Informationsrecht gelesen werden. –

sic! 2020, S. 482: Diskussion von Art. 77i revURG, der Rechteinhabern die Datenbearbeitung erlaubt, wenn ihre URG-Rechte verletzt sind, für die Zwecke einer Strafverfolgung (z. B. Strafanzeige), falls sie rechtmässig auf diese Daten zugegriffen haben. Zu lesen im Zusammenhang mit der sog. „Logistep“-Entscheidung BGE 136 II 508 (Auswertung von IP-Daten).

–

sic! 2021, S. 168: Beitrag mit einer sorgfältigen Analyse, was mit Daten, über die man verfügt, als Zweitnutzung noch erlaubt sein kann und was nicht, d. h. eine Auslotung der Spielräume unter DSG und nDSG. Ein komplexer Artikel, der eine sehr sorgfältige Lektüre erfordert.

–

EuGH v. 11.6.2020 – C-833/18 („Brompton Bicycle vs Chedech/Get2Get“) zum URG-Schutz ungeachtet technischer Funktionalität; besprochen in sic!2021, S. 202, Auswirkungen für die Schweiz offen, trotz erheblichem publizistischem Wellenschlag.

–

Bericht des Bundesrates (formal noch ein Entwurf), 14.4.2021, zur Sicherheitspolitik der Schweiz mit starkem Fokus auf Cyber, Weltlage und hoher Labilität aller Einfluss-Faktoren. Sehr lesenswert (Update Mitte 2023: erst recht lesenswert unter dem Blickwinkel des Ukrainekriegs). ***

310

DGRI Drei-Länder-Treffen 2021 Länderbericht Österreich Sonja Dürager* I. Vorwort II. Plattformen, E-Commerce etc. 1. Einzelheiten zu § 18 Abs. 4 ECG a) Redaktionsgeheimnis b) Zuständigkeit für den Auskunftsanspruch c) Auskunftsanspruch gegen Access-Provider d) Unterlassungsansprüche gegen Host-Provider 2. Urheberrecht a) Der Schutz von Ideen b) Diverses zu OTT-Diensten aa) OTT-Dienste I bb) OTT-Dienste II c) Das Geschäftsgeheimnis im Urheberrecht d) Geschäftsgeheimnis im Verhältnis zum Stand der Technik

1 2 2 3 5 7 9 13 14 16 16 22 25

29

3. Markenrecht und andere Zeichen 32 a) Neues und Altes zum Keyword Advertising 32 aa) Keyword Advertising I „taxicompany“ 33 bb) Keyword Advertising II „Zaruba“ 35 4. Bildnisschutz und Persönlichkeitsrechte 38 a) Youtube-Video von Polizeieinsatz 38 b) Ibiza-Affäre 42 aa) Informationsbeschaffung v. Verbreitung von Aufnahmen 43 bb) Chilling-Effekt 49 5. Datenschutz 55 a) Recht auf Erhalt einer Datenkopie 56 b) Konkreter Empfänger oder Empfängerkategorie? 61

I. Vorwort Dieser Beitrag geht zurück auf den Vortrag „Länderbericht Österreich“ 1 am 18.6.2021, und ist eine Tour d´Horizon in der österreichischen Rechtsprechung zu IT-relevanten Themen in der zweiten Jahreshälfte 2019 bis zur ersten Jahreshälfte 2021, dazu gehören etwa Ansprüche gegen Anbieter im E-Commerce, Fragestellungen über Markennutzung im Internet oder über Persönlichkeitsrechtsverletzungen in den sozialen Medien, sowie Highlights aus dem Datenschutzrecht. Es sollen einzelne Entscheidungen1 aus dem Vortrag zusammengefasst dargestellt werden.

* 1

Mag. Dr. Sonja Dürager, LL.M. (IT-Law), Rechtsanwalt und Partner bei bpv Hügel Rechtsanwälte GmbH, Wien und Salzburg. Die Auswahl folgt nur einer persönlichen Präferenz und sagt nichts über die Relevanz dieser Entscheidungen aus.

311

Sonja Dürager

II. Plattformen, E-Commerce etc. 1. Einzelheiten zu § 18 Abs. 4 ECG 2 In den Jahren 2019 und 2020 ergingen mehrere Entscheidungen zu § 18 Abs. 4 ECG. Nach § 18 Abs. 4 ECG haben die in § 16 ECG genannten Diensteanbieter den Namen und die Adresse eines Nutzers ihres Dienstes, mit dem sie Vereinbarungen über die Speicherung von Informationen abgeschlossen haben, auf Verlangen dritten Personen zu übermitteln, sofern diese ein überwiegendes rechtliches Interesse an der Feststellung der Identität eines Nutzers und eines bestimmten rechtswidrigen Sachverhalts haben sowie überdies glaubhaft machen, dass die Kenntnis dieser Informationen eine wesentliche Voraussetzung für die Rechtsverfolgung bildet. Erörtert wurden vom Höchstgericht die Anwendbarkeit des Redaktionsgeheimnisses, die Zuständigkeit für Auskunftsansprüche nach dem ECG oder auch der Umfang von Auskunftsansprüchen. a) Redaktionsgeheimnis 3 In der Entscheidung vom 27.11.2019 – 6 Ob 156/19p, beschäftigte sich der OGH damit, dass dem Betreiber eines Online-Diskussionsforums, der als Host-Provider zur Auskunft über Nutzerdaten verpflichtet ist, eine Berufung auf das Redaktionsgeheimnis (§ 31 MedienG) versagt ist. Es fehlt der erforderliche Zusammenhang zur journalistischen Tätigkeit. Auch wenn die Kontrolle und somit die „Moderation“ so ausgestaltet ist, dass jeder Beitrag, den ein registrierter Nutzer posten möchte, zuerst von einem Mitarbeiter zur Kontrolle gelesen wird und dann erst zur Veröffentlichung freigegeben wird, liegt keine Identifizierung des Host-Providers mit dem Inhalt vor, wenn wie durch ein Computerprogramm nur nach „Auffälligkeiten“ kontrolliert wird. Es liegt keine echte „redaktionelle“ Tätigkeit vor, die durch das MedienG geschützt werden soll. 4 Allein das Zurverfügungstellen eines (unmoderierten) Online-Forums reicht daher nicht aus, um den notwendigen Mindestzusammenhang zur Tätigkeit der Presse herzustellen. b) Zuständigkeit für den Auskunftsanspruch 5 Am selben Tag hat der OGH in einer anderen Rechtssache auch noch über die Gerichtszuständigkeit für Ansprüche auf Herausgabe von Nutzerdaten und die Geltendmachung von Unterlassungsansprüchen als Hilfsanspruch entschieden (OGH v. 27.11.2019 – 6 Ob 137/19v). Im vorliegenden Verfahren wurde nämlich kein auf § 1330 ABGB gestützter Anspruch, sondern ein Anspruch auf Herausgabe der Nutzer312

Drei-Länder-Treffen 2021 Länderbericht Österreich

daten gemäß § 18 Abs. 4 ECG erhoben. Der OGH wiederholte daher zunächst, dass § 83c Abs. 3 JN auf Verfahren über Unterlassungsansprüche nach § 1330 ABGB anzuwenden ist, die die Ausstrahlungen von Rundfunk- oder Fernsehsendungen aus dem Ausland oder in Österreich abrufbare Websites zum Gegenstand haben. Zu den in § 51 Abs. 1 Z. 8b JN angeführten Klagen, für die die internationale Zuständigkeit gem. § 83c Abs. 3 JN begründet ist, würden nun aber auch Auskunftsansprüche nach § 18 Abs. 4 ECG, denen die Behauptung einer gegen § 1330 ABGB verstoßenden Äußerung zugrunde liegt, zählen. Dies muss deshalb gelten, weil der Auskunftsanspruch gemäß § 18 Abs. 4 ECG seiner Funktion nach ein Hilfsanspruch ist, der die spätere Geltendmachung von Unterlassungsansprüchen aus ehrverletzenden und rufschädigenden Äußerungen in einem Medium ermöglichen soll. Die Klage auf Bekanntgabe der Identität gegen einen Suchmaschinenbe- 6 treiber ist daher in Österreich einzubringen, wenn der Kläger behauptet, dass er durch Äußerungen, die auf von der Beklagten betriebenen, in Österreich abrufbaren Webseiten verbreitet worden seien, in seinem wirtschaftlichen Ruf (§ 1330 Abs. 2 ABGB) verletzt sei. c) Auskunftsanspruch gegen Access-Provider Aufsehen erregt hat die Entscheidung des OGH v. 20.5.2020 – 6 Ob 7 226/19g, zum Auskunftsanspruch nach § 18 Abs. 4 ECG gegen einen Webmail-Dienst, weil dieser vom Höchstgericht als durchsetzbar erachtet wurde. Der OGH vertritt die Auffassung, dass diese Bestimmung auf Dritte, die vom Nutzer eingegebene Inhalte zugänglich machen, abzielen würde. Ein Auskunftsbegehren nach § 18 Abs. 4 ECG ist daher – entgegen dem Wortlaut der Bestimmung – nicht nur gegenüber Host-Providern gemäß § 16 ECG möglich, sondern analog auch gegenüber Access-Providern gem. § 13 ECG. Die Auseinandersetzung mit der Frage, ob die beklagte Partei als 8 Host-Provider oder als Access-Provider i. S. d. § 13 ECG zu qualifizieren ist, bildete den Schwerpunkt dieser Entscheidung. Der Nutzer hatte über eine beim beklagten Webmail-Dienst registrierte E-Mail-Adresse Nachrichten versendet, deren Inhalt die klagende Partei als ehrenrührig und kreditschädigend beanstandete. Zur Beurteilung der Qualifikation des Webmail-Dienstes war daher die Frage nach der Speicherung der E-Mail durch den Dienstanbieter und zwar der vorübergehenden Speicherung der Mail bis zum Abruf durch den bei der beklagten Partei registrierten Nutzer relevant. Der OGH setzte sich umfassend mit den Literaturstimmen zum Anwendungsbereich des § 18 Abs. 4 sowie der Einordnung eines Dienstes als Host- oder Access-Provider auseinander, gelangte je313

Sonja Dürager

doch letztlich zu der Ansicht, dass die Qualifizierung der beklagten Partei als Provider nach § 13 oder § 16 ECG unerheblich sei, weil jedenfalls § 18 Abs. 4 ECG in analoger Anwendung auch einen Auskunftsanspruch gegenüber Access-Providern begründen könne. „Dazu bedarf es keiner abschließenden Beurteilung, ob die Beklagte im Hinblick auf die Voraussetzungen der Haftungsbefreiung den – jeweils unionsrechtlich determinierten – Voraussetzungen des § 13 oder des § 16 ECG unterworfen ist. Selbst unter der Annahme, dass sie im Hinblick auf das Haftungsregime § 13 ECG unterworfen wäre, ist nämlich im vorliegenden Fall die analoge Anwendung des § 18 Abs. 4 ECG geboten.“ Eine detaillierte Betrachtung der Analogiefähigkeit des Abs. 4 leg cit für den konkreten Fall hat der OGH nicht vorgenommen. d) Unterlassungsansprüche gegen Host-Provider 9 Viel diskutiert in diesen Jahren wurde auch die Möglichkeit einer Unterlassungsanordnung gegen Plattformen wie Facebook im Fall eines rufoder kreditschädigenden Postings. Anlass mehrerer Folgeentscheidungen war die von der Politikerin Frau Glawischnig-Piesczek im April 2016 eingebrachte Klage gegen einen Post eines Facebook-Users, in dem dieser einen Beitrag aus dem elektronischen Nachrichtenmagazin oe24.at kommentierte und sich dabei auf die darin vorkommende Frau Glawischnig-Piesczek mit Ausdrücken wie „miese Volksverräterin“, „korrupter Trampel“ oder „Mitglied einer Faschistenpartei“ bezog. Daraufhin reichte Frau Glawischnig-Piesczek Klage gegen Facebook beim Handelsgericht Wien auf Unterlassung solcher wort- und sinngleichen Behauptungen ein. Der OGH hat dies schon im Jahr 2017 zum Anlass genommen und mehrere Fragen an den EuGH zur Auslegung vorgelegt.2 Der EuGH kam am 3.10.2019 in der Rechtssache C-18/18 zu der Erkenntnis, dass Art. 15 Abs. 1 E-Commerce-RL (§ 18 Abs. 1 ECG) den nationalen Gerichten nicht verwehrt, einen Hosting-Anbieter wie Facebook zu verpflichten, die für rechtswidrig erklärten Inhalte zu entfernen oder den Zugang zu ihnen zu sperren. Für Access-Provider und Host-Provider besteht zwar keine allgemeine Überwachungspflicht hinsichtlich der von ihnen übermittelten oder gespeicherten fremden Inhalte, sie dürfen daher nicht dazu verpflichtet werden, von sich aus aktiv nach rechtswidrigen Inhalten zu suchen; die Anordnung zielgerichteter Überwachungsmaßnahmen der nationalen Behörden und Gerichte ist aber zulässig. Dazu gehören insbesondere die Unterlassungsanordnungen der Zivilgerichte, die auch künftige Rechtsverletzungen und auch solche durch andere (dritte) Nutzer erfassen dürfen. 2

OGH v. 25.10.2017 – 6 Ob 116/17b.

314

Drei-Länder-Treffen 2021 Länderbericht Österreich

In der Entscheidung des OGH v. 15.9.2020 – 6 Ob 195/19y, befand die- 10 ser – dem EuGH folgend – Unterlassungsanordnungen gegen Plattformbetreiber hinsichtlich künftiger Rechtsverletzungen für zulässig. So würde die Anordnung Äußerungen anderer Nutzer (Dritter) erfassen, wortgleiche Verstöße und zuletzt auch sinngleiche Verstöße, also Äußerungen, die im Kern der als rechtswidrig beurteilten entsprechen. Es muss ein angemessener Ausgleich zwischen dem effektiven Rechtsschutz und den Interessen des Providers, keine unverhältnismäßigen Überwachungsmaßnahmen vornehmen zu müssen, gefunden werden. Wenn das verlangte Verhalten konkret mit der einstweiligen Verfügung begehrt würde und daher keine autonome Auslegung der Plattform notwendig wäre, wird keine solche Kontrollverpflichtung geschaffen. In der Causa OGH v. 30.3.2020 – 4 Ob 36/20b, ORF/Facebook (Armin 11 Wolf), wurde einerseits die Pflicht des Hostproviders (Facebook) zum Entfernen von Hass-Postings unter Berufung auf die Entscheidung des EuGH Glawischnig/Facebook bestätigt, andererseits aber auch die zentrale Frage nach der weltweiten Wirkung einer Unterlassungsanordnung behandelt. Einer Unterlassungsanordnung dürfe grundsätzlich auch weltweite Wirkung zuerkannt werden. Die Schranke für eine weltweite Anordnung besteht darin, dass die nationalen Gerichte im Rahmen ihrer Entscheidung auf die jeweiligen international anerkannten Rechtsgrundsätze Bedacht zu nehmen haben. Bei immaterialgüterrechtlichen Ansprüchen gilt dies für den Grundsatz der Territorialität. Dieser Grundsatz beschränkt die Reichweite der Unterlassungsanordnung auf den Schutz im Inland. Bei räumlich nicht von vornherein nach dem Territorialitätsprinzip beschränkten Unterlassungspflichten ist eine deutliche Klarstellung des Klägers notwendig, wenn er einen über Österreich hinausgehenden Schutz in Anspruch nehmen will, widrigenfalls – mangels entsprechender Anhaltspunkte – angenommen werden muss, dass nur Schutz für Österreich angestrebt wird. In der Klage des ORF kommt der OGH daher zu dem Schluss, dass diese weltweite Wirkung einer Unterlassungsanordnung dem nationalen Gericht noch immer einen Spielraum hinsichtlich der räumlichen Reichweite gewähren würde. Wegen der Möglichkeit eines Geoblockings hat bei einem Unterlassungsbegehren vor einem österreichischen Gericht der Unterlassungsanspruch im Zweifel nur Wirkung für Österreich (daher nur gegenüber Internetnutzern in Österreich). Zusammenfassend besteht sowohl zufolge der Judikatur des EuGH als 12 auch jener des OGH eine weltweite Löschungspflicht rechtswidriger wort- und sinngleicher Postings für einen Host-Provider. Spannend bleibt für die Praxis und den Alltag der Host-Provider, nach welchem Maßstab „sinngleich“ beurteilt wird, und welcher Aufwand für diese dadurch entsteht. 315

Sonja Dürager

2. Urheberrecht 13 Spannende Entscheidungen ergingen auch in urheberrechtlichen Sachverhalten, die vor allem im Bereich der Zulässigkeit von OTT-Diensten alltägliche Fragen beantworteten, aber auch mitunter den Schutz von Ideen oder Know-How zum Gegenstand hatten. a) Der Schutz von Ideen 14 Zu einer praktisch relevanten Entscheidung hinsichtlich „Ideenschutz“ kam es am 22.9.2020 (OGH 4 Ob 49/20i). Vom Höchstgericht wurde wenig verwunderlich konstatiert, dass es keinen Schutz für die bloße Grundidee (im klagegegenständlichen Sachverhalt ging es um ein Treatment für einen Dokumentarfilm) ohne konkretes Arbeitsergebnis gibt. Der OGH prägte aus den Grundsätzen vorausgegangener Entscheidungen3 den Rechtssatz, dass für solche sonderrechtlich nicht geschützten Leistungen jedoch ein Verwendungsanspruch nach § 1041 ABGB besteht, wenn i) ein Rechtevorbehalt vereinbart wurde oder deutlich erkennbar ist und ii) die übernommenen Leistungen ohne nennenswerte Ergänzungen als Arbeitsergebnisse verwendbar, und iii) nicht von vornherein naheliegend oder banal sind, sowie iv) ebenso wenig vom Auftraggeber vorgegeben wurden. Der OGH zog daraus für den gegenständlichen Sachverhalt die Schlussfolgerung, dass ein Verwendungsanspruch in der konkreten Konstellation trotz Rechtevorbehalt (vereinbart oder deutlich erkennbar4) nicht bestünde, weil die übernommene Grundidee – nämlich den österreichischen Grenzverlauf filmisch zu dokumentieren und die Grenze zum Aufhänger eines Dokumentarfilms zu machen – kein konkret verwendbares Arbeitsergebnis sei. Außerdem sei die filmische Aufbereitung des Grenzverlaufs durchaus naheliegend, und dieser Ansatz nicht mehr als ein allgemein gehaltener und banaler Ansatz, der keinem Verwendungsanspruch zugänglich sei. 15 Ideenschutz verlangt daher nicht nur eine entsprechende Vereinbarung, sondern es wird weiter vorausgesetzt, dass die Idee sich nicht nur als vager Geistesblitz äußert, sondern diese schon so manifestiert ist, dass sie als Arbeitsergebnis übernommen werden kann und zudem nicht völlig

3 4

Zum Verwendungsanspruch zitiert der OGH folgende Entscheidungen: 4 Ob 166/93, 4 Ob 62/07g, 4 Ob 9/09s. Zum Rechtevorbehalt ist festzuhalten, dass so ein beschränkter Ideenschutz nicht aber nur durch explizite Vereinbarungen, sondern auch durch entsprechende (stillschweigende) Rechtevorbehalte erwirkt werden kann, die zu einem Verwendungsanspruch nach § 1041 ABGB führen (vgl. schon OGH v. 14.7.2009 – 4 Ob 9/09s – „Budget Style Hotel“).

316

Drei-Länder-Treffen 2021 Länderbericht Österreich

trivial ist. Es sind also die Wertungen des Urheberrechts auch bei Auslegung des Rechtevorbehalts zu berücksichtigen. Ideenschutz verlangt im Prinzip eine individuelle eigenartige Leistung, die sich vom Alltäglichen abhebt. b) Diverses zu OTT-Diensten aa) OTT-Dienste I Gegenstand der Entscheidung des OGH v. 22.9.2020 – 4 Ob 149/20w, 16 war die Weitersendung der Fernsehprogramme als Live-Stream über das Internet (OTT-Dienste I). Die beklagte Partei hat einen Dienst angeboten, mit dem ihre Kunden 17 in Echtzeit Fernsehprogramme auf TV-Geräten, einem PC oder einem mobilen Endgerät empfangen konnten. Die Weitersendung erfolgte über Kabel; Gegenstand des Verfahrens war daher nicht die Weiterleitung über das Mobilfunknetz. Eine Kabelweitersendung nach § 59a Abs. 1 UrhG erfordert zunächst eine vorgelagerte Rundfunksendung, die zur Weitersendung übernommen wird, welches Merkmal erfüllt ist. Eine Kabelweitersendung muss zudem den Integralgrundsatz wahren. Auch dieses Merkmal ist erfüllt, da die Übertragung des Sendeprogramms im Rahmen des TV-Angebots der beklagten Partei vollständig, gleichzeitig und unverändert erfolgt. Da das Kabelweitersenderecht auch nicht auf solche Verfahren, bei denen die Verbreitung der Sendungen des Erstsenders in einem vom Weitersende-Unternehmer durchgängig kontrollierten Kommunikationsnetz (sondern als „Over-the-Top“-Dienst) erfolgt, beschränkt ist, liegt ein Eingriff in § 59a Abs. 1 UrhG vor. Ferner wird mit dieser Art der Übertragung ein Eingriff in § 76a Abs. 1 18 UrhG verwirklicht. Der OGH folgte damit dem EuGH5, der ausgesprochen hatte, dass es sich um eine öffentliche Wiedergabe handelt, wenn ein anderes Unternehmen als das ursprüngliche Sendeunternehmen mittels Online-Streaming Inhalte zugänglich macht. Nach der Rspr. des OGH erfasst § 76a Abs. 1 UrhG sowohl drahtlose als auch draht- und kabelgebundene Weitersendungen. Das TV-Streaming über das Internet ist daher eine Form der drahtgebundenen Weitersendung. Die beklagte Partei hat im Rahmen ihres TV-Angebots ferner einen On- 19 line-Videorecorder zur Verfügung gestellt. Dieser ermöglichte es den Kunden, Fernsehprogramme abzuspielen und zeitentkoppelt zu konsumieren. Es wurde dabei das De-Duplizierungsverfahren angewendet,

5

Vgl. EuGH v. 7.3.2013 – C-607/11, ITV Broadcasting.

317

Sonja Dürager

das über eine Speicherschicht und eine Aufnahmeschicht verfügte. In der Speicherschicht erfolgte die Speicherung der Vervielfältigungsstücke, wobei der Inhalt – unabhängig von der Anzahl der diesen Dienst für einen bestimmten Programmteil in Anspruch nehmenden Kunden – nur ein einziges Mal gespeichert wurde; auf diese Weise sollte die Anzahl der zu erstellenden Kopien minimiert und Speicherplatz gespart werden. Die Speicherung erfolgte auf einem Server der beklagten Partei, und zwar unabhängig davon, ob der Kunde die Aufnahme aktiviert hatte. In der Aufnahmeschicht wurden für den Kunden Zugriffsberechtigungen (Referenzen) in Bezug auf die gespeicherten Inhalte vorgesehen; über die jeweilige Referenz konnte der Inhalt abgerufen werden. 20 Der OGH erörterte dazu, dass dann, wenn bei einem Online-Videorecorder auf Wunsch von Nutzern anstatt mehrerer Kopien nur eine Masterkopie von einer Fernsehsendung erzeugt wird, auf die die Nutzer dann zugreifen können, sich der Betreiber des Online-Videorecorders nicht auf die Privatkopieausnahme des § 42 Abs. 4 UrhG berufen kann. Mit dem Online-Videorecorder wird eine digitale Vervielfältigung der Fernsehprogramme der klagenden Partei vorgenommen, die unter § 15 Abs. 1 UrhG fällt.6 Der OGH führte weiter aus, dass dann, wenn die im Rahmen des angewandten De-Duplizierungsverfahrens technisch erstellte Kopie der Programme der beklagten Partei zuzurechnen ist, sie sich als Unternehmerin von vornherein nicht auf die Privatkopieausnahme des § 42 Abs. 4 UrhG berufen könnte. Dazu ist anerkannt, dass es für die Frage, wer die Vervielfältigung vornimmt, nicht darauf ankommt, wem das Speichermedium gehört. Eine zulässige Vervielfältigung zum privaten Gebrauch scheidet daher aus, wenn der Unternehmer Organisationsgewalt über das Aufnahmegeschehen (Online-Videorecorder) hat. 21 Der OGH übernimmt damit den vom BGH7 judizierten Ansatz, wonach für die Zurechnung vor allem darauf abzustellen ist, wer die Organisationshoheit über das Aufnahmegeschehen hat. bb) OTT-Dienste II 22 In der Entscheidung OGH v. 26.11.2020 – 4 Ob 185/20i (OTT-Dienste II), hatte der OGH erneut die Möglichkeit, Internet-Live-Streams von TV-Programmen sowie Online-Videorekorder mit den Funktionen „Replay“ und „Catch up“ zu behandeln. Er nutzte die Gelegenheit und hat die Rechtsansicht aus OTT-Dienste I, wonach § 59a UrhG auch auf die

6 7

RIS-Justiz RS0111448; RS0111447; OGH v. 29.1.2019 – 4 Ob 196/18d. Vgl. BGH v. 5.3.2020 – BGH I ZR 32/19 = GRUR 2020, 735.

318

Drei-Länder-Treffen 2021 Länderbericht Österreich

Weitersendung von Fernsehprogrammen im Wege des Live-Streams über OTT-Dienste anwendbar sei, wiederholt. Ergänzend beschäftigte sich der OGH mit der Zulässigkeit einer einst- 23 weiligen Verfügung, wenn ein unwiederbringlicher Schaden droht. So argumentierte die Beklagte, dass durch die einstweilige Verfügung ein enormer Kundenverlust drohe, weshalb die Erlassung einer einstweiligen Verfügung unzulässig sei. So sei zwar prinzipiell richtig, dass die drohende Gefahr eines Kundenverlusts – bei entsprechender Erheblichkeit – als unwiederbringlicher Schaden in Betracht kommt8, allerdings muss sich diese Tatsache konkret aus dem als bescheinigt angenommenen Sachverhalt ergeben9. Im konkreten Fall wurde ein vorläufiger Rechtsschutz dem folgend10 nicht versagt, insbesondere auch deshalb nicht, weil der OGH davon ausging, dass die aufgetragene Sicherheitsleistung die Gefährdung der Beklagten durch den vorübergehenden Kundenverlust ausgleichen würde (auch mangels entsprechender Behauptungen der Beklagten, dass dem nicht so wäre). Anzumerken ist zuletzt, dass der OGH am 10.12.2020 – 4 Ob 172/20b 24 (OTT-Dienste III), ein weiteres Mal Live-Streamings von Rundfunksendungen über OTT-Dienste zu qualifizieren hatte. Die Entscheidung „OTT-Dienste“ enthält jedoch gegenüber OTT-Dienste I und II keine ergänzenden Aussagen.11 c) Das Geschäftsgeheimnis im Urheberrecht Für IT-affine Unternehmen interessant ist die Entscheidung des OGH 25 v. 10.12.2020 – 4 Ob 182/20y, in der dieser dem Quellcode „grundsätzlich“ die Eignung als Geschäftsgeheimnis i. S. d. § 26b UWG zuerkennt. Er begründet dies jedoch nicht näher und führt auch nicht aus, welche Anforderungen zu erfüllen sind, damit ein Quellcode als ein solches zu behandeln sei. Außerdem äußerte sich der OGH zum Tatbestandsmerkmal des Inhabers 26 eines Geschäftsgeheimnisses. Als Inhaber eines Geschäftsgeheimnisses 8 RIS-Justiz RS0005118; OGH v. 24.3.1988 – 6 Ob 545/88. 9 Vgl. RIS-Justiz RS0005256. 10 Dass der drohende Kundenverlust für einen unwiederbringlichen Schaden der Beklagten ausreichend gravierend ist, konnte aufgrund des bescheinigten Sachverhalts nach Ansicht des OGH nicht verlässlich beurteilt werden. 11 Am 27.5.2021 (4 Ob 40/21t, OTT-Dienste IV) hat der OGH dem EuGH mehrere Fragen vor allem zur öffentlichen Wiedergabe im Zusammenhang mit dem Betrieb eines Online-Videorecorders und einer IPTV-Komplettlösung zur Entscheidung vorgelegt.

319

Sonja Dürager

ist die natürliche oder juristische Person anzusehen, welche die rechtmäßige Verfügungsgewalt hierüber besitzt. Rechtmäßig kann die tatsächliche Kontrolle insbesondere dann sein, wenn das Geschäftsgeheimnis originär in einem Unternehmen entwickelt wurde oder wenn die Rechte hieran vertraglich vom Inhaber erworben wurden, und zwar ausschließlich oder nicht-ausschließlich. Es kommt vor dem Hintergrund aber auch die Inhaberschaft mehrerer Personen in Frage. 27 Für Entwickler interessant ist, dass nach dem OGH die Offenlegung des Quellcodes eines Computerprogramms auch dann rechtswidrig ist, wenn einem Dritten hieran ein Werknutzungsrecht eingeräumt wurde, womit die Verpflichtung verbunden ist, den Quellcode nicht offenzulegen. Dem steht auch nicht entgegen, dass die offenlegende Person der Entwickler des Sourcecodes ist, würde doch auch in diesem Fall die Offenlegung den Wert der Software als Vertragsgegenstand mindern. 28 Nicht Gegenstand der Entscheidung war, welche Information überhaupt Schutz als Geschäftsgeheimnis nach § 26b Abs. 1 Z. 1 bis 3 UWG genießt. Das auslegungsbedürftigste Merkmal dieser Definition innerhalb dieser Norm ist wohl die Z. 3 leg cit und daher die Art und der Umfang der Schutzmaßnahmen. d) Geschäftsgeheimnis im Verhältnis zum Stand der Technik 29 Zu den Tatbestandsmerkmalen eines Geschäftsgeheimnisses und zwar zu § 26b Abs. 1 Z. 1 UWG hat sich der OGH dann in der Entscheidung am 26.1.2021 – 4 Ob 188/20f, geäußert. Er hat die Definition des „Geschäftsgeheimnisses“ in einer differenzierten Betrachtung von zum „Stand der Technik“ gehörenden Informationen gegenüber Produkteigenschaften und Herstellungsmethoden von Flüsteraggregaten vorgenommen, die nicht automatisch das Vorliegen eines Geschäftsgeheimnisses ausschließen würde. 30 Hier hat der OGH daher klargestellt, dass eine Information unter anderem nur dann ein Geschäftsgeheimnis ist, wenn sie nicht allgemein bekannt oder ohne weiteres zugänglich ist. Ohne weiteres zugänglich ist eine Information, die eine Person des maßgeblichen Verkehrskreises ohne erheblichen Aufwand und Einsatz an Zeit, Mühe, Kosten und/oder Geschick erlangen kann. Der OGH konstatierte, dass die Zugehörigkeit eines Kenntnisstands zum Stand der Technik dessen Eigenschaft als lauterkeitsrechtlich relevantes Geschäftsgeheimnis daher grundsätzlich ausschließt. 31 Im Rahmen der Diskussion um den kommerziellen Wert eines Geheimnisses hielt der OGH ausdrücklich fest, dass der Schutz von Geschäfts320

Drei-Länder-Treffen 2021 Länderbericht Österreich

geheimnissen keine besonderen Auswirkungen auf den Wettbewerb voraussetzt, etwa im Sinne eines Spürbarkeitserfordernisses, wie es z. B. für § 1 UWG judiziert wird. Beim kommerziellen Wert einer Information ist außerdem nicht auf den positiven Handelswert abzustellen, sondern relevant ist die Beeinträchtigung kommerzieller Interessen (z. B. strategische Position des Inhabers wird untergraben) und verweist der OGH dazu auf Erwägungsgrund 14 der Know-How-Richtlinie12. Es sei danach zu fragen, ob die Kenntniserlangung bzw. Verwertung durch Mitbewerber in relevanter Weise kommerzielle Interessen des Inhabers beeinträchtigen würde. 3. Markenrecht und andere Zeichen a) Neues und Altes zum Keyword Advertising Seit den „Bergspechte“-Entscheidungen rund um Keyword Advertising13 32 mit fremden Marken hat man nur noch wenig zum Thema Keyword Advertising gehört; im Jahr 2020 kam es dann jedoch sogar gleich zu zwei höchstgerichtlichen Entscheidungen. aa) Keyword Advertising I „taxicompany“ In der ersten Entscheidung „taxicompany“ (OGH v. 21.02.2020 – 4 Ob 33 30/20w) betreiben sowohl die Klägerin als auch die Beklagte Taxiunternehmen an zum Teil gleichen Standorten in Oberösterreich. Die Klägerin ist Inhaberin der Wort-Bild-Marke TAXICOMPANY – DRIVING YOUR BUSINESS und tritt bei Ausübung des Gewerbes unter dem Markenbestandteil bzw dem Firmenschlagwort „Taxicompany“ auf. Die erstbeklagte Mitbewerberin hatte auf www.google.at die Meta-Keywords „Vöcklabruck“, „Taxi“, „Taxi Vöcklabruck“ sowie „Taxicompany“ bzw. „Taxicompany Vöcklabruck“ gebucht. Aufgrund der Buchung dieser Me-

12 „… Solches Know-how oder solche Informationen sollten so verstanden werden, dass sie einen Handelswert verkörpern, zum Beispiel wenn ihr unbefugter Erwerb oder ihre unbefugte Nutzung oder Offenlegung die Interessen der Person, die rechtmäßig die Kontrolle über sie ausübt, aller Voraussicht nach dadurch schädigt, dass das wissenschaftliche oder technische Potenzial, die geschäftlichen oder finanziellen Interessen, die strategische Position oder die Wettbewerbsfähigkeit dieser Person untergraben werden.“ (RL (EU) 2016/943 vom 8.6.2016 über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung). 13 Vgl. OGH v. 20.5.2008 – 17 Ob 3/08b; EuGH v. 25. 3. 2010 – C-278/08; OGH v. 21.6.2010 – 17 Ob 3/10f.

321

Sonja Dürager

ta-Keywords14 durch die Beklagte wurde bei einer Google-Suche nach „Taxicompany“ bzw. „Taxicompany Vöcklabruck“ oder ähnlichen Bezeichnungen die Webseite der Beklagten noch vor der Website der Klägerin an erster Stelle in der Trefferliste angezeigt, und zwar ohne einen aufklärenden Hinweis, dass diese Anzeige bzw die Website mit der Klägerin nichts zu tun hat. 34 Der OGH wiederholt den Rechtssatz, wonach Keyword Advertising das Markenrecht dann nicht verletzt, wenn ein normal informierter und angemessen aufmerksamer Internetnutzer an Hand der Suchergebnisse leicht erkennen kann, dass die in der Anzeige beworbenen Waren oder Dienstleistungen nicht vom Inhaber der Marke oder von einem wirtschaftlich verbundenen Unternehmen stammen15. „Taxicompany“ wurde vom Berufungsgericht als schutzfähiger Markenbestandteil eingeordnet und die von der beklagten Partei verwendete Werbemethode als im Sinne dieser Rechtsprechung irreführend qualifiziert, da für den Internetnutzer nicht erkennbar war, dass die Anzeige nicht vom Markeninhaber stammte. Der OGH meinte dazu, dass die Frage der leichten Erkennbarkeit von den Umständen des Einzelfalls abhänge und in der Regel keine erhebliche Rechtsfrage begründet. bb) Keyword Advertising II „Zaruba“ 35 Der zweite Fall, in dem sich der OGH mit Keyword Advertising beschäftigte, war jener um die Marke „Zaruba“ (OGH v. 20.10.2020 – 4 Ob 152/20m). Die klagende Partei beschäftigte sich mit Visual Merchandising und hatte dafür seit 1990 eine Marke „Zaruba“ geschützt. Auch die beklagte Partei war in dieser Branche tätig und hatte einen Online-Shop, der unter der Domain „decopoint“ erreichbar war. Die beklagte Partei hatte bei Google-AdWords das Keyword „Zaruba“ erworben, was dazu führte, dass bei der Eingabe dieses Suchbegriffs bei Google decopoint.at als Suchergebnis prominent noch vor der klagenden Partei gereiht wurde. 36 Zunächst wurde im Sinne der ständigen Rechtsprechung zum „Keyword Advertising“ wiederholt, dass die durch die Verwendung einer Marke (eines Markenbestandteils) als Schlüsselwort generierte Werbung eines Dritten in die Rechte des Markeninhabers nur dann nicht eingreift, wenn aus dieser Werbung für einen normal informierten und angemessen aufmerksamen Internetnutzer leicht zu erkennen ist, dass die in der Anzeige 14 Meta-Keywords sind im Hintergrund laufende, für die User der Suchmaschine nicht ersichtliche Worte bzw. Wortfolgen in einer Online-Werbeanzeige, mit denen die Suchergebnisse auf Google und insbesondere die Reihenfolge der angezeigten Treffer beeinflusst werden können. 15 Vgl RIS-Justiz RS0126119.

322

Drei-Länder-Treffen 2021 Länderbericht Österreich

beworbenen Waren oder Dienstleistungen weder vom Inhaber der Marke noch von einem mit ihm wirtschaftlich verbundenen Unternehmen stammen (RS0126119). Die Beantwortung der Fragen nach der Irreführungseignung einer Werbung sowie nach der Erkennbarkeit hängen regelmäßig von den Umständen des Einzelfalls ab, wobei der OGH dafür auf die ständige Rechtsprechung verweist (RIS-Justiz RS0121500, RS0126119). Das Berufungsgericht hat ausgesprochen, dass auch für einen normal informierten und angemessen aufmerksamen Internetnutzer durchaus der Eindruck entstehen kann, dass entweder das Inserat von der klagenden Partei selbst stamme oder die beklagte Partei mit der klagenden Partei wirtschaftlich oder organisatorisch verbunden sei, zumal Zaruba entsprechend unterscheidungskräftig war und die Dienstleistungen im Wesentlichen deckungsgleich waren. Zu verneinen war daher nicht die Erkennbarkeit als bezahlte Werbeeinschaltung an sich, sondern vielmehr zu kritisieren, dass insgesamt nicht hinreichend deutlich sei, ob die Anzeige vom Markeninhaber stammen würde. Der OGH hielt diese Beurteilung innerhalb des Ermessenspielraums bei einer Einzelfallentscheidung für nicht korrekturbedürftig. Der dadurch begründeten Verwechslungsgefahr hätte die beklagte Partei durch eine entsprechende Gestaltung zB einen aufklärenden Hinweis in der Anzeige entgegenwirken müssen. Der OGH bestätigte die Entscheidung des Berufungsgerichtes. Selbst 37 wenn mit der Internetadresse der beklagten Partei ein Bestandteil der Firma der beklagten Partei angezeigt werde, sei „decopoint“ so kennzeichnungsschwach, dass in einer Situation, in der die fragliche Anzeige gezeigt wird, während die Marke als Suchwort noch sichtbar ist, vertretbar ist anzunehmen, dass der Internetnutzer den Eindruck hat, dass im geschäftlichen Verkehr eine konkrete Verbindung zwischen den betroffenen Waren oder Dienstleistungen und dem Markeninhaber besteht. Eine Täuschung darüber, dass die Werbung vom Markeninhaber stammt ist nicht erforderlich; es genüge für die Bejahung einer Markenrechtsverletzung daher, dass die Werbung so vage gehalten ist, dass ein normal informierter und angemessen aufmerksamer Internetnutzer nicht erkennen kann, ob der Werbende im Verhältnis zum Markeninhaber Dritter oder mit dem Markeninhaber wirtschaftlich verbunden ist. 4. Bildnisschutz und Persönlichkeitsrechte a) Youtube-Video von Polizeieinsatz Besondere Aufmerksamkeit soll auf die Entscheidung des OGH am 38 27.6.2019 – 6 Ob 6/19d, zur Zulässigkeit des Filmens eines polizeilichen Einsatzes und der Veröffentlichung des Videos auf YouTube gelenkt werden. 323

Sonja Dürager

39 Über einen Einzelunternehmer war ein Insolvenzverfahren eröffnet worden, und zur Eröffnung mit Anschlussexekution wurden vom Gerichtsvollzieher örtliche Polizeibeamte und Cobra-Beamte zur Unterstützung beigezogen. Während der Amtshandlung hat die Ehefrau des Unternehmers über seine Aufforderung den Einsatz gefilmt. Der Einsatzleiter hatte dies bemerkt und die Ehefrau darauf hingewiesen, dass sie zwar filmen dürfte, allerdings eine Veröffentlichung des Filmes unzulässig sei. Noch am Tag des Einsatzes wurde das Video auf der Plattform Youtube hochgeladen und war unbeschränkt abrufbar. Man erkannte darauf den Kläger, der – nachdem das Video noch für einen längeren Zeitraum verfügbar blieb – über einen Anwalt die Frau des Einzelunternehmers zur Unterlassung und Beseitigung aufforderte. Das Video wurde von Youtube gelöscht. In der in weiterer Folge eingebrachten Klage begehrte der Kläger, einerseits die Unterlassung der Anfertigung von Aufnahmen des Klägers, und andererseits die Unterlassung der Veröffentlichung von Videos und Bildern des Klägers vergleichbarer Art. 40 Der OGH hat zwischen den Verarbeitungstätigkeiten der Aufnahme und der Veröffentlichung differenziert und ist zu dem Schluss gekommen, dass die Aufnahme als solche – auch nur eines einzigen Bildes – bereits einen unzulässigen Eingriff in das Persönlichkeitsrecht des Abgebildeten gemäß § 16 ABGB bedeuten kann; auf die Absicht der Veröffentlichung käme es dabei nicht an. Der OGH hält damit an der bereits in der Entscheidung 6 Ob 256/12h eingenommenen Rechtsmeinung fest, wonach zwar § 78 UrhG keinen Schutz gegen die ungewollte Aufnahme von Bildern bieten würde, allerdings ein Schutz aus § 16 ABGB anerkannt werden könnte. Für den gegenständlichen Fall erkennt der OGH, dass der Abgebildete durch die Aufnahme nicht in der Entfaltung seiner Persönlichkeit gehindert gewesen sei, da diese Möglichkeiten aufgrund des Polizeieinsatzes ohnedies nur beschränkt gewesen wären. Er sei außerdem nicht bloßgestellt worden und auch nur in Ausübung seines Berufes gefilmt worden. In geschützte Interessen wäre daher nicht eingegriffen worden. Der OGH konstatierte weiters, dass die Staatsgewalt damit rechnen müsste, dass Zwangsgewalt dokumentiert würde. Hingegen betrachtet der OGH die Veröffentlichung nach dem Maßstab des § 78 UrhG als rechtswidrig. Er beruft sich dabei auf die ständige Judikatur, und zwar im Wesentlichen darauf, dass der Abgebildete durch die Aufnahme nicht bloßgestellt werden muss, sondern bereits genügt, dass der Abgebildete der Neugierde und Sensationslust der Öffentlichkeit preisgegeben wird. Bei nicht allgemein bekannten Personen des öffentlichen Lebens wird die Rechtsverletzung durch die Beigabe eines Bildes noch verschärft und eine Prangerwirkung erzielt, weil der Betroffene

324

Drei-Länder-Treffen 2021 Länderbericht Österreich

damit erst einer breiten Öffentlichkeit auch optisch kenntlich gemacht wird. Der Kläger war durch das Hochladen des Videos einer breiten Öffentlichkeit vorgeführt worden. Es bestünde außerdem die Besorgnis, dass das Video dazu dienen sollte die Staatsgewalt und damit auch den konkreten Polizisten herunterzumachen, weil der Einsatz selbst aufgrund der Beiziehung der Polizei samt der Spezialeinheit Cobra keineswegs eine reguläre Fahrnisexekution darstellen würde. Von der Beklagten könnte zur Rechtfertigung der Veröffentlichung auch kein berechtigtes Interesse geltend gemacht werden, was etwa das Informationsbedürfnis der Öffentlichkeit wäre. Gegen die Berechtigung des Unterlassungsbegehrens war von der Be- 41 klagten auch noch vorgebracht worden, dass das Video nicht von ihr auf Youtube hochgeladen worden war. Dazu hielt der OGH – ebenfalls unter Berufung auf seine Vorjudikatur – fest, dass sich der Unterlassungsanspruch nicht nur gegen den unmittelbaren Störer richten könnte, sondern auch gegen denjenigen, der durch seine Handlungen die Voraussetzungen dafür schuf, dass ein Dritter die Störung begehen könnte16, was auch für Ansprüche nach § 78 UrhG gelten würde. Die Beklagte habe die rechtliche und tatsächliche Möglichkeit die störenden Handlungen Dritter zu steuern und gegebenenfalls zu verhindern insoweit gehabt, als sie z. B. das Mobiltelefon nicht aus ihrer Gewahrsame geben hätte dürfen oder sicher versperrt verwahren hätte müssen, damit es zu keiner Veröffentlichung kommen könnte. b) Ibiza-Affäre In mehreren Entscheidungen hat die „Ibiza-Affäre“ den OGH beschäf- 42 tigt; zwei davon sollen im Folgenden dargestellt werden. aa) Informationsbeschaffung v. Verbreitung von Aufnahmen Die erste Entscheidung des OGH (OGH am 23.1.2020 – 6 Ob 236/19b) in 43 dieser Angelegenheit erging im Provisorialverfahren. Der OGH hat hier überhaupt erstmalig eine differenzierte Betrachtung zwischen Informationsbeschaffung und Verbreitung von Aufnahmen angestellt. In einer Finka auf Ibiza fand am 24.7.2017 ein Treffen zwischen dem 44 Kläger Johann Gudenus, H.C. Strache als weiteren FPÖ-Politiker, und zwei anderen Personen statt, das vom beklagten Wiener Rechtsanwalt initiiert worden sein soll. Von den Politikern wurde angenommen, dass es sich um ein vertrauliches Gespräch mit der Nichte eines russischen 16 Vgl. std. Rspr. RIS-Justiz RS0011737.

325

Sonja Dürager

Oligarchen und ihrem Begleiter handeln würde. Tatsächlich war die vermeintlich reiche Russin jedoch eine Schauspielerin, der vom Beklagten ein entsprechendes Drehbuch für dieses Zusammentreffen mitgeteilt worden sein soll; so stellte sie ihren Gesprächspartnern ihre falsche Identität vor und täuschte in dieser Rolle ein Interesse an Investitionen und einer Zusammenarbeit mit deren politischer Partei vor. Der Beklagte soll das gesamte mehrstündige Gespräch vom Begleiter der Schauspielerin heimlich mit Bild und Ton mitfilmen haben lassen, um das Video später dann verkaufen zu können; tatsächlich hat er es auch an diverse Medienunternehmen angeboten. Schlussendlich haben „Süddeutsche Zeitung“ und „Der Spiegel“ die Aufnahmen bekommen und Teile des Videos sowie einzelne Inhalte der Gespräche in Artikeln veröffentlicht. 45 Der Kläger beantragte im Sommer 2019 die Unterlassung der Herstellung und Verbreitung sowie Veröffentlichung der heimlichen Ton- und Bildaufnahme des Treffens sowie der Transkripte der Filmaufnahmen. Das Landesgericht für Zivilrechtssachen Wien erließ die Einstweilige Verfügung antragsgemäß. Der dagegen vom Beklagten erhobene Rekurs blieb erfolglos, jedoch ließ das Oberlandesgericht Wien den ordentlichen Revisionsrekurs zu, weil Rechtsprechung zu ähnlichen Sachverhaltskonstellationen bislang fehlte. 46 Der OGH hat dem Revisionsrekurs des Beklagten teilweise Folge gegeben und die Einstweilige Verfügung insoweit abgeändert, dass dem Beklagten zwar verboten wurde, Ton- oder Bildaufnahmen vom Kläger ohne dessen Einverständnis herzustellen; im übrigen jedoch, und zwar dem Beklagten zu verbieten, Ton- und Bildausschnitte aus dem Video zu veröffentlichen, zu verbreiten, oder anderen Personen vorzuspielen, wurde das Sicherungsbegehren abgewiesen. Begründet wurde die Entscheidung im Wesentlichen damit, dass die Veröffentlichung der Videoaufnahme „einen außergewöhnlich großen Beitrag zu einer Debatte von öffentlichem Interesse leistete“, während die durch die Aufnahme bewirkte Eingriffshandlung in die Persönlichkeitsrechte des Klägers nicht nur das öffentliche Interesse zu rechtfertigen sei. Diese Begründung war dem im Provisorialverfahren bescheinigten Sachverhalt geschuldet, wonach der Beklagte die Aufnahme in Gewinnabsicht und nicht mit dem Zweck einen Beitrag zur öffentlichen Debatte zu leisten, angefertigt habe, und die Aufnahme damit nach Ansicht des OGH nicht in einem derart engen Zusammenhang mit der nachfolgenden Veröffentlichung stehen würde, um sie als einheitlichen Vorgang zu bewerten.

326

Drei-Länder-Treffen 2021 Länderbericht Österreich

So würden geheime Bildaufnahmen im Privatbereich regelmäßig eine 47 Verletzung der Geheimsphäre darstellen.17 Es bedürfe daher einer umfassenden Güter- und Interessenabwägung im Einzelfall, bei der dem Interesse am gefährdeten Gut die Interessen der Handelnden und die der Allgemeinheit gegenübergestellt werden müssen. Der Beklagte könnte sich nach Ansicht des Gerichtes mit der Veranlassung der heimlichen Videoaufnahmen nicht darauf stützen, das Motiv verfolgt zu haben, zu einer Debatte von öffentlichem Interesse beizutragen. So veranlasste er die Aufnahme vielmehr, um das Video gewinnbringend zu verkaufen. Mit der bloßen Weitergabe gegen Entgelt, allenfalls an einen sehr eingeschränkten Personenkreis, sei aber noch kein Beitrag zu einer Debatte von öffentlichem Interesse verbunden. Daraus würde sich kein von Art. 10 EMRK geschütztes Interesse des Beklagten ergeben, das höher zu bewerten wäre als das Interesse des Klägers, während eines nicht in der Öffentlichkeit geführten Gesprächs nicht heimlich in Bild und Ton aufgenommen und nicht über die Identität seiner Gesprächspartner getäuscht zu werden. Anders verhält es sich jedoch für die Zugänglichmachung der Aufnah- 48 men an zwei Medienunternehmen, womit die Voraussetzung geschaffen wurde, dass diese die Aufnahme veröffentlichen, verbreiten und anderen vorspielen, sowie Transkripte herstellen und diese ihrerseits verbreiten konnten. Hinsichtlich dieser Eingriffshandlungen (und zwar als mittelbarer Störer, in dem der Beklagte die Eingriffe in das Persönlichkeitsrecht des Klägers faktisch ermöglichte) kann sich der Beklagte aber – anders als hinsichtlich der Herstellung der Aufnahmen – zur Rechtfertigung des dadurch bewirkten Eingriffs in die Privatsphäre des Klägers auf die von Art. 10 EMRK geschützte Meinungsäußerungsfreiheit stützen, weil die hier zu beurteilende Eingriffshandlung tatsächlich einen Beitrag zu einer Debatte von öffentlichem Interesse leistete. So wurde die Öffentlichkeit durch die Weitergabe des Videos an zwei Medienunternehmen und die dadurch ermöglichte Veröffentlichung in die Lage versetzt, sich selbst ein Bild über die persönliche Integrität (unter anderem) des Klägers zu machen und daraus Schlüsse auf seine Eignung zur Ausübung hoher politischer Ämter zu ziehen. Der OGH resümierte, dass die Veröffentlichung der Videoaufnahme einen außergewöhnlich großen Beitrag zu einer Debatte von öffentlichem Interesse leistete. Dieser Beitrag sei im vorliegenden Fall höher zu gewichten als das Interesse des Klägers an der Wahrung der Vertraulichkeit des stattgefundenen Gesprächs.

17 RIS-Justiz RS0107155.

327

Sonja Dürager

bb) Chilling-Effekt 49 Eine weitere Entscheidung des OGH (OGH v. 28.2.2021 – 6 Ob 52/20w), die mediales Interesse weckte, behandelte die Wortbildberichterstattung, in der auch Fotos desjenigen Rechtsanwaltes gezeigt wurden, der mit dem Erstellen des „Ibiza-Videos“ in Verbindung gebracht wurde. Zusammengefasst erkannte der OGH, dass das Sicherheitsinteresse des abgebildeten Rechtsanwalts (Ibiza-Anwalt) nur dann in der Interessenabwägung relevant sei, wenn konkrete Bedenken bestehen. Ein Abstraktes Risiko radikalisierender Medienkonsumenten macht Berichterstattung nicht unzulässig („Chilling effect“).18 Am 24.5.2019 zeigte die Beklagte auf ihrer Homepage ein Foto des Klägers und berichtete unter dem Titel „Strache-Video: Jagd auf den Drahtzieher“ über den beteiligten Detektiv und den Kläger. Er wird dabei als „Anwalt R. M.“ bezeichnet und mit einem gut erkennbaren Foto abgebildet. 50 Der OGH hat für die Abwägung der Interessen des Abgebildeten und der Medien i. S. d. § 78 UrhG berücksichtigt, ob dem Handelnden ex ante erkennbar sein muss, ob seine Berichterstattung zulässig ist oder nicht, könnte doch anderenfalls die Furcht vor Inanspruchnahme aufgrund nicht ausreichend klar konturierter Persönlichkeitsrechte der Betroffenen die unverzichtbare Rolle der Presse als „öffentlicher Wachhund“ und ihre Fähigkeit beeinträchtigen, präzise und zulässige Informationen zu liefern. 51 Zur Ausgangslage wurde festgehalten, dass an einer Bildberichterstattung, die der Veranschaulichung von Personen dient, die an einem Ereignis von gesteigertem öffentlichen Interesse beteiligt waren, prinzipiell ein schutzwürdiges Informationsinteresse der Öffentlichkeit besteht. Der klagende Anwalt war außerdem durch die Beteiligung am Zustandekommen des Ibiza-Videos, wenn auch nur vorübergehend, im Blickfeld der Öffentlichkeit und daher keine „personne ordinaire“. 52 Der Informationswert eines Fotos sei nun nicht isoliert zu beurteilen, sondern im Lichte des Artikels, den es begleitet und illustriert. Für die Bejahung eines schutzwürdigen Veröffentlichungsinteresses ist ein eigenständiger Nachrichtenwert der Abbildung in dem Sinn, dass zu berücksichtigen wäre, ob eine sinnvolle Berichterstattung über die Angelegenheit auch ohne Veröffentlichung des Lichtbildes möglich gewesen wäre, jedoch nicht erforderlich. 18 Der OGH hat sich mit diesem Thema auch in OGH v. 15.3.2021 – 6 Ob 80/20p und OGH v. 15.3.2021 – 6 Ob 121/20t beschäftigt.

328

Drei-Länder-Treffen 2021 Länderbericht Österreich

Als prävalierende Interessen des Klägers wurde die Aufrechterhaltung 53 seiner körperlichen Unversehrtheit und sein Interesse, sich frei bewegen zu können, ohne befürchten zu müssen, im öffentlichen Raum das Ziel politisch motivierter Attacken zu werden, gesehen. Wie weitreichend und nachhaltig etwaige Sicherheitsinteressen des von der Berichterstattung Betroffenen tangiert werden, kann ex ante jedoch in aller Regel nicht einmal annäherungsweise eingeschätzt werden. Im Allgemeinen werden daher bei der anzustellenden Interessenabwägung Sicherheitsbedenken nur dann ins Kalkül zu ziehen sein, wenn es im Veröffentlichungszeitpunkt konkrete Anhaltspunkte für eine Gefährdung einer von der Berichterstattung betroffenen Person durch die publizierten Informationen gibt oder aus sonstigen Gründen bereits vorab ernstlich mit körperlichen Übergriffen zu rechnen ist. Der Umstand, dass der Anwalt nach Veröffentlichung Droh-Mails erhalten hat, muss von den Journalisten nicht ins Kalkül gezogen werden. Damit konnten keine Interessen des Abgebildeten festgestellt werden, 54 die das Veröffentlichungsinteresse der Medien überwiegen würden. 5. Datenschutz Herausgegriffen werden sollen jene Entscheidungen zu Art. 15 DSGVO, 55 welche m. E. praktisch so relevant sind, dass eine endgültige Klärung durch die Höchstgerichte nur zu wünschen ist, um endlich mehr Rechtssicherheit bei der Beantwortung von Auskunftsanfragen zu haben. a) Recht auf Erhalt einer Datenkopie Seit Inkrafttreten der DSGVO herrscht ein ständiger Konflikt zwischen 56 Verantwortlichen und Betroffenen, wenn es darum geht, Daten in Kopie zu beauskunften – Art. 15 Abs. 3 DSGVO war von Anfang an in seinem Inhalt und Umfang unklar, und führte immer wieder zu Auslegungsschwierigkeiten. Auch im Schrifttum waren die Rechtsmeinungen dazu kontrovers. Die DSB hat in der Beschwerdevorentscheidung vom 13.11.2019 (DSB- 57 D062.268/0001-DSB/2019) Art. 15 Abs. 3 DSGVO so ausgelegt, dass danach kein Recht auf Erhalt einer Kopie von Dokumenten besteht. In einer weiteren Entscheidung vom 10.8.2020 hat die DSB dann bekräftigt, dass Art. 15 Abs. 3 DSGVO nur das Recht auf Erhalt einer Kopie der personenbezogenen Daten normiert, die Gegenstand der Verarbeitung sind. Die Herausgabe ganzer Urkunden, mögen darin auch personenbezogene Daten des Auskunftswerbers aufscheinen, sei vom Recht auf Kopie nicht

329

Sonja Dürager

umfasst und somit auch nicht die Herausgabe ganzer Tonbandaufnahmen oder SMS/WhatsApp-Verläufe19. 58 Angemerkt sei, dass auch der OGH bereits zu einem auf Art. 15 Abs. 3 gestützten Begehren auf Herausgabe einer kostenlosen Kopie einer Krankengeschichte Stellung bezogen hat.20 Der OGH hat dazu konstatiert, dass sich aus Art. 15 Abs. 3 und Art. 12 Abs. 5 DSGVO grundsätzlich das Recht des Patienten auf Zurverfügungstellung einer Kopie seiner Krankengeschichte ergibt, wobei die erste Kopie kostenlos zur Verfügung zu stellen ist. Damit nimmt offenbar die ordentliche Gerichtsbarkeit einen diametralen Ansatz gegenüber der Auslegung durch die Behörde ein. 59 Das BVwG hat mit Erkenntnis vom 23.9.2020, W256 2226269-1/13E, ausgesprochen, dass Art. 15 Abs. 3 DSGVO kein eigenständiges Recht neben Art. 15 Abs. 1 DSGVO ist, sondern es sich allein um eine Modifikation der Form der Unterrichtung im Vergleich zu Art. 12 DSGVO handelt. Ob dem Auskunftsrecht letztlich durch die Bereitstellung einer Kopie einer Auflistung der einzelnen personenbezogenen Daten genüge getan oder die Bereitstellung einer Kopie einzelner Textpassagen oder sogar einzelner Dokumente (zusätzlich) erforderlich ist, kann jedoch immer nur im Einzelfall und zwar unter Berücksichtigung der in Art. 12 DSGVO dargestellten Grundsätze, aber auch der in Art. 15 Abs. 4 DSGVO dargestellten Rechte und Freiheiten anderer Personen beurteilt werden. Im Widerspruch dazu hat das BVwG überraschenderweise mit Erkenntnis vom 25.2.2021, W2742234553, entschieden, und zwar ohne weitere Begründung, dass Art. 15 Abs. 3 DSGVO als selbständiger Anspruch auf Datenkopie zu verstehen sei. 60 Für Rechtsunterworfene führt die aktuelle Entscheidungspraxis daher zu Rechtsunsicherheit und ist zu wünschen, dass zur Auslegung des Art. 15 Abs. 3 DSGVO bald eine wegweisende Entscheidung21 getroffen wird. b) Konkreter Empfänger oder Empfängerkategorie? 61 Unklarheit besteht auch seit jeher darüber, ob gemäß Art. 15 Abs. 1 lit. c DSGVO Empfänger oder Empfängerkategorien zu beauskunften seien, ob der Verantwortliche ein entsprechendes Wahlrecht habe, und schließ-

19 DSB vom 10.8.2020, DSB-D124.339 2020-0.204.456. 20 OGH v. 17.12.2020 – 6 Ob 138/20t. 21 Angemerkt sei, dass das BVwG mit Beschluss vom 9.8.2021 – W211 2222613-2, dem EuGH Fragen zur Auslegung des Art. 15 Abs. 3 DSGVO vorgelegt hat; eine inhaltliche Entscheidung hat das Gericht in der Sache nicht getroffen und nur die beiden Standpunkte gegenübergestellt.

330

Drei-Länder-Treffen 2021 Länderbericht Österreich

lich – wozu dann auch der EuGH zur Vorabentscheidung angerufen wurde – ob Art. 15 DSGVO dahingehend auszulegen sei, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind. Mit Bescheid vom 3.6.2020, DSB-D205.329/0005-DSB/2019, hat die 62 DSB zum Umfang der Auskunft über die Empfänger festgestellt, dass gemäß Art. 15 Abs. 1 lit. c leg cit. die betroffene Person einen Auskunftsanspruch gegen einen Verantwortlichen im Hinblick auf die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden seien oder noch offengelegt würden, habe. Da dem vom Normengesetzgeber der DSGVO verwendeten „oder“ letzten Endes kein kumulativer Charakter unterstellt werden könne, sei auf die Rechtsprechung von Verfassungsgerichtshof und Verwaltungsgerichtshof22 zu verweisen, die sich (zur entsprechenden alten Rechtslage zu § 26 Abs. 1 DSG 2000 und Art. 12 der Datenschutzrichtlinie) mit der Frage, wann eine Beauskunftung von Empfängerkreisen (in der damaligen Terminologie, entsprechend den Kategorien von Empfängern gemäß Art. 15 Abs. 1 lit. c DSGVO) ausreiche und wann konkrete Empfänger zu benennen seien, auseinandergesetzt hätten. Demnach bedürfe es einer Interessensabwägung im Einzelfall, in welche Gesichtspunkte der Datenschutzinteressen der Beteiligten und öffentliche Geheimhaltungsinteressen einzubeziehen seien, um festzustellen, ob konkrete Empfänger oder lediglich Empfängerkreise zu beauskunften seien. Im konkreten Fall stehe das nicht weiter begründungsbedürftige Auskunftsinteresse des Mitbeteiligten an einer möglichst vollständigen Auskunft, insbesondere um unionsrechtlich garantierte subjektive Rechte wie beispielsweise Berichtigungs- und Löschungsrechte auch gegenüber Dritten und anderen Verantwortlichen durchsetzen zu können, dem Geheimhaltungsinteresse der Beschwerdeführerin gegenüber. Für den gegenständlichen Fall bedeutete dies aber, dass der Betroffene nicht in seinem Auskunftsrecht in diesem Umfang wegen der Beauskunftung in einer nur allgemeinen Formulierung verletzt worden sei, weil der belangten Behörde keine schutzwürdigen Interessen der Beschwerdeführerin vorliegen würden und diese gegenständlich solche auch nicht ins Treffen geführt habe. Die Entschei-

22 Vgl zB VwGH v. 28.4.2009 – 2005/06/0194, VwSlg. 17.680 A/2009.

331

Sonja Dürager

dung ist nicht rechtskräftig, und wurde mit Beschwerde beim Bundesverwaltungsgericht angefochten.23 63 Aufgegriffen wurde das Thema auch vor den ordentlichen Zivilgerichten, was zuletzt zur Vorlage einer Frage dazu an den EuGH durch den OGH (Vorabentscheidungsersuchen vom 18.2.2021 – 6Ob159/20f) führte. So hat ein Betroffener von einem Adressverlag Auskunft i. S. d. Art. 15 DSGVO verlangt und zwar wollte er wissen, welche personenbezogenen Daten über ihn gespeichert werden bzw. in der Vergangenheit gespeichert wurden, sowie wo die Speicherung dieser Daten erfolge und, wenn es zu einer Weitergabe der Daten gekommen sei, wer die konkreten Empfänger gewesen seien. 64 Im Zuge der Auskunftserteilung hat der Adressverlag (generische) Kategorien von Empfängern bekannt gegeben. Der Betroffene erhob dagegen Klage und begehrte die Verurteilung der Beklagten dazu, ihm eine (verbesserte) Auskunft gemäß Art. 15 DSGVO, beinhaltend die Information, ob personenbezogene Daten des Klägers übermittelt wurden (oder nicht), und bejahendenfalls auch des/der Empfänger(s), gegenüber dem/ denen die personenbezogenen Daten des Klägers offengelegt worden sind oder noch offengelegt werden, zu erteilen. Das Landesgericht als auch das Oberlandesgericht wiesen die Klage ab, weil aus Art. 15 Abs. 1 lit. c DSGVO klar ein Wahlrecht des Verantwortlichen hervorginge. Der OGH meinte dagegen, dass der Wortlaut des Art. 15 Abs. 1 lit. c DSGVO keine abschließende Beurteilung zu ließen, weshalb er die folgende Frage an den EuGH zur Vorabentscheidung vorgelegt hat24:

23 BVwG v. 29.4.2022 – W214 2233710-1: Das Verfahren wurde gemäß § 17 Verwaltungsgerichtsverfahrensgesetz i. V. m. § 38 AVG hinsichtlich der Frage des Umfangs des Auskunftsrechts bis zur Vorabentscheidung durch den EuGH über die mit Beschluss des OGH vom 18.2.2021, Zl. 6 Ob 159/20f (beim EuGH anhängig unter C-154/21) vorgelegte Frage ausgesetzt. 24 Am 9.6.2022 hat der Generalanwalt Giovanni Pitruzzella die Schlussanträge in der Rechtssache C-154/21 veröffentlicht. Er schlägt vor wie folgt zu antworten: Art. 15 Abs. 1 Buchst. c der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass das dort vorgesehene Auskunftsrecht der betroffenen Person auf deren Antrag notwendigerweise auf die Angabe der konkreten Empfänger der Offenlegungen ihrer personenbezogenen Daten zu erstrecken ist. Dieses Auskunftsrecht kann nur dann auf die Angabe von Kategorien von Empfängern beschränkt werden, wenn es aus tatsächlichen Gründen unmöglich ist, die konkreten Empfänger der Offenlegungen der die betroffene Person betreffenden personenbezogenen Daten zu bestimmen, oder wenn der

332

Drei-Länder-Treffen 2021 Länderbericht Österreich

Ist Art. 15 Abs. 1 lit. c der Verordnung (EU) 2016/679 des Europäischen 65 Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, ABl. L 119/1 vom 4. Mai 2016, S 1; im Folgenden „DSGVO“) dahingehend auszulegen, dass sich der Anspruch auf die Auskunft über Empfängerkategorien beschränkt, wenn konkrete Empfänger bei geplanten Offenlegungen noch nicht feststehen, der Auskunftsanspruch sich aber zwingend auch auf Empfänger dieser Offenlegungen erstrecken muss, wenn Daten bereits offengelegt worden sind? Es bleibt spannend, ob der EuGH dem Generalanwalt folgen wird, oder 66 wie er sonst diese Auslegungsfrage löst. Eine weite Auslegung der Auskunftspflicht in diesem Punkt hätte weitreichende Folgen für die Praxis, da gerade Dienstleister häufig ausgetauscht werden, sich allerdings der Umfang der ausgelagerten Verarbeitung dadurch nicht verändert, und daher der Aufwand bei jeder Anfrage, um die aktuellen Bezeichnungen der Dienstleister oder Subdienstleister von den entsprechenden Stellen im Unternehmen zu erhalten, entsprechend höher wäre.

Verantwortliche nachweist, dass die Anträge der betroffenen Person im Sinne von Art. 12 Abs. 5 der Verordnung 2016/679 offensichtlich unbegründet oder exzessiv sind.

333

Drei-Länder-Treffen 2021 Länderbericht Deutschland Die Umsetzung der Richtlinien (EU) 2019/770 und 2019/771 in Deutschland Peter Rott* I. Einleitung II. Ausgangslage III. Ort der Umsetzung

1

V. Terminologie

15

6

VI. Minimallösungen

20

8

VII. Kaum Lösung offener Fragen

27

IV. Enge oder überschießende Umsetzung? 11 1. Warenkauf-Richtlinie 11 2. Richtlinie über digitale Inhalte und digitale Dienstleistungen 14

VIII. Keine Berücksichtigung der weiteren Auswirkungen 34 1. Auswirkungen auf Verbraucher 36 2. Auswirkungen auf Händler 38 IX. Fazit

42

Literatur: Bittner, Verträge über digitale Produkte – der Beginn des digitalen Zeitalters im BGB, VuR 2022, 9; Däubler-Gmelin, Die Entscheidung für die so genannte Große Lösung bei der Schuldrechtsreform – Zum Entwurf eines Gesetzes zur Modernisierung des Schuldrechts, NJW 2001, 2281; Deutsche Reiterliche Vereinigung, Stellungnahme der Deutschen Reiterlichen Vereinigung e. V., verfügbar auf https://www.bmjv.de/SharedDocs/Gesetzgebungsverfahren/DE/Warenkaufrichtlinie.html; Ester, Die neue Richtlinie zum Warenkauf – Was wird sich ändern und was müssen Unternehmer künftig beachten?, ZVertriebsR 2020, 178; Firsching, Der Kauf von Sachen mit digitalen Elementen, ZUM 2021, 210; Gernhuber, Verbraucherschutz durch Rechte zum Widerruf von Willenserklärungen, WM 1998, 1797; Honsell, Die EU-Richtlinie über den Verbrauchsgüterkauf und ihre Umsetzung ins BGB, JZ 2001, 278; Klüver, Aus- und Wiedereinbaukosten beim kaufrechtlichen Nacherfüllungsanspruch: Aktuelle Rechtsfragen zum neuen § 439 Abs. 3 BGB, VuR 2019, 176; Lorenz, Die Umsetzung der EU-Warenkaufrichtlinie in deutsches Recht, NJW 2021, 2065; Mak/Lujinovic, Towards a Circular Economy in EU Consumer Markets – Legal Possibilities and Legal Challenges and the Dutch Example, EuCML 2019, 4; Metzger, Verträge über digitale Inhalte und digitale Dienstleistungen: Neuer BGB-Vertragstypus oder punktuelle Reform?, JZ 2019, 577; Micklitz, Kreislaufwirtschaft und Verbraucherrecht – Plädoyer für einen nationalen Alleingang, VuR 2019, 281; Pech, Verträge über digitale Inhal*

Prof. Dr. Peter Rott, Carl von Ossietzky Universität Oldenburg.

335

Peter Rott te und digitale Dienstleistungen – Ein Überblick zu den Neuregelungen im BGB, GRUR-Prax 2021, 509 und 547; Reinking, Verbraucherverträge über digitale Produkte für Kraftfahrzeuge, DAR 2021, 185; Rosenkranz, Spezifische Vorschriften zu Verträgen über die Bereitstellung digitaler Produkte im BGB, ZUM 2021, 195; Rott, Rechtsklarheit, Rechtsdurchsetzung und Verbraucherschutz, in: Micklitz/ Joost/Reisch/Zander-Hayat (Hrsg.), Verbraucherrecht 2.0 – Verbraucher in der digitalen Welt, 2017, 221; Rott, The Digitalisation of Cars and the New Digital Consumer Contract Law, JIPITEC 2021, 156; Sattler, Neues EU-Vertragsrecht für digitale Güter, CR 2020, 145; Schöttle, Software als digitales Produkt, MMR 2021, 683; Schrader, Kraftfahrzeuge mit digitalen Elementen: Kundenbindung 2.0?, NZV 2021, 19; Spindler, Umsetzung der Richtlinie über digitale Inhalte in das BGB, MMR 2021, 451; Spindler/Sein, Die endgültige Richtlinie über Verträge über digitale Inhalte oder Dienstleistungen, MMR 2019, 415; Staudenmayer, Kauf von Waren mit digitalen Elementen – Die Richtlinie zum Warenkauf, NJW 2019, 2889; Tonner, Die EU-Warenkauf-Richtlinie: auf dem Wege zur Regelung langlebiger Waren mit digitalen Elementen, VuR 2019, 363; Tonner/Schlacke/Gawel/Alt/ Bretschneider, Gewährleistung und Garantie als Instrumente zur Durchsetzung eines nachhaltigen Produktumgangs, VuR 2017, 3; vzbv, Warenkauf im digitalen Zeitalter angekommen, verfügbar unter https://www.bmjv.de/SharedDocs/ Gesetzgebungsverfahren/DE/Warenkaufrichtlinie.html; Wendehorst, Die neuen Regelungen im BGB zu Verträgen über digitale Produkte, NJW 2021, 2913; Wilke, Das neue Kaufrecht nach Umsetzung der Warenkauf-Richtlinie, VuR 2021, 283.

I. Einleitung 1 Im September 2021 standen in Deutschland die Bundestagswahlen an. Gesetzgebungsvorhaben, und insbesondere solche, bei denen eine EU-rechtliche Frist zu wahren war, mussten daher noch vor der Sommerpause des Bundestags durchgezogen werden. Dies galt nicht zuletzt für die hier zu diskutierende Umsetzung der Warenkauf-Richtlinie (EU) 2019/771 und der Richtlinie (EU) 2019/770 über digitale Inhalte und digitale Dienstleistungen, die bis zum 1.7.2021 umzusetzen waren. 2 Trotz dieser bekannten Frist begann der Umsetzungsprozess, jedenfalls soweit er nach außen drang, eher spät.1 Einen Referentenentwurf2 für die Umsetzung der Warenkauf-Richtlinie legte das Bundesministerium der Justiz und für Verbraucherschutz (BMJV) am 10.12.2020 vor, der Regierungsentwurf3 folgte am 10.2.2021. Nachdem der Bundesrat am 5.3.2021 seine Stellungnahme abgegeben hatte, zu der sich die Bundesregierung

1 2

3

Krit. auch Schöttle, MMR 2021, 683. Verfügbar unter https://www.bmj.de/SharedDocs/Downloads/DE/Gesetzgebung/RefE/RefE_Warenkaufrichtlinie.pdf?__blob=publicationFile&v=3 (zuletzt abgerufen am: 30.9.2023). BT-Drucks. 19/27424.

336

Drei-Länder-Treffen 2021 Länderbericht Deutschland

am 1.4.2021 äußerte,4 dauerte es bis zum 22.6. bzw. 23.6.2021, bis der wichtige Ausschuss für Recht und Verbraucherschutz die Umsetzung in ihre endgültige Form brachte,5 die in der Nacht vom 24. auf den 25.6.2021 verabschiedet wurde.6 Ähnlich sportlich verlief der Umsetzungsprozess in Bezug auf die Richt- 3 linie über digitale Inhalte und digitale Dienstleistungen, wobei hier der Referentenentwurf7 (3.11.2021) und der Regierungsentwurf8 (13.1.2021) etwas früher vorlagen. Die inhaltliche Stoßrichtung war allerdings auch bei beiden Umsetzungs- 4 vorhaben schon nach der Veröffentlichung der Referentenentwürfe klar, so dass sich die im Gesetzgebungsvorhaben diskutierten Fragen – jenseits einiger vergeblicher Vorstöße der Oppositionsparteien9 – auf technische Details wie die Verzahnung der neuen Regelungen mit dem bisherigen Allgemeinen und Besonderen Schuldrecht beschränkten. Im Folgenden wird nicht die neue Rechtslage in Deutschland erörtert, 5 die sich naturgemäß weitestgehend mit den Vorgaben der in diesem Band von Riehm erläuterten beiden Richtlinien deckt.10 Stattdessen werden einige Besonderheiten oder Eigenheiten der deutschen Umsetzung – bzw. in weiten Teilen deren Fehlen – aufgegriffen und bewertet. II. Ausgangslage Die Ausgangslagen für die Umsetzung der beiden Richtlinien unter- 6 schieden sich deutlich. Die Warenkauf-Richtlinie ersetzte bekanntlich die Verbrauchsgüterkauf-Richtlinie 1999/44/EG. Sie brachte zwar eine Modernisierung mit sich, daneben gestaltete sie den Fehlerbegriff in wichtigen Punkten um und präzisierte eine Reihe von Regelungen, zum Teil aufgrund von Rechtsprechung des EuGH zu Vorschriften der Richtli4 BT-Drucks. 19/28174. 5 BT-Drucks. 19/31116. 6 Gesetz zur Regelung des Verkaufs von Sachen mit digitalen Elementen und anderer Aspekte des Kaufvertrags, BGBl. 2021 I, 2133. 7 Verfügbar unter https://www.bmj.de/SharedDocs/Downloads/DE/Gesetzgebung/ RefE/RefE_BereitstellungdigitalerInhalte.pdf?__blob=publicationFile&v=3 (zuletzt abgerufen am: 30.9.2023). 8 BT-Drucks. 19/27653. 9 Vgl. die Entschließungsanträge der Fraktionen Die Linke, BT-Drucks. 19/30993, und BÜNDNIS 90/DIE GRÜNEN, BT-Drucks. 19/30994. 10 Zur Umsetzung der Warenkauf-Richtlinie vgl. Wilke, VuR 2021, 283 ff.; Gelbrich/Timmermann, NJOZ 2021, 1249 ff. Zur Umsetzung der Richtlinie über digitale Inhalte und digitale Dienstleistungen vgl. Wendehorst, NJW 2021, 2913 ff.; Pech, GRUR-Prax 2021, 509 ff. und 547 ff.; Bittner, VuR 2022, 9 ff.

337

Peter Rott

nie 1999/44/EG, sie behielt aber ihre Struktur bei. Für die Umsetzung der Richtlinie stellte sich damit zunächst dieselbe Frage wie schon im Jahre 2000, als die Verbrauchsgüterkauf-Richtlinie zur Umsetzung anstand: Sollte die Richtlinie überschießend in der Weise umgesetzt werden, dass sie für alle Kaufverträge des BGB gilt, oder sollten ihre Regelungen auf Verbraucherverträge, d. h. auf Verträge zwischen einem Unternehmer und einem Verbraucher (§ 310 Abs. 3 BGB) beschränkt werden? 7 Die Richtlinie (EU) 2019/770 hatte hingegen keine Vorgängerin im EURecht. Sie traf auf autonomes deutsches Recht bzw. – mangels spezieller gesetzlicher Regelungen – auf das allgemeine Vertragsrecht und dazu ergangene Rechtsprechung. Wie in wohl allen Mitgliedstaaten der EU wurden die von der Richtlinie erfassten Verträge verschiedenen Vertragstypen zugeordnet. Der Erwerb von Standardsoftware etwa fiel als Kauf „sonstiger Güter“ i. S. d. § 453 BGB dem Kaufrecht zu,11 während andere digitale Verträge werkvertraglich12 oder mietvertraglich13 qualifiziert wurden bzw. häufig als typengemischte Verträge Elemente dieser Vertragstypen enthielten. Die Abgrenzung war im Einzelnen schwierig, die dazu vertretenen Ansichten durchaus interessengeleitet,14 etwa seitens der Wirtschaftsakteure zugunsten eines verschuldensabhängigen statt eines verschuldensunabhängigen Regimes oder zugunsten eines kaum geregelten Vertragstyps (Lizenzvertrag), bei dem viel Gestaltungsfreiheit blieb.15 Hier wurde insbesondere darüber diskutiert, wo im Gesetz die neue Querschnittsmaterie zu verorten sei. Daneben stellte sich auch hier die Frage nach einer Ausweitung auf Nicht-Verbraucherverträge. III. Ort der Umsetzung 8 Der Ort der Umsetzung war im Falle der Warenkauf-Richtlinie vorgezeichnet. Die neuen Regelungen würden die alten in den §§ 434 ff. BGB zum allgemeinen Kaufrecht und in den §§ 474 ff. BGB zum Verbrauchs11 Vgl. nur BGH v. 4.11.1987 – VIII ZR 314/86, BGHZ 102, 135, 144; BGH v. 22.12.1999 – VIII ZR 299/98, NJW 2000, 1415. 12 Vgl. etwa BGH v. 4.3.2010 – III ZR 79/09, NJW 2010, 1449 (Erstellung und Betreuung einer Website des Kunden sowie Gewährleistung der Abrufbarkeit dieser Website im Internet für einen festgelegten Zeitraum). 13 Vgl. etwa BGH v. 15.11.2006 – XII ZR 120/04, NJW 2007, 2394 (Application Service Provider-Vertrag). 14 Vgl. Rott, in Micklitz u. a. (Hrsg.), 221, 253 ff. 15 Zur Irrelevanz der Bezeichnung beim Erwerb von Software i. S. d. § 453 BGB vgl. nur OLG Frankfurt v. 4.7.1997 – 24 U 215/95, NJW 1998, 84; OLG Düsseldorf v. 25.9.1998 – 22 U 62–98, NJW-RR 1999, 563, 564. Vgl. auch OGH v. 23.5.2000 – 4 Ob 30/00, GRUR Int. 2000, 1028, 1030.

338

Drei-Länder-Treffen 2021 Länderbericht Deutschland

güterkaufrecht ersetzen. Zu klären blieb lediglich, welche der neuen Vorschriften auf das allgemeine Kaufrecht zu erstrecken wären (dazu sogleich, unter IV.). In Bezug auf die neue Querschnittsmaterie der digitalen Inhalte und di- 9 gitalen Dienstleistungen kam zunächst ein Sondergesetz in Betracht.16 Das wäre allerdings ein Bruch mit der im Rahmen der großen Schuldrechtsmodernisierung im Jahre 2001 durchgeführten Reintegration des Verbrauchervertragsrechts in das BGB als der zentralen Zivilrechtskodifikation gewesen,17 dies vor dem Hintergrund, dass eine Kodifikation dem Anspruch genügen sollte, tatsächlich den wesentlichen Teil des (allgemeinen) Zivilrechts abzubilden.18 Der Gesetzgeber entschied sich stattdessen für eine Umsetzung im Allgemeinen Schuldrecht des BGB, in den §§ 327 bis 327u BGB, eben weil die Neuregelung keinem Vertragstyp des Besonderen Schuldrechts zugeordnet werden könne.19 Das Folgeproblem, das sich daraus ergab, dass die neuen Vorschriften 10 denjenigen der Vorschriften des Besonderen Schuldrechts zu einzelnen Vertragstypen vorgehen, wurde durch entsprechende Verweisungsnormen im Besonderen Schuldrecht gelöst. So verweisen etwa § 516a BGB für die Schenkung digitaler Produkte und § 578b BGB für die Miete digitale Produkte auf die §§ 327 ff. BGB.20 Für die nicht in den §§ 327ff. BGB geregelten Fragen bleibt es bei den Vorschriften des Besonderen Teils und damit auch bei den bekannten Abgrenzungsproblemen.21 IV. Enge oder überschießende Umsetzung? 1. Warenkauf-Richtlinie Wie eingangs erwähnt, hatte der deutsche Gesetzgeber sich, als die Ver- 11 brauchsgüterkauf-Richtlinie 1999/44/EG zur Umsetzung anstand, dafür entschieden, das deutlich in die Jahre gekommenen alte deutsche Kaufrecht gleich umfassend zu modernisieren und zu diesem Zweck die Vor-

16 17 18 19

Dafür wohl Sattler, CR 2020, 145, 153. Vgl. BT-Drucks. 19/27653, 27. Vgl. Däubler-Gmelin, NJW 2001, 2281, 2283. Vgl. BT-Drucks. 19/27653, 26 f.; zust. Spindler, MMR 2021, 451. Für eine Einordnung im Besonderen Teil Metzger, JZ 2019, 577, 586. 20 Ebenso § 620 Abs. 4 BGB n. F. für Verbraucherverträge über digitale Dienstleistungen und § 650 Abs. 2 BGB n. F. für Verbraucherverträge über die Herstellung digitaler Produkte. Im Leihvertragsrecht fehlt eine entsprechende Regelung; vgl. Rosenkranz, ZUM 2021, 195, 204. 21 Vgl. Wendehorst, NJW 2021, 2913.

339

Peter Rott

schriften dieser Richtlinie zur Vertragsmäßigkeit von Waren – in der deutschen Terminologie Freiheit von Sachmängeln – und die dem Käufer zustehenden Rechte auf alle Kaufverträge des BGB zu erstrecken. Nur wenige Vorschriften wurden schon damals auf den Verbrauchsgüterkauf beschränkt, insbesondere die Beweislastumkehr des Art. 5 Abs. 3 der Verbrauchsgüterkauf-Richtlinie sowie der Verkäuferregress des Art. 4. Soweit die Regelungen im allgemeinen Kaufrecht übernommen worden waren, waren sie außerhalb des Verbrauchsgüterkaufs freilich dispositiv. 12 In der Folgezeit erfolgte allerdings eine zunehmende „Spaltung“ der kaufrechtlichen Vorschriften, die auf der sehr verbraucherfreundlichen Rechtsprechung des EuGH beruhte. Das Quelle-Urteil vom 17.4.2008,22 das den Nutzungsersatzanspruch des Verkäufers im Falle der Ersatzlieferung ausschloss, setzte der Gesetzgeber nur zugunsten von Verbraucher-Käufern um (jetzt § 475 Abs. 3 BGB). Das Urteil in den Rechtssachen Weber und Putz,23 das dem Käufer einen Anspruch auch auf Ein- und Ausbaukosten zusprach, vollzog der BGH für einen Kaufvertrag zwischen Unternehmern nicht nach;24 allerdings führte der Gesetzgeber im Jahre 2017 mit § 439 Abs. 3 BGB eine allgemeine Regelung hierzu ein, um Bauhandwerkern eine Regressmöglichkeit gegenüber ihren Lieferanten zu geben.25 13 Im Zuge der Umsetzung der Warenkauf-Richtlinie wurde die Spaltung zwischen Verbrauchsgüterkaufverträgen und dem übrigen Kaufrecht nun vertieft. Zwar wurde der neue Sachmängelbegriff in § 434 BGB überschießend umgesetzt, aber die Vorschriften zu Waren mit digitalen Elementen und die Aktualisierungspflicht wurden auf den Verbrauchsgüterkauf beschränkt, obwohl doch Nicht-Verbraucher-Käufer von Waren mit digitalen Elementen vor denselben, kaum lösbaren Herausforderungen stehen, bei Problemen den richtigen Ansprechpartner zu identifizieren und gegen diesen Rechte bzw. Ansprüche geltend zu machen.26 Der Haftungsausschluss bei Kenntnis des Mangels (§ 442 BGB) musste beim Verbrauchervertrag aufgegeben werden, weil er mit der Richtlinie

22 EuGH v. 17.4.2008 – C-404/06 Quelle AG gegen Bundesverband der Verbraucherzentralen und Verbraucherverbände, ECLI:EU:C:2008:231. 23 EuGH v. 16.6.2011 – C-65/09 und C-87/09 Gebr. Weber GmbH gegen Jürgen Wittmer und Ingrid Putz gegen Medianess Electronics GmbH, ECLI: EU:C:2011:396. 24 BGH v. 17.10.2012 – VIII ZR 226/11, NJW 2013, 220. 25 Ausf. dazu Klüver, VuR 2019, 176 ff. 26 Krit. auch Wilke, VuR 2021, 283, 293; Firsching, ZUM 2021, 210, 215. Die Beschränkung begrüßt dagegen Lorenz, NJW 2021, 2065, 2073.

340

Drei-Länder-Treffen 2021 Länderbericht Deutschland

nicht mehr vereinbar ist,27 außerhalb des Verbrauchervertrags wurde er dagegen beibehalten. Die Bundesregierung berief sich dabei ausdrücklich auf die im Koalitionsvertrag vereinbarte 1:1-Umsetzung von EU-Vorhaben (dazu noch unter Rz. 20).28 2. Richtlinie über digitale Inhalte und digitale Dienstleistungen Die neuen §§ 327 ff. BGB, mit denen die Richtlinie über digitale Inhal- 14 te und digitale Dienstleistungen umgesetzt wurden, wurden in ihrem Anwendungsbereich aus demselben Grund auf Verbraucherverträge beschränkt. Die einzige Ausnahme bildet der in Art. 20 der Richtlinie vorgesehene Unternehmerregress des § 327u BGB. V. Terminologie Die Terminologie der EU-Richtlinien bricht sich nicht nur gelegentlich 15 an der Terminologie des BGB,29 sie wird von deutschen Jurist*innen auch teilweise als unelegant angesehen30 und daher angepasst. Bei der Umsetzung der Richtlinien (EU) 2019/770 und 2019/771 hat sich der Gesetzgeber insoweit allerdings zurückgehalten. Die augenfälligste Eigenkreation besteht darin, dass das vielsilbige Begriffspaar „digitale Inhalte und digitale Dienstleistungen“ zum Begriff „digitale Produkte“ zusammengefasst wurden (§ 327 Abs. 1 BGB), was den Gesetzestext zweifellos lesbarer macht,31 aber auch mit Blick auf eine mögliche Modernisierung der Produkthaftungs-Richtlinie 85/374/EWG zur Konfusion mit dann möglicherweise dort eingeführten digitalen Produkten führen könnte.32 Verhindern konnte der Ausschuss für Recht und Verbraucherschutz noch die Änderung von „Waren mit digitalen Elementen“ zu „Sachen mit digitalen Elementen“, der gesamte Abschnitt über den Verbrauchsgüterkauf wurde auf den EU-rechtlichen Begriff „Ware“ umgestellt33 – nur die Korrektur des Namens des Umsetzungsgesetzes wurde dabei übersehen.

27 Vgl. auch Lorenz, NJW 2021, 2065, 2068. 28 Vgl. etwa BT-Drucks. 19/27424, 30, zur fehlenden Erstreckung der Regelung über Waren mit digitalen Elementen auf das allgemeine Kaufrecht. 29 Ein Beispiel ist der Begriff des Widerrufs, der traditionell für den Widerruf einer Willenserklärung noch vor deren Zugang beim Adressaten verwendet wurde (§ 130 Abs. 1 Satz 2 BGB), bevor er EU-rechtlich ein nachvertragliches Lösungsrecht bezeichnete; krit. Gernhuber, WM 1998, 1797. 30 Vgl. etwa Honsell, JZ 2001, 278, 279. 31 Zust. deshalb Rosenkranz, ZUM 2021, 195, 199. 32 Vgl. auch Metzger in MüKo-BGB, Bd. 3, 9. Aufl. 2022, § 327 BGB Rn. 6. 33 Vgl. BT-Drucks. 19/31116, 8.

341

Peter Rott

Dass die Legaldefinition der Ware in § 241a Abs. 1 BGB allerdings bewegliche Sachen ausschließt, die auf Grund von Zwangsvollstreckungsmaßnahmen oder anderen gerichtlichen Maßnahmen verkauft werden, weiß nur der Kenner. 16 Daneben hat der Gesetzgeber vermeintlich Selbstverständliches weggelassen. Nicht übertragen wurde in § 475b Abs. 4 BGB etwa der Begriff „vernünftigerweise“ aus Art. 7 Abs. 3 der Warenkauf-Richtlinie in Bezug auf den Aktualisierungszeitraum, den der Verbraucher erwarten kann, denn dies sei beim Abstellen auf den Erwartungshorizont eines Durchschnittskäufers ohnehin zu prüfen.34 17 Auch die Erwähnung der Bedeutung rechtlicher Vorschriften, technischer Normen und Verhaltenskodizes als Aspekte der Vertragsmäßigkeit von Waren (Art. 7 Abs. 1 lit. a der Warenkauf-Richtlinie) fand die Bundesregierung und ihr folgend der Gesetzgeber überflüssig;35 dies ist aber mit Blick auf die Transparenz der Umsetzungsgesetzgebung36 bedenklich.37 Immerhin hat er in § 434 Abs. 3 Satz 1 Nr. 3 BGB jetzt die Übereinstimmung mit Proben und Mustern aufgenommen,38 die er mit vergleichbaren Erwägungen bei der Umsetzung der Verbrauchsgüterkauf-Richtlinie im Jahre 2001 ausgespart hatte. 18 Übernommen hat der Gesetzgeber hingegen den bisher im deutschen Recht unbekannten Begriff „eigens“, den man auch durch Vokabeln wie „gesondert“ hätte ersetzen können.39 19 Als deutsche Besonderheit verbleibt freilich die der Struktur des BGB immanente Verweisungstechnik, deren Perfektionierung das Kernanliegen der Umsetzungsgesetzgebung gewesen zu sein scheint.40

34 Vgl. BT-Drucks. 19/27424, 33. 35 Vgl. BT-Drucks. 19/28174, 8. 36 Vgl. dazu EuGH v. 10.5.2001 – C-144/99 Kommission gegen Niederlande, ECLI:EU:C:2001:257. 37 Ebenso der Bundesrat, BT-Drucks. 19/28174, 3; Spindler, MMR 2021, 451, 454. 38 Zust. Gelbrich/Timmermann, NJOZ 2021, 1249, 1251. 39 Vgl. Wilke, VuR 2021, 283, 285. 40 Dennoch wurde dem Gesetzgeber insofern mangelnde Eleganz und unnötige Kompliziertheit vorgeworfen, vgl. Rosenkranz, ZUM 2021, 195, 209 f.

342

Drei-Länder-Treffen 2021 Länderbericht Deutschland

VI. Minimallösungen Trotz ihres Vollharmonisierungscharakters beließen beide Richtlinien 20 den Mitgliedstaaten einigen Umsetzungsspielraum. Diesen ließ der deutsche Gesetzgeber weitestgehend ungenutzt. Hintergrund ist der Koalitionsvertrag zwischen CDU, CSU und SPD für die 19. Legislaturperiode,41 in dem nach der Erläuterung der Bundesregierung die 1:1-Umsetzung von EU-Vorhaben vereinbart worden sei.42 Im Koalitionsvertrag heißt es z. B.: „Wir stärken den Mittelstand und den Wirtschaftsstandort Deutschland: (...) Bürokratieabbau u. a. durch 1:1-Umsetzung von EU-Vorgaben“43 oder unter dem Stichwort Industrie: „Dazu brauchen die Unternehmen Planungs- und Rechtssicherheit im Planungs- und Umweltrecht, z. B. durch schnellere, einfachere Genehmigungsverfahren und eine konsequente 1:1-Umsetzung von EU-Vorgaben.“44 Auch im Kapitel Umwelt und Klima steht: „EU-Recht setzen wir 1:1 um.“45 Die Einhaltung dieser Vorgabe wird dann auch in jedem Gesetzgebungsverfahren vom Normenkontrollrat kontrolliert.46 Im Kapitel Verbraucherschutz findet sich die Vereinbarung einer 1:1-Umsetzung zwar nicht, aber die Große Koalition hatte sich offenbar unter dem Stichwort Bürokratieabbau darauf verständigt, nicht mehr für den Verbraucherschutz zu tun als das EU-Recht zwingend verlangt. An dieser Selbstbeschneidung scheiterte zum Beispiel die Einführung 21 eines unmittelbaren Anspruchs des Verbrauchers gegen den Hersteller, der gerade bei Waren mit digitalen Elementen regelmäßig der einzige sein wird, der die Nacherfüllung mittels eines Software-Updates leisten kann. Für einen solchen Direktanspruch hatte sich insbesondere der Verbraucherzentralen Bundesverband e. V. (vzbv) stark gemacht.47 Er würde aber auch dem Letztverkäufer (und damit dem Handel, den die Große Koalition ja schützen wollte) helfen, denn er würde in vielen Fällen nicht damit belastet, die Nacherfüllung – letztlich durch den Hersteller – zu koordinieren.48 Dasselbe gilt für einen Direktanspruch gegen die Hersteller digitaler Produkte.49

41 Verfügbar unter https://archiv.cdu.de/sites/default/files/media/dokumente/ koalitionsvertrag.pdf (zuletzt abgerufen am: 30.9.2023). 42 Vgl. nur BT-Drucks. 19/27424, 30. 43 ibid., 13. 44 ibid., 56. 45 ibid., 137. 46 Zur 1:1-Umsetzung der Warenkauf-Richtlinie vgl. BT-Drucks. 19/27424, 47. 47 Vgl. vzbv, 10 f. 48 So auch Firsching, ZUM 2021, 210, 220. 49 Vgl. Pech, GRUR-Prax 2021, 547, 548.

343

Peter Rott

22 Besonders bedauerlich ist dieser Ansatz aber bei Fragen der Nachhaltigkeit, hier der Haltbarkeit von Waren, wo man die Spielräume der Warenkauf-Richtlinie durchaus als Regelungsauftrag an die nationalen Gesetzgeber verstehen konnte.50 Spielraum gab es etwa bei der kaufrechtlichen Verjährungsfrist (Art. 10 Abs. 3 der Warenkauf-Richtlinie), und der Bundesrat hatte in seiner Stellungnahme vom 5.3.2021 gefordert, diese bei einigen Warengruppen (Elektro- und Elektronik, Kraftfahrzeuge) auf drei Jahre zu verlängern.51 Dem ist die Mehrheit im Bundestag nicht gefolgt. Auch eine Verlängerung der Beweislastumkehr auf zwei Jahre, wie sie Art. 10 Abs. 3 der Richtlinie (EU) 2019/771 erlaubt und wie sie etwa in Frankreich gilt,52 war ebenso wenig mehrheitsfähig wie flankierende Maßnahmen, etwa eine Informationspflicht über die erwartete Lebensdauer. Schwer verständlich ist dies nicht zuletzt vor dem Hintergrund, dass in den vergangenen Jahren zahlreiche Gutachten in Auftrag gegeben worden waren, die mit einer Reihe von Vorschlägen zur Verankerung der Nachhaltigkeit im Kaufrecht aufgewartet hatten.53 Stattdessen wartet man einmal mehr auf den EU-Gesetzgeber,54 der mittlerweile unter dem Schlagwort „Green Deal“ ein umfassendes Regelungsprogramm eingeführt hat, mit dem auch die eben erst erlassene Warenkauf-Richtlinie nachhaltiger gemacht werden soll – weil die Mitgliedstaaten es eben von selbst nicht tun. 23 Auch bei der Ausgestaltung der Verjährung agierte die Bundesregierung wenig verbraucherfreundlich. Für den Fall, dass sich der Mangel erst am Ende des Gewährleistungszeitraums zeigt, verlangt Art. 10 Abs. 4 der Warenkauf-Richtlinie, dass sichergestellt ist, dass der Verbraucher die ihm zustehenden Rechte noch in Anspruch nehmen kann. Die Bundesregierung sah in ihrem Vorschlag dafür ein Mindestverjährungsfrist von zwei Monaten ab dem Zeitpunkt, zu dem sich der Mangel gezeigt hat, vor (§ 475e Abs. 3 BGB-E). Der Bundesrat forderte eine Verjährungsfrist von mindestens drei Monaten.55 Der Ausschuss für Recht und Verbraucherschutz empfahl schließlich vier Monate, weil der Verbraucher innerhalb des Zeitraums der Ablaufhemmung den Mangel rügen, eine Reaktion des Unternehmers abwarten und notwendigenfalls Klage erheben 50 So etwa Micklitz, VuR 2019, 281 f.; Tonner, VuR 2019, 363 ff. 51 BT-Drucks. 19/28174, 3 f. Zum niederländischen Recht vgl. Mak/Lujinovic, EuCML 2019, 4 ff. 52 Art. L217-7 Code de la consommation. 53 Vgl. nur Tonner/Schlacke/Gawel/Alt/Bretschneider, VuR 2017, 3 ff. 54 So ausdrücklich die Bundesregierung, BT-Drucks. 19/28174, 9, mit Blick auf die Einführung verpflichtender Herstellerangaben zur Mindestfunktionsdauer ihrer Waren. 55 BT-Drucks. 19/28174, 6.

344

Drei-Länder-Treffen 2021 Länderbericht Deutschland

müsse;56 diese Empfehlung wurde Gesetz (§ 327j Abs. 4 und § 475e Abs. 3 BGB). Eine Mindestverjährungsfrist von zwei Monaten gilt nach § 475e Abs. 4 24 BGB auch nach Reparatur einer mangelhaften Ware; hier hatte der Bundesrat erfolglos eine Verlängerung auf sechs Monate gefordert, um Fehlanreize für nur oberflächliche Reparaturen zu vermeiden.57 Den Verjährungsbeginn bei dauerhafter Bereitstellung digitaler Elemen- 25 te wollte die Bundesregierung allerdings erst auf den Ablauf des Bereitstellungszeitraums legen (§ 475e Abs. 1 BGB-E und § 327j Abs. 1 BGB-E). Eine solche Regelung kann bei langlebigen Waren wie etwa Kraftfahrzeugen mit einem langen Bereitstellungszeitraum zu einem sehr langen Verjährungszeitraum führen, weshalb sich nicht nur eine Reihe von Autoren,58 sondern auch der Bundesrat59 gegen diese Regelung ausgesprochen hatten. Der Ausschuss für Recht und Verbraucherschutz hat stattdessen eine Kombination der zweijährigen Verjährungsfrist mit einer Ablaufhemmung von zwölf Monaten ab Ende des Bereitstellungszeitraums bzw. ab Ende der Aktualisierungspflicht empfohlen, die so beschlossen wurde (§ 475e Abs. 1 und 2 BGB). Bei einem langen Bereitstellungszeitraum wird damit nur noch ein Jahr „angehängt“, bei einem sehr kurzen Bereitstellungszeitraum ist jedenfalls die Verjährungsfrist von zwei Jahren gewahrt.60 Außerdem hat der Gesetzgeber trotz entsprechenden Drängens der Deut- 26 schen Reiterlichen Vereinigung e. V.61 die Haftung für mangelhafte lebende Tiere entgegen der Möglichkeit des Art. 3 Abs. 5 lit. b der Warenkauf-Richtlinie nicht verringert, allerdings die Umkehr der Beweislast auf ein Jahr auch nicht mitvollzogen, sondern es bei den bisherigen sechs Monaten belassen (§ 477 Abs. 1 S. 2 BGB).62

56 57 58 59 60 61 62

BT-Drucks. 19/31116, 10 und 17. BT-Drucks. 19/28174, 6. So etwa Firsching, ZUM 2021, 210, 219. BT-Drucks. 19/28174, 4 f. BT-Drucks. 19/31116, 16. Deutsche Reiterliche Vereinigung e. V, 1. Vgl. den Bericht des Ausschusses für Recht und Verbraucherschutz, BTDrucks. 19/31116, 17.

345

Peter Rott

VII. Kaum Lösung offener Fragen 27 Die beiden Richtlinien sind nicht an jeder Stelle vollkommen klar.63 Dennoch hat der deutsche Gesetzgeber kaum Anstrengungen unternommen, im Wege der Konkretisierung mehr Klarheit zu schaffen. 28 Besonders intensiv diskutiert wurde die Aktualisierungspflicht der §§ 475b Abs. 4 und § 327f Abs. 1 S. 1 Nr. 2 BGB. Dort heißt es: „Der maßgebliche Zeitraum (…) ist (…) der Zeitraum, den der Verbraucher aufgrund der Art und des Zwecks des digitalen Produkts und unter Berücksichtigung der Umstände und der Art des Vertrags erwarten kann.“ Gefordert wurde von allen Seiten, diese Kriterien zu konkretisieren oder einen gesetzlichen Mindestzeitraum festzulegen.64 29 Die Bundesregierung verweist darauf, dass je nach den Umständen des Einzelfalls verschiedene Aspekte maßgeblich sein könnten. Dazu könnten etwa Aussagen in der Werbung, die zur Herstellung der Kaufsache verwendeten Materialien und der Preis gehören. Gebe es für Sachen der jeweiligen Art Erkenntnisse über deren übliche Nutzungs- und Verwendungsdauer („life-cycle“), dürften auch diese ein wesentliches Auslegungskriterium sein.65 Auch in Bezug auf digitale Produkte findet sich nur der Verweis auf die „objektiv übliche Nutzungsdauer“, die natürlich weit über die (mindestens) zweijährige Gewährleistungsfrist hinausreichen könne.66 30 Der Bundesrat schlug vor, die Hersteller zu einer Angabe der üblichen Mindestfunktionsdauer zu verpflichten, um einen Anhaltspunkt dafür zu haben, in welchem Zeitraum der Verbraucher mit Aktualisierungen rechnen und diese einfordern darf. Er sah zwar zu Recht die Gefahr, dass Hersteller diesen Zeitraum zu kurz angeben könnten, um die Verjährungsdauer zu beschränken, hoffte aber insofern auf den Wettbewerb.67 Bei der Bundesregierung drang er damit nicht durch. 31 Auch die Begründung der Bundesregierung für einzelne Vorschriften geht regelmäßig nicht über den Wortlaut der Vorschrift oder die Wiedergabe der Erwägungsgründe der Richtlinien hinaus. „Waren mit digitalen Elementen“ etwa werden in § 327a Abs. 3 S. 1 BGB wie folgt definiert: „Waren mit digitalen Elementen sind Waren, die in einer Weise digita63 Vgl. auch Ester, ZVertriebsR 2020, 178, 184. 64 Vgl. etwa Reinking, DAR 2021, 185, 190; Spindler, MMR 2021, 451, 455; jeweils m. w. N. 65 BT-Drucks. 19/27424, 33. 66 Vgl. BT-Drucks. 19/27653, 59 (zu § 327f BGB). 67 BT-Drucks. 19/28174, 5 f. Vgl. auch Schrader, NZV 2021, 19, 25.

346

Drei-Länder-Treffen 2021 Länderbericht Deutschland

le Inhalte oder digitale Dienstleistungen enthalten oder mit ihnen verbunden sind, dass die Waren ihre Funktionen ohne diese nicht erfüllen könnten (…).“ Zu der durchaus nicht offensichtlichen Abgrenzung von Waren, die nicht in den Anwendungsbereich dieser Vorschrift fallen sollen, erläuterte die Bundesregierung: „Der Verkauf von Sachen, die in einer Weise digitale Produkte enthalten oder mit ihnen verbunden sind, dass die Sache ihre Funktionen auch ohne diese digitalen Produkte erfüllen kann, ist nicht vom Anwendungsbereich der Warenkaufrichtlinie erfasst. (…).“68 In diesem Fall sollen auf die Hardware die §§ 434 ff. BGB, auf die Software hingegen die §§ 327a ff. BGB Anwendung finden. Was aber sind „ihre Funktionen“? Aus der Entstehungsgeschichte der Warenkauf-Richtlinie geht deutlich hervor, dass nicht nur die notwendigen Funktionen gemeint sind, sondern alle Funktionen, die der Verbraucher nach den Erklärungen des Verkäufers sowie gegebenenfalls des Herstellers sowie nach den gewöhnlichen Umständen erwarten darf.69 Wenn ein Kühlschrank mit einer Software verkauft wird, die selbständig Bestellungen ausfüllen kann, dann gehört diese Funktion zu den digitalen Elementen der Ware.70 Die Erläuterung der Bundesregierung ist zumindest missverständlich.71 Einige wenige eigenständige, neue Vorschriften sind aber doch positiv 32 zu vermerken. In § 327q BGB hat der deutsche Gesetzgeber in Umsetzung des Gestaltungsauftrags des Erwägungsgrunds (40) der Richtlinie (EU) 2019/770 die vertragsrechtlichen Folgen der Ausübung datenschutzrechtlicher Rechte verbraucherfreundlich geregelt.72 Nach § 327q Abs. 1 BGB n. F. lässt die Ausübung datenschutzrechtlicher Rechte durch den Verbraucher den Vertrag unberührt, der Verbraucher muss also nicht etwa Leistungen zurückgewähren. § 327q Abs. 2 BGB n. F. gewährt dem Unternehmer bei Dauerschuldverhältnissen aber ein fristloses Kündigungsrecht für den Fall, dass der Verbraucher seine datenschutzrechtliche Einwilligung widerruft oder der weiteren Verarbeitung seiner personenbezogenen Daten widerspricht und dem Unternehmer deshalb unter Berücksichtigung der ihm verbleibenden Möglichkeiten der Datenverarbeitung und unter Abwägung der beiderseitigen Interessen die Fortsetzung des Vertragsverhältnisses nicht mehr zugemutet werden kann. Dies wird

68 69 70 71

BT-Drucks. 19/27653, 83. Ausf. dazu Spindler/Sein, MMR 2019, 415, 416; Rott, JIPITEC 2020, 156, 158 f. A. A. offenbar Lorenz, NJW 2021, 2065, 2070. Vgl. auch Schöttle, MMR 2021, 683, 684 f. Krit. zur mangelnden Klärung auch Pech, GRUR-Prax 2021, 547, 549. 72 Vgl. auch Rosenkranz, ZUM 2021, 195, 201; Wendehorst, NJW 2021, 2913, 2919.

347

Peter Rott

insbesondere dann der Fall sein, wenn die Hingabe persönlicher Daten die einzige Gegenleistung des Verbrauchers darstellt. 33 Autonom erfolgte auf Empfehlung des Ausschusses für Recht und Verbraucherschutz73 auch die Gleichstellung der Bereitstellung eines anderen digitalen Produkts mit der Bereitstellung eines nicht vertragsgemäßen digitalen Produkts (§ 327e Abs. 5 BGB) in Anlehnung an die entsprechende Gleichstellung der aliud-Lieferung mit der Schlechtlieferung in § 434 Abs. 5 BGB n. F. (bisher § 434 Abs. 3 BGB). VIII. Keine Berücksichtigung der weiteren Auswirkungen 34 Einige mittelbare Folgen der Neugestaltung des digitalen Verbrauchervertragsrechts lassen sich schon jetzt prognostizieren. Mit dem One-Stop-Mechanismus bei Waren mit digitalen Elementen steigt das Risiko des Verkäufers deutlich an. Er haftet dann auch für Softwarefehler, wegen derer sich der Verbraucher bislang mit dem Drittzulieferer der Software auseinandersetzen muss. Dazu, den Mangel selbst zu beheben, wird der Verkäufer regelmäßig nicht in der Lage sein. Auch der Unternehmerregress nach § 445a BGB hilft hier nicht weiter, denn er verpflichtet den Lieferanten nicht zu Aktualisierungen, sondern nur zum Ersatz der Aufwendungen, die der Verkäufer im Rahmen der Nacherfüllung zu tragen hat.74 35 Gelingt es ihm nicht, den Zulieferer der Software dazu zu bewegen, ein Update zu liefern, so wird er regemäßig den Kaufpreis zurückerstatten müssen und dafür eine nicht wirklich funktionierende Ware zurückerhalten. Dasselbe gilt für den Fall, dass der Unternehmer, der ein digitales Produkt liefert, nicht dessen Ersteller ist.75 1. Auswirkungen auf Verbraucher 36 Insofern liegt es nahe, über Strategien nachzudenken, diesen Konsequenzen auszuweichen. Der nach § 327h bzw. § 476 Abs. 1 S. 2 BGB mögliche Ausschluss von Aktualisierungen dürfte dabei keine vielversprechende Marketingstrategie sein.

73 BT-Drucks. 19/31116, 9. 74 Vgl. Lorenz, NJW 2021, 2065, 2068. 75 Vgl. auch den Bericht des Ausschusses für Recht und Verbraucherschutz, BTDrucks. 19/31116, 7.

348

Drei-Länder-Treffen 2021 Länderbericht Deutschland

Im Automobilsektor wird ein Ausweichen auf Miet- bzw. Leasingmo- 37 delle prognostiziert.76 Schon jetzt ist zu sehen, dass solche Modelle im Kommen sind. Aus Sicht des Verkäufers hat dies zum einen den Vorteil, dass im Mietrecht der One Stop-Mechanismus nicht gilt, sondern der Verbraucher sich hinsichtlich der digitalen Elemente der Mietsache nach § 578b i. V. m. §§ 327 ff. BGB weiterhin an einen Dritten halten muss, mit genau den Schwierigkeiten, die den EU-Gesetzgeber zur Einführung des One Stop-Mechanismus im Kaufrecht bewogen haben.77 Zudem gibt es kein zwingendes Verbrauchermietrecht bei beweglichen Sachen, der Verbraucherschutz erfolgt allein über das AGB-Recht.78 Hier hätte der deutsche Gesetzgeber ganz frei von den Zwängen des EU-Rechts agieren können. 2. Auswirkungen auf Händler In Bezug auf Waren mit digitalen Produkten wurde das Problem, sich ge- 38 gebenenfalls mit mehreren Vertragspartnern auseinandersetzen zu müssen, das den Hintergrund für den nunmehr eingeführten One Stop-Mechanismus bildete, auf den Händler verschoben. Ein in der Tat nahe liegender Rat an Händler ist daher, „nur Waren mit 39 digitalen Elementen in ihr Sortiment aufnehmen, für die die Hersteller oder Dritte eine Erbringung der Aktualisierungs-und Informationspflicht zusichern.“79 Sinnvoll wäre auch eine Absicherung derartiger Vereinbarungen etwa mit robusten Vertragsstrafen; allein setzt dies Marktmacht gegenüber den Herstellern bzw. Zulieferern digitaler Produkte voraus, die häufig nicht gegeben sein wird.80 Gänzlich im Regen stehen Gebrauchtwarenhändler, die Waren mit digi- 40 talen Elementen von Privat erwerben und dann weiterverkaufen. Diese haben keine Möglichkeit, beim Hersteller oder einem Zulieferer Regress zu nehmen,81 sie können ihre Haftung lediglich über den Ausschluss von Pflichten hinsichtlich der digitalen Elemente kontrollieren, was nach § 476 Abs. 1 S. 2 BGB n. F. verlangt, dass der Verbraucher vor der Abgabe seiner Vertragserklärung eigens davon in Kenntnis gesetzt wird, dass er

76 77 78 79

Vgl. Reinking, DAR 2021, 185, 190, m. w. N. Vgl. Staudenmayer, NJW 2019, 2889. Vgl. bereits Rott, in: Micklitz et al. (Hrsg.), 221, 250 ff. So der Ausschuss für Recht und Verbraucherschutz, BT-Drucks. 19/31116, 14 und 7 (für digitale Produkte). 80 Paradigmatisch gilt dies für markenunabhängige Kfz-Händler, vgl. Bundesverband freier Kfz-Händler, 4; Reinking, DAR 2021, 185, 190. 81 Reinking, DAR 2021, 185, 191.

349

Peter Rott

diesbezüglich nichts zu erwarten hat und dass dies ausdrücklich und gesondert vereinbart wird.82 41 Die fehlende Einbeziehung des Herstellers bzw. des Drittzulieferers digitaler Inhalte oder Dienstleistungen schadet daher nicht nur dem Verbraucher, der sich möglicherweise durch die Lieferkette arbeiten muss, sondern auch dem Händler.83 IX. Fazit 42 Die deutsche Umsetzung der Warenkauf-Richtlinie und der Richtlinie über digitale Inhalte und digitale Dienstleistungen ist im Wesentlichen korrekt, über das erforderliche Minimum aber kaum hinausgegangen. Die Festlegung im Koalitionsvertrag von 2017 auf eine 1:1-Umsetzung von EU-Recht hat offenbar dazu geführt, dass die Akteure – mit Ausnahme des Bundesrats – über die Sinnhaftigkeit der Neuregelung und über mögliche und nützliche Ergänzungen gar nicht erst nachgedacht haben. So besteht weitgehend Einigkeit darüber, dass die praktische Durchsetzung der neuen Rechte der Verbraucher durch das Fehlen eines Direktanspruchs gegen den Hersteller deutlich eingeschränkt sein wird. 43 Besonders enttäuschend ist daneben das Fehlen jeglicher Impulse für nachhaltiges Konsumverhalten, zu denen der EU-Gesetzgeber die Mitgliedstaaten geradezu aufgerufen hat. So werden wir wohl in naher Zukunft die nächste Reform jedenfalls des EU-Kaufrechts sehen, die die neue Bundesregierung vielleicht enthusiastischer mitbetreiben wird als die letzte. Ebenfalls erforderlich dürfte über kurz oder lang die Ausarbeitung eines Verbrauchermietrechts werden. Schon jetzt zeigt sich, dass der in manchen Bereichen neue Mietmarkt erhebliche Tücken hat. 44 Schließlich verstärkt die Neuregelung die Abhängigkeit der Händler von den Herstellern und gegebenenfalls Drittzulieferern von Software. Auch dieses Verhältnis wird der Gesetzgeber in den Blick nehmen müssen, der Unternehmerregress der §§ 327u und 445a f. BGB wird hier nicht ausreichen.

82 Zur möglichen Ausgestaltung in der Praxis des Online-Handels vgl. Schöttle, MMR 2021, 683, 688. 83 Krit. auch Firsching, ZUM 2021, 210, 219.

350

Drei-Länder-Treffen 2022 Länderbericht Österreich Barbara Kuchar* I. Einleitung

1

II. Urheberrechts-Novelle 2021 (Urh-Nov 2021) 2 1. Übersicht 2 2. Erweiterung der freien Werknutzungen 5 3. Vergriffene Werke 6 4. Leistungsschutzrechte der Presseverleger und Verlegerbeteiligungen 7 5. Verantwortung großer Plattformen für den Upload von Werken – Umsetzung des Art. 17 DSM-RL („Uploadfilter“) 8 6. Urhebervertragsrecht 10 7. Ursprungslandprinzip, Verwertungsgesellschaftenpflicht, „Direkteinspeisung“, Ausnahmen vom Senderecht 16 III. Verbrauchergewährleistungsgesetz 2021 (VGG) 19 1. Wesentlicher Regelungsinhalt 19 2. Bereitstellung digitaler Leistungen 22 3. Aktualisierungspflicht des Unternehmers 23 IV. Gesetzgebungsvorhaben 1. HinweisgeberInnenschutzgesetz (HSchG)

*

26 26

2. Zweites Modernisierungsrichtlinie-Umsetzungsgesetz (MoRUG II)

28

V. Entscheidungen aus Österreich 30 1. Schrems/Facebook Teil 1 (OGH v. 23.6.2021 – 6 Ob 56/21k) 30 2. Schrems/Facebook Teil 2 – Vorabentscheidungsersuchen (OGH v. 23.6.2021 – 6 Ob 56/21k) 34 3. Österreichische Post/Parteiaffinitäten (OGH v. 15.4.2021 – 6 Ob 35/21x) 36 4. Austro/Mechana/Strato – Speichermedienvergütung (OLG Wien v. 21.6.2022 – 33 R 50/20w) 39 5. Facebook/Glawischnig – Urteilsveröffentlichung (HG Wien v. 9.12.2021 – 11Cg 65/16w) 40 6. Unzulässigkeit von Google Analytics (öDSB 14.1.2022, D155.027, 2021-0.586.257) 41 7. Domainentscheidung grösswang groesswang grosswang – bindergroesswang.at (OGH v. 29.3.2022 – 4 Ob 44/22g) 43 8. Lehrerbewertungsapp Lernsieg II (OGH v. 2.2.2022 – 6 Ob 129/21w) 48

Mag Barbara Kuchar, Rechtsanwältin und Partnerin der KWR Karasek Wietrzyk Rechtsanwälte GmbH in Wien, Fachgebiete Immaterialgüterrecht und gewerblicher Rechtsschutz, unlauterer Wettbewerb, Daten- und Know-howSchutz.

351

Barbara Kuchar Literatur: Anderl, Zum immateriellen Schadenersatzanspruch bei DSGVO-Verstößen, ecolex 2021/473; Arnold, Umsetzung der Whistleblower-Richtlinie, GesRZ 2022/101; Auinger/Strasser, Urheberrechts-Novelle 2021 – Überblick und neue Plattformhaftung, ÖBl. 2022/16; Bichler/Krickl/Hinger, Video-Sharing und Sharehosting; ÖBl. 2022/12; Brenn, Die Haftung der Internet-Provider Eine fast unendliche Geschichte, ÖJZ 2022/129; Fida, Die neue Aktualisierungspflicht nach § 7 VGG, ecolex 2021/700; Fritz/Kirchmair, Drittstaatentransfers bei Cookies – neue Entwicklungen und Lösungswege, Medien und Recht 2022, 190; Hafner-Thomic, Nächste Runde im Streit Schrems vs Facebook (Teil 1) – Teilurteil bestätigt Haushaltsausnahme und Schadenersatz, ecolex 2022/28; Hafner-Thomic, School‘s (not) out – Zur Datenschutzkonformität der Lehrerbewertungs-App „Lernsieg“, ecolex 2022/190; Heltschl, Der Pastiche im Urheberrecht Der Versuch einer Annäherung, ecolex 2022/493; Horak, Unterlassungspflicht der Domain-Vergabestelle, ecolex 2022/379; Janisch, OGH: Vorlagefragen zum immateriellen Schadenersatz nach der DSGVO, jusIT 2021/64, jusIT 2021, 172; Kühteubl/Komarek, das neue HinweisgeberInnenschutzgesetz, ZAS 2023/12; Rohner, „Lernsieg“: Zulässigkeit einer Bewertungsplattform für Lehrpersonal, Dako 2022/32; Schmidt, Die Urheberrechts-Novelle 2021 im Überblick, Jahrbuch Geistiges Eigentum 2022, 229; Stabentheiner, Grundzüge des neuen Verbraucher-gewährleistungsrechts, ÖJZ 2022/16; Stadler/Krickl, Die vorbeugende Prüfung durch die Domain-Vergabestelle, ÖBl. 2023/10; Thiele, Vorlageantrag des OGH: Personalisierte Facebook Werbung – Bloße Vertragserfüllung oder Einwilligungsbedürftigkeit?, jusIT 2021/90; Tipotsch, Haftung des Domain-Registrars für Verletzungen des Namensrechts, MR 2022/177;Wilfing, MoRUG II: Mehr Transparenz im digitalen Geschäftsverkehr Neuerungen im UWG durch das Zweite Modernisierungsrichtlinie-Umsetzungsgesetz (MoRUG II), ÖBl. 2022/59; Zemann, Über den Wolken – grenzenlose Speichermedienvergütung?, ecolex 2022/328.

I. Einleitung 1 Dieser Länderbericht umfasst im Kern den Zeitraum vom 1.7.2021 bis zum 30.6.2022. Er widmet sich den wichtigsten Novellen und Gesetzesbeschlüssen, die in diesem Zeitraum verabschiedet wurden und behandelt auch die relevante österreichische Rechtsprechung aus den Bereichen Datenschutzrecht, IT-Recht, Domainrecht und Recht der Verwertungsgesellschaften. Kurz erwähnt sind auch die wichtigsten Gesetzgebungsvorhaben aus diesem Zeitraum. II. Urheberrechts-Novelle 2021 (Urh-Nov 2021) 1. Übersicht 2 Am 31.12.2021 ist die Urh-Nov 2021 im BGBl1 veröffentlicht worden und großteils am 1.1.2022 in Kraft getreten. Es handelt sich dabei wohl um 1

Bundesgesetz, mit dem das Urheberrechtsgesetz, das Verwertungsgesellschaftengesetz 2016 und das KommAustria-Gesetz geändert werden (BGBl. I 2021/244).

352

Drei-Länder-Treffen 2022 Länderbericht Österreich

die historisch durchgreifendste Novellierung des österreichischen Urheberrechtsgesetzes aus 1936. Mit der Urh-Nov 2021 wurden einerseits Programmpunkte aus dem Regierungsprogramm 2020 – 20242 in den Bereichen Verhinderung unfairer Knebelverträge, Stärkung von Künstlern etc. sowie die Vorgaben der RL über das Urheberrecht im digitalen Binnenmarkt („DSM-RL“)3 und der Online-Satkab-RL4 umgesetzt. Mehrere Themen, wie z. B. der Anspruch auf „angemessene“ und „ver- 3 hältnismäßige“ Vergütung des Urhebers (§§ 37b ff. UrhG – nicht anwendbar auf Computerprogramme) lassen sich nur mit großen Problemen in die bestehende Systematik des UrhG (bzw. ABGB bringen) und haben dementsprechend zu einer nicht ganz optimalen Umsetzung geführt (z. B. §§ 24a und 24b UrhG – Erstreckung der Erlaubnisse für Plattformen auf ihre Nutzer Art. 17 Abs. 2 DSM-RL bzw. Videoabrufdienste Art. 13 DSM-RL unmittelbar vor dem neuen § 24c UrhG – Zweckübertragungstheorie und unbekannte Nutzungsarten). Der zentrale Bereich Uploadfilter wurde eng an der DSM-RL umgesetzt und wird zweifelsohne für weitere Diskussionen und Anwendungsfragen sorgen. In der Folge werden die wichtigsten Regelungsbereiche im Einzelnen 4 kurz behandelt: 2. Erweiterung der freien Werknutzungen Durch die Bestimmung des § 42h UrhG wurde eine freie Werknutzung 5 zugunsten des Text- und Data-Minings eingeführt. § 42g UrhG führt zu einem Ausbau einer freien Werknutzung für digitale Nutzungen in Unterricht und Lehre. § 42 Abs. 7 UrhG hat eine Stärkung der Sicherungsarchivierung über einen eigenen Tatbestand der Vervielfältigung zum eigenen Gebrauch von Kulturerbe-Einrichtungen zur Folge. Eine Beschränkung des Schutzes gemeinfreier Werke der bildenden Kunst wird durch eine Einschränkung des verwandten Schutzrechts der Lichtbildherstellerin/des Lichtbildherstellers in § 74 Abs. 1 UrhG umgesetzt.

2 3

4

Aus Verantwortung für Österreich: Regierungsprogramm 2020–2024, 49. Richtlinie (EU) 2019/790 des Europäischen Parlaments und des Rates vom 17. April 2019 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt und zur Änderung der Richtlinien 96/9/EG und 2001/29/ EG. Richtlinie (EU) 2019/789 des Europäischen Parlaments und des Rates vom 17. April 2019 mit Vorschriften für die Ausübung von Urheberrechten und verwandten Schutzrechten in Bezug auf bestimmte Online-Übertragungen von Sendeunternehmen und die Weiterverbreitung von Fernseh- und Hörfunkprogrammen und zur Änderung der Richtlinie 93/83/EWG des Rates.

353

Barbara Kuchar

§ 42f Abs. 2 UrhG führt zu einer Erweiterung der freien Werknutzung für das Zitat um Nutzungen zum Zweck von Karikaturen, Parodien oder Pastiches auf großen Online-Plattformen, ohne dabei aber die Begriffe „Karikatur, Parodie, Pastiche“ näher zu konkretisieren. Insbesondere der aus dem französischen Rechtsraum entnommene und in der österreichischen Lehre und Rechtsprechung noch weitgehend mit Fragezeichen versehene Begriff des Pastiches wird vermutlich noch zu Diskussionen führen.5 3. Vergriffene Werke 6 Durch die Urh-Nov 2021 wird es nun Kulturerbeeinrichtungen ermöglicht, „vergriffene“ bzw. „nicht verfügbare“ Werke mithilfe der „erweiterten kollektiven Wahrnehmung“ leichter zu nutzen, die Umsetzung dieser Bestimmung erfolgt in §§ 25a, 25b des Verwertungsgesellschaftengesetzes (VerwGesG). 4. Leistungsschutzrechte der Presseverleger und Verlegerbeteiligungen 7 Mit der Urh-Nov 2021 erhalten nunmehr auch die Presseverleger ein eigenes Schutzrecht, nämlich an deren Presseveröffentlichungen für zwei Jahre nach der Veröffentlichung. Dieses Recht tritt somit etwa zu den im österreichischen UrhG bereits vorgesehenen Leistungsschutzrechten des ausübenden Künstlers, des Veranstalters oder dem Schutz von Lichtbildern hinzu. Folglich wird nach § 76f UrhG die bisher weit verbreitete Praxis der kommerziellen Verwertung von Presseveröffentlichungen (oder Ausschnitten davon) durch Suchmaschinen oder Nachrichtenaggregatoren ohne Lizenz nicht mehr möglich sein. Durch § 57a UrhG werden Beteiligungsansprüche von Verlegern an gesetzlichen Vergütungsansprüchen eingeführt. 5. Verantwortung großer Plattformen für den Upload von Werken – Umsetzung des Art. 17 DSM-RL („Uploadfilter“) 8 Der österreichische Gesetzgeber hat – anders als in Deutschland – Art. 17 der DSM-RL in verschiedenen Bestimmungen des UrhG und des VerwGesG umgesetzt. § 18c UrhG normiert, dass Anbieter großer Online-Plattformen selbst urheberrechtlich relevante Verwertungshandlungen vornehmen, wenn sie der Öffentlichkeit Zugang zu hochgeladenen urheberrechtlich relevanten Inhalten verschaffen. Die Rechtslage vor 5

Beispielhaft Heltschl, Der Pastiche im Urheberrecht Der Versuch einer Annäherung, ecolex 2022/493.

354

Drei-Länder-Treffen 2022 Länderbericht Österreich

Einführung dieser Bestimmung sah eine Verantwortlichkeit einer Plattform erst dann vor, wenn diese als Diensteanbieter trotz konkreter Kenntnis von urheberrechtsverletzenden Inhalten diese nicht unverzüglich sperrt oder löscht oder wenn er weiß oder wissen muss, dass über seine Plattform im Allgemeinen durch Nutzer geschützte Inhalte öffentlich zugänglich gemacht werden und er trotzdem dagegen nicht geeignete und erwartbare technische Maßnahmen ergreift.6 Das Hostproviderprivileg des § 16 E-Commerce-G findet nun gemäß § 89a Abs. 4 UrhG auf eine Sendung oder Zurverfügungstellung nach § 18c UrhG keine Anwendung.7 Gemäß § 24a UrhG wird eine Werknutzungsbewilligung bzw. ein Werknutzungsrecht des Plattformanbieters auf die Nutzer des Dienstes erstreckt. § 89a Abs. 1 UrhG sieht eine eigene Schadenersatzregelung für große On- 9 line-Plattformanbieter im Sinne einer Verschuldenshaftung mit Beweislastumkehr vor, Ausnahmen für Start-Ups enthält § 89a Abs. 3 UrhG.8 Die in § 89a Abs. 1 UrhG eingeführte Sorgfaltsverpflichtungen für Plattformanbieter, alle Anstrengungen zu unternehmen, um die Erlaubnis der Urheber einzuholen, wird zum Unterschied von Deutschland nicht näher konkretisiert, es gilt jedenfalls gemäß § 89a Abs. 2 UrhG der Grundsatz der Verhältnismäßigkeit. Plattformanbieter haben sowohl ex-ante Maßnahmen und über Hinweis auch ex-post Maßnahmen zu treffen, um unerlaubte Nutzungen von Werken zu verhindern, was die umstrittenen Uploadfilter erforderlich macht (§ 89a Abs. 1 Z 2 und 3 UrhG). § 89b UrhG setzt den Schutz der Nutzer und das Verbot des Overblocking um. In § 89b Abs. 3 UrhG ist geregelt, dass Uploads kleiner Ausschnitte eines Werkes nicht automatisch gesperrt werden dürfen, unter bestimmten Umständen soll eine zeitlich beschränkte Blockierung jedoch möglich sein. Weiters regelt § 89b UrhG in Abs. 4 eine Möglichkeit für Nutzer, proaktiv vorzubringen, dass die Nutzung – insbesondere zu Zwecken der Karikatur, der Parodie, des Pastiches oder für Zitate zu Zwecken der Kritik oder Rezension erlaubt sei. Der Plattformanbieter hat in diesem Fall – außer ein Rechtsmissbrauch ist sofort erkennbar – den Rechteinhaber zu informieren und die Inhalte zugänglich zu machen. § 89b Abs. 5 und 6 UrhG verpflichten den Plattformanbieter, ein Beschwerdeverfah-

6 7 8

EuGH v. 22.6.2021 – C-682/18 und C-683/18, Frank Peterson gegen Google LLC, YouTube Inc ua und Elsevier Inc gegen Cyado AG, ECLI:EU:C:2021:503. Im Detail auch zu § 18c UrhG: Auinger/Strasser, Urheberrechts-Novelle 2021 – Überblick und neue Plattformhaftung, ÖBl. 2022/16. Sehr ausführlich auch zur Frage der Anwendbarkeit der §§ 81–87 UrhG auf große Online-Plattformen: Schmidt, Die Urheberrechts-Novelle 2021 im Überblick, Jahrbuch Geistiges Eigentum 2022, 229.

355

Barbara Kuchar

ren einzurichten. Als Aufsichtsbehörde über große Online-Plattformen wird gemäß § 89c UrhG die Kommunikationsbehörde Austria eingesetzt. 6. Urhebervertragsrecht 10 Auch der Bereich des Urhebervertragsrechts wurde im Zuge der Urh-Nov 2021 modernisiert. In Anlehnung an das deutsche Urheberrecht wurde der Zweckübertragungsgrundsatz übernommen und in § 24c Abs. 1 UrhG eingeführt. Der Gesetzgeber ging dabei davon aus, dass dem Urheber als Vertragspartei bei der Verwertung seines Werks eine grundlegend schwächere Position zukommt. Diese Bestimmung soll dem Urheber nun eine stärkere wirtschaftliche Rolle gewährleisten.9 11 Hinsichtlich der zum Zeitpunkt des Vertragsschlusses noch unbekannten Verwertungsarten wurden ebenfalls nach Vorbild des deutschen Urheberrechts die Erfordernisse der Schriftform und des Widerrufsrechts des Urhebers in § 24c Abs. 2 UrhG übernommen. Dabei betonte der Gesetzgeber, dass für die Beurteilung, ob eine Nutzungsart bekannt ist, es nicht nur darauf ankommt, dass diese technisch möglich wird, vielmehr muss diese auch wirtschaftlich verwertbar werden. 12 Mit § 37b UrhG wurde der Grundsatz der angemessenen und verhältnismäßigen Vergütung neu eingeführt. Bemerkenswerterweise hat in Abs. 1 auch folgender Passus Eingang gefunden: „Das Urheberrecht schützt den Urheber in seinen geistigen und persönlichen Beziehungen zum Werk und in der Nutzung des Werkes.“ Offensichtlich geht dieser weit über den Zweck der rein wirtschaftlichen Aufwertung der Position eines Urhebers hinaus, vielmehr wird hierdurch – obwohl systematisch etwas unpassend – das Urheberpersönlichkeitsrecht angesprochen. 13 Nicht zuletzt wurde mit der Urh-Nov 2021 ein Vertragsanpassungsmechanismus eingeführt. Denn gerade im Bereich des Urheberrechts kann es durchaus dazu kommen, dass ein Werk den kommerziellen Erfolg völlig unerwartet verzeichnet. Für die Neuverhandlung seiner Position verbleibt dem Urheber aber wenig Spielraum. Gerade für einen solchen Fall, dass die voraussichtlichen Einnahmen zum Zeitpunkt der Lizenzvergabe oder Rechteübertragung unverhältnismäßig niedrig angesetzt waren, soll die Bestimmung des § 37c UrhG Abhilfe bieten.

9

ErläutRV 1178 BlgNR 27. GP 13.

356

Drei-Länder-Treffen 2022 Länderbericht Österreich

Um dieses Recht effektiv ausüben zu können, benötigt der Urheber auch 14 ausreichende und transparente Informationen über den wirtschaftlichen Erfolg seines Werks. Diese werden ihm mithilfe des Anspruchs auf Auskunft nach § 37d UrhG gewährt. § 31a UrhG führt neu ein Recht des Urhebers ein, der ein Werknutzungs- 15 recht gegen eine pauschale Vergütung eingeräumt hat, das Werk nach 15 Jahren anderweitig zu verwerten. Das eingeräumte Werknutzungsrecht wird dann in eine Werknutzungsbewilligung umgewandelt. Frühestens nach 5 Jahren können die Vertragsparteien schriftlich das Werknutzungsrecht für die gesamte Schutzdauer vereinbaren. Ausnahmen sieht § 31a Abs. 3 UrhG beispielsweise für Werke vor, die im Rahmen eines Arbeitsverhältnisses oder mit Zustimmung des Urhebers als Marke, Design oder sonstiges Kennzeichen geschaffen wurden. 7. Ursprungslandprinzip, Verwertungsgesellschaftenpflicht, „Direkteinspeisung“, Ausnahmen vom Senderecht Das Ursprungslandprinzip wird auf bestimmte sendungsbegleitende 16 Online-Dienste erweitert. Dabei handelt es sich um solche Angebote, die sich auf die Sendeprogramme eindeutig beziehen, diesem allerdings untergeordnet sind (wie etwa sendungsergänzendes Material), nicht aber um eigenständige Werke oder sonstige Schutzgegenstände, die in diesen Programmen enthalten sind. Folglich hat die Verwertung solcher Dienste nur in jenem Land stattzufinden, in dem das Sendeunternehmen seine Hauptniederlassung hat, um nur für dieses Land die Nutzung im Internet klären zu müssen.10 Erweitert wird auch die Verwertungsgesellschaftspflicht auf andere For- 17 men der Weitersendung. Aufgrund des technologieneutralen Ansatzes hat sich die österreichische Rspr dem auch bereits angeschlossen, dass die Weitersendung nicht per se über Kabel erfolgen muss, sondern dass auch die Weitersendung über Mikrowellen oder UMTS erfasst ist.11 § 17 Abs. 3 UrhG aF wurde bereits länger als richtlinien- und konventionswidrig kritisiert, er sah Ausnahmen vom Senderecht vor, wenn die Übermittlung von Rundfunksendungen über bestimmte Antennenanlagen und Rundfunkvermittlungsanlagen erfolgte. Diese Bestimmung wurde daher teilweise aufgehoben, das ORF-Privileg – die Weitersendung von ORF-Sendungen gilt als Teil der ursprünglichen Sendung – wurde jedoch in § 17 Abs. 3 UrhG aufrechterhalten.

10 ErläutRV 1178 BlgNR 27. GP 10. 11 OGH v. 22.9.2020 – 4 Ob 149/20w m. w. N.

357

Barbara Kuchar

18 In einem neuen § 17 Abs. 4 UrhG wurde die „Direkteinspeisung“ geregelt und gemäß der Online-Sat-Kab-RL klargestellt, dass eine einzige Sendung stattfindet, auch wenn mehrere Parteien an dieser beteiligt sind, dies gilt allerdings nicht, wenn der Rundfunkunternehmer das Werk auch selbst sendet. III. Verbrauchergewährleistungsgesetz 2021 (VGG) 1. Wesentlicher Regelungsinhalt 19 Das Gewährleistungsrichtlinien-Umsetzungsgesetz – GRUG12 – trat am 1.1.2022 in Kraft und setzt zwei EU-Richtlinien, nämlich die Warenkauf-Richtlinie13 und die Digitale-Inhalte-Richtlinie14 in das österreichische Recht um. 20 Folgende Maßnahmen wurden in der Regierungsvorlage15 als Schwerpunkte hervorgehoben: –

Einbeziehung von Verträgen, bei denen der Verbraucher Daten als Gegenleistung zur Verfügung stellt, in das Verbraucher-Gewährleistungsrecht;

–

Schaffung von Regelungen zu „Waren mit digitalen Elementen“;

–

Erfordernis einer ausdrücklichen Zustimmung beim Abweichen von objektiv erforderlichen Eigenschaften;

–

Entfall des Erfordernisses, Gewährleistungsrechte gerichtlich geltend zu machen;

–

Verlängerung der Vermutungsfrist für die Beweislastumkehr;

–

Verlängerung der Verjährungsfrist;

–

Ausweitung des Rückgriffs des gewährleistungspflichtigen Übergebers.

21 Durch das GRUG wird ein Verbrauchergewährleistungsrecht eingeführt, das nun parallel neben den Bestimmungen über die Gewährleistung im 12 Bundesgesetz, mit dem ein Bundesgesetz über die Gewährleistung bei Verbraucherverträgen über Waren oder digitale Leistungen (Verbrauchergewährleistungsgesetz – VGG) erlassen wird sowie das allgemeine bürgerliche Gesetzbuch und das Konsumentenschutzgesetz geändert werden (Gewährleistungsrichtlinien-Umsetzungsgesetz – GRUG), BGBl. I 2021/175. 13 RL 2019/771/EU über bestimmte vertragsrechtliche Aspekte des Warenkaufs. 14 RL 2019/770/EU über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen. 15 ErläutRV 949 BlgNR. 27. GP – Vorblatt und WFA.

358

Drei-Länder-Treffen 2022 Länderbericht Österreich

ABGB gilt. § 1 VGG regelt den Geltungsbereich dieses Gesetzes, es soll auf Verträge zwischen Unternehmern und Verbrauchern zur Anwendung kommen, die entweder den Kauf von Waren oder die Bereitstellung digitaler Leistungen zum Inhalt haben. Ein Werkvertrag „klassischer Ausprägung“, der entweder gar keine kaufvertraglichen Elemente oder nur solche von untergeordneter Bedeutung aufweist, wird nicht unter den „Kauf von Waren“ im Sinn des Abs. 1 Z 1 zu subsumieren sein.16 Zahlreiche Ausnahmen, die vom Anwendungsbereich des VGG ausgenommen sind, finden sich in § 1 Abs. 2 VGG, dies sind beispielsweise Gesundheits-, Glücksspiel- und Finanzdienstleistungen. 2. Bereitstellung digitaler Leistungen Die Bezeichnung „digitale Leistungen“ soll die aus der RL stammenden 22 Begriffe „digitale Inhalte“ und „digitale Dienstleistungen“ zusammenfassen. In diesem Fall ist es unerheblich, ob der zugrundeliegende Vertrag nach seinem Typus ein Kauf-, Werk- oder Mietvertrag ist. Es kommt auch nicht auf die Gegenleistung des Verbrauchers an, dies kann gemäß § 1 Abs. 1 Z 2. b) VGG sowohl eine Zahlung als auch eine Hingabe von Daten sein (außer der Unternehmer verarbeitet diese Daten ausschließlich zur Bereitstellung der digitalen Leistungen oder zur Erfüllung von rechtlichen Anforderungen). 3. Aktualisierungspflicht des Unternehmers Gemäß § 7 VGG haftet der Unternehmer auch dafür, dass dem Ver- 23 braucher Updates zur Verfügung gestellt werden, damit die Ware oder Leistung weiterhin dem Vertrag entspricht. Wie lange eine solche Aktualisierungspflicht besteht, hängt von der digitalen Leistung ab und gilt entweder für den Zeitraum, den der Verbraucher aufgrund der Art und des Zwecks der Ware und deren digitaler Elemente beziehungsweise der digitalen Leistung und unter Berücksichtigung der Umstände und der Art des Vertrags vernünftigerweise erwarten kann, jedoch mindestens für zwei Jahre ab Übergabe. Die Aktualisierungspflicht kann gemäß § 7 Abs. 1 VGG nur durch eine 24 ausdrückliche und gesonderte Zustimmung abbedungen werden. Gemäß § 1 Abs. 3 VGG gilt die Aktualisierungspflicht auch für Verträge zwischen zwei Unternehmern. In diesem Bereich geht das VGG über die zwingenden Vorgaben der RL hinaus. Dies wird vom Gesetzgeber damit begründet, dass auch einem Einzelhändler gegenüber seinen „Vormännern“ in 16 ErläutRV 949 BlgNR. 27. GP 3f.

359

Barbara Kuchar

der Vertragskette ein Anspruch auf Zurverfügungstellung von Aktualisierungen eingeräumt werden soll, um dem Einzelhändler für die Erfüllung seiner eigenen Aktualisierungspflicht gegenüber dem Verbraucher eine taugliche Grundlage zu bieten.17 Im B2B Bereich wird man diese Aktualisierungspflicht jedoch durch vertragliche Vereinbarung einschränken oder ausschließen und daher auch konkludent oder in AGB abbedingen können.18 25 Diese sowohl im B2C- als auch im B2B-Bereich geltende Aktualisierungspflicht könnte insbesondere Softwareunternehmen vor eine Reihe neuer Herausforderungen – z. B. in den Bereichen Kompatibilität und Cybersecurity (vgl. „Sicherheit“ als objektiv erforderliche Eigenschaft in § 6 Abs. 2 Z. 5 VGG) – stellen. IV. Gesetzgebungsvorhaben 1. HinweisgeberInnenschutzgesetz (HSchG)19 26 Die WhistleblowerRL20 zur Verstärkung des Schutzes von WhistleblowerInnen (HinweisgeberInnen) wäre bis zum 17.12.2021 umzusetzen gewesen. Nach langen Verzögerungen und Einleitung eines Vertragsverletzungsverfahrens gegen Österreich wegen verspäteter Umsetzung wurde am 3.6.2022 ein Begutachtungsentwurf für das HSchG21 veröffentlicht. 27 Mehrere Detailaspekte des Ministerialentwurfs, der im Wesentlichen den Anforderungen der WhistleblowerRL entspricht, wurden als negativ gewertet, insbesondere, dass von der Möglichkeit einer Erweiterung auf Sach- und Rechtsbereiche, die in der WhistleblowerRL nicht genannt sind („Gold-Plating“), kein Gebrauch gemacht wurde. Auch die Benennung des Bundesamtes zur Korruptionsprävention und Korruptionsbekämpfung, eine dem Bundesministerium für Inneres zugeordnete Behörde, als einheitliche Meldestelle für den privaten und den öffentlichen

17 ErläutRV 949 BlgNR. 27. GP 15. 18 Siehe Stabentheiner, Grundzüge des neuen Verbrauchergewährleistungsrechts, ÖJZ 2022/16. 19 Das HSchG ist am 25.2.2023 in Kraft getreten. 20 Richtlinie (EU) 2019/1937 des Europäischen Parlaments und des Rates vom 23. Oktober 2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. 21 Bundesgesetz über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen (HinweisgeberInnenschutzgesetz – HSchG), BGBl. I 6/2023.

360

Drei-Länder-Treffen 2022 Länderbericht Österreich

Bereich wurde kritisiert.22 Diesen Kritikpunkten wurde auch im letztlich in Kraft getretenen HSchG nicht Rechnung getragen.23 2. Zweites Modernisierungsrichtlinie-Umsetzungsgesetz (MoRUG II)24 Am 15.6.2022 wurde die Regierungsvorlage25 für das MoRUG II26 veröf- 28 fentlicht. Dieses Gesetz dient der Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union (ModernisierungsRL)27, welche die UGP-RL28 und die PreisangabenRL29 betreffen. 29

Die Regierungsvorlage hat folgende Schwerpunkte: –

Regelungen für Preisermäßigungen im Preisauszeichnungsgesetz;

–

Dual Quality: Idente Vermarktung einer Ware in mehreren Mitgliedstaaten trotz wesentlicher Unterschiede in ihrer Zusammensetzung oder ihren wesentlichen Merkmalen als irreführende Geschäftspraktik;

–

Änderungen bei den Informationspflichten vor allem für Betreiber von Verkaufsplattformen insbesondere i. Z. m. mit der Aufklärung

22 Vgl. Arnold, Umsetzung der Whistleblower-Richtlinie, GesRZ 2022/101. 23 Vgl. Kühteubl/Komarek, das neue HinweisgeberInnenschutzgesetz, ZAS 2023/12. 24 Das MORUG II ist am 20.7.2022 in Kraft getreten. 25 ErläutRV 1530 BlgNR 27. GP. 26 Bundesgesetz, mit dem das Bundesgesetz gegen den unlauteren Wettbewerb 1984 und das Bundesgesetz über die Auszeichnung von Preisen geändert werden (Zweites Modernisierungsrichtlinie-Umsetzungsgesetz – MoRUG II), BGBl. I 110/2022. 27 Richtlinie (EU) 2019/2161 des Europäischen Parlaments und des Rates vom 27. November 2019 zur Änderung der Richtlinie 93/13/EWG des Rates und der Richtlinien 98/6/EG, 2005/29/EG und 2011/83/EU des Europäischen Parlaments und des Rates zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union. 28 Richtlinie 2005/29/EG des Europäischen Parlaments und des Rates vom 11. Mai 2005 über unlautere Geschäftspraktiken im binnenmarktinternen Geschäftsverkehr zwischen Unternehmen und Verbrauchern und zur Änderung der Richtlinie 84/450/EWG des Rates, der Richtlinien 97/7/EG, 98/27/ EG und 2002/65/EG des Europäischen Parlaments und des Rates sowie der Verordnung (EG) Nr. 2006/2004 des Europäischen Parlaments und des Rates (Richtlinie über unlautere Geschäftspraktiken). 29 Richtlinie 98/6/EG des Europäischen Parlaments und des Rates vom 16. Februar 1998 über den Schutz der Verbraucher bei der Angabe der Preise der ihnen angebotenen Erzeugnisse.

361

Barbara Kuchar

über die Parameter von Rankings und die Sicherstellung der Integrität von Kundenbewertungen; –

Zwei weitreichende Änderungen für die Rechtsfolgen von UWG-Verstößen allgemein, nämlich Normierung eines Schadenersatzanspruches für Verbraucher auf positiven Schaden und eine komplette Neuordnung des Geldstrafen Regimes (bis zu 4% des Jahresumsatzes).

V. Entscheidungen aus Österreich 1. Schrems/Facebook Teil 1 (OGH v. 23.6.2021 – 6 Ob 56/21k) 30 In diesem Verfahren wurde die Betreiberin der Social Media Plattform Facebook von Max Schrems als Kläger mit mehreren Verstößen gegen die DSGVO belangt und stellte umfangreiche Begehren auf Feststellung, Unterlassung, Auskunft und Schadenersatz. Max Schrems verfügte über ein privates Facebook-Profil, das nur einem engen Personenkreis zugänglich war. 31 Unter anderem begehrte Max Schrems die Feststellung, dass er in Bezug auf eigens von ihm hochgeladene Inhalte wie z. B. Fotos Verantwortlicher i. S. d. Art. 4 Z 7 DSGVO sei, diesem Begehren wurde vom OGH jedoch keine Folge gegeben. Der OGH beurteilte die von Facebook gebotene Möglichkeit, sich unter hohem Einsatz von Zeit und Mühe selbst über ein umfangreiches Online-Tool (mit über 60 Unterkategorien) Auskunft zu verschaffen, dem Recht auf Auskunft i. S. d. Art. 15 DSGVO nicht gerecht wird. Diese Nichterfüllung des Auskunftsbegehrens war kausal für das emotionale Ungemach des Klägers, weil er dadurch einen Kontrollverlust über seine Daten erlitt.30 Der Schaden war auch spürbar – laut Feststellungen des Erstgerichts war der Kläger „massiv genervt“. Der Ersatz eines immateriellen Schadens gem. Art. 82 Abs. 1 DSGVO i. H. v. 500 Euro wurde in diesem Fall als gerechtfertigt angesehen. 32 Die folgenden Rechtssätze31 wurden aus dieser Entscheidung entwickelt: 1. Teilt eine betroffene Person ihre personenbezogenen Daten auf einem sozialen Netzwerk zu rein privaten Zwecken nur mit einem begrenzten Adressatenkreis („Freunde“) und konnten diese Personen die Daten der betroffenen Person auch nicht ohne Zustimmung an Dritte 30 Glosse von Hafner-Thomic, Nächste Runde im Streit Schrems vs Facebook (Teil 1) – Teilurteil bestätigt Haushaltsausnahme und Schadenersatz, ecolex 2022/28. 31 RS -Justiz: RS 0132579, RS 0133704 und RS 0133705.

362

Drei-Länder-Treffen 2022 Länderbericht Österreich

weitergeben, so fällt die Datenverarbeitung in die Haushaltsausnahme i. S. d. Art. 2 Abs. 2 lit. c DSGVO. 2. Allein die Möglichkeit einer betroffenen Person, sich unter hohem Einsatz von Zeit und Mühe selbst über ein umfangreiches Online-Tool einer Social-Media-Plattform (mit über 60 Unterkategorien) Auskunft zu verschaffen, wird dem Recht auf Auskunft i. S. d. Art. 15 DSGVO nicht gerecht. 3. Kommt es aufgrund einer mangelhaften Beantwortung eines Auskunftsbegehrens zu einer nicht besonders schwerwiegenden Beeinträchtigung der Gefühlswelt – die betroffene Person war von der Datenverarbeitung „massiv genervt“ – so kann dies zu einem Ersatz des immateriellen Schadens gem. Art. 82 Abs. 1 DSGVO führen. Voraussetzung dafür ist, dass der Schaden auch wirklich eingetreten ist. 4. Im Lichte des Effektivitätsgrundsatzes nach ErwGr 146 DSGVO ist bei nur unvollständiger Erfüllung eines Auskunftsbegehrens einer betroffenen Person durch die verantwortliche Plattform ein immaterieller Schadenersatz i. H. v. 500 Euro gerechtfertigt. Der OGH entschied in diesem Verfahren mit einem Teilurteil und legte 33 weitere Fragen zur Rechtfertigung der Datenverarbeitung und des Auskunftsbegehrens dem EuGH zur Entscheidung vor: 2. Schrems/Facebook Teil 2 – Vorabentscheidungsersuchen (OGH v. 23.6.2021 – 6 Ob 56/21k) Die weiteren Teilbereiche des unter Punkt 1. beschriebenen und bereits 34 teilweise erledigten Verfahrens, betreffen die Reichweite verschiedener Erlaubnisgrundlagen der DSGVO. Der OGH möchte vom EuGH wissen, ob Facebook eine Einwilligung zur Nutzung von Kundendaten für personalisierte Werbung benötigt. Nach den getroffenen Feststellungen verwendet Facebook Cookies, Social Plugins und Pixel, die es Facebook ermöglichen, Informationen über InternetnutzerInnen und deren Besuche auf externen Websites zu sammeln, um dann daraus personalisierte Anzeigen für Facebook NutzerInnen mit ähnlichem Verhalten zu schalten.32 Max Schrems brachte vor, dass er hierfür keine Einwilligung erteilt und die von Facebook angebotene Option gewählt habe, keine Daten von Werbetreibenden und anderen Partnern über Aktivitäten außerhalb von Facebook-Produkten zum Zweck der Anpassung von Anzeigen zu ver-

32 Ausführlich erklärt bei Thiele, Vorlageantrag des OGH: Personalisierte Facebook Werbung – Bloße Vertragserfüllung oder Einwilligungsbedürftigkeit?, jusIT 2021/90.

363

Barbara Kuchar

wenden. Seit Inkrafttreten der DSGVO stützt sich Facebook für diese Aktivitäten auf die mit den NutzerInnen abgeschlossenen Verträge und argumentiert, personalisierte Werbung stelle einen erforderlichen Teil ihrer Dienstleistung dar, dies war für den OGH offenbar nicht überzeugend. 35 Der OGH legte dem EuGH folgende Fragen zur Entscheidung33 vor: 1. Sind die Bestimmungen der Art. 6 Abs. 1 lit. a und b DSGVO dahingehend auszulegen, dass die Rechtmäßigkeit von Vertragsbestimmungen in allgemeinen Nutzungsbedingungen über Plattformverträge wie jenem im Ausgangsverfahren (insbesondere Vertragsbestimmungen wie: „Anstatt dafür zu zahlen [...] erklärst du dich durch Nutzung der F*-Produkte, für die diese Nutzungsbedingungen gelten, einverstanden, dass wir dir Werbeanzeigen zeigen dürfen ... Wir verwenden deine personenbezogenen Daten [...] um dir Werbeanzeigen zu zeigen, die relevanter für dich sind.“), die die Verarbeitung von personenbezogenen Daten für Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung beinhalten, nach den Anforderungen des Art. 6 Abs. 1 lit. a i. V. m. Art. 7 DSGVO zu beurteilen, die nicht durch die Berufung auf Art. 6 Abs. 1 lit. b DSGVO ersetzt werden können? 2. Ist Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) dahin auszulegen, dass alle personenbezogenen Daten, über die eine Plattform wie im Ausgangsverfahren verfügt (insbesondere durch den Betroffenen oder durch Dritte auf und außerhalb der Plattform), ohne Einschränkung nach Zeit oder Art der Daten für Zwecke der zielgerichteten Werbung aggregiert, analysiert und verarbeitet werden können? 3. Ist Art. 9 Abs. 1 DSGVO dahin auszulegen, dass er auf die Verarbeitung von Daten anzuwenden ist, die eine gezielte Filterung von besonderen Kategorien personenbezogener Daten wie politische Überzeugung oder sexuelle Orientierung (etwa für Werbung) erlaubt, auch wenn der Verantwortliche zwischen diesen Daten nicht differenziert? 4. Ist Art. 5 Abs. 1 lit. b i. V. m. Art. 9 Abs. 2 lit. e DSGVO dahin auszulegen, dass eine Äußerung über die eigene sexuelle Orientierung für die Zwecke einer Podiumsdiskussion die Verarbeitung von anderen Daten zur sexuellen Orientierung für Zwecke der Aggregation und Analyse von Daten zum Zwecke der personalisierten Werbung erlaubt?

33 Das Verfahren wird beim EuGH zu Rs. C-446/21 geführt.

364

Drei-Länder-Treffen 2022 Länderbericht Österreich

3. Österreichische Post/Parteiaffinitäten (OGH v. 15.4.2021 – 6 Ob 35/21x) Gegenstand dieses Gerichtsverfahrens war die Vorgangsweise der Öster- 36 reichischen Post, im Jahr 2017 Daten über Parteiaffinitäten der gesamten österreichischen Bevölkerung zu sammeln. Meinungsforschungsinstitute führten anonyme Umfragen mit Fragen zum Interesse an Wahlwerbung durch, die Ergebnisse wurden mit Statistiken aus Wahlergebnissen kombiniert und mittels Algorithmus erfolgte eine Zuordnung zu Personen je nach Wohnort, Alter, Geschlecht usw. Die Beklagte kaufte weitere Adressen zu und verkaufte dann die erhobenen Daten. Der Kläger, der keine Einwilligung zur Datenverarbeitung erteilt hatte, 37 erfuhr aufgrund eines Auskunftsersuchens von der Speicherung seiner Daten und von seiner ihm zugeschriebenen „hohen Affinität“ zur FPÖ, die ihn erbost und beleidigt hat. Er begehrte Unterlassung, Löschung sämtlicher Daten sowie Zahlung von 1.000 Euro für den erlittenen immateriellen Schaden. Der OGH legte dem EuGH in einem Vorabentscheidungsersuchen fol- 38 gende Fragen zum Themenkomplex des immateriellen Schadens bei Datenschutzverstößen vor34: 1. Erfordert der Zuspruch von Schadenersatz nach Art. 82 DSGVO neben einer Verletzung von Bestimmungen der DSGVO auch, dass der Kläger einen Schaden erlitten hat oder reicht bereits die Verletzung von Bestimmungen der DSGVO als solche für die Zuerkennung von Schadenersatz aus? 2. Bestehen für die Bemessung des Schadenersatzes neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrechts? 3. Ist die Auffassung mit dem Unionsrecht vereinbar, was Voraussetzung für den Zuspruch immateriellen Schadens ist, dass eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht vorliegt, die über den durch die Rechtsverletzung hervorgerufenen Ärger hinausgeht?

34 Der EuGH hat diese Rechtssache zu C 300/21 geführt und die Vorlagefragen in seinem Urteil vom 4.5.2023 dahingehend beantwortet, dass ein bloßer Verstoß gegen die Bestimmungen der DSGVO nicht für einen Schadenersatzanspruch ausreicht, dass es für den Schaden der betroffenen Person jedoch keine Erheblichkeitsschwelle gibt.

365

Barbara Kuchar

4. Austro/Mechana/Strato – Speichermedienvergütung (OLG Wien v. 21.6.2022 – 33 R 50/20w) 39 Nach Bejahung der Abgabepflicht einer Speichermedienvergütung bei Cloud-Speichern durch den EuGH35, wurde die Rechtssache an das HG Wien als erstinstanzliches Gericht zur neuerlichen Verhandlung und Entscheidung zurückverwiesen. Es sein nun durch den EuGH klargestellt, dass die Cloud ein Speichermedium im Sinne des § 42 Abs. 1 UrhG sei. Das HG Wien wird sich nun mit den Argumenten der klagenden Verwertungsgesellschaft und deren Begehren auf Rechnungslegung und Zahlung auseinandersetzen und entsprechende Feststellungen treffen müssen. Interessant ist im hier vorliegenden Fall, dass die Server der Beklagten in Deutschland liegen und es daher auch einige internationale Implikationen bei der rechtlichen Beurteilung geben wird.36 5. Facebook/Glawischnig – Urteilsveröffentlichung (HG Wien v. 9.12.2021 – 11Cg 65/16w) 40 Dieses Verfahren, in dem es um die Unterlassung der Verbreitung eines Lichtbilds samt Hasspostings über die Klägerin, eine ehemalige Politikerin, ging hatte bereits mehrere Instanzen, darunter auch den EuGH37, durchlaufen. Das erstinstanzliche HG Wien, an das das Verfahren wieder zurückverwiesen worden ist, hat Facebook im Februar 2022 eine territorial unbegrenzte Urteilsveröffentlichung auf der Facebook-Startseite aufgetragen38, der Facebook überraschend auch nachgekommen ist:

35 EuGH v. 24.3.2022 – C-433/20. 36 Vgl. Zemann, Über den Wolken – grenzenlose Speichermedienvergütung?, ecolex 2022/328. 37 Der EuGH hat in der E C-18/17 die grundsätzliche Zulässigkeit einer weltweiten Unterlassungsanordnung bejaht. 38 Brenn, Die Haftung der Internet-Provider Eine fast unendliche Geschichte, ÖJZ 2022/129;.

366

Drei-Länder-Treffen 2022 Länderbericht Österreich

6. Unzulässigkeit von Google Analytics (öDSB 14.1.2022, D155.027, 2021-0.586.257) Aufgrund einer Beschwerde eines durch den Verein NOYB des bekann- 41 ten österreichischen Datenschutzaktivisten Max Schrems vertretenen Beschwerdeführers entschied die öDSB, dass ein Datentransfer in die USA durch den Einsatz von Google Analytics unzulässig ist, wenn keine (ausreichenden) zusätzlichen Maßnahmen getroffen werden. Die im konkreten Fall getroffenen Maßnahmen wurden alle als unzureichend beurteilt, darunter auch eine Verschlüsselung der Daten. Die Frage, ob eine Einwilligung i. S. d. Art. 49 Abs. 1 lit. a DSGVO mit entsprechender Aufklärung zu einem rechtmäßigen Einsatz von Google Analytics

367

Barbara Kuchar

führen könnte, war nicht verfahrensgegenständlich und wurde in dieser Entscheidung nicht behandelt.39 42 Die öDSB hat dabei folgende Grundsätze bei seiner rechtlichen Beurteilung festgelegt: –

Ein Unternehmen, das Google Analytics einsetzt, ist Verantwortlicher i. S. d. Art. 24 DSGVO.

–

IP Adressen, mit der Möglichkeit für Google, die Nutzer zu identifizieren, sind personenbezogene Daten i. S. d. DSGVO.40

–

Es ist ausreichend, wenn irgendjemand die Möglichkeit hat, mit rechtlich zulässigen Mitteln und vertretbarem Aufwand aus den erhobenen Daten auf eine Person zu schließen.

–

Nach der Schrems II Entscheidung41 ist klargestellt, dass für Datentransfers in unsichere Drittländer wie die USA vorab eine Prüfung der Angemessenheit des Datenschutzniveaus erforderlich ist. Zwischen den Parteien vereinbarte „Standarddatenschutzklauseln“ i. S. d. Art. 46 Abs. 2 c DSGVO bieten kein angemessenes Schutzniveau, da sie den Zugriff der Behörden nicht verhindern können.

–

Eine Verschlüsselung von Daten ist ebenfalls dann nicht ausreichend, wenn der Datenimporteur in die USA über den Schlüssel verfügt, da dieser gemäß 50 U.S. Code § 1881a („FISA 702“) eine Verpflichtung hat, Daten und auch die entsprechenden Schlüssel herauszugeben.

7. Domainentscheidung grösswang groesswang grosswang – bindergroesswang.at (OGH v. 29.3.2022 – 4 Ob 44/22g) 43 Die Klägerin ist eine international tätige Rechtsanwaltskanzlei mit Sitz in Wien und betreibt unter der Domain eine Website. Sie ist auch Inhaberin der österreichischen Wortmarke „Binder Grösswang“. Die Beklagte ist eine französische Gesellschaft, die als Domain-Namen Vergabestelle agiert und als Zusatzdienst auch einen E-Mail-Dienst anbietet, der es den Domain-Inhabern erlaubt, E-Mails unter dem registrierten Domain-Namen zu versenden. 39 Weitere Überlegungen dazu bei Fritz/Kirchmair, Drittstaatentransfers bei Cookies – neue Entwicklungen und Lösungswege, Medien und Recht 2022, 190. 40 Auszug aus dem Bescheid der öDSB, Seite 28 zur Aussonderung i. S. d. ErwGr 26 DSGVO: „Wer ein Tool verwendet, welches eine solche Aussonderung gerade erst ermöglicht, kann sich nicht auf den Standpunkt stellen, nach „allgemeinem Ermessen“ keine Mittel zu verwenden, um natürlich Personen identifizierbar zu mache.“ 41 EuGH v. 16.7.2020 – C-11/18, Schrems II.

368

Drei-Länder-Treffen 2022 Länderbericht Österreich

Ab Mitte März 2020 registrierte ein Dritter Domains, die jeweils die Wor- 44 te „binder“ und „groesswang“/„grosswang“ enthielten, wie beispielsweise , , 26. 3. 2020: ), , etc. Mit der Registrierung wurde von diesem Dritten auch der E-Mail-Zusatzdienst abonniert und es war somit möglich, E-Mails von der registrierten Domain mit der jeweiligen Domain-Kennung zu versenden und vorzutäuschen, dass diese von Mitarbeitern der Klägerin stammten. Der Dritte verwendete die Domains zur Begehung von Straftaten nach dem Muster eines „CEO-Betrugs“ bei österreichischen Banken und Gesellschaften, die in einem Naheverhältnis zur Rechtsanwaltskanzlei standen. Die Klägerin informierte das Abuse-Team der Beklagten mehrfach über 45 diese Vorfälle und forderte die Löschung der Domains, Verhinderung weiterer Registrierungen von Domains, die „Binder Groesswang“ in jeder Form der Schreibweise enthalten und Bekanntgabe des Domaininhabers. Die Beklagte reagierte zwar dahingehend, dass sie die jeweils bekannt gegebenen Domains samt den E-Mail-Diensten sperrte, die Daten der Domaininhaber wurden erst mit der Klagebeantwortung offengelegt. Der Aufforderung, die Registrierung von allen weiteren Domains mit dem kombinierten Namensgebrauch Binder/Grösswang (bzw Grosswang/ Groesswang) von sich aus zu unterlassen, auch wenn ihr keine konkrete Domain genannt wird, kam die Beklagte jedoch nicht nach. Der OGH bestätigte die Instanzentscheidung, wonach hier der Beklag- 46 ten ein „bewusstes Verschließen“ vor der Kenntnis derjenigen Umstände vorzuwerfen sei, die die Registrierung der Domains im Zusammenhang mit ihrer missbräuchlichen Verwendung objektiv rechtswidrig erscheinen lassen. Die Beklagte hätte über die technischen Möglichkeiten verfügt und nahm dennoch keine Prüfungen dahin vor, ob weitere Registrierungen mit den Worten „Binder“ und „Grösswang/Grosswang/ Groesswang“ vorgenommen wurden. Der OGH bejahte den Unterlassungsanspruch und gelangte zu einer Prüfpflicht im Zusammenhang mit weiteren Registrierungen von Domains unter kombinierter Verwendung von „Binder“ und „Grösswang/Grosswang/Groesswang“. Das Begehren der Klägerin, dass der Beklagten untersagt werden sollte, auch „ähnliche Domains“ zu registrieren, wurde abgewiesen: Bildet das Namensrecht der Klägerin die Grundlage des Unterlassungsbegehrens, wäre die Untersagung von Domains, die dem Namen zwar ähnlich sein mögen, ihn jedoch nicht beinhalten, überschießend.42

42 Kritisch: Tipotsch, Haftung des Domain-Registrars für Verletzungen des Namensrechts, MR 2022/177 und Horak, Unterlassungspflicht der Domain-Vergabestelle, ecolex 2022/379.

369

Barbara Kuchar

47 Folgender Rechtssatz43 wurde aus dieser Entscheidung entwickelt: Einen Domain-Namensverwalter trifft dann eine Pflicht zur Prüfung von Registrierungen, wenn ihm zu bestimmten Namen bereits mehrere massive Rechtsverletzungen von Namensinhabern gemeldet wurden. Dabei ist der Einwand der ausnahmsweise fehlenden Zumutbarkeit im konkreten Einzelfall nicht im Titelverfahren, sondern im Impugnationsverfahren zu erheben. 8. Lehrerbewertungsapp Lernsieg II (OGH v. 2.2.2022 – 6 Ob 129/21w) 48 Die Erstbeklagte entwickelte im Jahr 2019 eine App für die Bewertung von Schulen und Lehrern und brachte diese in die Zweitbeklagte ein. Der Kläger ist ein Lehrer an einer HTL. In der App ist er als Lehrer dieser Schule mit seinem Vornamen, seinem Familiennamen und seinen Graden „Ing. Dipl. Päd.“ ausgewiesen, und es wird Nutzern ermöglicht, eine Bewertung seiner Tätigkeit als Lehrer vorzunehmen. Nach der Veröffentlichung der App leitete die Datenschutzbehörde von Amts wegen ein Prüfungsverfahren ein, das ohne Erlassung eines Bescheids eingestellt wurde. Daraufhin stellte die Zweitbeklagte die App zum Download bereit. 49 Der Kläger beantragte, den Beklagten die Verarbeitung seiner personenbezogenen Daten zu untersagen und seine Daten zu löschen. Er begründete dies damit, dass er durch die Datenverarbeitung in seinem Recht auf Datenschutz und seinen Persönlichkeitsrechten auf Achtung des Privatund Familienlebens, auf Namensanonymität, auf Schutz der Ehre und des beruflichen Fortkommens verletzt werde. Die Datenverarbeitung sei unzulässig, weil er weder eine Zustimmung erteilt habe noch die übrigen Voraussetzungen für die Rechtmäßigkeit der Verarbeitung gemäß Art. 6 Abs. 1 DSGVO erfüllt seien. 50 Der OGH erachtete sich an die Entscheidung der Datenschutzbehörde nicht gebunden und führte eine eingeständige Prüfung der Datenverarbeitungen und eine Interessenabwägung anhand des Prüfschemas des EuGH44 durch. Der OGH erkannte, dass die Verarbeitung personenbezogener Daten des Klägers in der App gemäß Art. 6 Abs. 1 lit. f DSGVO rechtmäßig ist und daher auch kein Anspruch auf Löschung der Daten besteht. Die hier strittigen Bewertungen des Klägers betreffen ausschließlich seine Berufsausübung, sohin die Sozialsphäre, die nur einen 43 RS0133947. 44 Ausführlich erörtert bei: Hafner-Thomic, School‘s (not) out – Zur Datenschutzkonformität der Lehrerbewertungs-App „Lernsieg“, ecolex 2022/190.

370

Drei-Länder-Treffen 2022 Länderbericht Österreich

geringeren Schutz beanspruchen kann als die Privatsphäre. Rechtlich relevante Gründe dafür, Bewertungen der Unterrichtsqualität des Klägers durch seine eigenen Schüler zu untersagen, liegen nicht vor. Der OGH führte auch aus, dass das Medienprivileg hier nicht einschlägig ist. Er schließt sich damit der in der Literatur vertretenen Ansicht an, dass die Privilegierung von Datenverarbeitungen zu journalistischen Zwecken ein gewisses Maß an journalistischer Bearbeitung und meinungsbildender Wirkung für die Allgemeinheit bedarf, was bei der Abgabe von bloßen Bewertungen üblicherweise nicht der Fall ist.

371

Drei-Länder-Treffen 2022 Länderbericht Österreich Die Umsetzung der Warenkauf- und Digitale-Inhalte-Richtlinien in Österreich Thomas Rainer Schmitt* I. Die rechtlichen Rahmenbedingungen der Umsetzung 1 II. Übergreifende Aspekte des VGG 7 1. Verhältnis des Verbrauchergewährleistungsgesetzes zu anderen relevanten Normen 7 2. Struktur und System des Verbrauchergewährleistungsgesetzes 11 III. Ausgewählte Aspekte der vier Abschnitte des Verbrauchergewährleistungsgesetzes 15 1. Erster Abschnitt: Allgemeine Bestimmungen 15

a) Zum Geltungsbereich des VGG 15 b) Zur Gewährleistungspflicht des Unternehmers 20 c) Zur Aktualisierungspflicht 23 2. Zweiter Abschnitt: Gewährleistung beim Warenkauf 28 3. Dritter Abschnitt: Erfüllung, Gewährleistung und Leistungsänderung bei Verträgen über die Bereitstellung digitaler Leistungen 33 4. Vierter Abschnitt: Verjährungsund Schlussbestimmungen 40 IV. Schlussbetrachtung

44

Literatur: Denga, Digitale Souveränität durch Datenprivatrecht?, GRUR 2022, 1113; Flume/Kronthaler/Laimer (Hrsg.), VGG (2022); Kern, Anwendungsbereich der Warenkauf- und der Digitale Inhalte-RL, in Stabentheiner/Wendehorst/Zöchling-Jud, Das neue europäische Gewährleistungsrecht, 33; Klever, Gewährleistung bei repariertem Vorschaden, VbR 2021/109, 196; Kodek/Leupold, Gewährleistung NEU (2019); Kogler, Der Ausschluss der Aktualisierungspflicht bei Waren mit digitalen Elementen und bei digitalen Leistungen, ecolex 2022/67, 188; Schmitt, jusIT Spezial: GRUG 2022 (2022); Schulze/Staudenmayer (Hrsg.), EU Digital Law (2020); Schwimann/Kodek (Hrsg.), ABGB Praxiskommentar5 (2021); Stabentheiner/Wendehorst/Zöchling-Jud (Hrsg.), Das neue europäische Gewährleistungsrecht (2019); Wendehorst, Aktualisierungen und andere digitale Dauerleistungen, in Stabentheiner/Wendehorst/Zöchling-Jud, Das neue europäische Gewährleistungsrecht, 111; Wendehorst, Direkthaftung des Herstellers (Teil I), VbR 2020/54, 94; Wendehorst, Direkthaftung des Herstellers (Teil II), VbR 2020/81, 138.

*

Dr. Thomas Rainer Schmitt, Stellvertretender Leiter der österreichischen Aufsichtsbehörde für Verwertungsgesellschaften.

373

Thomas Rainer Schmitt

I. Die rechtlichen Rahmenbedingungen der Umsetzung 1 Die Umsetzung der Warenkauf-Richtlinie1 (nachfolgend kurz: „WKRL“) und der Digitale-Inhalte-Richtlinie2 (nachfolgend kurz: „DIRL“) in Österreich brachte einige durchgreifende Änderungen, vor allem im Gewährleistungsrecht. Dies nicht nur in inhaltlicher, sondern vor allem auch in systematischer Hinsicht: Ein bisher schlankes und altbewährtes System wurde wesentlich komplexer, was teilweise durch die Richtlinienvorgaben, teilweise aber auch durch die legistische Umsetzung bedingt ist. 2 Die zeitliche Umsetzung beider Richtlinien sollte bis zum 1.7.2021 erfolgen.3 Österreich verfehlte diese Vorgabe knapp, weil die rechtliche Basis hierfür, das Gewährleistungsrichtlinien-Umsetzungsgesetz4 (nachfolgend kurz: „GRUG“), erst am 9.9.2021 kundgemacht wurde. Die Anwendung der nationalen Vorschriften konnte jedoch entsprechend der Richtlinienvorgabe ab dem 1.1.2022 erfolgen, weil ein Inkrafttreten der neuen Vorschriften mit diesem Tag normiert wurde. 3 Dem GRUG ging ein durchaus intensives vorparlamentarisches Verfahren voran. Der entsprechende Ministerialentwurf wurde im April 2021 veröffentlicht.5 Innerhalb der knapp einmonatigen Abgabefrist wurden insgesamt 31 Stellungnahmen verschiedener Stakeholder6 veröffentlicht. Die Gesetzesmaterialien7 betonen zu Recht auch die umfangreiche wissenschaftliche Begleitung des Prozesses, welche insbesondere aus einer im Juni 2019 abgehaltenen Fachtagung und einer Arbeitsgruppe bestand, 1

2

3 4

5 6

7

Richtlinie (EU) 2019/771 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte des Warenkaufs, zur Änderung der Verordnung (EU) 2017/2394 und der Richtlinie 2009/22/EG sowie zur Aufhebung der Richtlinie 1999/44/EG, ABl. L 2019/136, 28. Richtlinie (EU) 2019/770 des Europäischen Parlaments und des Rates vom 20. Mai 2019 über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen, ABl. L 2019/136, 1. Vgl. Art. 24 Abs. 1 WKRL und DIRL. Bundesgesetz, mit dem ein Bundesgesetz über die Gewährleistung bei Verbraucherverträgen über Waren oder digitale Leistungen (Verbrauchergewährleistungsgesetz – VGG) erlassen wird sowie das allgemeine bürgerliche Gesetzbuch und das Konsumentenschutzgesetz geändert werden (Gewährleistungsrichtlinien-Umsetzungsgesetz – GRUG), BGBl. I 175/2021. 107/ME XXVII. GP, abrufbar unter https://www.parlament.gv.at/gegenstand/ XXVII/ME/107. Darunter auch Stellungnahmen von Univ.-Prof. Dr. Constanze Fischer-Czermak und Ass.-Prof. Dr. Barbara Beclin, beide Institut für Zivilrecht, Universität Wien. Die Erläuterungen zur Regierungsvorlage sind abrufbar unter https://www. parlament.gv.at/gegenstand/XXVII/I/949.

374

Drei-Länder-Treffen 2022 Länderbericht Österreich – Richtlinienumsetzung

welche Teilentwürfe zu verschiedenen Regelungsfragen ausarbeitete.8 Einige Vorschläge der Arbeitsgruppe sind in den Gesetzestext eingeflossen, so etwa von Univ.-Prof. Dr. Peter Bydlinski, Univ.-Prof. Mag. Dr. Andreas Geroldinger und Univ.-Prof. Mag. Dr. Wolfgang Faber zu § 933b ABGB. Andere, wie insbesondere ein von Univ.-Prof. Dr. Christiane Wendehorst, LL.M. erstatteter Regelungsvorschlag für eine gewährleistungsrechtliche Direkthaftung des Herstellers und des Importeurs gegenüber dem Verbraucher, wurden leider abgelehnt (was vor allem angesichts der für digitale Leistungen charakteristischen, starken faktischen wie rechtlichen Stellung der Hersteller von Software sehr bedauerlich ist).9 Kern des GRUG ist die Erlassung eines Verbrauchergewährleistungs- 4 gesetzes (nachfolgend kurz: „VGG“10).11 Enthalten sind darüber hinaus Änderungen des allgemeinen bürgerlichen Gesetzbuchs (nachfolgend kurz: „ABGB“) und des Konsumentenschutzgesetzes (nachfolgend kurz: „KSchG“).12 Den Abschluss bildet der obligatorische13 Umsetzungshinweis.14 In diesem Beitrag sollen die Bestimmungen des VGG im Vordergrund stehen. Die Änderungen im ABGB dienen zum einen der Anpassung der gewähr- 5 leistungsrechtlichen Regelungen im allgemeinen Schuldrecht an jene im VGG (insbesondere im Bereich der Fristen). Die augenfälligste, wenngleich rein terminologische Änderung ist wohl die Abkehr vom Begriff der „Wandlung“ hin zur „Auflösung des Vertrags“, was laut Materialien aber vor allem auch dazu dienen soll, den Gesetzestext weg von einer altertümlichen bzw. ungebräuchlichen Form und einem alltagssprachlichen Verständnis näher zu bringen.15 Zum anderen wurde auch der Händlerregress neu geregelt, welcher jetzt nur mehr durch im Einzelnen ausgehandelte, nicht gröblich benachteiligende Klauseln ausgeschlossen 8 Vgl. ErlRV 949 BlgNR XXVII. GP, 6. 9 Vgl. ErlRV 949 BlgNR XXVII. GP, 8. Siehe auch Wendehorst, Direkthaftung des Herstellers (Teil I), VbR 2020/54, 94; Wendehorst, Direkthaftung des Herstellers (Teil II), VbR 2020/81, 138. Siehe auch ErwGr. 13 DIRL, der die Regelung dieses Problems durch die Mitgliedstaaten explizit gestattet. 10 Die Abkürzung VGG wurde auch vom österreichischen Gesetzgeber gewählt. Das österreichische Äquivalent des unter diesem Kürzel in Deutschland bekannten Gesetzes über die Wahrnehmung von Urheberrechten und verwandten Schutzrechten durch Verwertungsgesellschaften wird Verwertungsgesellschaftengesetz 2016 (kurz: VerwGesG 2016) genannt. 11 Art. 1 GRUG. 12 Art. 2 und 3 GRUG. 13 Vgl. Art. 24 Abs. 1 UAbs. 3 WKRL und DIRL. 14 Art. 4 GRUG. 15 Vgl. ErlRV 949 BlgNR XXVII. GP, 26.

375

Thomas Rainer Schmitt

oder beschränkt werden kann.16 Diese Änderung war zwar nicht von den Richtlinien vorgegeben, aber dennoch vom neuen Recht inspiriert. So umfasst sie auch den Regress in Folge von Gewährleistung im Zusammenhang mit der neuen Aktualisierungspflicht und soll auch in diesem Verhältnis dem Schutz des schwächeren Vertragspartners dienen, worin – nach Art einer typisierenden Sichtweise – das vorangegangene Glied in der Vertragskette gesehen wird.17 6 Die Änderungen des KSchG brachten ebenfalls Anpassungen, die durch das VGG notwendig wurden (etwa hinsichtlich Einschränkungsmöglichkeiten der Gewährleistung beim Gebrauchtwarenkauf, welche vom KSchG in das VGG transferiert wurden). Außerdem hinzu kamen (i) neue Verzugsbestimmungen für Verbraucherverträge im Allgemeinen18 und Verbrauchverträge über digitale Leistungen im Speziellen,19 sowie (ii) neue Bestimmungen zu Garantien,20 insbesondere – den zuvor nicht dezidiert geregelten21 – Haltbarkeitsgarantien22. Die Verortung der Verzugsbestimmungen im KSchG sorgt für das systematisch kuriose Ergebnis, dass die Frage, wann ein Verzug bei der Bereitstellung digitaler Leistungen vorliegt, nach § 17 VGG zu bestimmen ist, die Rechtsfolgen eines solchen Verzugs sich jedoch aus § 7d KSchG ergeben. Die Materialien begründen dies mit einem dahingehenden „expliziten politischen Wunsch“23. II. Übergreifende Aspekte des VGG 1. Verhältnis des Verbrauchergewährleistungsgesetzes zu anderen relevanten Normen 7 Das österreichische System der Gewährleistung wird durch die Umsetzung der Richtlinien nicht grundsätzlich auf den Kopf gestellt, aber deutlich komplizierter. Dies ergibt sich bereits daraus, dass bei jedem Fall grundsätzlich überlegt werden muss, welche Normen überhaupt anwendbar sind, weil sich diese zumindest in Details unterscheiden. 16 Vgl. § 933b Abs. 4 ABGB. 17 Vgl. ErlRV 949 BlgNR XXVII. GP, 42 und 43. 18 Vgl. § 7c KSchG, welcher an Art. 18 Abs. 2 der Verbraucherrechte-Richtlinie 2011/83/EU zum Vorbild anknüpft; hierfür hatte man zuvor keine eigene Bestimmung für erforderlich gehalten, vgl. ErlRV 949 BlgNR XXVII. GP, 45. 19 Vgl. §§ 7c und 7d KSchG. 20 Vgl. § 9a KSchG. 21 Vgl. § 9b KSchG i. d. F. BGBl. 140/1979. 22 Vgl. § 9a Abs. 2 KSchG. 23 Vgl. ErlRV 949 BlgNR XXVII. GP, 31.

376

Drei-Länder-Treffen 2022 Länderbericht Österreich – Richtlinienumsetzung

In sachlicher Hinsicht gilt das VGG nur für Warenkaufverträge (welche 8 auch Waren mit digitalen Elementen umfassen)24 und Verträge über die Bereitstellung digitaler Leistungen (was sowohl Ziel-25 als auch Dauerschuldverhältnisse26 umfasst) im Bereich B2C – vorbehaltlich einiger Ausnahmen.27 Für mit der Gewährleistung thematisch verbundene Fragen bleibt – vor allem für Warenkaufverträge – insbesondere das KSchG von Relevanz (etwa Fragen zur Durchführung bzw. den Ort der Gewährleistung28 bei Verträgen über nicht-digitale Leistungen29); ebenso das ABGB (etwa die Regeln zur sachenrechtlichen Übergabe gemäß §§ 426 ff. ABGB). Auch für Verträge über die Bereitstellung digitaler Leistungen sind alle Vorschriften des ABGB relevant, die stets neben den gewährleistungsrechtlichen Regeln anwendbar sein können,30 also vor allem jene betreffend die Irrtumsanfechtung31, den Schadenersatz32 und die Vertragsanfechtung wegen Verkürzung über die Hälfte33. Für all jene Verträge, auf die das VGG nicht anwendbar ist, existiert mit 9 den §§ 922 ff. ABGB weiterhin ein vertragsartenübergreifendes Gewährleistungssystem (egal ob B2B, B2C oder C2C). Bei Werkverträgen besteht zwar mit § 1167 ABGB eine eigene Norm, diese verweist jedoch bloß auf die §§ 922 ff. ABGB. Lediglich für Bestandverträge existieren Sonderbe24 Beispiele für digitale Elemente sind laut den Materialien u.a. die App einer Smart Watch, standardisierte Anwendungen eines Smartphones wie Alarm und Kamera oder auch Hörbeispiele, die einem Sprachlehrbuch beigefügt sind, etwa per Datenträger; vgl. ErlRV 949 BlgNR XXVII. GP, 16 f. Der Begriff ist weit zu verstehen und setzt weder voraus, dass die digitale Leistung in die Ware „inkorporiert“ oder vorinstalliert ist, noch, dass sie für die Erfüllung einer Hauptfunktion benötigt wird. 25 Etwa – nach Maßgabe insbesondere der konkreten Lizenzbestimmungen und des (Urheber-)Vertragsrechts – ein Vertrag über die dauerhafte Überlassung digitaler Inhalte, wie eines eBooks. 26 Etwa das Abonnement einer elektronischen Zeitschrift oder ein Jahreszugang für eine Softwarelösung wie Microsoft 365. 27 Vgl. § 1 Abs. 1 und 2 VGG. 28 Vgl. § 8 KSchG, dessen zweiter Absatz der Umsetzung von Art. 14 Abs. 2 WKRL dient. 29 Für Verträge über digitale Leistungen ist § 8 KSchG nicht einschlägig, weil sie auf Umstände abstellt, die exklusiv der analogen Welt zuzurechnen sind, wie etwa die Untunlichkeit einer Beförderung des Vertragsgegenstands zum Unternehmer. 30 Vgl. dazu auch ErlRV 949 BlgNR XXVII. GP, 28; Kodek/Leupold, Gewährleistung NEU, S. 67 ff. Siehe auch ErwGr. 18 und Art. 3 Abs. 6 WKRL; ErwGr. 24 und 25 sowie Art. 3 Abs. 10 DIRL. 31 §§ 871 ff. ABGB. 32 §§ 933a, 1293 ff. ABGB. 33 Sog. „laesio enormis“, §§ 934 f. ABGB.

377

Thomas Rainer Schmitt

stimmungen, die folglich z. B. für Verträge über digitale Inhalte zwischen Unternehmern relevant sein können, auf die an dieser Stelle aber nicht eingegangen werden kann. Im B2C-Bereich bleibt wie gehabt stets das KSchG daneben relevant, welches auch außerhalb des VGG weiterhin sicherstellt, dass die Gewährleistungsrechte des Verbrauchers vor Kenntnis des Mangels nicht ausgeschlossen oder eingeschränkt werden können34. 10 Bemerkenswert ist, dass die Bezeichnung des VGG in gewisser Weise „irreführen“ kann: Einerseits regelt das Gesetz hinsichtlich Verträgen über digitale Leistungen auch nicht-gewährleistungsrechtliche Aspekte – vorgegeben durch die DIRL. Andererseits ist das Gesetz nicht nur für Verträge zwischen Unternehmern und Verbrauchern relevant, sondern normiert mit der Aktualisierungspflicht auch eine Pflicht zwischen Unternehmern, was sich – etwas versteckt – aus § 1 Abs. 3 VGG ergibt. 2. Struktur und System des Verbrauchergewährleistungsgesetzes 11 Das VGG gliedert sich in vier Abschnitte. Der erste und der vierte Abschnitt sind für alle Vertragstypen relevant. Der zweite Abschnitt betrifft hingegen ausschließlich die Gewährleistung beim Warenkauf, der dritte Abschnitt ist nur auf Verträge über die Bereitstellung digitaler Leistungen anwendbar. Mit insgesamt 31 Paragraphen ist das Gesetz durchaus schlank gehalten. 12 Der erste Abschnitt (§§ 1 – 8 VGG) behandelt zunächst für das VGG als solches grundlegende Fragen. Dies inkludiert den Geltungsbereich (§ 1 VGG), die Begriffsdefinitionen (§ 2 VGG) und die relativ zwingende Natur seiner Vorschriften zugunsten des Verbrauchers (§ 3 VGG). Es folgt die Ausgestaltung der allgemeinen Gewährleistungspflicht des Unternehmers,35 welche die Haftung für (i) vertraglich vereinbarte Eigenschaften (§ 5 VGG), (ii) die objektiv erforderlichen Eigenschaften (§ 6 VGG), (iii) die Erfüllung der Aktualisierungspflicht (§ 7 VGG) und die Haftung für (iv) unsachgemäße Montage, Installation oder Integration umfasst. Kurzum: Hier wird geregelt, wann ein Mangel vorliegt. 13 Der Aufbau der Abschnitte zwei und drei ist im Wesentlichen gleich: Es wird zunächst der jeweilige Anwendungsbereich normiert (§§ 9 und 16 VGG). Anschließend werden Gewährleistungsumfang, -frist und -be34 Vgl. § 9 KSchG. 35 Alle genannten Aspekte der Gewährleistungspflicht werden in § 4 VGG aufgezählt und verwiesen. Der legistische Mehrwert der Bestimmung darf kritisch hinterfragt werden.

378

Drei-Länder-Treffen 2022 Länderbericht Österreich – Richtlinienumsetzung

helfe geregelt (§§ 10, 12 – 15 sowie §§ 18, 20 – 26 VGG). Auch die Regeln zur Beweislast und die Fristen, innerhalb derer vermutet wird, dass der Mangel bereits bei Übergabe/Bereitstellung vorgelegen ist, finden sich in diesen Abschnitten (§§ 11 und 19 VGG). Die Regelungen im dritten Abschnitt sind der Natur der Sache entsprechend detaillierter. Zudem finden sich hier – der Richtlinienvorgabe folgend – auch nicht-gewährleistungsrechtliche Aspekte geregelt, nämlich die Vertragserfüllung (§ 17 VGG) und die Leistungsänderung durch den Unternehmer (§ 27 VGG). Im vierten Abschnitt des VGG ist vor allem die Bestimmung über die 14 Verjährung interessant (§ 28 VGG), in der für den Beginn der Verjährungsfrist an den Ablauf der Gewährleistungsfrist (die wie soeben erwähnt im zweiten bzw. dritten Abschnitt geregelt wird) angeknüpft wird. III. Ausgewählte Aspekte der vier Abschnitte des Verbrauchergewährleistungsgesetzes 1. Erster Abschnitt: Allgemeine Bestimmungen a) Zum Geltungsbereich des VGG In personeller Hinsicht gilt das VGG nur für Verträge, bei denen der 15 Unternehmer als Anbieter (also als Verkäufer oder Bereitsteller) und der Verbraucher als Nachfrager (also als Käufer oder als Bezieher oder Nutzer) auftritt. Dies ergibt sich in dieser Ausdrücklichkeit nur aus den Materialien36, nicht aber aus dem Gesetzestext, erscheint aber auch gewissermaßen „logisch“. Eine eigene Definition für Verbraucher und Unternehmer enthält das 16 VGG nicht, sondern verweist diesbezüglich auf § 1 KSchG.37 Dadurch werden vom VGG insbesondere auch Geschäfte erfasst, die eine natürliche Person vor Aufnahme des Betriebes ihres Unternehmens zur Schaffung der Voraussetzungen dafür tätigt.38 Als Verbraucher sind neben natürlichen Personen zudem gewisse juristische Personen des Privatrechts anzusehen, etwa kleine Idealvereine.39 In sachlicher Hinsicht erfasst das VGG wie bereits erwähnt nur Verträge 17 über den Kauf von Waren sowie Verträge über die Bereitstellung digitaler 36 Vgl. ErlRV 949 BlgNR XXVII. GP, 12. Siehe auch Kern in Stabentheiner/ Wendehorst/Zöchling-Jud, Gewährleistungsrecht, 33, 34. 37 Vgl. § 1 Abs. 1 VGG. Ausübung der Option gemäß ErwGr 16 F. 2 DIRL. 38 Vgl. § 1 Abs. 3 KSchG, § 343 Abs. 3 UGB sog. „Gründungsgeschäfte“. 39 Vgl. Apathy/Frössel in Schwimann/Kodek, ABGB Praxiskommentar5 § 1 KSchG Rz. 8 m. w. N.

379

Thomas Rainer Schmitt

Leistungen. Die typenspezifischen Ausnahmen umfassen all jene Fälle, die in Art. 3 Abs. 5 DIRL aufgezählt werden, außerdem aber auch den Kauf lebender Tiere.40 18 Als Waren gelten bewegliche körperliche Sachen, wobei auch noch herzustellende Waren umfasst sind.41 Dadurch werden allerdings auch Verträge erfasst, die nicht als „reine“ Kaufverträge gelten, nämlich Werklieferungsverträge, also Verträge mit kauf- und werkvertraglichen Elementen, bei denen die kaufvertraglichen Elemente überwiegen. Der „klassische“ Werkvertrag bleibt hingegen im ABGB geregelt; die Materialien nennen als Beispiel hierfür das Schneidernlassen eines Anzugs aus Stoff, den der Verbraucher bereitstellt.42 Wasser, Gas und Strom sind ebenfalls als Waren anzusehen, wenn sie in einem begrenzten Volumen oder in einer bestimmten Menge angeboten werden.43 Der Kauf einer Mineralwasserflasche unterliegt damit dem VGG, nicht jedoch ein Stromliefervertrag.44 19 Der vom österreichischen Gesetzgeber gewählte Überbegriff der „digitalen Leistung“ umfasst digitale Inhalte und digitale Dienstleistungen. Er entspricht dem deutschen Begriff des „digitalen Produkts“45 und wurde gewählt, um den Gesetzestext besser sinnerfassend lesen zu können.46 Gegenleistung kann hier – anders als beim Warenkauf – die Leistung einer Zahlung oder die Hingabe personenbezogener Daten des Verbrauchers sein, wobei letztgenannter Fall wohl sowohl die faktisch-technische Komponente der Datenübermittlung als auch die rechtliche Komponente der datenschutzrechtlichen Einwilligung umfasst.47 Die Materialien stellen klar, dass der Begriff der Zahlung im weitesten Sinn zu verstehen ist und damit jedes Entgelt umfasst,48 was die Rechtsprechung wiederum als „jeder wirtschaftliche Vorteil, jedes eigenwirtschaftliche Interesse“ umschreibt.49 Das VGG erfasst somit im digitalen Bereich auch Tausch-

40 Vgl. § 1 Abs. 2 Z. 1 VGG; Ausübung der Option gemäß Art. 3 Abs. 5 lit. b WKRL. 41 Vgl. § 1 Abs. 1 Z. 1 VGG. 42 Vgl. ErlRV 949 BlgNR XXVII. GP, 13. Siehe auch Kern in Stabentheiner/ Wendehorst/Zöchling-Jud, Gewährleistungsrecht, 33, 36 f. 43 Vgl. Art. 2 Z. 5 lit. a WKRL. 44 Vgl. Schmitt, GRUG 2022, S. 10. 45 Vgl. § 327 Abs. 1 BGB. 46 Vgl. ErlRV 949 BlgNR XXVII. GP, 9. 47 Dies lässt mit Denga, GRUR 2022, 1113, 1114 annehmen, dass „das Konzept von ‚Daten als Gegenleistung‘ dadurch nun endgültig rechtlich anerkannt“ ist. Dazu auch ausführlich Schmitt, GRUG 2022, S. 37 ff. 48 Vgl. ErlRV 949 BlgNR XXVII. GP, 13. 49 Vgl. OGH v. 23.2.1983 – 1 Ob 785/82, EvBl. 1983/133, 472.

380

Drei-Länder-Treffen 2022 Länderbericht Österreich – Richtlinienumsetzung

verträge,50 wie etwa die Bereitstellung einer App gegen Abgabe einer anonymen Produktbewertung51 oder den Erwerb eines NFT gegen Bitcoin52. b) Zur Gewährleistungspflicht des Unternehmers Die Gewährleistungspflicht des Unternehmers bildet den größten und 20 wichtigsten Teil des ersten Abschnitts des VGG. Neu ist hier vor allem, dass nicht allein der Vertrag der Maßstab für die Mangelhaftigkeit des Vertragsgegenstands ist, sondern grundsätzlich stets auch für das Vorliegen objektiv erforderlicher Eigenschaften nach Art eines Mindeststandards53 gehaftet wird. Erhalten bleiben freilich auch Einschränkungen, die bisher schon hinsichtlich einer Leistungsbeschreibung bestanden: Diese dürfen gegenüber Verbrauchern weder intransparent sein noch das Verbot des Gewährleistungsauschlusses54 umgehen. Für unzulässig aufgrund dieser Vorgaben wurde etwa eine vertragliche Klausel befunden, wonach der Zugang zu einer digitalen Dienstleistung „vorübergehend“ eingeschränkt werden könne.55 Leistungsbeschreibungen dürfen zudem – auch gegenüber Unternehmern – weder (i) überraschend und nachteilig,56 noch (ii) gröblich benachteiligend,57 noch (iii) sittenwidrig58 sein. Wie gehabt – und gerade bei digitalen Leistungen – ist für die Ermittlung 21 der objektiv erforderlichen Eigenschaften vor allem das maßgebend, was der Verbraucher „vernünftigerweise erwarten kann“,59 was objektiv und insbesondere unter Berücksichtigung der Art und des Zwecks des Leistungsgegenstands zu bestimmen ist60. Anhaltspunkte liefern auch sektorspezifische Normen61 und Proben62. Demnach sind auch vermeidbare Sicherheitslücken mangelbegründend.63 Trotz allem bleibt die Ermitt50 Ausübung der Option gemäß ErwGr 16 F. 1 DIRL. 51 Vgl. Schmitt, GRUG 2022, S. 17. 52 Vgl. Flume/Ziegler in Flume/Kronthaler/Laimer, VGG § 1 VGG Rz. 32. Ob der Erwerb von Waren gegen Bitcoin o. ä. dem VGG unterliegt, ist umstritten, aber nach h. A. zu verneinen; vgl. Schmitt, GRUG 2022, S. 11 f. 53 Vgl. ErlRV 949 BlgNR XXVII. GP, 19. 54 § 9 KSchG; § 3 VGG. 55 Vgl. OGH v. 22.12.2020 – 4 Ob 213/20g Rz. 24 ff., VbR 2021/38, 67 (Leupold/ Gelbmann). Für weitere einschlägige Beispiele siehe Schmitt, GRUG 2022, S. 37 f. 56 § 864a ABGB. 57 § 879 Abs. 3 ABGB. 58 § 879 Abs. 1 ABGB. 59 Vgl. § 6 Abs. 2 Z. 4 und 5 VGG. 60 Vgl. ErwGr. 46 DIRL; ErwGr. 24 WKRL. 61 Vgl. § 6 Abs. 2 Z. 1 VGG. 62 Vgl. § 6 Abs. 2 Z. 2 und 3 VGG. 63 Vgl. Schmitt, GRUG 2022, S. 44.

381

Thomas Rainer Schmitt

lung der vernünftigen Verbrauchererwartungen und der maßgeblichen Referenzgruppe vor allem bei digitalen Leistungen schwierig und – mit den Worten von Staudenmayer64 – ein „moving target“; ein Problem, für dessen Lösung auch das VGG wenig beiträgt. 22 Für das Vorliegen objektiv erforderlicher Eigenschaften wird nur dann nicht gehaftet, wenn der Verbraucher bei Vertragsabschluss der Abweichung eines bestimmten Merkmals von den objektiv erforderlichen Eigenschaften ausdrücklich und gesondert zustimmt, nachdem er von dieser Abweichung eigens in Kenntnis gesetzt wurde.65 Verlangt wird damit einerseits ein aktives und unmissverständliches Verhalten des Verbrauchers, wie etwa das Anklicken eines Kästchens.66 Eine gesonderte Zustimmung wird vor allem voraussetzen, dass diese von der Annahme des Vertrags unterscheidbar ist und somit nicht eine einzige Willenserklärung, z. B. in Form eines einzelnen Unterschriftsfelds oder eines einzigen Kästchens für „alles“ ausreicht.67 c) Zur Aktualisierungspflicht 23 Aktualisierungen können zum einen bereits aufgrund des Vertrags geschuldet sein, was § 5 Z. 4 VGG adressiert. Die Norm enthält jedoch keine näheren Vorgaben, sodass diesbezüglich lediglich die üblichen Instrumente der Klauselkontrolle greifen. 24 Zum anderen besteht nunmehr aber auch eine gesetzliche Aktualisierungspflicht, welche für digitale Elemente in Waren sowie für digitale Leistungen vorgesehen ist. Auch hier ist eine Abweichung nur möglich, soweit der Verbraucher bei Vertragsabschluss ausdrücklich und gesondert zustimmt, nachdem er von dieser Abweichung eigens in Kenntnis gesetzt wurde.68 25 Die gesetzliche Aktualisierungspflicht soll sicherstellen, dass innerhalb gewisser Zeiträume jene Aktualisierungen zur Verfügung gestellt werden, die notwendig sind, damit die Ware oder die digitale Leistung weiterhin dem Vertrag entspricht, womit insbesondere Sicherheitsupdates69

64 Staudenmayer in Schulze/Staudenmayer, EU Digital Law, Digital Content Directive (2019/770) Art. 8 Rz. 97. 65 Vgl. § 6 Abs. 1 S. 2 VGG. 66 Vgl. ErwGr. 49 DIRL. 67 Vgl. Schmitt, GRUG 2022, S. 53. 68 Vgl. § 7 Abs. 1 S. 2 VGG. 69 Vgl. ErwGr. 47 DIRL.

382

Drei-Länder-Treffen 2022 Länderbericht Österreich – Richtlinienumsetzung

und Updates zur Verhinderung von Kompatibilitäts- und Interoperabilitätsproblemen70 umfasst sind. Die Aktualisierungspflicht gilt (i) bei Dauerschuldverträgen für die Dauer 26 der Bereitstellungspflicht, bei digitalen Elementen jedoch mindestens für zwei Jahre nach Übergabe der Waren,71 und (ii) bei Zielschuldverhältnissen für jene Dauer, die der Verbraucher vernünftigerweise erwarten kann72. Im letztgenannten Fall ist also die typische Lebensdauer bzw. Supportdauer maßgeblich, was die Ermittlung einer entsprechenden Referenzgruppe (wie „Betriebssystem“, „Office-Lösung“, „Videoschnitt“ usw.) voraussetzt.73 Die Aktualisierungspflicht gilt aufgrund der Anordnung des § 1 Abs. 3 27 VGG auch für Verträge zwischen Unternehmern. Die Materialien begründen dies damit, dass sich im Zuge der Beratungen zum Gesetzesvorhaben das Bedürfnis herauskristallisiert habe, dass der Einzelhändler, der dem Verbraucher gegenüber für Aktualisierungen einstehen muss, einen gleichförmigen Anspruch auf Aktualisierungen gegenüber seinen Vormännern hat.74 Eben dort heißt es auch, dass die „gesetzliche Aktualisierungspflicht in einem Vertragsverhältnis zwischen zwei Unternehmern […] durch vertragliche Vereinbarung eingeschränkt oder abbedungen werden“ kann. Unklar ist jedoch, ob diese Abweichung nur unter denselben strengen Voraussetzungen möglich ist wie im B2C-Bereich.75 2. Zweiter Abschnitt: Gewährleistung beim Warenkauf Im zweiten Abschnitt wurden die besonderen Bestimmungen zum Wa- 28 renkauf verortet und dementsprechend wurden vor allem hier wesentliche Teile der WKRL umgesetzt. Dieser Abschnitt gilt auch für Datenträger, soweit diese als solche erworben werden (z. B. leere USB-Sticks; „leere Datenträger“76), und für Waren mit digitalen Elementen. Von den durch die WKRL eingeräumten Optionen für eine Rügeobliegen- 29 heit für Verbraucher77 und längere Gewährleistungsfristen78 hat Öster70 Vgl. Wendehorst in Stabentheiner/Wendehorst/Zöchling-Jud, Gewährleistungsrecht, S. 111, 122. 71 § 7 Abs. 2 Z. 2 VGG. 72 § 7 Abs. 2 Z. 1 VGG. 73 Siehe dazu ausf. bei Schmitt, GRUG 2022, S. 57 ff. 74 Vgl. ErlRV 949 BlgNR XXVII. GP, 15. 75 Dagegen Kogler, ecolex 2022/67, 188, 121; differenzierend Schmitt, GRUG 2022, S. 62 f. 76 Vgl. zum gegenteiligen Begriff des reinen Datenträgers unten, Rz. 33. 77 Vgl. Art. 12 WKRL. 78 Vgl. Art. 10 Abs. 3 WKRL.

383

Thomas Rainer Schmitt

reich keinen Gebrauch gemacht. Der Unternehmer hat daher für jeden Mangel Gewähr zu leisten, der innerhalb von zwei Jahren nach der Übergabe der Waren hervorkommt. Dasselbe ist hinsichtlich beweglicher Sachen nach ABGB für alle Verträge vorgesehen.79 Geblieben ist hingegen die Möglichkeit, die Gewährleistungsfrist bei gebrauchten beweglichen Sachen auf ein Jahr zu verkürzen.80 30 Auch hinsichtlich der Beweislastumkehr ist Österreich bei der Minimalvariante der Umsetzung geblieben.81 Die Vermutung, dass der Mangel bei Übergabe der Ware bereits vorgelegen ist, gilt daher für ein Jahr nach der Übergabe.82 Für Verträge, die nicht dem VGG unterliegen, gilt nach ABGB wie gehabt sowohl B2B, als auch B2C und C2C eine Beweislastumkehr für sechs Monate nach Übergabe.83 31 Hinsichtlich der Rechte aus der Gewährleistung, also der Behelfe, hat sich nicht viel geändert bzw. folgt das VGG im Wesentlichen dem aus dem ABGB bereits altbekannten System. Neu (und ausschließlich im VGG, nicht im ABGB vorgesehen) ist vor allem, dass ein Umstieg auf die Behelfe der zweiten Ebene (also Preisminderung/Vertragsauflösung) nun auch dann möglich ist, wenn der Unternehmer zwar erfolgreich ausgetauscht oder verbessert hat, aber dabei Nebenpflichten bzgl. der Mangelbehebung verletzt hat, etwa weil er die mangelhafte Ware nicht (auf seine Kosten) entfernt hat.84 In solchen Fällen ist mit den Materialien jedoch davon auszugehen, dass in der Regel nur eine Preisminderung zusteht.85 32 Weiterhin unkonkretisiert bleibt auch, wann ein Mangel nicht mehr geringfügig ist, wenngleich Zweifel über die Geringfügigkeit des Mangels nach VGG zu Lasten des Unternehmers gehen.86 Es kann daher diesbezüglich auf die zum ABGB vorhandene Literatur und Judikatur zurück-

79 Vgl. § 933 Abs. 1 ABGB. Zu beachten ist freilich, dass die Norm aufgrund des weiten Sachbegriffs nach § 285 ABGB, der sich von jenem nach § 90 BGB deutlich unterscheidet, auch unkörperliche Sachen erfasst. Für unbewegliche Sachen gilt nach derselben Norm eine Gewährleistungsfrist von drei Jahren. 80 Vgl. § 10 Abs. 4 VGG; Option gemäß Art. 10 Abs. 6 WKRL. 81 Art. 11 Abs. 2 WKRL gestattet Mitgliedstaaten eine Beweislastumkehr von zwei Jahren (statt bloß einem Jahr) einzuführen oder beizubehalten. 82 Vgl. § 11 Abs. 1 VGG. 83 Vgl. § 924 ABGB. 84 Vgl. § 12 Abs. 4 Z. 4 F. 1 i. V. m. § 13 Abs. 2 und 3 VGG. Umsetzung von Art. 12 Abs. 4 lit. a F. 2 i. V. m. Art. 14 Abs. 2 und 3 WKRL. 85 Vgl. ErlRV 949 BlgNR XXVII. GP, 15, wo zudem erläutert wird, dass man die Preisminderung hier „als eigentlichen Schadenersatzanspruch im gewährleistungsrechtlichen Gewand begreifen“ könne. 86 Vgl. § 12 Abs. 5 VGG.

384

Drei-Länder-Treffen 2022 Länderbericht Österreich – Richtlinienumsetzung

gegriffen werden.87 Im Sinne der ständigen Rechtsprechung des OGH ist anhand einer umfassenden Abwägung der Interessen beider Parteien zu ermitteln, ob die Vertragsauflösung im Hinblick auf deren Folgen für die Parteien und die Schwere des Mangels verhältnismäßig und angemessen ist.88 3. Dritter Abschnitt: Erfüllung, Gewährleistung und Leistungsänderung bei Verträgen über die Bereitstellung digitaler Leistungen Der dritte Abschnitt des VGG gilt für digitale Leistungen, aber auch für 33 rein als „Transportmittel“ fungierende Datenträger („reine Datenträger“). Hinsichtlich Paketverträgen, also Verträgen, in denen neben der Bereitstellung einer digitalen Leistung auch noch andere Leistungen vereinbart werden, wird nur in § 16 Abs. 2 VGG kurz normiert, dass der dritte Abschnitt lediglich für die digitalen Leistungen gilt. Bei der Umsetzung der DIRL hat man sich hier zwar eng am Richtlinien- 34 text orientiert, zugleich aber darauf geachtet, nicht unnötig von Aufbau und Terminologie des zweiten Abschnitts abzuweichen. Aufbau und System des dritten Abschnitts entsprechen daher im Wesentlichen jenem des zweiten Abschnitts. Auch hinsichtlich der Fristen gelten die bereits erwähnte zweijährige 35 Gewährleistungsfrist und die einjährige Frist für die Beweislastumkehr, welche der Sache entsprechend nicht an einer Übergabe, sondern am Zeitpunkt der erfolgten Bereitstellung anknüpfen.89 Für digitale Dauerschuldverhältnisse ist vorgesehen, dass während des gesamten Bereitstellungszeitraums für Mängel Gewähr zu leisten ist und die Beweislastumkehr gilt.90 Die Erfüllung von Verträgen über die Bereitstellung digitaler Leistungen 36 wurde in § 17 VGG eng anhand der Richtlinienvorgabe umgesetzt. Die Vielzahl damit zusammenhängender Fragen, etwa, wie lange oder wie oft z. B. eine Downloadmöglichkeit bereitgestellt werden muss, bleiben bewusst ungeregelt.91 Wie bereits erwähnt gilt, dass lediglich die Erfül87 Ebenso Koch/Kronthaler in Flume/Kronthaler/Laimer, VGG § 12 VGG Rz. 25. 88 Vgl. OGH v. 3.8.2021 – 8 Ob 13/21a Rz. 37, 49, ZVB 2021/92, 449 (Springer) = VbR 2021/111, 205 (Leupold/Gelbmann) = Zak 2021/599, 336 (Kolmasch). 89 Vgl. § 18 Abs. 1 und § 19 Abs. 1 VGG. 90 Vgl. § 18 Abs. 2 und § 19 Abs. 2 VGG. Dasselbe gilt im zweiten Abschnitt hinsichtlich digitaler Elemente, die – anders als die dazugehörige Ware – nicht bloß bei einer Bereitstellung im Rahmen von Kaufverträgen erfasst werden; vgl. § 10 Abs. 2 und § 11 Abs. 2 VGG. 91 Dazu ausf. Schmitt, GRUG 2022, S. 83 ff m. w. N.

385

Thomas Rainer Schmitt

lungs- bzw. Verzugsvoraussetzungen im dritten Abschnitt des VGG geregelt werden, die Folgen hingegen – m. E. durchaus kritikwürdig – in § 7d KSchG.92 37 Mehrere markante Besonderheiten im Vergleich zur Situation beim Warenkauf finden sich vor allem bei den Behelfen: So wird auf erster Ebene nicht zwischen Austausch und Verbesserung unterschieden und lediglich die Herstellung des mangelfreien Zustands geschuldet.93 Hinsichtlich der Art und Weise der Mangelbehebung hat der Verbraucher hier also – anders als beim Warenkauf – keine Wahlfreiheit. Vielmehr kann der Unternehmer entscheiden, welche Mangelbehebungsmaßnahme (z. B. Bereitstellung eines Patches oder einer komplett neu zu installierenden Version) er anbietet.94 Nur eine Mangelbehebungsmaßnahme anzubieten, die dem Verbraucher erhebliche Unannehmlichkeiten bereitet, berechtigt freilich auch hier zum Umstieg auf die zweite Ebene.95 Auf zweiter Ebene gilt es zu beachten, dass Preisminderung nur bei Geldzahlungen möglich ist, beim „Zahlen mit Daten“ hingegen auch dann eine Vertragsauflösung möglich ist, wenn der Mangel nicht geringfügig ist (der Vorrang der ersten Ebene gilt freilich auch in diesen Fällen). 38 Spannend bleibt hinsichtlich der Anzahl der Mangelbehebungsversuche abzuwarten, ob der OGH an seinem bisherigen Dogma festhält, wonach entsprechend dem Prinzip der zweiten Chance stets bereits nach erfolglosem erstem Mangelbehebungsversuch auf die zweite Ebene der Rechtsbehelfe umgestiegen werden kann.96 Dieses Dogma entspricht beim Warenkauf jedenfalls bei teuren oder komplexen Waren jedenfalls nicht der Intention der WKRL.97 Digitale Leistungen sind typischerweise komplex, sodass auch hier m. E. mehrere Verbesserungsversuche zuzulassen sind.98 39 Besonders auffallend ist in diesem Abschnitt natürlich auch das Leistungsänderungsrecht des Unternehmers gemäß § 27 VGG, welches nur bei fortlaufend über einen bestimmten oder unbestimmten Zeitraum bereitzustellenden digitalen Leistungen, also Dauerschuldverhältnissen, gilt. Die Bestimmung entspricht im Wesentlichen Art. 19 DIRL. Im österreichischen Schrifttum ist diesbezüglich etwa umstritten, was bei 92 93 94 95 96

Siehe Rz. 6. Vgl. § 20 Abs. 2 VGG. Vgl. ErlRV 949 BlgNR XXVII. GP, 33 f. Vgl. § 20 Abs. 4 Z. 3 VGG. Vgl. etwa OGH v. 24.9.2020 – 6 Ob 240/19s Punkt 1.2., EvBl. 2021/54, 378 (Painsi/I. Vonkilch) = ecolex 2021/153, 207 (Buchleitner). 97 Vgl. ErwGr. 52 WKRL. 98 Vgl. Schmitt, GRUG 2022, S. 88 f. Ebenfalls kritisch zum Dogma des OGH: Klever, Gewährleistung bei repariertem Vorschaden, VbR 2021/109, 196, 199.

386

Drei-Länder-Treffen 2022 Länderbericht Österreich – Richtlinienumsetzung

Leistungsänderungen gilt, die rein positive Folgen für den Verbraucher haben. Klar ist zwar, dass der Verbraucher mangels hinreichender Beeinträchtigung hier nicht zur Vertragsauflösung berechtigt ist.99 Allerdings wird debattiert, ob solche rein positiven Änderungen vom Verbraucher hinzunehmen sind,100 oder ob die sonstigen Voraussetzungen des Leistungsänderungsrechts zu beachten sind101 (etwa die Verankerung im Vertrag). Nach der zweitgenannten Auslegung würde bei Nichterfüllung der Voraussetzungen des § 27 Abs. 1 VGG auch die rein positive Leistungsänderung eine Abweichung vom vertraglich geschuldeten und damit einen Mangel bewirken. 4. Vierter Abschnitt: Verjährungs- und Schlussbestimmungen Im vierten Abschnitt des VGG finden sich neben der Verjährung auch 40 „Kleinigkeiten“ wie Inkrafttreten, Vollzug und Umsetzungshinweis geregelt. Zur Verjährung wird in den Materialien betont,102 dass im Hinblick auf das Urteil des EuGH in der Rs. Ferenschild103 zwischen der Gewährleistungsfrist (also dem Zeitraum, innerhalb dessen ein Mangel hervorkommen muss, um die gewährleistungsrechtliche Haftung auszulösen) und der Verjährungsfrist (also dem Zeitraum, innerhalb dessen Ansprüche gerichtlich geltend zu machen sind) zu unterscheiden ist. Dies wäre mit Blick auf die Richtlinien, die es ausdrücklich gestatten, dass ein Mitgliedstaat nur eine Verjährungsfrist vorsieht,104 wohl nicht notwendig gewesen. Die Verjährungsfrist wird einheitlich mit drei Monaten festgelegt, wo- 41 bei diese an den Ablauf der jeweiligen Gewährleistungsfrist bzw. an den Ablauf der Bereitstellungspflicht anschließt.105 Man hat sich jedenfalls bewusst dagegen entschieden, Verjährungs- und Gewährleistungsfrist deckungsgleich auszugestalten. Dadurch soll es dem Verbraucher möglich bleiben, seine Rechte für eine angemessene Zeit auch noch nach Ablauf der Gewährleistungsfrist gerichtlich geltend zu machen.106 99 Vgl. § 27 Abs. 3 S. 1 VGG. 100 So Kodek in Stabentheiner/Wendehorst/Zöchling-Jud, Gewährleistungsrecht, 141, 150. 101 So Schmitt, GRUG 2022, S. 117. 102 Vgl. ErlRV 949 BlgNR XXVII. GP, 37. 103 EuGH v. 13.7.2017 – C-133/16, Ferenschild, JBl 2017, 569 (Bydlinski), EWiR 2018, 397 (Kulke). 104 Vgl. ErwGr. 42 und Art. 10 Abs. 5 WKRL; Art. 11 Abs. 2 UAbs. 3, Abs. 3 U Abs. 2 DIRL. 105 Vgl. § 28 Abs. 1 VGG; ebenso § 933 Abs. 3 S. 1 ABGB. 106 Vgl. ErlRV 949 BlgNR XXVII. GP, 38.

387

Thomas Rainer Schmitt

42 Für Rechtsmängel enthält das VGG – der Tradition im ABGB entsprechend107 – die Sonderregelung, dass für den Beginn der Verjährungsfrist, welche hier zwei Jahre beträgt, das Bekanntwerden des Mangels entscheidend ist (wobei diese Frist frühestens mit Übergabe bzw. Bereitstellung der Ware zu laufen beginnt).108 Eine Gewährleistungsfrist, also einen Zeitraum, innerhalb dessen der Mangel hervorkommen muss, gibt es hier demnach nicht. Die Materialien rechtfertigen dies damit, dass die Richtlinien nur vorsehen, dass Rechtsmängel zu Abhilfen führen müssen, ansonsten aber keine Vorgaben enthalten.109 43 Bei Dauerschuldverhältnissen tritt die Verjährung überdies – unabhängig von der Art des Mangels – frühestens drei Monate nach dem Ende des Bereitstellungszeitraums ein.110 IV. Schlussbetrachtung 44 Abschließend noch eine kritische Gesamtwürdigung der Richtlinienumsetzung: Diese erfolgte erfreulicherweise – anders als etwa hinsichtlich der DSM-RL (EU) 2019/790 im Urheberrecht – im Wesentlichen fristgerecht, weil die neuen Vorschriften ab dem 1.1.2022 galten.111 45 Auch inhaltlich überwiegt der Eindruck, dass man sich bemüht hat und nicht einfach „die Richtlinien abgeschrieben“ hat. Allerdings wurden viele über die Richtlinien hinausgehenden Regelungsmöglichkeiten nicht wahrgenommen. Umgekehrt finden sich in legistischer Hinsicht sogar Redundanzen.112 46 Insgesamt bleiben – bedingt durch die Richtlinienvorgabe wohl zumindest zum Teil auch zwingend – einige Unklarheiten bestehen und das vormals sehr schlanke Gewährleistungsrecht wurde durch die neuen Regelungen deutlich komplexer. Gerade vor diesem Hintergrund wäre m. E. eine Umsetzung im KSchG vorzugswürdig gewesen.113

107 108 109 110 111 112 113

388

Vgl. § 933 Abs. 3 S. 2 ABGB. Vgl. § 28 Abs. 2 S. 1 VGG. Vgl. ErlRV 949 BlgNR XXVII. GP, 24. Vgl. § 28 Abs. 2 S. 2 VGG. Siehe dazu bereits Rz. 2. Vgl. etwa die Wortlaute von § 9 Abs. 3 und § 16 Abs. 3 VGG. Vgl. dazu auch die Ausführungen in ErlRV 949 BlgNR XXVII. GP, 4: „bietet nämlich das Konsumentenschutzgesetz […] letztlich zu wenig Platz, um sämtliche Bestimmungen aus beiden Richtlinien geordnet und zusammengefasst aufzunehmen“.

Drei-Länder-Treffen 2022 Länderbericht Schweiz IT-Recht in der Schweiz – aktuelle Entwicklungen Alesch Staehelin* I. Judikatur: Softwareschutz & Urheberrecht 1 1. „Schüttgefässwaage 1 II“ (BGer vom 2.12.2019) 8 2. „Schüttgefässwaage 2 I“ (HGer SG vom 24.1.2020) 9 3. „Schüttgefässwaage 2 II“ (BGer vom 22.9.2020) 10 II. Gesetzgebung – Künstliche Intelligenz

11

III. Revision des Schweizerischen Datenschutzgesetzes 14 IV. Google LLC v. Oracle America, Inc. – wie wäre das in der Schweiz? 17

*

1. Darf man eigentlich Softwareschnittstellen (Application Programming Interfaces, APIs) kopieren? 18 2. Die Kernfrage liess der US Supreme Court leider offen 25 3. Interessanter Nebenfakt 26 4. Wie ist die Rechtslage in der Schweiz? 27 5. Fazit: Tendenziell kein selbständiger Urheberrechtsschutz für APIs 47 6. Die Rechtslage in Deutschland und gemäss der Rechtsprechung des EuGH 48

Alesch Staehelin ist Rechtsanwalt in Zürich. Als Partner der schweizerischen Kanzlei Uto Legal ist er in den Bereichen „Data, IT/IP & Media“ tätig: Er entwirft, prüft und verhandelt Verträge aller Art (insbesondere komplexe, zeitkritische und grenzüberschreitende Tech-Deals), er berät in Fragen des Datenschutzes, der IT-Sicherheit, der digitalen Transformation, der neuen Technologien (AI, IoT, VR usw.), der sozialen Medien, des e-Commerce, von ESG, des Urheber-, Unterhaltungs- und Medienrechts, des Marken-, Designund Patentrechts (inkl. Know-howSchutz) sowie des Wettbewerbsrechts, er vermittelt in strittigen Projekten, und er führt Gerichts- und Schiedsverfahren. Zuvor führte Alesch Staehelin seine eigene Kanzlei, und er war über ein Jahrzehnt Partner in einer anderen schweizerischen Anwaltskanzlei sowie Senior Corporate Counsel bei IBM.

389

Alesch Staehelin

I. Judikatur: Softwareschutz & Urheberrecht 1 Vorbemerkung1: Wer diesen Text bis zum Schluss liest, wird erfahren, was die spannende Frage nach der urheberrechtlichen Schützbarkeit von Softwareschnittstellen (Application Programming Interfaces, APIs) mit dem Abtreibungsverbot in diversen US-amerikanischen Gliedstaaten zu tun hat. 2 Kommen wir erstmal zu den „Schüttgefässwaagen-Fällen“, wo die Klägerin sich der Hauptherausforderung zu stellen hatte, wie sich substantiieren und beweisen lässt, dass sie überhaupt über die Urheberrechte an der durch die Beklagte übernommenen Software oder an den übernommenen Softwarekomponenten verfügt. 3 Schüttgefässwaagen bestehen aus interoperierenden Hard-und Softwarekomponenten. In allen vier Gerichtsfällen geht es insbesondere um Software zur elektronischen Steuerung von Waagen und Umwandlung analoger Messdaten in digitale Messwerte. Diese Software war von einem Mitarbeiter der Klägerin und von einem externen Softwareentwickler geschaffen worden. Die Klägerin beanspruchte, Eigentümerin der Urheberrechte an der Software zu sein. Der von der Klägerin beauftragte Drittentwickler hatte die Software ehemaligen Mitarbeitenden der Klägerin für die Entwicklung eines Konkurrenzprodukts zur Verfügung gestellt. 4 In allen vier Gerichtsfällen ging es im Kern stets um die drei Fragen, was für Elemente denn konkret übernommen worden waren, ob die übernommenen Elemente urheberrechtlich geschützt seien und ob die Urheberrechte an diesen Elementen der Klägerin zustehen. 5 Die Klägerin legte jeweils ein Gutachten vor, um aufzuzeigen, dass acht Funktionalitäten der Originalsoftware praktisch unverändert bzw. bloss geringfügig angepasst im Konkurrenzprodukt integriert waren. Dieses Gutachten wurde anhand einer Analyse der kompilierten Maschinencodes (Original und Übernahme) erstellt. 6 Gerichtlich nicht entschieden wurde, ob die allenfalls bestehenden Urheberrechte der Klägerin zustehen. Die entsprechenden Massnahmengesuche gegen die Konkurrentin und den Drittentwickler wurden abgewiesen, da die Klägerin nicht substantiiert hatte, worin die angeblich übernommenen Funktionalitäten bestehen. Auch hatte sie nicht aufgezeigt, dass die übernommenen Funktionalitäten angesichts der Vorgaben aus dem Stand der Technik überhaupt Individualität aufweisen. 1

Angepasste Version des am 1.7.2022 anlässlich des Drei-Länder-Treffens der DGRI in Karlsruhe gehaltenen Referats.

390

Drei-Länder-Treffen 2022 Länderbericht Schweiz

Aus den Entscheiden lässt sich folgern, dass die Individualität übernom- 7 mener Software(-Komponenten) in der Rechtsschrift selbst substantiiert und im Bestreitungsfall bewiesen werden muss – idealerweise mit den Quellcodes. Privatgutachten können zwar nützlich sein, sie sind aber als reine Parteibehauptungen zu werten und daher für sich nie ausreichend. 1. „Schüttgefässwaage 1 II“ (BGer vom 2.12.2019) Das Schweizerische Bundesgericht in Lausanne befasste sich in seinem 8 Entscheid „Schüttgefässwaage 1 II“ vom 2.12.20192 mit dem Fall der von der X. AG neu auf den Markt gebrachten, mit Druckluft betriebenen Schüttgefässwaagen. Die Y. AG, ein Technologieunternehmen, hatte ihrerseits bereits 2013–2017 solche Schüttgefässwaagen entwickelt und ging davon aus, dass ihre acht ehemaligen Mitarbeitenden, die inzwischen alle bei der X. AG tätig waren, das Konkurrenzprodukt durch unrechtmässige Verwendung von Arbeits- und Geschäftsgeheimnissen hergestellt hatten. Das Bundesgericht hiess die Beschwerde der Y. AG gegen den offensichtlich mangelhaften Entscheid der Vorinstanz, des Kantonsgerichts Appenzell Innerrhoden, gut und wies den Fall zur nochmaligen Beurteilung an die Vorinstanz zurück. Diese müsse nicht nur beurteilen, ob den angeblich rechtswidrig verwendeten Konstruktionsplänen, Leiterplatten und Dateien Geheimnischarakter zukomme, sondern v. a. auch, ob sie als Arbeitsergebnisse oder als urheberrechtlich geschützte Werke zu qualifizieren seien. Auch ohne Konkurrenzverbotsklausel i. S. v. Art. 340 des Schweizerischen Obligationenrechts (OR) bestehe gemäss der arbeitsrechtlichen Bestimmung von Art. 321a OR eine allgemeine Treuepflicht des Arbeitnehmers, aus der eine über die Beendigung des Arbeitsvertrags andauernde Geheimhaltungspflicht folge. Das Kantonsgericht Appenzell Innerrhoden hatte daher fälschlicherweise befunden, dass hier die während eines Arbeitsverhältnisses erworbenen spezifischen Branchenkenntnisse frei verwendbar sind und nicht unter Art. 6 des Bundesgesetzes gegen den unlauteren Wettbewerb (UWG) fielen. 2. „Schüttgefässwaage 2 I“ (HGer SG vom 24.1.2020) Im Massnahmeentscheid „Schüttgefässwaage 2 I“ des Handelsgerichts 9 St. Gallen vom 24.1.20203 hatte sich das Gericht im Zusammenhang mit vorsorglichen Massnahmen (einstweilige Verfügung) mit den Substan2

3

BGer 4A_381/2019, https://www.bger.ch/ext/eurospider/live/de/php/aza/http/ index.php?highlight_docid=aza%3A%2F%2F02-12-2019-4A_3812019&lang=de&type=show_document&zoom=YES&. HG.2019.32-HGP.

391

Alesch Staehelin

tiierungsanforderungen beim Geltendmachen einer Urheberverletzung an einem Softwareprogramm für die Steuerung einer Waage für Mehl und Futtermittel zu befassen. Der Gerichtspräsident hielt zunächst fest, dass Computerprogramme mit gewisser Komplexität i. d. R. urheberrechtlich geschützt seien. Werde die unerlaubte Übernahme von Programmteilen behauptet, so sei die Rechtsinhaberschaft am originären Code und die Übernahme konkreter Codeteile glaubhaft zu machen. Der Gerichtspräsident wies in der Folge die von der Gesuchstellerin (wiederum der Y. AG) geltend gemachten Ansprüche ab, da die Y. AG nicht dargelegt habe, „welche Funktionen die angeblich übereinstimmenden Dateien konkret beinhalten“. „Nachdem die Gesuchstellerin […] weder darlegt, welchen Inhalt die einzelnen angeblich übereinstimmenden Programmfunktionen aufweisen, noch Ausführungen darüber macht, welche schöpferischen Eigenleistungen XY bei der Programmierung dieser Programmfunktionen erbracht haben soll, kann nicht geprüft werden, ob sich diese Programmfunktionen von bereits vorbestehenden Programmfunktionen unterscheiden, einen individuellen Charakter aufweisen und somit urheberrechtlich geschützt sind. Eine Verletzung eines Urheberrechts ist damit nicht glaubhaft gemacht.“4 3. „Schüttgefässwaage 2 II“ (BGer vom 22.9.2020) 10 Das Schweizerische Bundesgericht wies die gegen den Massnahmeentscheid „Schüttgefässwaage 2 I“ des Handelsgerichts St. Gallen vom 24.1.2020 erhobene Beschwerde der Y. AG in seinem Entscheid „Schüttgefässwaage 2 II“ vom 22.9.2020 ab, soweit darauf eingetreten wurde5. Wird in einem Massnahmeverfahren das unerlaubte Verwenden und die Weitergabe neu entwickelter Software geltend gemacht, so sei davon auszugehen, dass ein nicht wieder gutzumachender Nachteil gemäss Art. 93 Abs. 1a des Bundesgesetzes über das Bundesgericht (kurz: Bundesgerichtsgesetz bzw. BGG) glaubhaft ist, „zumal es sich bei den angeblich vom Beschwerdegegner verwendeten Programmfunktionen der strittigen Software um Bestandteile einer Neuentwicklung handelt, für die Umsatz- und Gewinnzahlen fehlen. Zudem sei „mit der Beschwerdeführerin davon auszugehen, dass das Motiv der Kundschaft für die Wahl von Konkurrenzprodukten, die unter Verwendung geschützter Softwarebestandteile hergestellt wurden, nicht nachweisbar sein dürfte“. Unter diesen Umständen sei „entgegen der Ansicht des Beschwerdegegners nicht zu

4 5

E. 2.3. BGer 4A_115/2020.

392

Drei-Länder-Treffen 2022 Länderbericht Schweiz

erwarten, dass der drohende Nachteil durch Schadenersatz, Genugtuung oder Gewinnherausgabe zu beseitigen ist“6. II. Gesetzgebung – Künstliche Intelligenz Beim Umgang mit Künstlicher Intelligenz (KI) verfolgen die Schweiz und 11 die EU durchweg unterschiedliche Ansätze: Die Schweiz kennt im Bereich KI keinen regulatorischen Rahmen, und es gibt zurzeit auch keine nennenswerten Anstrengungen, dies zu ändern. Verwiesen wird üblicherweise auf entsprechende Regelungen im revidierten Datenschutzgesetz (revDSG). Der schweizerische Bundesrat, unsere Landesregierung, hat immerhin am 25.11.2020 sieben Leitlinien als Orientierungsrahmen für den Umgang mit KI durch die Bundesverwaltung verabschiedet7. Wesentliche Elemente sind dabei wenig erstaunlich Transparenz, Nachvollziehbarkeit und Erklärbarkeit. Auf KI gestützte Entscheidungsprozesse sollen überprüfbar und für Betroffene nachvollziehbar sein. Die Leitlinien stipulieren klare Verantwortlichkeiten – und diese sollen nicht an Maschinen delegiert werden können. Beim Einsatz von KI soll die Haftung klar definiert sein, und KI-Systeme müssen sicher, robust und resilient konzipiert sein, um positive Wirkung zu entfalten; sie dürfen nicht anfällig sein für Missbrauch oder Fehlanwendungen. Bereits 2018 wurde im Übrigen im Rahmen der Strategie „digitale Schweiz“8 Transparenz im Sinn nachvollziehbarer Prozesse als zentrales Thema definiert. Obwohl für Schweiz damals auch ein regulatorischer Handlungsbedarf identifiziert wurde, fehlt es noch immer an einer entsprechenden gesetzlichen Vorlage. Demgegenüber gibt es auf EU-Ebene den (relativ) neuen Entwurf einer 12 EU-Verordnung über KI-Systeme. Der KI soll vertraut werden können, damit die EU wettbewerbsfähig bleibt. Zentral ist dabei die Wahrung der Sicherheit und der Grundrechte aller EU-Bürger. KI-Systeme sollen sicher, transparent, ethisch, unparteiisch und unter menschlicher Kontrolle sein. Art. 3 Abs. 1 des Entwurfs der EU-Verordnung über KI-Systeme hält fest: „System der künstlichen Intelligenz“ (KI-System) ist eine Software, die im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren; und mit einer oder mehreren der folgenden 6 7 8

E. 1.3. https://www.sbfi.admin.ch/sbfi/de/home/bfi-politik/bfi-2021-2024/transversale-themen/digitalisierung-bfi/kuenstliche-intelligenz.html. https://digital.swiss/de/.

393

Alesch Staehelin

Techniken und Konzepte entwickelt worden ist: Konzepte des maschinellen Lernens, […], einschliesslich des tiefen Lernens (Deep Learning); Logik- und wissensgestützte Konzepte, […], Inferenz- und Deduktionsmaschinen, […]; Statistische Ansätze, Bayessche Schätz-, Such- und Optimierungsmethoden“9. 13 Die EU verfolgt den sog. risikobasierten Ansatz mit den drei Unterscheidungen in Systeme, die ein unannehmbares Risiko darstellen und deswegen verboten sind, ein hohes Risiko darstellen, oder ein geringes oder minimales Risiko darstellen. Wie die DSGVO sieht auch der Entwurf der EU-Verordnung über KI-Systeme hohe Strafen vor. Die Anforderungen an die Transparenz und die Verantwortlichkeit werden klar definiert und – anders als in der Schweiz – nicht dem Datenschutz überlassen. Der Anwendungsbereich der EU-Verordnung erstreckt sich auf alle, die KI innerhalb der EU oder in Bezug auf EU-Bürger einsetzen. Naturgemäss ist die Schweiz nicht an EU-Vorgaben gebunden, dennoch lohnt es sich für schweizerische Unternehmen, die in der EU-Verordnung über KI-Systeme enthaltenen Vorgaben umzusetzen. III. Revision des Schweizerischen Datenschutzgesetzes 14 Das Schweizerische Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG)10 wird in seiner totalrevidierten Fassung (revDSG)11 am 1.9.2023 in Kraft treten. Das revDSG führt zu zahlreichen Angleichungen an die DSGVO, behält aber weiterhin eine dezidiert eigene Struktur. In diversen Punkten weicht es auch von der DSGVO ab. Anders als die DSGVO erlaubt das revDSG (wie auch schon das DSG) Datenbearbeitung per se, stellt aber strenge Anforderungen an das Bearbeiten personenbezogener Daten. Die Persönlichkeit der betroffenen Person darf nicht widerrechtlich verletzt werden12. Eine Verletzung ist dann widerrechtlich, wenn sie nicht durch die Einwilligung der betroffenen Person, durch überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist13. Dieser offene Ansatz wird dadurch erheblich eingeschränkt und damit der DSGVO angenähert: Diese erfordert bei jeder Verarbeitung personenbezogener Daten eine Rechtsgrundlage14. 9 Diese Definition soll gemäss Erwägungsgrund 6 Rechtssicherheit gewährleisten und technologische Flexibilität bieten. 10 https://www.fedlex.admin.ch/eli/cc/1993/1945_1945_1945/de. 11 https://www.fedlex.admin.ch/eli/cc/2022/491/de. 12 Art. 30 revDSG. 13 Art. 31 revDSG. 14 Art. 6 DSGVO.

394

Drei-Länder-Treffen 2022 Länderbericht Schweiz

Die Bussen für Datenschutzverstösse unter dem totalrevidierten DSG 15 sind gegenüber der aktuellen Fassung des DSG stark erhöht, im Vergleich mit der DSGVO aber eher bescheiden: Die maximale Geldstrafe beträgt CHF 250‘000. Die Verjährungsfrist bei Datenschutzverstössen ist fünf Jahre. Anders als bei der DSGVO ist gemäss dem totalrevidierten DSG die Strafe nicht an das verantwortliche Unternehmen geknüpft, sondern ausdrücklich an die verantwortliche natürliche Person. Nur bei Verstössen, bei denen höchstens eine Busse von CHF 50‘000 in Betracht fällt und der Aufwand zur Ermittlung der strafbaren Person innerhalb des Geschäftsbetriebs unverhältnismässig wäre, kann auch das Unternehmen anstelle der natürlichen Person zur Zahlung der Busse verurteilt werden15. Unter der DSGVO sind Geldbussen von bis zu EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher Wert höher ist) möglich. Unternehmen, die in der Schweiz Personendaten bearbeiten, haben 16 nun etwas mehr Zeit für die Umsetzung, aber Achtung: Es gibt keine Übergangsfristen – am 1.9.2023 gilt es Ernst. Spätestens jetzt sollte daher dringend mit den Umsetzungsarbeiten begonnen werden. Die Verordnung über den Datenschutz (Datenschutzverordnung, DSV)16 wurde in der Vernehmlassung stark kritisiert und wird zurzeit noch überarbeitet (neben der DSV gibt es im Übrigen auch noch die Verordnung über Datenschutzzertifizierungen, VDSZ17). Die letzten Entwicklungen sollten von den betroffenen Unternehmen genau beobachtet werden. IV. Google LLC v. Oracle America, Inc. – wie wäre das in der Schweiz? Und nun zu dem wohl wichtigsten IT-Gerichtsfall der letzten 20 Jahre:

17

1. Darf man eigentlich Softwareschnittstellen (Application Programming Interfaces, APIs) kopieren? Im Bereich der Softwaretechnik und -entwicklung ist es weit verbreitet, 18 von anderen geschriebene Softwareschnittstellen zu verwenden. In der Schweiz, in Deutschland, in vielen anderen europäischen Ländern und in den USA ist – auch durch eine gefestigte Rechtsprechung – allgemein anerkannt, dass Software-Quellcode als Ganzes meist urheberrechtlich geschützt ist.

15 Art. 64 revDSG. 16 https://www.fedlex.admin.ch/eli/cc/2022/568/de. 17 https://www.fedlex.admin.ch/eli/cc/2022/569/de.

395

Alesch Staehelin

19 Die Frage, inwieweit Softwareschnittstellen bzw. API-Code kopiert werden dürfen, blieb aber bisher von den Gerichten unbeantwortet. 20 Der Oberste Gerichtshof der USA, der US Supreme Court, hat im Frühling 2021 in seiner Entscheidung Google LLC v. Oracle America, Inc.18 ein wenig Klarheit darüber geschaffen, in welchem Umfang der zur Erstellung einer Softwareschnittstelle verwendete Deklarationscode kopiert werden kann. 21 Worum ging es in dem Rechtsstreit zwischen Oracle und Google? Java ist eine von Oracle entwickelte Computerprogrammiersprache, die als Teil der Java SE-Plattform verwendet wird. Oracle ist die Inhaberin des Urheberrechts an Java SE. 2005 erwarb Google Android und kopierte, um Programmierern die Arbeit mit Java zu ermöglichen, ca. 11‘500 Zeilen Code, die alle zur Java-API gehören. Oracle verklagte daraufhin Google wegen des Kopierens dieses API-Codes mit dem Argument, dass Google damit das Urheberrecht von Oracle verletze. Google argumentierte, dass ein solches Kopieren eine faire Nutzung (sog. „Fair Use“) darstelle und es somit von der Beachtung des Urheberrechts befreit sei. Nach einer Reihe gerichtlicher Auseinandersetzungen befand die untere Instanz, dass sowohl der API-Code als auch die Struktur von Oracle urheberrechtlich geschützt werden könnten und dass die Verwendung des API-Codes durch Google keine faire Nutzung darstelle. 22 Der Oberste Gerichtshof der USA hob schliesslich das Urteil der unteren Instanz auf. Justice Breyer, der für den Gerichtshof schrieb, wies darauf hin, dass die Fair-Use-Doktrin insbesondere bei der Computerprogrammierung die Funktionalität des fraglichen Werks berücksichtigen müsse. 23 Beim Prüfen der vier Fair-Use-Faktoren stellte das Gericht zunächst fest, dass die Art des Werks für eine faire Nutzung spreche, da der APICode mit Ideen verbunden sei, vor allem mit der Organisation der API (blosse Ideen sind urheberrechtlich nicht geschützt; erst die Konkretisierung der Idee, deren Ausdruck, ist geschützt). Weiter stufte das Gericht den Zweck des Werks als umgestaltend ein, da Google den API-Code für die Entwicklung der Android-Plattform verwendet habe. Überdies sei die Menge des kopierten Codes nur ein kleiner Teil eines wesentlich grösseren Ganzen – weniger als 3% der Gesamtmenge des Codes in der Java-API, die sich auf 2,86 Mio. Zeilen belief. Schliesslich sei das Android-System kein Ersatz für Java SE.

18 https://www.supremecourt.gov/opinions/20pdf/18-956_d18f.pdf.

396

Drei-Länder-Treffen 2022 Länderbericht Schweiz

Aus der Kombination der vier Fair-Use-Faktoren ergab sich für das Ge- 24 richt, dass Google sich mit dem Kopieren des API-Codes durchaus im Rahmen der Fair-Use-Doktrin – und damit in zulässiger Weise – bewegte. Der Oberste Gerichtshof der USA wies darauf hin, dass diese Entscheidung keine Änderung gegenüber seinen anderen Urteilen zur Fair-UseLehre darstelle. Vielmehr biete diese einen Rahmen und eine Analyseanleitung für die besonderen und einzigartigen Fragen und Umstände, die sich ergeben, wenn urheberrechtlich geschützter Computercode von anderen Entwicklern und Unternehmen verwendet wird. 2. Die Kernfrage liess der US Supreme Court leider offen Wichtig ist, dass das Gericht nicht entschieden hat, ob der deklarierende 25 Code für sich allein urheberrechtsfähig ist. Diese Frage wurde offengelassen. Entschieden wurde bloss, dass im Zusammenhang mit Google das Verwenden eines kleinen Prozentsatzes des Codes zur Erstellung der Android-API zulässig war. Das Gericht fällte den Entscheid mit einer Quote von 6:2. 3. Interessanter Nebenfakt Die „Dissenting Opinion“ stammt von Justice Thomas, dem erzkonser- 26 vativen Abtreibungsgegner. Er war der Meinung, dass Oracles API-Code urheberrechtlich geschützt sei und drei der vier Fair-Use-Faktoren gegen Google sprächen. Justice Thomas dürfte wohl das Prinzip „Thou shalt not steal“ aus den zehn Geboten beeinflusst haben. 4. Wie ist die Rechtslage in der Schweiz? Das Thema ist aktuell, APIs sind in unserer digitalisierten Welt überall 27 anzutreffen. Ein eigentliches Pendant zur Fair-Use-Doktrin gibt es in der Schweiz nicht. Ein Gericht könnte sich also nicht (wie der US Supreme Court) um die Beantwortung der Kernfrage, ob APIs urheberrechtlich schützbar sind, drücken, um dann sogleich die kopierende Partei zu entlasten, indem dieser faire Nutzung („Fair Use“) attestiert wird. Software-Schnittstellen können in der Schweiz grundsätzlich selbständig 28 urheberrechtlich schützbar sein, soweit man den Programmierern einen gewissen Gestaltungsspielraum bei deren Schaffung zugesteht19. Für den

19 Neff/Arn, Urheberrechtlicher Schutz der Software, in: von Büren/David (Hg.), Schweizerisches Immaterialgüter- und Wettbewerbsrecht (SIWR), II/2, Urheberrecht im EDV-Bereich, 1998, 146 ff., 146).

397

Alesch Staehelin

Urheberrechtsschutz braucht es also auch bei einer Schnittstelle eine gewisse Individualität in der Kreation und die nötige Schöpfungshöhe. 29 In diesem Zusammenhang lohnt sich ein Blick auf die Anforderungen für den Urheberrechtsschutz bei Computerprogrammen: Ungeachtet eines bestehenden Gestaltungsspielraums fehlt einem Computerprogramm dann die notwendige Individualität, wenn es als banal bzw. trivial zu qualifizieren ist20, weil sein Inhalt eine blosse Aneinanderreihung von bekanntem, zum Gemeingut gehörendem Material darstellt, oder wenn es vollständig auf rein alltäglicher, standardisierter Programmierarbeit beruht21. 30 Was bereits bei einem Computerprogramm gilt, muss daher umso mehr für eine Schnittstelle gelten: Massgebend für die Feststellung der Werkqualität einer Schnittstelle ist folglich allein, ob sie eine ausreichende schöpferische Individualität aufweist oder nicht. Prinzipiell wird diese Voraussetzung bei Schnittstellen in geringerem Masse als bei Computerprogrammen gegeben sein, weil der Gestaltungsspielraum eines Programmierers aufgrund der Vorgaben zur jeweiligen Datenübermittlung der einzelnen Computerprogramm-Komponenten noch enger ist. Zudem werden für den Datentransfer vielfach bestimmte Standards durch Regulierungsorganisationen, Branchenverbände oder die in diesem Bereich tätigen Unternehmen festgelegt, wodurch das Geltendmachen eines Urheberrechts durch einen einzelnen Hersteller einer Computerprogrammkomponente ausscheidet22. 31 Was bräuchte es denn, damit eine Softwareschnittstelle in der Schweiz überhaupt urheberrechtlich geschützt sein könnte? Die notwendige Voraussetzung für einen urheberrechtlichen Schutz von Schnittstellen besteht in jedem Fall erstmal darin, dass die jeweilige Schnittstelle gemäss Art. 2 CH-URG auch als geschütztes Werk zu qualifizieren ist. 32 Um diese Möglichkeit auszuloten, bietet sich zunächst einmal ein Blick darauf an, wann denn ein Computerprogramm Urheberrechtsschutz geniesst und wann nicht:

20 Vgl. Botschaft URG, 523. 21 Neff/Arn, 132. 22 Bundesverwaltungsgericht, Urteil v. 18.12.2018 (https://jurispub.admin.ch/ publiws/pub/cache.jsf?displayName=B-831/2011&decisionDate=2018-12-18), E. 576. Dieser Entscheid wurde im Übrigen vom Schweizerischen Bundesgericht mit Urteil v. 2.11.2022 (2C_596/2019) bestätigt.

398

Drei-Länder-Treffen 2022 Länderbericht Schweiz

Voraussetzung für die Anerkennung von Computerprogrammen als ur- 33 heberrechtliches Werk bildet gemäss Art. 2 Abs. 1 CH-URG das Vorhandensein einer geistigen Schöpfung mit individuellem Charakter23. Geschützt ist ein Werk, wenn es sich als individuelle Schöpfung von den 34 tatsächlichen oder natürlichen Vorbedingungen im Rahmen der Zweckbestimmung abhebt24. Eine geistige Schöpfung liegt dann vor, wenn das Werk die Äusserung einer gedanklichen Tätigkeit eines Menschen darstellt und damit auf einer zumindest geringen geistigen Leistung beruht25. Der individuelle Charakter eines Werks spiegelt sich darin wider, dass ein Dritter bei gleicher Aufgabenstellung nicht das gleiche oder im Wesentlichen das gleiche Werk schaffen wird, und grenzt sich gegenüber der Banalität oder einer routinemässigen Arbeit ab26. Die Schutzfähigkeit von Computerprogrammen hängt somit davon ab, 35 ob dem Programmierer angesichts der Aufgabenstellung und der übrigen Rahmenbedingungen ein genügender Spielraum für eine persönliche Gestaltung in Auswahl, Sammlung, Anordnung und Einteilung der Informationen und Befehle zur Verfügung stand und ob er diesen Spielraum auch entsprechend genutzt hat27. Ungeachtet eines bestehenden Gestaltungsspielraums fehlt einem Com- 36 puterprogramm allerdings dann die notwendige Individualität, wenn es als banal bzw. trivial zu qualifizieren ist28, weil sein Inhalt eine blosse Aneinanderreihung bekannten, zum Gemeingut gehörenden Materials darstellt, oder wenn es vollständig auf rein alltäglicher, standardisierter Programmierarbeit beruht29. Im Zusammenhang mit der Banalität bzw. der Trivialität ist darauf hin- 37 zuweisen, dass vieles, was sog. „statistisch einmalig“ ist, dennoch trivial bzw. banal ist – und deswegen keinen Urheberechtsschutz geniesst. Hinsichtlich der statistischen Einmaligkeit gilt nämlich dort, wo die Natur des Werks nur wenig Platz für eine persönliche Auswahl zulässt, dass es schwieriger ist, sich von der Einmaligkeit des Werks zu überzeugen: 23 Vgl. Neff/Arn, 131; Cherpillod, in: Müller/Oertli, Art. 2 URG N 1; Rauber, Computersoftware, in Streuli-Youssef (Hg.), Urhebervertragsrecht, 2006, 124. 24 Vgl. BGE 143 III 373 E. 2.1; BGE 125 III 328 E. 4b. 25 Vgl. BGE 130 III 168 E. 4.5; Barrelet/Egloff, Das neue Urheberrecht, 4. Aufl. 2020, Art. 2 URG N 5; Cherpillod, Art. 2 URG N 9. 26 Vgl. BGE 143 III 373 E. 2.1; BGE 134 III 166 E. 2.3.1; Cherpillod, Art. 2 URG N 20. 27 Vgl. Neff/Arn, 132; Thomann, Grundriss des Softwareschutzes, 1992, 30. 28 Vgl. Botschaft URG, 523. 29 Vgl. Neff/Arn, 132.

399

Alesch Staehelin

Die Auswahl muss überraschend und ungewöhnlich erscheinen, um Urheberrechtsschutz zu erlangen, ansonsten verlässt das Werk den Bereich des Banalen nicht30. 38 Eine triviale Kombination banaler Elemente könnte statistisch einmalig sein, wenn auch bloss, weil sie eine gewisse Anzahl Elemente kombiniert: Gemäss den Gesetzen der Wahrscheinlichkeit wird eine Kombination mit zahlreichen Elementen kaum noch einmal identisch kreiert. Eine strikte Anwendung dieses Kriteriums bei der Beurteilung des Urheberrechtsschutzes würde also darauf hinauslaufen, banale, triviale Schöpfungen zu schützen, soweit sie sich durch eine bestimmte Komplexität auszeichnen bzw. aus genügend vielen Elementen bestehen. Nicht nur die Lehre31, sondern auch das schweizerische Bundesgericht32 sind daher der Meinung, dass die reine statistische Einmaligkeit allein für den Urheberrechtsschutz nicht genügt. 39 Nun also zu den Schnittstellen und deren Spezifikationen bzw. Definitionen: Unabhängig davon, ob Schnittstellen als selbständige Computerprogramme oder als Teil eines Computerprogramms ausgestaltet werden, kommt ihnen nur dann ein urheberrechtlicher Schutz zu, wenn sie auch selbst eine ausreichende schöpferische Individualität aufweisen. Als selbständige Computerprogramme ergibt sich dies unmittelbar aus Art. 2 Abs. 1 CH-URG. Als Teile eines Computerprogramms weist ihnen Art. 2 Abs. 4 CH-URG nur dann einen urheberrechtlichen Schutz zu, wenn sie selbst über eine ausreichende schöpferische Individualität verfügen33. 40 Nach überwiegender Ansicht ist bei Schnittstellen jedoch eine ausreichende schöpferische Individualität im Regelfall nicht gegeben34: Ganz allgemein ist anerkannt, dass Schnittstellenspezifikationen nicht schutzfähig sind, da es sich dabei bloss um Ideen und Grundsätze der Interoperabilität handelt, denen der Urheberrechtsschutz verwehrt ist35.

30 31 32 33

Cherpillod, Art. 2 URG N 29. Vgl. die Zusammenstellung bei Cherpillod, Art. 2 URG N 30. BGE 134 III 166. Vgl. Neff/Arn, 303; vgl. allgemein Botschaft URG, 523; Barrelet/Egloff, Art. 2 URG N 27; Cherpillod, Art. 2 URG N 67; Hilty, Urheberrecht, 2011, 121 a. E.; Neff/Arn, 113. 34 Bundesverwaltungsgericht, Urteil v. 18.12.2018, E. 578; Brändli, Die Flexibilität urheberrechtlicher Systeme, 2017, Rn. 351; Neff/Arn, 146; Oertli, Art. 21 URG N 11. 35 Straub, Softwareschutz, Rz. 249 ff., Loewenheim, in: Schricker/Loewenheim (Hg.), Urheberrecht, 6. Aufl. 2020, § 69a DE-UrhG N 13; sinngemäss auch

400

Drei-Länder-Treffen 2022 Länderbericht Schweiz

Zwar gehören die Schnittstellendefinitionen zum Computerprogramm, doch sind sie in der Regel wegen des fehlenden Gestaltungsspielraums36 bzw. mangels Schutzhöhe37 urheberrechtlich nicht geschützt. Auch wird in der Literatur ausgeführt, dass Schnittstellendefinitionen 41 schon daher grundsätzlich nicht als Computerprogramme geschützt sind, weil sie nicht direkt ausführbar sind38. Es ist nämlich auch (bzw. insbesondere) im Bereich des Softwareschutzes zwischen dem Ausführbaren (hier: durch einen Computer ausführbare Software) und den statischen Daten zu differenzieren: Im Gegensatz zu Computerprogrammen haben Daten den Charakter isolierter Partikel (z. B. ja/nein, false/true, Zahlen), die erst vom Computerprogramm in einen Zusammenhang eingebettet werden39. Die speziellen Bestimmungen über den Softwareschutz gelten daher nicht für statische elektronische Dokumente40, weil diese nicht die für Computerprogramme typische unmittelbare Funktionalität aufweisen41. Die Softwareschutzbestimmungen sind vielmehr auf direkt ausführbare Werke zugeschnitten42. Mit anderen Worten: Auf der Ebene der statischen Daten greift noch kein rechtlicher Schutz – schon gar nicht ein urheberrechtlicher Schutz.

36

37

38 39 40

41

42

Obergericht des Kantons Zürich, Teilurteil vom 24.1.2013, abgerufen am 17.3.2023 unter https://www.gerichte-zh.ch/fileadmin/user_upload/entscheide/oeffentlich/LK100006-O14.pdf, E. 6.5, 6.8 und 6.12. Fröhlich-Bleuler, Softwareverträge, zit.: „Softwareverträge“, 2. Aufl. 2014, Rz. 80; Verfügung der Schweizerischen Wettbewerbskommission vom 29.11.2010 – Untersuchungsnr. 32-0205, RPW 2011/1; Straub, Softwareschutz, zit.: „Softwareschutz“, 2011, Rz. 250; Stirnimann, Urheberkartellrecht, 2004, 137 Fn. 480; Fröhlich-Bleuler, Urheberrechtliche Nutzungsbefugnisse des EDV-Anwenders, zit.: „Nutzungsbefugnisse“, AJP 1995, 569 ff., 576; Straub, Der Sourcecode von Computerprogrammen im schweizerischen Recht und in der EU-Richtlinie über den Rechtsschutz von Computerprogrammen, zit.: „Sourcecode“, UFITA 2001, 807 ff., 814; EU-Software-Richtlinie, Erwägungsgrund 11. Fröhlich-Bleuler, Softwareverträge, Rz. 121; Straub, Softwareschutz, Rz. 250; Lehmann, Die Europäische Richtlinie über den Schutz von Computerprogrammen, in: Lehmann (Hg.), Rechtsschutz und Verwertung von Computerprogrammen, 1993, Rz. 7. Straub, Softwareschutz, Rz. 250. Straub, Softwareschutz, Rz. 46. Siehe hierzu auch den Entscheid des Kantonsgerichts St. Gallen vom 17.7.2007, ZZ.2006.36 (abgerufen am 17.3.2023 unter https://publikationen. sg.ch/rechtsprechung-gerichte-detail/4076/), E. 3a/cc/aaa und E. 3b/cc. Berger, Schutz von Software – Überblick über die Rechtslage in der Schweiz, in: Trüeb (Hg.), Softwareverträge: Referate der Tagung der Stiftung für juristische Weiterbildung Zürich vom 11.11.2003, 2004, 25 ff., 45. Straub, Softwareschutz, Rz. 50.

401

Alesch Staehelin

42 Wie aufgezeigt, gibt es im Zusammenhang mit Schnittstellenspezifikation kaum Gestaltungsspielraum, und wenn auch die eine oder andere Formulierung in der Schnittstellenspezifikation statistisch einmalig sein sollte, so würde der Urheberrechtsschutz an der Trivialität, Banalität bzw. Alltäglichkeit solcher Formulierungen scheitern. Dem „Beschrieb“ einer Schnittstelle fehlt es somit in aller Regel an jeglicher schöpferischer Individualität – der Grundvoraussetzung für Urheberrechtsschutz nach Art. 2 Abs. 1 URG. Es handelt sich schlicht um eine standardisierte bzw. funktionsbestimmte – und damit nicht schutzfähige – Spezifikation43. Eine Entwicklungsdokumentation ist in aller Regel standardisiert bzw. funktionsbestimmt – und damit nicht schutzfähig44. Müssen Schnittstellen oder Teile davon aus technischen Gründen identisch oder praktisch identisch übernommen werden, damit sie überhaupt ihren Zweck erfüllen, dann ist dies zulässig45. 43 Gemäss der sog. „Merger doctrine“ liegt im Übrigen dann keine Rechtsverletzung vor, wenn die „Idee“ und der „Ausdruck“ derart ineinander verschmolzen sind, dass sich die Übernahme der Ausdrucksformen nicht vermeiden lässt. Ein Ausdruck ist nicht schutzfähig, wenn es nur sehr wenige Möglichkeiten gibt, um eine Idee auszudrücken. Idee und Ausdruck fallen in einem solchen Fall zusammen46. Auch dies spricht gegen einen Urheberrechtsschutz für Schnittstellen. 44 Interessant sind folgende Ausführungen des Kantonsgerichts St. Gallen47: „Für die Kommunikation unter Programmen ist die Kenntnis von sogenannten Schnittstelleninformationen von Bedeutung, da die Schnittstellen zur Herstellung von interoperablen Programmen benötigt werden. Schnittstellen sind Verbindungsstellen zwischen verschiedenen Systemen. Verbindungsstellen in diesem Sinne bestehen aus Informationen über die Art, wie an einer bestimmten Stelle Daten bereitgestellt werden müssen oder die Aufrufe für Programme zu erfolgen haben, damit die Zusammenarbeit zwischen verschiedenen Systemen möglich ist48. In

43 44 45 46

Loewenheim, § 69a DE-UrhG N 19. Loewenheim, § 69a DE-UrhG N 19. Fröhlich-Bleuler, Softwareverträge, Rz. 121. Staffelbach, Die Dekompilierung von Computerprogrammen gemäss Art. 21 URG, 2003, 131; Cherpillod, Protection des logiciels et des bases de données: la révision du droit d‘auteur en Suisse, SMI 1993, 49 ff., 63 Fn. 20; ausführlich zur sog. „Idea/expression dichotomy“ im Urheberrecht Gorman/Ginsburg (Hg.), Copyright: Cases and Materials, 9. Aufl. 2017, 90 ff. 47 Entscheid vom 24.5.2005, E. 6.d, abgerufen am 17.3.2023 unter https://entscheidsuche.ch/kantone/sg_allent/dz_2002_3.html). 48 Staffelbach, 70.

402

Drei-Länder-Treffen 2022 Länderbericht Schweiz

diesem Bereich wurde der Schutz des Urheberrechts bewusst gelockert. Unter dem Kapitel „Schranken des Urheberrechts“ regelt Art. 21 URG die sogenannte Entschlüsselung eines Computerprogramms mit Blick auf seine Schnittstellen und deren Ausnutzung für die Herstellung interoperabler Computerprogramme. Wer das Recht hat, ein Computerprogramm zu gebrauchen, darf sich die erforderlichen Informationen über Schnittstellen zu unabhängig entwickelten Programmen durch Entschlüsselung des Programmcodes beschaffen oder durch Drittpersonen beschaffen lassen (Art. 21 Abs. 1 URG). Es ist dabei auch erlaubt, die Schnittstelleninformationen für ein Konkurrenzprodukt auszunutzen49.“ In der IT-Praxis lässt sich häufig beobachten, dass eine Schnittstelle und 45 deren Beschreibung sich im Lauf der Zeit zu einem Standard oder zumindest zu einem Quasi-Standard bzw. faktischen Standard auf dem jeweiligen Markt etabliert. Werden für den Datentransfer bestimmte Standards durch Regulierungsorganisationen, Branchenverbände oder die in diesem Bereich tätigen Unternehmen festgelegt, scheidet das Geltendmachen eines Urheberrechts durch einen einzelnen Hersteller einer Computerprogrammkomponente aus50. Bei Schnittstellen bzw. deren Spezifikationen dürfte schliesslich in aller 46 Regel auch ein Schutz als Sprachwerk gemäss Art. 2 Abs. 2 lit. a CHURG nur schon am fehlenden Gestaltungsspielraum scheitern51. Keinen Urheberschutz geniessen nämlich Sprachwerke, denen es an der individuellen Gestaltung fehlt, also z. B. Gebrauchsanweisungen, Produkteinformationen52, und dies immer auch dann, wenn der konkrete Text zwar statistisch einmalig ist, insgesamt aber doch als banale Zusammenstellung von Alltagsredewendungen oder als durch die Sachlogik vorgegeben erscheint53. Vergleichbar ist die Schnittstellenspezifikation mit den Charakteristiken einer Nachricht. Nachrichten sind Tatsachen, übermittelt in einer alltäglichen, nüchternen und schnörkellosen Sprache. Sie sind urheberechtlich nicht schützbar54.

49 Neff/Arn, 304 ff.; Cherpillod, Schranken des Urheberrechts, in: SIWR II/1, 254 ff. 50 Bundesverwaltungsgericht, Urteil vom 18.12.2018, E. 576. 51 Straub, Softwareschutz, Rz. 250. 52 BGE 134 III 166. 53 Barrelet/Egloff, Art. 21 URG N 21; Cherpillod, Art. URG 2 N 30. 54 von Büren/Meer, Der Werkbegriff, in: von Büren/David (Hg.), Schweizerisches Immaterialgüter- und Wettbewerbsrecht (SIWR), II/1, Urheberrecht und verwandte Schutzrechte, 3. Aufl. 2014, 93; Calame, Elektronische Pressespiegel und Urheberrecht, recht 2002, 176 ff., 181 m. H.

403

Alesch Staehelin

5. Fazit: Tendenziell kein selbständiger Urheberrechtsschutz für APIs 47 Es finden sich also ganz viele Argumente, die im Zusammenhang mit der Rechtslage in der Schweiz gegen den Urheberrechtsschutz für eine Softwareschnittstelle bzw. deren Beschreibung (Spezifikation) sprechen. Selbstverständlich kann die Frage nach der Schützbarkeit einer API jedoch nur jeweils im Einzelfall zuverlässig analysiert werden. 6. Die Rechtslage in Deutschland und gemäss der Rechtsprechung des EuGH 48 Nicht fehlen sollte schliesslich bei einer Betrachtung der Möglichkeiten des Urheberrechtsschutzes von Softwareschnittstellen auch der Blick nach Deutschland und zum EU-Recht: 49 Auch im deutschen Urheberrecht gilt, dass die „den Schnittstellen zugrundeliegenden Ideen und Grundsätze“55 nicht geschützt sind. Diese – nicht schutzfähigen – Elemente werden als „Schnittstellenspezifikation“ (bzw. als „Schnittstellenbeschreibung“) bezeichnet56. Die überwiegende Mehrheit der Autoren in Deutschland fordert – wohl zu Recht – eine Trennung zwischen der Schnittstelle und ihrer „Spezifikation“, also zwischen Ausdruck und Idee bzw. Form und Inhalt. Nicht urheberrechtlich geschützt bleibt damit stets die Schnittstellenspezifikation bzw. -beschreibung, also die blosse Idee. In Deutschland gehören Schnittstellenspezifikationen zu den nicht schutzfähigen Ideen und Grundsätzen eines Computerprogramms57. Das schliesst logisch aus, dass sie zugleich selbst Schutz als Computerprogramm geniessen können. Schnittstellenspezifikationen erfüllen weder die Definition des Computerprogramms (denn es handelt sich bestenfalls um eine Sammlung, nicht aber eine Folge von Befehlen; und ohne richtige Umsetzung in Quellcode kann man einen Computer nicht zu einer Ausführung be55 Siehe § 69a Abs. 2 Satz 2 DE-UrhG. 56 Lehmann, Freie Schnittstellen („interfaces“) und freier Zugang zu den Ideen („reverse engineering“). Schranken des Urheberrechtsschutzes von Software, CR 1989, 1057, 1059; Grützmacher, Dateneigentum – ein Flickenteppich, CR 2016, 485, 494; Vinje, Die EG-Richtlinie zum Schutz von Computerprogrammen und die Frage der Interoperabilität, GRUR Int 1992, 250, 254; Falker, in: Taeger (Hrsg.), Die Macht der Daten und der Algorithmen, 2019, 600; C. Czychowski, in: A. Fromm/J. B. Nordemann (Hrsg.), Urheberrecht (Kommentar), § 69a Rz. 32); Czarnota/Hart, Legal Protection of Computer Programs in Europe, 1991, 38; Hoeren, IT-Recht, Stand: Oktober 2020, 59f., https://www.itm.nrw/wp-content/uploads/Skript-IT-Recht-Stand-Juni-2020Stand-29.06..pdf, 16, 53, 58, 95, 98. 57 Siehe § 69a Abs. 2 Satz 2 DE-UrhG.

404

Drei-Länder-Treffen 2022 Länderbericht Schweiz

wegen) noch die Anforderungen des EuGH an eine Ausdrucksform (denn es handelt sich nicht um Quellcode, Objektcode oder um einen vergleichbaren Code)58. Diverse deutsche Autoren gehen noch einen Schritt weiter und sprechen sogar den Schnittstellen selbst jeglichen Urheberrechtsschutz ab59. Das LG Frankfurt hat in einem interessanten Fall entschieden60, dass 50 einer XML-Datei die urheberrechtliche Schutzfähigkeit fehlt: Dabei wurde insbesondere befunden, dass es sich bei der fraglichen XML-Datei und den darin enthaltenen Regelsätzen nicht um ein Sprachwerk handelt, da vorliegend wenig bis gar kein geistiger Inhalt durch das Mittel der Sprache zum Ausdruck komme. Die Leistung müsse aus dem Werk erkennbar sein. Schriftgut, das Gebrauchszwecken dient und von ihnen weitgehend vorgegeben ist, müsse vergleichbare alltägliche Schriften deutlich übersteigen. Die Frage des Eigentümlichkeitsgrads bemesse sich dabei nach dem geistig-schöpferischen Gesamteindruck, und zwar im Gesamtvergleich gegenüber vorbestehenden Gestaltungen. Weiter hat das LG Frankfurt festgestellt, dass die Gesamtheit der Regel- 51 sätze, die in der XML-Datei enthalten sind, die Voraussetzungen eines urheberrechtlich geschützten Werks nicht erfüllt, dass weder die XMLDatei, noch die darin enthaltenen Regelsätze ein Computerprogramm darstellen und dass es sich bei der XML-Datei und den darin enthaltenen Regelsätzen um eine Schrift handle, die Gebrauchszwecken dient,

58 EuGH v. 22.12.2010 – C-393/09, K & R 2011, 105, Rz. 49 – BSA/Kulturministerium; EuGH v. 2.5.2012 – C406/10, WRP 2012, 802, Rz. 38 – SAS Institute. 59 Lehmann (Lehmann, Die Europäische Richtlinie über den Schutz von Computerprogrammen, GRUR Int, 1991, 329) begründet dies mit der fortschreitenden Normierung und Standardisierung von Schnittstellen. Marly, Der Schutzgegenstand des urheberrechtlichen Softwareschutzes, GRUR 2012, 773, 779; Marly, Praxishandbuch Softwarerecht, 7. Aufl. 2018, Rz. 101) macht dies mit Blick auf das urheberrechtliche Erfordernis des Vorliegens einer Ausdrucksform (§ 69a Abs. 2 Satz 1 DE-UrhG) und führt in diesem Zusammenhang aus, „APIs“ (also Schnittstellen) würden keine Vervielfältigung des Programms ermöglichen und seien deshalb nach den Vorgaben des EuGH keine Ausdrucksform. Auch seien Schnittstellen stets eine nicht schutzfähige Banalität (Dreier, Rechtsschutz von Computerprogrammen, CR 1991, 577, 583; Grützmacher, 494), und es gebe bei APIs technische Zwänge, die „einem Programmierer praktisch kaum einen kreativen Freiraum“ (Lehmann, 1059) eröffnen würden. Grützmacher (Grützmacher, 494) und Karl (Karl, Der urheberrechtliche Schutzbereich von Computerprogrammen, 2009, 238) leiten den fehlenden Urheberrechtsschutz für Schnittstellen auch aus wettbewerbsrechtlichen Gründen ab, da ansonsten die Interoperabilität gefährdet sei. 60 LG Frankfurt a. M., Urteil vom 8.11.2012 (2-3 O 269/12).

405

Alesch Staehelin

nämlich dem Import in eine Datenbankanwendung, wodurch diese Datenbankanwendung auf die jeweiligen Bedürfnissen des Anwenders zugeschnitten wird. Dem Gericht erschliesse sich kein geistiger Inhalt der Regelsätze. Diese seien vielmehr bloss eine Aneinanderreihung von Zeichen, und selbst wenn ein geistiger Gehalt der Regelsätze erkennbar wäre, so sei nicht erstellt, dass diese Regelsätze bzw. der in ihnen verkörperte geistige Inhalt, also die geistige Schöpfung, sich deutlich vom Alltäglichen abheben. Der EuGH hat die Trennung zwischen Implementation und Schnittstellenspezifikation für die mit den Kommunikationsprotokollen verwandten Dateiformate (es geht in beiden Fällen um Datenaustausch) bereits bestätigt61: Es ist nur konsequent, diesen Gedanken auch auf Kommunikationsprotokolle zu erstrecken. 52 Anfang Mai 2012 hat der EuGH erstmals entschieden62, dass Programmiersprachen keinen urheberrechtlichen Schutz geniessen, denn sie sind in rechtlicher Hinsicht nicht mit Software-, Sprach- oder auch Musikwerken zu vergleichen. 53 Die Entscheidung verträgt sich gut mit der bisherigen schweizerischen Rechtsprechung zu schutzfähigen Werken. 54 Gleichzeitig regt sie dazu an, sich mit ähnlich gelagerten Fragen näher zu befassen, nämlich nach der urheberrechtlichen Einordnung von Dateiformaten, Protokollen und Benutzeroberflächen: 55 Das Urheberrecht ist im Kern der Schutz des Schöpferischen, d.h. dort wo es am Schöpferischen, an der Individualität bzw. der Originalität fehlt, da kann kein urheberrechtlicher Schutz geltend gemacht werden. Nicht geschützt sind – wie bereits erwähnt – Ideen, Konzepte und Grundsätze. Eine blosse Funktion, wie z. B. die Funktion, eine bestimmte Skriptsprache interpretieren zu können, ist keine Ausdrucksform. Diese Funktion – und damit letztendlich die Programmiersprache als solche – unterliegt daher nicht dem urheberrechtlichen Schutz. Wenn man bereits die Funktion (eines Computerprogramms) schützen wolle, so der EuGH in seiner letztlich wohlfahrtsökonomisch geprägten Argumentation, würde dies dem technischen Fortschritt und der industriellen Entwicklung schaden. Zudem würde es die Möglichkeit eröffnen, blosse Ideen zu

61 EuGH v. 2.5.2012 – C406/10, WRP 2012, 802, Rz. 38 – SAS Institute. 62 EuGH v. 2.5.2012 – C-406/10, https://dejure.org/dienste/vernetzung/rechtspre chung?Gericht=EuGH&Datum=02.05.2012&Aktenzeichen=C-406/10.

406

Drei-Länder-Treffen 2022 Länderbericht Schweiz

monopolisieren63. Der Generalanwalt hatte in seiner Urteilsempfehlung an den EuGH treffend angemerkt, dass eine Programmiersprache mit der Sprache eines Romanautors vergleichbar sei: Beide sind blosse Mittel zum Ausdruck, aber keine – urheberrechtlich schützbare – konkrete Ausdrucksform. Eine Programmiersprache könnte zwar theoretisch nach den allgemeinen Regeln als Sprachwerk urheberrechtlich geschützt sein. Das würde jedoch voraussetzen, dass die Auswahl der Schlüsselwörter und Operatoren sowie die Syntax, die von einer Programmiersprache vorgegeben werden, an eine geistige Schöpfung heranreichen. Das ist jedoch reine Theorie, denn die Programmiersprache wurde mit dem Ziel konzipiert, gemessen an ihrem Zweck möglichst effizient und leicht erlernbar zu sein. Die Gestaltungskriterien sind somit vorrangig funktional. Was seine Gestaltung aber nur einer rein technischen Zweckbestimmung verdankt, stellt eben nicht das Ergebnis eines schöpferischen Prozesses dar und ist damit einem urheberrechtlichen Schutz nach den allgemeinen Grundsätzen nicht zugänglich. Diese vom EuGH entwickelten Grundsätze lassen sich nun auch im Hin- 56 blick auf Dateiformate, Protokolle, Benutzeroberflächen und Schnittstellenbeschreibungen anwenden: Bei der Interpretation eines bestimmten Dateiformats handelt es sich 57 nur um eine andere Art des Inputs als bei der Verarbeitung bestimmter Skripte. Hinzu kommt die Frage, ob die Output-seitige Verwendung eines Dateiformats (also die Fähigkeit, Dateien in einem bestimmten Format schreiben zu können) eine andere rechtliche Beurteilung erfordert. Tatsächlich musste der EuGH im Rahmen seiner Entscheidung auch genau diese Frage im Zusammenhang mit dem Dateiformat beantworten. Konsequenterweise stellte er fest, dass die Funktion, Dateien in einem bestimmten Format schreiben zu können, ebenso wenig geschützt ist, wie die des Einlesens. Im Ergebnis sind also Dateiformate wie Programmiersprachen zu beurteilen und daher grundsätzlich keinem urheberrechtlichen Schutz zugänglich. Ein verwandter Bereich betrifft Netzwerkprotokolle: Die für Skripte und 58 Dateiformate geltenden Grundsätze lassen sich auch auf solche technischen Definitionen anwenden. Ähnlich wie Dateiformate geben sie lediglich vor, welches Format die über eine Schnittstelle einzulesenden oder auszugebenden Daten haben müssen. Die Funktion, ein bestimmtes Protokoll verstehen und ausgeben zu können, geniesst daher ebenso wenig urheberrechtlichen Schutz. Wie Programmiersprachen bieten auch 63 Landes/Posner, The Economic Structure of Intellectual Property Law (2003), 91 ff.

407

Alesch Staehelin

Benutzerschnittstellen die Möglichkeit, mit einer Software zu kommunizieren. Das kann über Oberflächen unterschiedlicher Art geschehen: Die Interaktion kann grafisch, akustisch oder textorientiert erfolgen, Nutzer-Input kann eingetippt, eingesprochen, per Klick oder per Geste vermittelt werden. Auf textorientierte Benutzerschnittstellen, die etwa mit einer Befehlszeile oder einfachen Menüs arbeiten, lässt sich das zu Protokollen und Dateiformaten Geschriebene ebenfalls anwenden. 59 Auch nach deutschem Recht und im Licht der einschlägigen Rechtsprechung des EuGH dürften somit Softwareschnittstellen bzw. deren Beschreibungen (Spezifikationen) urheberrechtlich nicht schützbar sein.

408

C. Fachausschüsse und Schlichtungsstelle Bericht des Fachausschuss Datenschutz und Datenökonomie Kevin Leibold*/Laura L. Stoll** I. Überblick

1

II. Geplante Arbeitssitzungen und Veranstaltungen 5 III. Gesetzliche Entwicklungen 1. EU-Ebene 2. Deutschland

8 9 10

IV. EuGH-Rechtsprechung

12

V. Empfehlungen und Dokumente der Aufsichtsbehörden 13 VI. Ausblick

14

I. Überblick Auch im Zeitraum zwischen 2021 bis 2022 bleibt die Präsenz daten- 1 schutzrechtlicher Themen ungemindert. Die Anforderungen der DSGVO wurden fortlaufend durch die Rechtsprechung des Europäischen Gerichtshofs als auch (durch) nationale Gerichte weiter konkretisiert. Darüber hinaus tragen die deutschen Datenschutzaufsichtsbehörden und der Europäische Datenschutzausschuss (EDSA) zu einer stetigen Entwicklung bei. Die durch das sogenannte „Schrems II“- Urteil des EuGH ausgelösten Herausforderungen im internationalen Datenschutz halten bis zum heutigen Tage an. Insbesondere bei alltäglichen und weit verbreiteten Anwendungen wie zum Beispiel Microsoft 365 oder Google Analytics bleibt die Unsicherheit groß und die datenschutzrechtlichen Aufsichtsbehörden in ganz Europa beziehen aktiv Stellung. Hervorzuheben ist die rasante Entwicklung in Europa, die durch die 2 Europäische Kommission vorangetrieben wird. „Der Weg ins digitale Jahrzehnt“, wie die Phase bis 2030 von der Kommission beschrieben wird, wird von einer Vielzahl von neuen Rechtsakten flankiert. Besondere Bedeutung wird in diesem Zusammenhang dem Data Act (DA), Data Governance Act (DGA), Digital Services Act (DSA), Digital Markets Act (DMA) und Artificial Intelligence Act (AIA) beigemessen. Das Zusam* Kevin Leibold, LL.M., Rechtsanwalt, Leiter des Fachausschuss. ** Laura L. Stoll, BSc., Leiterin des Fachausschuss.

409

Kevin Leibold/Laura L. Stoll

menspiel dieser zukünftigen Verordnungen mit der DSGVO wird in der Praxis noch viele Probleme und Herausforderungen mit sich bringen, die es zu lösen gilt. 3 Die Jahre 2021 und 2022 waren weiterhin stark von der Corona-Pandemie geprägt, so dass die Arbeit des Fachausschuss Datenschutz und Datenökonomie nur sukzessive angepasst werden konnte. Erfreulich ist festzustellen, dass zukünftig Ausschusssitzungen sowohl wieder in Präsenz oder hybrid als auch in digitalen Formaten angeboten werden können. 4 Mit Ende des Berichtszeitraums hat sich ein Wechsel in der Leitung des Fachausschuss ergeben. Nunmehr leiten Kevin Leibold und Laura L. Stoll den Fachausschuss. Kevin Leibold ist Rechtsanwalt und berät rund um das Thema des (Beschäftigten-)Datenschutzrecht. Laura L. Stoll, Juristin und Psychologin, berät im Datenschutzrecht und ist als externe Datenschutzbeauftragte tätig. 5 II. Geplante Arbeitssitzungen und Veranstaltungen 6 Die Themen des Fachausschuss waren auf beiden Jahrestagungen der DGRI sowohl 2021 als auch 2022 inhaltlich stark vertreten. Im Rahmen der Tagung 2021 „Digitale Souveränität – Vision oder Trugbild“ wurde durch Prof. Dr. Sibylle Gierschmann, (damalige) Fachausschussleitung, durch den Themenblock II „Enforcement vs. Meinungsfreiheit“ geführt und 2022 wurden sowohl der Datenökonomie in Themenblock I als auch in Block II dem Datenschutzrecht Raum für inhaltliche Auseinandersetzungen gegeben. Auch im Jahr 2023 wird der Fachausschuss einen Themenblock zum Thema Data Act gestalten und auf diesem Weg die Mitglieder an der Vielfalt des Themenbereichs teilhaben lassen. 7 Zum 5. Geburtstag der DSGVO ist eine digitale Veranstaltung am 25.5.2023 zum Thema „5 Jahre DSGVO – Visionen und Wirklichkeit“ geplant. Der Fachausschuss wird fortan in digitalen als auch in hybriden Formaten Angebote für die Mitglieder schaffen und seine Arbeit zu allen Themen des Datenschutzes als auch Datenökonomie fortsetzen. III. Gesetzliche Entwicklungen 8 In den Jahren 2021 und 2022 behielt der Fachausschuss die Entwicklungen sowohl auf EU-Ebene zur DSGVO als auch auf nationaler Ebene in Deutschland im Auge. In den beiden Jahren gab es bedeutende Entwick-

410

Bericht des Fachausschuss Datenschutz und Datenökonomie

lungen in Bezug auf die DSGVO sowohl auf EU-Ebene als auch auf nationaler Ebene in Deutschland. 1. EU-Ebene Auf EU-Ebene wurden im Jahr 2021 verschiedene Leitlinien des EDSA zu 9 verschiedenen Aspekten der DSGVO überarbeitet, um einige der Unklarheiten und Interpretationsprobleme zu beseitigen, die seit der Einführung der DSGVO bestanden haben. Zudem wurde die Zusammenarbeit und Koordinierung der Datenschutzbehörden in den Mitgliedstaaten verstärkt, um eine einheitliche Anwendung der DSGVO in der gesamten EU zu gewährleisten. Mechanismen zur Zusammenarbeit, wie beispielsweise das One-Stop-Shop-Verfahren, wurden verbessert, um den grenzüberschreitenden Datenschutz zu erleichtern. 2. Deutschland Auf nationaler Ebene in Deutschland spielte die deutsche Datenschutz- 10 behörde, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), eine maßgebliche Rolle bei der Umsetzung und Durchsetzung der DSGVO. Der BfDI nahm seine Aufgabe wahr, Unternehmen und Organisationen in Deutschland hinsichtlich ihrer Datenschutzmaßnahmen zu überwachen und zu beraten. Im Jahr 2021 lag ein besonderer Schwerpunkt auf der Überwachung der Einhaltung der DSGVO bei der Verwendung von Online-Diensten, insbesondere im Zusammenhang mit Social-Media-Plattformen und anderen digitalen Plattformen. Der BfDI betonte auch die Bedeutung des Datenschutzes bei der Verarbeitung personenbezogener Daten von Kindern und Jugendlichen und forderte verstärkte Schutzmaßnahmen in diesem Bereich. Parallel zu den Aktivitäten des BfDI gab es auf nationaler Ebene in den 11 Jahren 2021 und 2022 wegweisende Urteile deutscher Gerichte, die zur Auslegung und Anwendung der DSGVO beitrugen. Diese Urteile behandelten verschiedene Aspekte des Datenschutzes. Daraus ergaben sich direkte Auswirkungen auf die Praxis der Datenverarbeitung. Sie betrafen Themen wie das Recht auf Vergessenwerden, das Recht auf Auskunft und Schadensersatz, die Anforderungen an die Einwilligung in die Verarbeitung personenbezogener Daten sowie die Haftung von Unternehmen bei Datenschutzverletzungen.

411

Kevin Leibold/Laura L. Stoll

IV. EuGH-Rechtsprechung 12 Im Rechtsstreit Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) gegen die Wirtschaftsakademie Schleswig-Holstein entschied der EuGH, dass das Setzen von Cookies auf einer Website die ausdrückliche Einwilligung des Benutzers erfordert. Vorab angekreuzte Kästchen oder implizite Zustimmung werden nicht als gültige Einwilligung angesehen. Dieses Urteil stärkt die Rechte der Nutzer, ihre persönlichen Daten zu kontrollieren. V. Empfehlungen und Dokumente der Aufsichtsbehörden 13 In den Jahren 2021 und 2022 haben Datenschutzaufsichtsbehörden verschiedene relevante Empfehlungen und Dokumente veröffentlicht, um den Schutz personenbezogener Daten zu verbessern. Der EDSA hat Leitlinien zur Anwendung der DSGVO herausgegeben, die sich mit Einwilligung, Datenschutz-Folgenabschätzung, Datenübermittlung in Drittländer und anderen Themen befassen. Datenschutzaufsichtsbehörden wie das Bundesamt für Datenschutz und Informationsfreiheit (BfDI) und das Information Commissioner‘s Office (ICO) haben Empfehlungen zur ethischen und datenschutzgerechten Verwendung von Künstlicher Intelligenz (KI) veröffentlicht. Es wurden auch Leitlinien zur korrekten Nutzung von Cookies und Tracking-Technologien veröffentlicht, um die Anforderungen der DSGVO hinsichtlich informierter Einwilligung, Transparenz und Datenschutzoptionen zu erfüllen. Nach dem EuGHUrteil „Schrems II“ haben die Behörden Empfehlungen für den rechtmäßigen internationalen Datentransfer herausgegeben, einschließlich Standardvertragsklauseln und Verhaltensregeln. Darüber hinaus haben die Aufsichtsbehörden Richtlinien zur Stärkung der Cybersicherheit und des Datenschutzes veröffentlicht, um Bedrohungen wie Cyberangriffe zu bekämpfen. Diese Veröffentlichungen zeigen den allgemeinen Trend, den Datenschutz zu stärken und personenbezogene Daten in einer zunehmend digitalisierten Welt zu schützen. VI. Ausblick 14 Insgesamt bleibt die Umsetzung der DSGVO eine fortlaufende Herausforderung für Unternehmen und Organisationen in der gesamten EU. Die Entwicklungen auf EU- und nationaler Ebene in den Jahren 2021 und 2022 haben jedoch gezeigt, dass es Fortschritte gibt, um eine einheitliche Anwendung der Verordnung zu gewährleisten und den Schutz personenbezogener Daten zu verbessern. Die Datenschutzwelt bleibt also spannend – die Aufgaben des Fachausschuss vielfältig. 412

Bericht des Fachausschuss „Digitale Compliance“ Prof. Dr. Stefanie Fehr/Dirk Seeburg* I. Überblick II. Arbeitssitzungen

1

III. Ausblick

10

6

I. Überblick Mit der Aufnahme seiner Arbeit unter neuer Fachausschussleitung sowie 1 Namen hat sich im Jahr 2022 alles um das Thema Hinweisgeberschutz gedreht. Am 16.12.2022 hat der Bundestag den RegE eines Hinweisgeberschutz- 2 gesetzes in der vom Rechtsausschuss geänderten Fassung beschlossen. Das Gesetz sollte am 10.2.2023 den Bundesrat passieren und sollte drei Monate nach der Verkündung in Kraft treten. Der Bundesrat verweigerte jedoch die Zustimmung.1 Nachdem das ursprünglich von der Bundesregierung eingebrachte Hin- 3 weisgeberschutzgesetzes im Bundesrat gescheitert ist, haben die Koalitionsfraktionen am 17.3.2023, einen zweiten Anlauf unternommen. Sie haben das Vorhaben in zwei Gesetzentwürfe „für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden“ (20/5992) und „zur Ergänzung der Regelungen zum Hinweisgeberschutz“ (20/5991) aufgespalten, von denen nach ihrer Auffassung nur einer im Bundesrat zustimmungspflichtig sei. Die beiden Initiativen wurden im Anschluss an die Debatte zur weiteren Beratung an den Rechtsausschuss überwiesen. Nach der Sitzung des Rechtsausschusses wurden die beiden Gesetzesentwürfe nicht in den Bundestag eingebracht. Die Bundesregierung hatte am 5.4.2023 beschlossen, hierzu ein Vermittlungsverfahren zu verlangen. Der Vermittlungsausschuss von Bundestag und Bundesrat *

1

Prof. Dr. Stefanie Fehr ist Professorin für Compliance und Datenschutz an der Hochschule Ansbach. Dirk Seeburg ist als Rechtsanwalt bei der BAY GmbH Wirtschaftsprüfungsgesellschaft Rechtsanwaltsgesellschaft tätig. Bundesministerium der Justiz: Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden. https://www.bmj.de/ SharedDocs/Gesetzgebungsverfahren/DE/Hinweisgeberschutz.html. (zuletzt abgerufen am: 28.4.2023).

413

Stefanie Fehr/Dirk Seeburg

wird sich am 9.5.2023 mit dem Gesetz zum Schutz von Whistleblowern (Hinweisgeberschutzgesetz) befassen.2 4 Das Hinweisgeberschutzgesetz (HinSchG) dient der Umsetzung der EU-Whistleblower-Richtlinie3 (kurz: WBRL). Es soll insb. natürliche Personen schützen, die im Zusammenhang mit ihrer beruflichen Tätigkeit Informationen über Verstöße gem. § 2 HinSchG erlangt haben und diese melden oder offenlegen möchten. Oft nehmen Mitarbeiter in Unternehmen und Behörden sowie deren Geschäftspartner Missstände als Erste wahr und können durch ihre Hinweise dafür sorgen, dass Rechtsverstöße aufgedeckt, untersucht und unterbunden werden. Daher verpflichtet das HinSchG Beschäftigungsgeber mit jew. in der Regel mindestens 50 Beschäftigten gem. § 12 Abs. 1 Satz 1 HinSchG dazu, eine interne Meldestelle einzurichten. Die Beschäftigungsgeber müssen dazu Meldekanäle einrichten, über die Hinweise zu Verstößen eingereicht werden können. Im Rahmen eines solchen Hinweisgebersystems werden zwangsläufig personenbezogene Daten verarbeitet. Davon betroffen sind in erster Linie die beschuldigte/n Person/en und der Hinweisgeber, soweit dieser bei seiner Meldung nicht anonym bleibt, aber auch Dritte, wie etwa andere Beschäftigte, die Zeugen des potenziellen Fehlverhaltens waren. Die Verarbeitung personenbezogener Daten durch die Meldestellen hat grds. unter Beachtung der geltenden Vorschriften zu erfolgen. Maßgeblich sind insofern vor allem die DSGVO und das BDSG. 5 Die wichtigste Regelung des Entwurfs ist der Hinweisgeberschutz. In der Vergangenheit war dieser im deutschen Recht nur fragmentarisch und uneinheitlich geregelt. Unternehmen dürfen Hinweisgeber nicht benachteiligen. Der Gesetzentwurf verbietet Repressalien sowie die Androhung und den Versuch derselben wie z. B. Verweigerung von Fortbildung, Versetzung, Abmahnung, Versagung von Beförderungen, Disziplinarmaßnahmen, Diskriminierung oder Mobbing (vgl. auch die nicht abschließende Aufzählung in Art. 19 WBRL, auf die die Gesetzbegründung zum RegE ausdrücklich Bezug nimmt).

2

3

Geschäftsstelle des Vermittlungsausschusses: Vermittlungsausschuss berät über Gesetz zum Schutz von Whistleblowern. In: https://www.vermittlungsausschuss.de/SharedDocs/termine/DE/presse/20230509-va.html;jsessionid=F614FEA546D395B8BB930AD1D98F0471.2_cid339 (zuletzt abgerufen am: 28.4.2023). RL EU 2019/1937 des EU-Parlaments und des Rates vom 23.10.2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (ABl.EU L 305 vom 26.11.2019, S. 17).

414

Bericht des Fachausschuss „Digitale Compliance“

Mit einem Bußgeld von bis zu 100.000 Euro wird belegt, wer eine Meldung oder die darauffolgende Kommunikation verhindert (oder dies versucht), wer verbotene Repressalien ergreift (oder dies versucht) oder wer vorsätzlich oder fahrlässig das Vertraulichkeitsgebot missachtet. Auch für die Nicht-Einrichtung und das Nicht-Betreiben eines internen Meldesystems ist eine Geldbuße von bis zu 20.000 Euro vorgesehen. § 30 Abs. 2 Satz 3 OWiG ist in den Fällen des § 40 Abs. 2 Nr. 1 und 3 und der Abs. 3 und 4 HinSchG anzuwenden, § 40 Abs. 5 Satz 2 HinSchG. II. Arbeitssitzungen Der Fachausschuss „Digitale Compliance“ hat sich im Jahr 2022 dreimal 6 virtuell getroffen. Die Arbeitssitzungen wurden als digitale Mittagspause gestaltet. Am 16.5.2023 hatte der Fachausschuss Henning Stuke zu dem Thema 7 „Umgang mit Hinweisgebern“ zu Gast. In dem Gastvortrag hat der Fachausschuss erfahren, –

wie eine Eingangsbestätigung zu personalisieren ist.

–

wie mit dem ‚Behavioral Change Stairway Model‘ ein ängstlicher Gesprächspartner auf „unsere“ Seite zu ziehen ist.

–

wie man die Speak-Up-Culture im Unternehmen verbessert.

In dem zweiten Fachausschuss-Treffen hatten wir am 1.6.2023 Marco 8 Hüsner von der EQS Group zu Gast. Er zeigte uns die Vor- und Nachteile eines elektronischen Hinweisgebers auf. Am 13.6.2023 hat die Co-Fachausschussleiterin Prof. Dr. Stefanie Fehr 9 einen Einblick zu dem Status Quo des Gesetzgebungsverfahren zum Hinweisgeberschutzgesetz geben und dabei die wichtigen Aspekte für die praktische Umsetzung des Gesetzes aufgezeigt. III. Ausblick Im Jahr 2023 wird das Gesetzgebungsverfahren zum Hinweisgeberschutz 10 den Fachausschuss „Digitale Compliance“ begleiten. Darüber hinaus werden wir genauer auf das Thema Lieferkettensorgfaltspflichtengesetz und seine Anforderungen für die Praxis schauen. Über diese Themen hinaus ist eine digitale Mittagspause zum Thema IT 11 Security Awareness geplant.

415

Bericht des Fachausschuss Digitale Wirtschaft und Plattformökonomie Isabell Conrad*/Jens Engelhardt**/Thomas Wilmer*** I. Umorientierung des bisherigen Fachausschuss „Internet und eCommerce“ hin zu Plattformthemen 1

II. Der Fachausschuss im Jahr 2023 3

I. Umorientierung des bisherigen Fachausschuss „Internet und eCommerce“ hin zu Plattformthemen Nachdem sich die letzte Fachausschusssitzung noch als Fachausschuss 1 „Internet und eCommerce“ mit „Datenschutz im Internet und E-Commerce“ befasste, fand aufgrund der Neuorientierung und Umbenennung zum Fachausschuss „Digitale Wirtschaft und Plattformökonomie“ auch eine thematische Überarbeitung der Tätigkeit statt. Während die im letzten Corona-Jahr 2022 zunächst geplante Sitzung 2 nicht mehr stattfand, wurde die Neuorientierung inhaltlich abgeschlossen. Datenschutzaspekte werden nicht mehr Sitzungsgegenstand sein, nachdem dies dem Fachausschuss Datenschutz und Datenökonomie zugeordnet ist. Neben der digitalen Wirtschaft – einschließlich des E-Commerce – steht die Plattformökonomie im Vordergrund. Dies betrifft sowohl die klassischen digitalen Marktplätze als auch neue Geschäftsmodelle der digitalen Wirtschaft, welche dem Plattformgedanken folgen. II. Der Fachausschuss im Jahr 2023 Neben der Planung der nächsten Fachausschusssitzung steht eine Viel- 3 zahl von Themen zur Bearbeitung an. Dies betrifft neben der Richtlinie (EU) 2019/790 über das Urheberrecht und die verwandten Schutzrechte im digitalen Binnenmarkt vor allem die Konsequenzen der Verordnung (EU) 2019/1150 zur Förderung von Fairness und Transparenz für gewerbliche Nutzer von Online-Vermittlungsdiensten (Plattform to Business-Verordnung), der Verordnung (EU) 2022/1925 über bestreitbare und * Isabell Conrad, Rechtsanwältin. ** Jens Engelhardt, Rechtsanwalt. *** Prof. Dr. Thomas Wilmer, Hochschullehrer.

417

Isabell Conrad/Jens Engelhardt/Thomas Wilmer

faire Märkte im digitalen Sektor (EU) 2020/1828 (Digital Markets Act) sowie der Verordnung (EU) 2022/2065 über einen Binnenmarkt für digitale Dienste und zur Änderung der Richtlinie 2000/31/EG. Während der Digital Markets Act sich mit „Gatekeeper-Plattformen“ befasst, welche eine systemische Rolle im Binnenmarkt einnehmen und damit wichtige Kanalisierungsfunktionen ausüben, betrifft der Digital Services Act Online-Vermittler und -Plattformen wie Marktplätze, soziale Netzwerke, App-Stores und Content Sharing-Plattformen. Es ist in Teilen noch unklar, wie sich das Verhältnis dieser Vorschriften zueinander und zu bestehenden Regelungen entwickeln wird. Im Bereich nationaler Vorschriften und Regelungen werden Teile des NetzDG und Elemente der sogenannten „Störerhaftung“ betroffen sein. Daneben wird die Fortführung des Verbraucherschutzes im E-Commerce nach Einführung der Gesetze zur besseren Durchsetzung und Modernisierung der Verbraucherschutzvorschriften der Union sowie zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen zu beobachten sein. 4 Alle diese Entwicklungen werden Herausforderungen an die Gestaltung von Verträgen und Nutzungsbedingungen zu diesen Geschäftsmodellen und den jeweiligen digitalen Inhalten bilden, mit denen sich der Fachausschuss befassen wird.

418

Bericht des Fachausschuss Legal Tech Felix Buchmann* I. Anbieter von Legal Tech Lösungen II. Erfahrungen beim Einsatz von Legal Tech in der Kanzlei III. Aktuelle Rechtsprechung

1

IV. Politische Entwicklungen und Netzwerk

15

V. Was macht uns also aus?

19

7 11

I. Anbieter von Legal Tech Lösungen Ein allgemeingültiges Verständnis, was unter „Legal Tech“ zu verstehen 1 ist, gibt es derzeit noch nicht. Die Vorstellungen liegen irgendwo zwischen dem Einsatz von E-Mails in der Kanzlei und vollautomatisierten Gerichtsurteilen. Klärungsbedarf besteht aber nicht nur dort: Uneinigkeit herrscht auch bei der Frage, inwieweit die Technologie den Anwaltsberuf verändern wird. Der Fachausschuss Legal Tech möchte es sich zur Aufgabe machen, alle Beteiligten zu inspirieren, einen Schritt in Richtung Zukunft zu machen und auf dem Weg in das digitale Zeitalter juristischen Arbeitens mitzunehmen. Überall gibt es potenzielle Entwickler der Lösungen von morgen – wir 2 müssen sie nur finden, und das ist angesichts des unüberschaubaren Angebots derzeit nicht so einfach. Daher möchten wir künftig monatlich einem Anbieter oder einer Anbieterin die Möglichkeit bieten, ein selbstentwickeltes Produkt im Bereich Legal Tech zu präsentieren. Es sind keine weiten Reisen nötig, da wir die Vorträge ganzheitlich online gestalten, sodass jede und jeder ortsunabhängig die Möglichkeit hat, seine oder ihre Idee vorzustellen oder auch einfach nur zuzuhören. Wir stellen keine speziellen Anforderungen an die Teilnahme, wer Interesse am Thema hat, ist herzlich willkommen. Wir freuen uns über alle Beiträge und Einschätzungen! Damit bieten wir nicht nur eine Plattform zur Vorstellung eigener Pro- 3 dukte, sondern erhalten einen umfänglichen Überblick über Anbieter

*

Prof. Dr. Felix Buchmann ist Rechtsanwalt und Fachanwalt für IT-, Urheber- und Medien sowie Handels- und Gesellschaftsrecht. Er ist Partner bei DORNKAMP Rechtsanwälte am Standort Stuttgart und lehrt und forscht an der Hochschule Pforzheim.

419

Felix Buchmann

und Entwicklung auf dem Legal Tech Markt. Wir setzen dadurch eine Grundlage für alle zukünftigen Entwicklungen, denn durch den Diskurs zwischen EntwicklerInnen und Interessierten erhoffen wir uns ein inspiriertes Umfeld für die Weiterentwicklung von Produkten und Produktinnovation. Nur durch einen Austausch werden bestehende Defizite und Chancen überhaupt ersichtlich und nur so können wir einen Überblick über die Lage auf dem Legal Tech Markt erlangen. Welche Produkte gibt es schon? Inwiefern besteht noch Potenzial? In welche Richtung bewegen sich AnbieterInnen und in welche Richtung der Markt? Welche Lücken können und müssen vielleicht noch geschlossen werden? 4 Aus unserer Sicht führt kein Weg daran vorbei, den direkten Kontakt mit Anbietern und Anbieterinnen zu suchen! Wir könnten natürlich versuchen, allein durch umfängliche Recherchen einen Überblick über die Marktsituation zu gestalten, aber was ist aussagekräftiger als die Einschätzung von Personen, die sich selbst auf dem Markt befinden und uns von ihren eigenen Erfahrungen berichten können? 5 Hinzu kommt, dass die Vorstellung entwickelter Produkte deutlich macht, welche Bandbreite an Leistungen schon jetzt von Legal Tech Produkten abgedeckt werden kann. So bieten die Vorträge Interessierten eine Möglichkeit, sich als potenzielle Nachfrager näher mit dem bereits bestehenden Markt auseinandersetzen zu können. 6 Eine Weiterbildung ist folglich sowohl für AnbieterInnen als auch für ZuhörerInnen gegeben und bietet eine Perspektive für alle Teilnehmenden, was in Zukunft aus der Legal Tech Branche noch zu erwarten ist. II. Erfahrungen beim Einsatz von Legal Tech in der Kanzlei 7 Im zweiten Schritt richten wir unsere Perspektive weniger auf die Entwicklung von Legal Tech Produkten, sondern befassen uns mit den Folgen von Legal Tech, nämlich damit, wie der Einsatz von Legal Tech von unseren Kollegen und Kolleginnen bewertet wird. 8 Dazu fragen wir nach, inwiefern Legal Tech Lösungen in ihrem Tätigkeitsbereich schon eingesetzt werden, welche Auswirkungen der Einsatz hat und wie die Resultate des Einsatzes übergreifend bewertet werden. Hierzu werden Rechtsanwälte und Rechtsanwältinnen aus verschiedenen Kanzleien, wieder zur Gewährleistung der Flexibilität via Online-Meetings, quartalsweise gebeten, einen kleinen Einblick zu geben. Auch hier sind alle Interessierten herzlich zur Teilnahme eingeladen.

420

Bericht des Fachausschuss Legal Tech

In den Ausführungen unserer Kollegen und Kolleginnen soll auf folgende 9 Fragen ein besonderer Fokus gelegt werden: Welche Hürden oder Probleme sind bisher beim Einsatz von Legal Tech Lösungen aufgetreten? Wie schätzen Mandanten und Mandantinnen den Einsatz von Legal Tech ein bzw. inwiefern ist der Einsatz von der Mandantschaft akzeptiert? Gibt es eventuell mehr Rückfragen, wenn Legal Tech im Vorfeld der Beratung eingesetzt wird? Nicht zuletzt spielt die Bewertung des Kostenfaktors eine zentrale Rolle: Hat sich der Einsatz von Legal Tech „unterm Strich“ gelohnt? Wurde durch den Einsatz tatsächlich eine Entlastung der Rechtsanwälte und Rechtsanwältinnen in den von Legal Tech betroffenen Bereichen verzeichnet oder bestand gar so viel Eingriffsbedarf, dass die „Hilfe“ durch Legal Tech die Kosten gar nicht decken konnte? Unter die Gesamtbewertung fallen auch Fragen nach einer möglichen Zeitersparnis, der Effizienz des Workflows und Qualität der Ergebnisse. Bei alldem handelt es sich um wertvolle Informationen, die wiederum 10 für die Weiterentwicklung von Legal Tech von Relevanz sind. Die Erfahrungsberichte bieten umfassend Raum für Weiterforschung und erstmals einen echten Einblick aus der Praxis aus der Perspektive von Personen, die sich alltäglich mit der Technologie auseinandersetzen. Dies kann nicht nur für Entwickler und Entwicklerinnen von entscheidender Bedeutung sein, die ihre Produkte verbessern wollen, sondern auch als Ideenfabrik für noch nicht entwickelte Legal Tech Lösungen funktionieren. Nicht zuletzt können die gebotenen Evaluationen anderen Kanzleien als Entscheidungshilfe dienen, ob der Einsatz von Legal Tech in der eigenen Kanzlei in Betracht gezogen wird. III. Aktuelle Rechtsprechung Besonders relevant für den Einsatz von Legal Tech Lösungen ist für uns 11 natürlich auch die juristische Rahmensetzung durch den Gesetzgeber und die Gerichte. Gerade jetzt, im Zeitraum der wachsenden Technologisierung auch innerhalb von Kanzleien, gerät das Thema ins Blickfeld der Rechtsprechung. Während bereits 2021 die Zulässigkeit der Nutzung von Legal Tech zur eigenständigen Vertragserstellung seitens des BGH gestattet wurde (BGH, Urteil v. 9.9.2021 – I ZR 113/20) oder noch im selben Jahr das Legal-Tech-Gesetz in Kraft getreten ist, sind in Zukunft wohl noch einige weitere wegweisende Urteile und Neuregelungen zu erwarten. Darum machen wir es uns zur Aufgabe, Rechtsanwälte und Rechtsan- 12 wältinnen über aktuelle Entwicklungen bzw. Änderungen in Bezug auf den Rechtsberatungsmarkt zu informieren. Sich über die geltenden Ge421

Felix Buchmann

setze und aktuellen Rechtsprechungen zu informieren, ist essenziell, um den Einsatz von Legal Tech Lösungen so effektiv wie möglich zu gestalten. Auch im Hinblick auf die Ermöglichung einer Beratung von Mandanten und Mandantinnen ist es unerlässlich, sich beim Einsatz von Legal Tech Instrumenten im Vorhinein über den rechtlichen Rahmen zu informieren. 13 Dabei ist von Seite der teilnehmenden Rechtsanwälte und Rechtsanwältinnen kein Aufwand erforderlich! Wir senden, sobald sich eine wichtige Neuerung ergibt, Newsletter, die ganz flexibel dann gelesen werden können, wann es in den Zeitplan passt – ohne, dass ein Platz im Kalender freigehalten werden muss. Sobald sich bei unserem Newsletter angemeldet wurde, ist kein weiteres Tätigwerden mehr nötig, da wir alle Informationen, ohne vorherige Anfrage, über den Mailverteiler zugänglich machen. 14 Dies gilt aber nicht nur für Rechtsanwälte und Rechtsanwältinnen, sondern auch für Rechtsdienstleistende. Auch sie haben im Bereich des Einsatzes von Legal Tech Produkten Rechtsvorschriften zu beachten, über die wir ebenfalls berichten werden. IV. Politische Entwicklungen und Netzwerk 15 Unser Ausschuss will aber nicht nur als Informationsplattform dienen, sondern wir wollen auch selbst an der politischen Rahmensetzung mitwirken und Einfluss nehmen auf die Prozesse, die unsere zukünftige Arbeitsweise so entscheidend bestimmen werden. 16 Um das zu erreichen, setzen wir dazu an, mit verschiedenen Netzwerken in Kontakt zu treten, die sich bereits eingehend mit dem Thema Legal Tech beschäftigen. Wir können das Thema Legal Tech nicht nur durch Gespräche zwischen Rechtsanwälten oder Rechtsanwältinnen voranbringen und das wollen wir auch nicht. Wir machen keine Unterschiede zwischen studentischen Initiativen, Richterausschüssen oder sonstigen Experten und Expertinnen – jede Anregung hilft und sichert einen zukunftsorientierten Diskurs. Nur durch einen engen Austausch und eine konstruktive Zusammenarbeit können die Herausforderungen, die Legal Tech mit sich bringt, bewältigt werden und ein gemeinsamer politischer Standpunkt ermittelt werden. Hier ist die Mitwirkung aller Beteiligten im Bereich Legal Tech gefragt! 17 Insbesondere legen wir aber auch Wert darauf, dass bei der Ausgestaltung der rechtlichen Rahmenbedingungen insofern die Interessen von AnwältInnen berücksichtigt werden, dass die anwaltliche Unabhängigkeit und 422

Bericht des Fachausschuss Legal Tech

das anwaltliche Berufsrecht im Allgemeinen auch beim Einsatz von Legal Tech gewahrt bleiben. Legal Tech soll allgemein eine Unterstützung bieten, aber nur insoweit, dass wir uns in unserer Arbeit noch wohlfühlen können. Wir wollen uns einsetzen für ein progressives Berufsrecht, das uns ermög- 18 licht, den Fortschritt selbst mitzugestalten. Wir streben dabei eine Repräsentation aller Beteiligter an, um mit der Zeit gehen zu können – oder vielleicht noch ein wenig schneller. Dazu gehören Stellungnahmen zu allen relevanten Themen, aber auch direkte Kontaktaufnahme mit Vertretern aus der Politik. Wir suchen das Gespräch und klären auf, sodass Legal Tech im Rahmen der Digitalisierung einen festen Platz auf der politischen Agenda findet. V. Was macht uns also aus? Wir wollen Legal Tech voranbringen! Dazu nutzen wir alle uns offenste- 19 henden Kanäle in den Bereichen Innovation und Weiterentwicklung von Produkten, Aufklärung und Information über aktuelle Rechtsentwicklungen sowie Kommunikation, nicht nur in bereits bestehenden Netzwerken, sondern auch mit Außenstehenden oder Verantwortlichen aus der Politik. Dabei wollen wir allen Interessenten die Möglichkeit bieten, Teil zu werden von dieser Bewegung gerichtet auf die Eingliederung von Technologie in den juristischen Alltag und davon, einen Weg zu bereiten in eine modernere Arbeitsweise. Das tun wir nicht nur, um unsere eigene Arbeit zu erleichtern, sondern auch, um Mandanten und Mandantinnen schnellst- und vor allem bestmöglich unterstützen zu können – und zwar in all den Gebieten, in denen sie uns brauchen, in denen Erfahrung und tiefgreifenderes Denken gefragt sind, in all den Gebieten, die Technologie noch nicht leisten kann. Der geneigte Leser hat es vielleicht erkannt: Dieser Text wurde mit Unterstützung einer KI geschrieben.

423

Bericht des Fachausschuss Cloud Computing, Outsourcing, IT-Projekte Thomas Stögmüller*/Lars Lensdorf**/Thomas Thalhofer*** I. Zusammenlegung mit dem Fachausschuss IT-Vertragsrecht

II. Sitzungen des Fachausschuss

2

1

I. Zusammenlegung mit dem Fachausschuss IT-Vertragsrecht Nachdem die Arbeit des Ausschusses durch die Corona-Beschränkungen 1 eine gewisse Unterbrechung erfahren hatte, ist durch die Zusammenlegung mit dem Fachausschuss IT-Vertragsrecht eine Verbreiterung des Tätigkeitsfeldes erfolgt. Diese Maßnahme ist aus Sicht der Ausschussleitung folgerichtig, da viele Rechtsfragen in allen drei Bereichen – Outsourcing, Cloud und IT-Projekten – gleichsam zur Anwendung kommen. Man denke nur an regulatorische Fragen, das BSI-Gesetz oder das Vergaberecht. II. Sitzungen des Fachausschuss Am 11.5.2023 fand dann die erste Online-Sitzung des Fachausschus- 2 ses Cloud Computing, Outsourcing, IT-Projekte zum Thema „1 Jahr EVB-IT Cloud – Überblick und erste Erfahrungen“ statt. Referent war Rechtsanwalt Thomas H. Fischer, M.B.L.-HSG., Partner bei ARNECKE SIBETH DABELSTEIN. Hintergrund der Veranstaltung war, dass seit dem 1.3.2022 die EVB-IT Cloud zur Verfügung stehen. Das Vertragswerk besteht aus dem EVB-IT Cloudvertrag, den „Ergänzenden Vertragsbedingungen für Cloudleistungen“ (EVB-IT Cloud-AGB), einem Kriterienkatalog für Cloudleistungen, der „EVB-IT Cloud Anlage auftragnehmerseitige AGB“ und Hinweisen für die Nutzung der EVB-IT Cloud. Die EVB-IT Cloud wurden für die Beschaffung von Cloudleistungen, insbesondere IaaS, PaaS, SaaS und MCS (Managed Cloudservices) erarbeitet und sind das Ergebnis eines intensiven Abstimmungsprozesses zwischen *

Dr. Thomas Stögmüller, LL.M. (Berkeley), Rechtsanwalt und Fachanwalt für Informationstechnologierecht, Partner bei TCI Rechtsanwälte München. ** Dr. Lars Lensdorf, Rechtsanwalt (Partner) bei Covington & Burling in Frankfurt. *** Dr. Thomas Thalhofer, Rechtsanwalt (Partner) bei Noerr in München.

425

Thomas Stögmüller/Lars Lensdorf/Thomas Thalhofer

öffentlicher Hand und IT-Wirtschaft. An den Verhandlungen der EVB-IT Cloud war auch der Referent beteiligt. Er ging in seinem gut besuchten Online-Vortrag insbesondere auf das Zusammenspiel der unterschiedlichen Vertragsdokumente, die individuellen Anforderungen der Nutzer an Cloud-Services und die Möglichkeit der Einbeziehung auftragnehmerseitiger AGB sowie auf die Datenverarbeitung und Datensicherung in der Cloud ein. Darüber hinaus gab er einen guten Überblick über den in den EVB-IT Cloud referenzierten BSI Kriterienkatalog Cloud Computing C5:2020, einen Katalog von 125 Kriterien, die Mindestanforderungen an ein sicheres Cloud Computing definieren. 3 Für das zweite Halbjahr 2023 ist eine Sitzung in Planung, die sich mit den in der jüngeren Vergangenheit weiter ausdifferenzierten aufsichtsrechtlichen Anforderungen für Cloud- und Outsourcing-Projekte im Banken- und Finanzdienstleisterbereich beschäftigen wird. Insbesondere die „EBA-Leitlinien zu Auslagerungen“, die „Mindestanforderungen an das Risikomanagement“ (MaRisk), die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) sowie der im Januar dieses Jahres in Kraft getretene und bis Januar 2025 umzusetzende Digital Operational Resilience Act geben ausreichenden Diskussionsstoff.

426

Bericht des Fachausschuss Social Media und Intermediäre Johanna Götz/Franz Hofmann* I. Vorstellung des Fachausschuss 1 II. Sitzungen des Fachausschuss

III. Ausblick

4

2

I. Vorstellung des Fachausschuss Der Fachausschuss Social Media und Intermediäre im Internet nahm 1 im Herbst 2021 seine Arbeit auf. Der neue Fachausschuss befasst sich mit den urheber- und medienrechtlichen Aspekten im Zusammenhang mit Intermediären im Internet. Geleitet wird der Fachausschuss von Dr. Johanna Götz und Prof. Dr. Franz Hofmann. Götz ist Salary Partnerin bei Taylor Wessing am Hamburger Standort. Sie berät und vertritt insbesondere Intermediäre mit Fokus auf haftungs- und compliancerechtlichen Fragestellungen. Hofmann hat den Lehrstuhl für Bürgerliches Recht, Recht des Geistigen Eigentums und Technikrecht an der Friedrich-Alexander-Universität Erlangen-Nürnberg inne. II. Sitzungen des Fachausschuss Durchgeführt wurden mehrere Online-Fachausschusssitzungen. Behan- 2 delt wurden im Einzelnen folgende Themen: –

Anordnungen gegenüber Internet-Intermediären (15.3.2023) mit Prof. Dr. Jan Bernd Nordemann, LL.M (Cambridge), Nordemann Czychowski & Partner, Berlin und Jörg Wimmers, LL.M. (NYU), Taylor Wessing, Hamburg. Die beiden Referenten beleuchteten Anordnungen gegenüber Intermediären zur Abstellung und Verhinderung von Rechtsverletzungen durch Dritte. Sie diskutieren u. a. „Auslistungsansprüche“ gegenüber Google und Angebotssperren durch Access-Provider im Lichte der aktuellen EuGH-Rechtsprechung „TU und RE/Google“ (C-460/20) und der BGH-Entscheidung „DNS-Sperre“ (I ZR 111/21). Die Diskussion umfasste u. a. Überlegungen zum europäischen Konzept der „gerichtlichen Anordnungen“.

*

Dr. Johanna Götz ist Salary Partnerin bei Taylor Wessing in Hamburg im Bereich Technology, Media and Telecoms. Prof. Dr. Franz Hofmann ist Inhaber des Lehrstuhls für Bürgerliches Recht, Recht des Geistigen Eigentums und Technikrecht an der Friedrich-Alexander-Universität Erlangen-Nürnberg.

427

Johanna Götz/Franz Hofmann

–

Digital Service Act – Was bringt das neue Gesetz für digitale Dienste? (22.6.2022) mit Prof. Dr. Gerald Spindler, Georg-August-Universität Göttingen. Spindler gab einen Überblick über den aktuellen Stand des DSA.

–

Telegram – Stoßen NetzDG und TMG an ihre Grenzen? (23.2.2022) mit Dr. Daniel Holznagel, Richter, z. Zt. LG Berlin und Malaika Nolde, LL.M. (Rechtsinformatik), Fachanwältin für Strafrecht. Auf der Veranstaltung wurden die Möglichkeiten zum Vorgehen gegen rechtswidrige Inhalte auf Plattformen wie Telegram de lege lata und de lege ferenda diskutiert.

3 Auf der DGRI-Jahrestagung 2022 in Leipzig bespielte der Fachausschuss die erste Sitzung zum Digital Services Act (DSA) mit zwei Fachvorträgen und anschließender Diskussion. III. Ausblick 4 Auf den Fachausschuss warten spannende Zeiten: Durch das Inkrafttreten des Digital Services Act (DSA) stellen sich viele neue Rechtsfragen zur Um- und Durchsetzung. Beschäftigen werden den Fachausschuss in diesem Zusammenhang die nationalen Reformprojekte für ein Gesetz gegen digitale Gewalt wie die Neufassung des TMG und die angekündigte Aufhebung des Netzwerkdurchsetzungsgesetzes (NetzDG).

428

Bericht des Fachausschuss Telekommunikation und IT-Sicherheit Gerd Kiparski/Sebastian Louven* I. Einleitung II. Fachausschusssitzungen

1 2

III. Themen des Fachausschuss auf der DGRI Jahrestagung

13

I. Einleitung Ab dem 1.12.2021 gelten das neue TKG und das neue TTDSG. Das TKG 1 wurde zuvor einem großzügigen Anpassungsprozess unterzogen, der Vorgaben insbesondere aus dem EKEK mit aufnahm. Dabei wurden die Regelungen zum bereichsspezifischen Datenschutz und Fernmeldegeheimnis ausgelagert und in ein eigenes Gesetz überführt, das TTDSG. Diese beiden umfangreichen Gesetzgebungsaktivitäten prägten auch die Tätigkeiten des Fachausschuss. II. Fachausschusssitzungen Gleich zum Beginn im November 2021 hielt der Fachausschuss eine vir- 2 tuelle Diskussionsrunde zum neuen TTDSG ab. Die beiden Referenten waren Dr. Simon Assion und Dr. Carlo Piltz, beides ausgewiesene Experten auf ihren Gebieten. An der Veranstaltung nahmen über 120 Personen teil. Diese erste Online-Veranstaltung galt in der Folge als Muster für zahlreiche weitere Veranstaltungen, die unter der Bezeichnung TK-Lunchtime angeboten wurden. Jeweils ein Referent oder eine Referentin mit besonderer Expertise auf einem Gebiet hält einen Kurzvortrag zwischen 20 und 30 Minuten, gefolgt von einer offenen Diskussion. Gerade im Bereich des Kundenschutzes ergeben sich erhebliche Neuerun- 3 gen aus dem neuen TKG. Zu nennen sind hier das neue Minderungsrecht bei weniger Bandbreite, pauschale Ersatzansprüche bei Anschlussausfall, Tarifberatungspflicht, Änderungen an der Kündigungs- und Vertragslaufzeit, und mit der neuen Vertragszusammenfassung eine Fülle an Infor-

*

Der Autor Dr. Sebastian Louven ist Rechtsanwalt und Fachanwalt für internationales Wirtschaftsrecht. Er ist Partner der auf Kartellrecht und Telekommunikationsrecht spezialisierten Kanzlei louven.legal in Detmold. Der Autor Dr. Gerd Kiparski ist General Counsel der 1&1 AG in Montabaur.

429

Gerd Kiparski/Sebastian Louven

mationspflichten. Da vom neuen TKG nicht mehr nur klassische Telekommunikationsdienste, sondern auch sog. OTT-Dienste erfasst sind, ist der Anwendungsbereich des neuen Kundenschutzes deutlich erweitert worden. Zu diesem Thema referierte im Dezember 2021 der Co-Leiter des Fachausschuss, Dr. Gerd Kiparski, MBA. 4 Das Jahr 2022 eröffnete eine Veranstaltung mit Dr. Guido Brinkel, der sich mit der Erweiterung des persönlichen Anwendungsbereichs des Telekommunikationsrechts auf sogenannte interpersonelle Telekommunikationsdienste befasste. Nach den Neuregelungen im TKG und TTDSG unterfallen nun auch sog. OTT-Dienste wie E-Mails den neuen gesetzlichen Regelungen. Brinkel diskutierte, welche Unternehmen jetzt erfasst sind und welche Pflichten für diese daraus folgen können. 5 Die Erfassung von OTT-Diensten durch das Telekommunikationsrecht beschäftigte auch eine weitere Sitzung im Februar 2022. Dort referierte Dr. Grace Nacimiento, LL.M. zu öffentlichen Sicherheitsanforderungen aus dem TKG und den Anwendungsbereich für OTT-Dienste. Insbesondere die Regelungen im Bereich der öffentlichen Sicherheit stellen für OTT-Anbieter eine große Herausforderung dar. So müssen diese Anbieter nun ein Sicherheitskonzept erstellen, technische und organisatorische Schutzmaßnahmen einhalten, Sicherheitsvorfälle melden, ggf. Behördenanfragen beauskunften und vieles mehr. Diese Anforderungen sind neu für OTT-Anbieter und im Dickicht der Normen und hierzu erlassenen technischen Richtlinien auch nicht einfach zu durchdringen. 6 Mit der Telecom-Single-Market-Verordnung sind auf Europäischer Ebene im Jahr 2015 Regelungen zur Netzneutralität eingeführt worden. Hiernach dürfen Internetzugangsanbieter Datenverkehre im Internet nicht ungleich behandeln. Bisher vermarkten viele Internetzugangsanbieter gerade im Mobilfunk Zero-Rating Angebote. Bekannt sind in Deutschland das Telekom-Angebot „StreamOn“ sowie das Konkurrenzprodukt „Vodafone Pass“. Bei diesen Tarifoptionen wird das Datenvolumen, welches von bestimmten Diensten verbraucht wird, nicht auf das Inklusivvolumen angerechnet – es wird mit 0 bewertet (zero gerated). Der EuGH hat Ende 2021 in drei aufsehenerregenden Entscheidungen Zero Rating als mit der Netzneutralität unvereinbar erklärt. Das Gremium Europäischer Regulierungsstellen für elektronische Kommunikation (GEREK) überarbeitet vor dem Hintergrund die aktuellen Leitlinien zur Durchsetzung der Telecom-Single-Market-Verordnung; am 16.3.2022 wird ein Entwurf entsprechend überarbeiteter Leitlinien zur Konsultation gestellt. Der Fachausschuss konnte für ein Referat zu diesem Thema Dr. Julia Marquier von der BNetzA gewinnen.

430

Bericht des Fachausschuss Telekommunikation und IT-Sicherheit

Die folgende Sitzung war durch die russische Invasion in der Ukraine 7 und das Sperren von Pornoseiten geprägt. Schon Ursula von der Leyen hat im Jahr 2009 in ihrer Rolle als Bundesfamilienministerin mit dem Zugangserschwerungsgesetz einen Anlauf unternommen, den Zugang zu Internetseiten mit kinderpornographischen Inhalten durch DNS-Sperren zu erschweren. Das Zugangserschwerungsgesetz wurde nie angewandt und einige Zeit später wieder abgeschafft. Mehr als 10 Jahre später haben Landesmedienanstalten Sperrverfügungen mangels ausreichender Altersverifikation für die Seite xHamster an Internetzugangsanbieter verschickt. Zugleich verlangt die EU-Kommission in ihren Sanktionen gegen Russland die Sperrung von Webseiten der Russischen Sender Sputnik und Russia Today. Zu diesem Thema referierte Jörg Wimmers, LL.M. Die folgende Sitzung im Mai 2022 befasste sich mit dem neuen Glasfa- 8 serbereitstellungsentgelt im TKG 2021. Mit der TKG-Novelle 2021 wird das sog. Nebenkostenprivileg für die Umlage von TV-Anschlüssen auf Mieter nach § 2 Nr. 15 BetrKV ab dem 1.7.2024 abgeschafft. Um gleichwohl Investitionen in die Inhausverkabelung mit Glasfaser zu erhalten, wurde in § 72 TKG ein neues Glasfaserbereitstellungsentgelt eingeführt. Hierüber können Telekommunikationsanbieter die Kosten des erstmaligen Ausbaus eines Hauses mit Glasfaser auf den Eigentümer umlegen. Eigentümer, die ein mit Glasfaser erschlossenes Haus vermieten, können das Glasfaserbereitstellungsentgelt an ihre Mieter über die Betriebsnebenkosten weiterreichen. Dies wird befristet bis zum 31.12.2027 möglich sein. Zu diesem Thema referierte Benedikt Kind. Mehrere Jahre schwelte der Konflikt zwischen Fernmeldegeheimnis 9 und Erbrecht. Der BGH gewährte 2018 in einer aufsehenerregenden Entscheidung den Erben einer verstorbenen Nutzerin Zugriff auf deren Facebook-Messenger-Kommunikation, obwohl diese prinzipiell dem Fernmeldegeheimnis unterliegt. Er machte dafür den „Kunstgriff“, dass Erben keine „anderen“ i. S. d. § 88 Abs. 3 TKG a. F. seien. Diese Entscheidung nahm der Gesetzgeber jüngst zum Anlass, in § 4 TTDSG die Wahrnehmung der Rechte des Endnutzers gegenüber dem Anbieter eines TK-Dienstes durch Erben und andere berechtigte Personen zu regeln. Dr. Anna K. Bernzen diskutierte hierzu, wie weit diese Regelung reicht, welche Rechte erfasst sind und was Unternehmen jetzt beachten müssen. In der darauffolgenden Sitzung referierte Rebekka Weiß, LL.M. über den 10 Entwurf einer Verordnung über Regelungen zur Vorbeugung und Bekämpfung des Kindesmissbrauchs, kurz CSAM. Dieser Verordnungsentwurf sieht umfangreiche neue Pflichten für Hosting- und OTT-Anbieter, aber auch für Internetzugangsanbieter vor. So verpflichtet die Verordnung Hosting Provider und OTT-Anbieter ein Risk Assessment für das Risiko 431

Gerd Kiparski/Sebastian Louven

von Missbrauchsdarstellungen und Grooming über ihre Dienste durchzuführen und entsprechend des Risk Assessments mitigierende Maßnahmen zu ergreifen. Internetzugangsanbieter müssen Webseiten sperren, die Material über Kindesmissbrauch bereithalten. Bei Nichtbefolgen der Vorgaben der neuen Richtlinie drohen hohe, am Unternehmensumsatz orientierte Bußgelder. 11 Es folgte eine Sitzung mit einem Referat von Dr. Viktoria Schmittmann, LL.M. M.Sc., die sich mit IT-sicherheits- und telekommunikationsrechtlichen Herausforderungen in Energienetzen befasste. IT-Sicherheit für alle Akteure im Energiesektor steht nicht erst seit vermehrten Cyberangriffen auf Energieversorger und der dadurch drohenden Gefahr von Blackouts im Fokus. Das „Gesetz zur Digitalisierung der Energiewende“ und die IT-Sicherheitsgesetze 1.0 und 2.0 haben eine stärkere Konvergenz der Telekommunikations- und Energienetze eingeläutet und neue IT-Sicherheitsvorgaben eingeführt. Kernaspekt der weiteren Digitalisierung der Energienetze ist der – derzeit aufgrund von rechtlichen Unsicherheiten schleppend vorangehende – Rollout von intelligenten Zählern (sog. „Smart Meter“). Smart Meter liefern deutlich detailliertere Verbrauchsinformationen und spielen gerade vor dem Hintergrund des Ausbaus der volatilen erneuerbaren Energien eine wichtige Rolle. 12 Zum Jahresabschluss befasste sich Prof. Dr. Jan Dirk Roggenkamp mit der Entscheidung des EuGH zur deutschen Vorratsdatenspeicherung und dem Gesetzesentwurf des BMJ zu einem „Quick-Freeze“ Verfahren zur Sicherung von Verkehrsdaten. Hiermit soll keine allgemeine und unterschiedslose Speicherung von Verkehrsdaten auf Vorrat mehr erfolgen, sondern ein Nicht-Löschen dieser Daten bezüglich konkreter Personen auf gerichtliche Anordnung hin. III. Themen des Fachausschuss auf der DGRI Jahrestagung 13 Zusätzlich zu diesen elf virtuellen Fachausschusssitzungen in diesem besonderen Format befasste sich Andreas Neumann auf der DGRI Jahrestagung am 11.11.2022 in Leipzig mit dem Recht auf telekommunikative Grundversorgung. Dieses Thema hatte zuletzt Telekommunikationsunternehmen wie auch die Regulierungsbehörde beschäftigt. Unklar sind insbesondere noch die Grundlagen eines möglichen Einschreitens, aber auch der Maßstab, was genau zu welchen Bedingungen zu versorgen ist. Dieser Vortrag rundete das Programm des Fachausschuss ab und zeigte sehr deutlich, wie wichtig das Telekommunikationsrecht immer noch als eigenständige Fachmaterie ist.

432

Bericht des Fachausschuss Unternehmensjuristinnen und Unternehmensjuristen Dr. Roland Bömer/Jyoti Pakrasi/Dr. Susann Wolfgram I. Vorstellung des Fachausschuss 1 II. Die Jahre 2021 und 2022

2

III. Online-Sitzungen des Fachausschuss

4

IV. Danksagung

8

I. Vorstellung des Fachausschuss Mitglieder dieses Fachausschuss sind mehr als 130 Unternehmens- 1 jurist*innen, die in Unternehmen der IT-, Telekommunikations- und Neue-Medien-Branche tätig sind. II. Die Jahre 2021 und 2022 Der Fachausschuss beschäftigte sich in den Jahren 2021/22 mit ak- 2 tuellen rechtlichen Fragen der IT-, Telekommunikations- und NeueMedien-Branche sowie mit konkreten juristischen Fallgestaltungen, die insbesondere Unternehmensjurist*innen betreffen (wie z. B. E-Commerce, Gestaltung von elektronischen Vertriebswegen, Urheberrecht, Sicherheit der elektronischen Zahlung, moderne Gestaltung von flexiblen Arbeitszeitmodellen, Datenschutz, etc.). Darüber hinaus diskutierten die Mitglieder dieses Fachausschuss praktische und organisatorische Probleme, die sich in der täglichen Arbeit von Unternehmensjurist*innen stellen (z. B. praktische Umsetzung der Datenschutz-Grundverordnung (DSGVO), Einsatz technischer Hilfsmittel in der Rechtsabteilung, Künstliche Intelligenz, Outsourcing von Legal Services, Verbot privater Emails am Arbeitsplatz, arbeitsrechtliche Folgen von Corona, Flexibles Büro und Home-Office, etc.). Auf Wunsch des DGRI-Vorstands haben wir im Jahr 2022 den Namen 3 unseres Fachausschuss von „Fachausschuss für Firmenjuristen“ in „Fachausschuss Unternehmensjuristinnen und Unternehmensjuristen“ geändert. Die Leitung unseres Fachausschuss wird seitdem auf drei Paar Schultern verteilt: zusätzlich zu denen von Dr. Roland Bömer auch auf die von Jyoti Pakrasi und Dr. Susann Wolfgram, LL.M. (Edinburgh).

433

Roland Bömer/Jyoti Pakrasi/Susann Wolfgram

III. Online-Sitzungen des Fachausschuss 4 Die Höhepunkte des Fachauschuss waren die beiden Online-Treffen, an denen jeweils ca. 30–50 Mitglieder aktiv teilnahmen: 5 1. am Freitag, den 1.7.2022, mit folgenden Themen: –

Begrüßung der Teilnehmer, Vorstellung der neuen Leitung unseres Fachausschuss, moderiert von Dr. Roland Bömer, Red Hat GmbH

–

„Die neuen EVB-IT Cloud“ Vortrag (mit Diskussion) von Dr. Olaf Koglin, Director Legal & HR, upday GmbH & Co. KG

–

„Return to the Office-/Work from Anywhere-“ Policies praktischer Erfahrungsaustausch, moderiert von Jyoti Pakrasi, General Counsel D-A-CH + Emerging Markets, Open Text Software GmbH

–

„LinkedIn-Gruppe der DGRI-Unternehmensjurist*innen“ (https:// www.linkedin.com/groups/9177725/) Wie können wir unsere neue LinkedIn-Gruppe aktiv nutzen? moderiert von Dr. Susann Wolfgram, LL.M. (Edinburgh), Chief Legal Counsel, SAP SE

–

Zusammenfassung & Ausblick, moderiert von Dr. Roland Bömer, Red Hat GmbH.

6 2. am Donnerstag, den 17.11.2022, mit folgenden Themen: –

Begrüßung, Einführung, Update aus der DGRI, Dr. Roland Bömer, Red Hat GmbH

–

„Zugriff auf unsere Gehirne – hat das Recht Antworten?“ siehe auch: https://www.handelsblatt.com/meinung/kolumnen/kolumne-kreative-zerstoerung-hirn-hacking-wie-sichern-wir-das-recht-auf-gedankenfreiheit/28024518.html (zuletzt aufgerufen am: 3.2.2022): Vortrag mit Diskussion von Alexander Eichler, Rechtsanwalt (ex Salesforce, IBM)

–

„Neues aus Brüssel: Entwurf des Artificial Intelligence Act“ Vortrag mit Diskussion von Dr. Susann Wolfgram, LL.M. (Edinburgh), Chief Legal Counsel, SAP SE

–

Diskussion der Teilnehmer*innen über andere aktuelle Themen

–

Zusammenfassung & Ausblick, moderiert von RA Dr. Roland Bömer, Red Hat GmbH.

7 Neben den beiden genannten Arbeitstreffen waren die Mitglieder des Fachausschuss in regelmäßigem E-Mail-Kontakt zu aktuellen Themen und tauschten sich über die LinkedIn-Gruppe der DGRI-Unternehmensjurist*innen aus.

434

Bericht des Fachausschuss Unternehmensjurist*innen

IV. Danksagung Die Mitglieder des Fachausschuss „Unternehmensjuristinnen und 8 Unternehmensjuristen“ bedanken sich beim Vorstand der DGRI noch einmal dafür, dass Ihnen durch diesen Fachausschuss ein Forum exklusiv für Mitarbeiter*innen mit nachgewiesener Tätigkeit in Unternehmen geboten wird.

435

Die Schlichtungsstelle IT – Überblick über die Tätigkeit der Jahre 2021 und 2022 Axel Metzger/Zora Witte* I. Vorstellung der Schlichtungsstelle

1

II. Umstrukturierung der Schlichtungsstelle 4 III. Übersicht der Verfahrenszahlen der letzten Jahre 5 1. Verfahren 6 2. Arbeitsschwerpunkte 9

IV. Öffentlichkeitsarbeit/ Sonstiges 1. Publikationen 2. Vorträge 3. Sonstiges V. Ausblick

12 12 14 15 20

I. Vorstellung der Schlichtungsstelle Die Schlichtungsstelle IT der Deutschen Gesellschaft für Recht und 1 Informatik (DGRI) wurde im Jahr 1991 eingerichtet, um ein Verfahren zur Lösung rechtlicher Konflikte im Rahmen technischer Sachverhalte anzubieten und weist somit mittlerweile eine über dreißigjährige Erfahrung auf. Sie bietet Akteuren unterschiedlicher Wirtschaftsbereiche, unabhängig vom Streitwert und der Größe des Unternehmens, Konfliktlösungsmöglichkeiten an. Das IT-Schlichtungsverfahren weist einige Vorteile gegenüber staatli- 2 chen Gerichtsverfahren auf. Diese dauern meist lange und sind häufig mit hohen Kosten verbunden. Darüber hinaus finden sie grundsätzlich öffentlich statt und bieten keine besondere Expertise und Flexibilität bei der Entscheidungsfindung. Ein Schlichtungsverfahren stellt demgegenüber eine kostengünstige und effiziente Alternative dar. Die durchschnittliche Verfahrensdauer erfolgreich beendeter Verfahren beträgt ca. 7 Monate. Neben einer streitwertunabhängigen Einleitungsgebühr in Höhe von 2.000 Euro fallen lediglich Honorarkosten an, die sich nach dem tatsächlichen Arbeitsaufwand des Schlichtungsteams richten. Als neutrale, unabhängige Instanz sichert die Schlichtungsstelle ein vertrauliches Verfahren, sodass technisches Know-how und Unternehmensinterna geschützt bleiben. *

Prof. Dr. Axel Metzger, LL. M. (Harvard) ist Inhaber des Lehrstuhls für Bürgerliches Recht und Immaterialgüterrecht, insb. Gewerblicher Rechtsschutz an der Humboldt-Universität Berlin; Zora Witte war Mitarbeiterin am Lehrstuhl und ist jetzt Referendarin am Kammergericht Berlin.

437

Axel Metzger/Zora Witte

3 Zur Suche einvernehmlicher Lösungen wird ein fachlich kompetentes Schlichtungsteam bestehend aus einem IT-Sachverständigen und einem im IT-Recht spezialisierten Juristen ausgewählt. Die durchgeführten Verfahren führen in weit mehr als der Hälfte der Fälle zu einer Einigung der Parteien. Kann eine einvernehmliche Lösung nicht erzielt werden, so können zumindest die mit dem Sachverhalt befassten IT-Sachverständigen in weitergehenden Verhandlungen oder zur Vorbereitung eines gerichtlichen Verfahrens eingesetzt werden. II. Umstrukturierung der Schlichtungsstelle 4 Im letzten Jahr fand eine rechtliche Umorganisation der Schlichtungsstelle statt. Seit Ende 2022 wird die Schlichtungsstelle nicht mehr von der DGRI betrieben, sondern ist gänzlich an die Humboldt-Universität zu Berlin angegliedert. Dennoch beruht die Tätigkeit der Schlichtungsstelle weiterhin auf einer engen Zusammenarbeit mit der DGRI – insbesondere im Hinblick auf Forschung im Bereich der außergerichtlichen IT-Streitbeilegung. Die DGRI gestattet der Schlichtungsstelle der Kontinuität halber weiterhin die Nutzung der Bezeichnung als DGRI-Schlichtungsstelle sowie des entsprechenden Logos. Für Schlichtungssuchende ändert sich einzig die Höhe der vefahrenseinleitenden Gebühr. Diese beträgt infolge der Umstrukturierung nunmehr 2.000 Euro zzgl. MwSt. III. Übersicht der Verfahrenszahlen der letzten Jahre

5 Stand: 12.4.2023 438

Schlichtungsstelle IT

1. Verfahren Die Einleitung der Schlichtung erfolgt bei der Schlichtungsstelle IT der 6 DGRI durch die Einreichung eines Schlichtungsantrags. Wenn beide Parteien mit der Durchführung des Verfahrens einverstanden sind, findet das Verfahren statt. Die Schlichtungsstelle kontaktiert anschließend die beteiligten Parteien, um über das weitere Vorgehen zu informieren und dabei individuelle Wünsche zu berücksichtigen. Die Beteiligten werden schriftlich über den Vorschlag eines Schlichtungsteams informiert und können sich zunächst äußern. Wenn keine Einwände bestehen, kann das Schlichtungsverfahren auf das Schlichtungsteam übergehen. Von diesem Zeitpunkt an ist die Schlichtungsstelle nicht mehr unmittelbar am Verfahren beteiligt, steht aber weiterhin als Ansprechpartner zur Verfügung. Abhängig von der Ausgangssituation und der Mitwirkung der Parteien kann die Verfahrenseinleitung bereits innerhalb von drei bis vier Wochen abgeschlossen werden. Im Jahr 2021 konnte mit sechs Schlichtungsanträgen eine im Vergleich 7 zu den Vorjahren hohe Anzahl eingehender Schlichtungsanträge verzeichnet werden. Auch 2022 war die Zahl der Verfahrenseingänge mit fünf Anträgen in einem Jahr überdurchschnittlich hoch im Vergleich zu den Vorjahren (insbesondere im Vergleich zu den Jahren 2017, 2018 und 2019). 2021 wurde in zwei Verfahren ein Vergleich erzielt. Ein weiteres Ver- 8 fahren wurde bereits vor Verfahrensübergang durch die Antragsgegnerin beendet. In einem anderen Verfahren fand bereits vor Verfahrensübergang eine Einigung der Parteien statt. 2022 konnten sechs Verfahren mit einem Schlichtungsvergleich zu einem erfolgreichen Abschluss geführt werden. Insbesondere fanden die Parteien in einem großen Verfahren, in dem mehrere Schlichtungsanträge eingereicht worden waren, zu einem Vergleich. Ein Verfahren wurde bereits vor Verfahrensübergang mangels Einverständnis der Antragsgegnerin mit der Durchführung eines Schlichtungsverfahrens beendet. Zwei Schiedsanträge wurden an die DIS (Deutsche Institution für Schiedsgerichtsbarkeit) weitergeleitet. 2. Arbeitsschwerpunkte Den inhaltlichen und zeitlichen Schwerpunkt der Arbeit der Schlich- 9 tungsstelle stellen die Vorbereitung, die Besetzung und Begleitung der Schlichtungsverfahren sowie die Beantwortung regelmäßig eingehender Anfragen dar.

439

Axel Metzger/Zora Witte

10 Typische Streitfragen, die bei der Schlichtungsstelle eingehen, betreffen IT-Projektverträge unterschiedlicher Art, Softwareentwicklung, EPR-Systeme, Service Legal Agreements, Fragen des gewerblichen Rechtsschutzes und Urheberrechts, Datenschutz und IT-Security, Softwarelizenzierung, Websites und Domains und E-Commerce. 11 Einen weiteren Tätigkeitsschwerpunkt stellt die Öffentlichkeitsarbeit dar. Zuletzt wurde in einem Beitrag in der MMR erläutert, inwiefern IT-Schlichtungsverfahren eine Lösung für den Corona-bedingten Verfahrensstau darstellen können. In der Zeitschrift iX wurde besprochen, welche Chancen Schlichtungsverfahren im IT-Bereich bieten. Des Weiteren wurde ein Beitrag in der CR zu Art. 12 der EU-P2B-VO und zur Möglichkeit der Benennung von Schlichtungsstellen publiziert. IV. Öffentlichkeitsarbeit/Sonstiges 1. Publikationen 12 Die Mitarbeiter der Schlichtungsstelle haben in den letzten Jahren regelmäßig zur IT-Schlichtung publiziert: –

Metzger/Witte, IT-Schlichtungsverfahren – eine Lösung für den Corona-bedingten Verfahrensstau, MMR 2021, 521–522.

–

Metzger/Vetter/Witte, Besser schlichten als richten – Schlichtungsverfahren bei Rechtsstreitigkeiten mit IT-Bezug, iX 2/2021, 102–106.

–

Metzger/Vetter/Witte, Art. 12 der neuen EU-P2B-Verordnung: Die Benennung von Schlichtungsstellen als Mediatoren, CR 2020, 739–743.

–

Metzger/Klein, Zur Effizienz der Schlichtung im IT-Bereich, CR 2017, 73–77.

13 Des Weiteren steht die Informationsbroschüre der Schlichtungsstelle zum Download auf der Webseite bereit („Schlichtungsstellen-Whitepaper“, 2019). 2. Vorträge 14 Folgende Vorträge wurden über die Tätigkeit der Schlichtungsstelle gehalten: –

Metzger/Vetter, Bericht über die aktuelle Verfahrensstatistik und die Aktivitäten der Schlichtungsstelle IT der DGRI, Sitzung des Fachausschusses Schlichtung am 7.11.2019 in Berlin.

440

Schlichtungsstelle IT

–

Metzger, Die DGRI-Schlichtung: Erfahrungen und Perspektiven, Treffen des Fachausschusses Firmenjuristen am 13.4.2018 in Bad Homburg.

–

Metzger/Vetter, 25 Jahre DGRI-Schlichtung, Sitzung des Fachausschusses Schlichtung am 9.11.2017 in Köln.

3. Sonstiges Zur Arbeit der Schlichtungsstelle gehört darüber hinaus die Sichtung der 15 eingegangenen Schlichtungsanträge einschließlich der Anlagen in unterschiedlichem Umfang (u. a. Projektverträge mit bis zu 50 Anlagen). Ein weiteres Tätigkeitsfeld stellt der Erfahrungsaustausch mit den 16 Schlichtungsteams dar. Regelmäßig werden telefonische Anfragen zur Schlichtungsstelle und 17 zum Ablauf des Schlichtungsverfahrens beantwortet. Ebenso werden die Informationen auf der Webseite der Schlichtungsstel- 18 le (u. a. Ansprechpartner, Schlichtungsdokumente) überarbeitet und die URL (www.dgri.de/schlichtung) wird angepasst. Der Informationsflyer der Schlichtungsstelle IT wird seit November 19 2017 verteilt. Sein Inhalt ist weiterhin aktuell. V. Ausblick Damit der aus den Verfahrenszahlen ersichtliche positive Trend fortge- 20 setzt werden kann, wird weiterhin ein besonderes Augenmerk auf das Kerngeschäft der Schlichtungsstelle gelegt, das heißt auf die Vorbereitung, Besetzung und Begleitung der Schlichtungsverfahren. Außerdem soll der Erfahrungsaustausch mit den Schlichtungsteams fortgeführt werden. Zudem soll die Kommunikation mit der DIS (Deutsche Institution für Schiedsgerichtsbarkeit) gesucht werden, da in letzter Zeit vermehrt Interesse an Schiedsverfahren bestand. Es besteht die Hoffnung, die Schlichtungsstelle hierdurch bekannter zu machen und aufzuzeigen, für wen ein Schlichtungsverfahren unter Umständen besser geeignet ist als ein Schiedsverfahren.

441

D. Preisträger der DSRI 2021/2022 Autonome und vernetzte Aktanten im Zivilrecht Dimitrios Linardatos* I. Heranführung an den Problemkreis 1 II. Technikspezifische Fokussierung der Problemanalyse 5 III. De lege lata: Zurechnung des Aktantenverhaltens 9 1. Allgemeine Rechtsgeschäftslehre 10 a) Rechtserhebliche Handlungsqualität statt Subjektstatus 11 b) Kein Einwand aus § 179 BGB 12 c) Vorteil des Stellvertretungsrechts: Wertungskonsistenz 13 d) Wertungsfundament der Zurechnung 15 e) Übersetzung der Analyseergebnisse in Tatbestandsmerkmale 18 2. Vertragliches Haftungsrecht 19 a) Ablehnung unausgewogener und nicht „zukunftsfester“ Ansätze 20 b) Erwägungen für eine Analogie zu § 278 BGB 22 c) (Verhaltens-)Ökonomische Überlegungen 23 d) Materiell-rechtliche Konzeptüberprüfung 25 aa) Untergeordnete Bedeutung des Innenregresses 26 bb) Verschulden als zwingende Voraussetzung des § 278 BGB 28

*

cc) Schuldverhältnis als Referenzrahmen für den Pflichtenkatalog 30 e) Tatsächliche Voraussetzungen für die Analogie zu § 278 BGB 31 3. Außervertragliches Haftungsrecht 38 a) Zur Herstellerseite 39 aa) Drohende Haftungslücken? 41 bb) Beweisführungslücken 45 cc) Problem der Veränderlichkeit 47 b) Zur Anwenderseite (i. w. S.) 48 aa) Der Meinungsstand 49 bb) Bewertung und eigene Position 50 4. Gesellschaften und Gemeinschaften 57 a) Gesellschaftsrecht 58 b) Recht der Bruchteilsgemeinschaften 61 IV. Identifizierung etwaiger Anwendungsräume für artifizielle Personen 65 1. Rechtsgeschäfte 66 2. Vertragliches Haftungsrecht 68 3. Außervertragliches Haftungsrecht 69 a) Abmilderung etwaiger Beweisführungsprobleme 70 b) Verkehrssicherheit nach Inverkehrgabe des Aktanten 71

Prof. Dr. Dimitrios Linardatos ist Professor für Bürgerliches Recht, Recht der Digitalisierung und Wirtschaftsrecht an der Universität des Saarlandes.

443

Dimitrios Linardatos c) Einsparung von Transaktionskosten bei der Schadensverteilung 72 d) Zwingende Bedingung: Ausstattung mit einer Haftungsmasse 76 4. Gesellschaften und Gemeinschaften 79 V. Option de lege ferenda: Strukturmerkmale eines neuen Rechtssubjekts 80 1. Schlussfolgerungen aus Historie und Soziologie 81

2. Verbandsrechtliche Kautelen 3. Strukturmerkmale eines artifiziellen Rechtssubjekts a) Gründung, Identifizierung und Repräsentation b) Haftungsvermögen c) Legalität des Verhaltens (Erfüllung von Normativbestimmungen) und Erklärbarkeit

84 87 88 91

94

Literatur: Bertolini, Artificial Intelligence and Civil Liability – Study Requested by the JURI committee (European Parliament), July 2020; Bitter, Rechtsperson und Kapitalerhaltung – Gesellschafterschutz vor „verdeckten Gewinnausschüttungen“ bei Kapital- und Personengesellschaften –, ZHR 168 (2004), 302; Bitter, Konzernrechtliche Durchgriffshaftung bei Personengesellschaften, 2000; Bitter/ Röder, BGB Allgemeiner Teil, 5. Aufl. 2020; Brand, Haftung und Versicherung beim Einsatz von Robotik in Medizin und Pflege, MedR 2019, 943; Bräutigam/ Klindt, Industrie 4.0, das Internet der Dinge und das Recht, NJW 2015, 1137; Brunotte, Virtuelle Assistenten – Digitale Helfer in der Kundenkommunikation, CR 2017, 583; Calo, Robotics and the Lessons of Cyberlaw, Calif.L.Rev. 103(2015), 513; Canaris, Die Vertrauenshaftung im deutschen Privatrecht, 1981; Canaris, Verstöße gegen das verfassungsrechtliche Übermaßverbot im Recht der Geschäftsfähigkeit und im Schadensersatzrecht, JZ 1987, 993; Canaris, Grundstrukturen des deutschen Deliktsrechts, VersR 2005, 577; Chwedczuk, Analysis of Legal Status of Unmanned Commercial Vessels in U.S. Admiralty and Maritime Law, JMLC 2016, 123; Coase, The Firm, the Market, and the Law, 1988; Dauner-Lieb, Unternehmen in Sondervermögen Haftung und Haftungsbeschränkung, 1998; Denga, Deliktische Haftung für künstliche Intelligenz. Warum die Verschuldenshaftung des BGB auch künftig die bessere Schadensausgleichsordnung bedeutet, CR 2018, 69; de la Durantaye, Erklärung und Wille, 2020; Eidenmüller, The Rise of Robots and the Law of Humans, ZEuP 2017, 765; Eidenmüller, Effizienz als Rechtsprinzip, 4. Aufl. 2015; Esser, Grundlagen und Entwicklungen der Gefährdungshaftung. Beiträge zur Reform des Haftpflichtrechts und zu seiner Wiedereinordnung in die Gedanken des allgemeinen Privatrechts, 1941; Expert Group (NTF), Liability for Artificial Intelligence and other emerging digital technologies, 2019; Foerster, Automatisierung und Verantwortung im Zivilrecht, ZfPW 2019, 418; Gitter, Softwareagenten im elektronischen Geschäftsverkehr, 2006; Gomille, Herstellerhaftung für automatisierte Fahrzeuge, JZ 2016, 76; Grapentin, Die Erosion der Vertragsgestaltungsmacht durch das Internet und den Einsatz Künstlicher Intelligenz, NJW 2018, 181; Groß, AGB 4.0: Allgemeine Geschäftsbedingungen im Rahmen autonomer Vertragsschlüsse, InTeR 2018, 4; Gruber, Rechtssubjekte und Teilrechtssubjekte des elektronischen Geschäftsverkehrs, in: Beck (Hrsg.), Jen-

444

Autonome und vernetzte Aktanten im Zivilrecht seits von Mensch und Maschine, 2012, 133; Grützmacher, Die deliktische Haftung für autonome Systeme – Industrie 4.0 als Herausforderung für das bestehende Recht? Ein Plädoyer für die Nutzung von Beweislastregeln und wider den vorschnellen Ruf nach der Einführung einer Gefährdungshaftung, CR 2016, 695; Hacker, Verhaltens- und Wissenszurechnung beim Einsatz von Künstlicher Intelligenz, RW 2018, 243; Harke, Allgemeines Schuldrecht, 2009; Hennemann, Interaktion und Partizipation, 2020; von Hippel, Haftungsersetzung durch Versicherungsschutz – Rechtsvergleichendes Generalreferat, in: Fleming/Hellner/von Hippel (Hrsg.), Haftungsersetzung durch Versicherungsschutz, 1980, 40; Hoffmann-Riem, Innovation und Recht – Recht und Innovation: Recht im Ensemble seiner Kontexte, 2016; Horner/Kaulartz, Haftung 4.0. Verschiebung des Sorgfaltsmaßstabs bei Herstellung und Nutzung autonomer Systeme, CR 2016, 7; Jansen, Die Struktur des Haftungsrechts. Geschichte, Theorie und Dogmatik außervertraglicher Ansprüche auf Schadensersatz, 2003; John, Haftung für künstliche Intelligenz. Rechtliche Beurteilung des Einsatzes intelligenter Softwareagenten im E-Commerce, 2007; Jolly, Das Recht der Actiengesellschaften, Zeitschrift für deutsches Recht und deutsche Rechtswissenschaft, 1847, 317; Kainer/Förster, Autonome Systeme im Kontext des Vertragsrechts, ZfPW 2020, 275; Kaulartz/ Braegelmann, Rechtshandbuch Artificial Intelligence und Machine Learning, 2020; Kersten, Menschen und Maschinen. Rechtliche Konturen instrumenteller, symbiotischer und autonomer Konstellationen, JZ 2015, 1; Klingbeil, Schuldnerhaftung für Roboterversagen – Zum Problem der Substitution von Erfüllungsgehilfen durch Maschinen, JZ 2019, 718; Koller, Die Risikozurechnung bei Vertragsstörungen in Austauschverträgen, 1979; Kollmann, Autonome und intelligente Wertpapierhandelssysteme – Analyse, Regulierung und Haftung, 2019; Köndgen, § 278 BGB – (k)ein universales Haftungsmodell für arbeitsteilige Vertragserfüllung?, in: Ackermann/Köndgen (Hrsg.), Festschrift für Wulf-Henning Roth zum 70. Geburtstag, 2015, 311; Larenz/Canaris, Lehrbuch des Schuldrechts Bd. II/2: Besonderer Teil, 13. Aufl. 1994; Larenz/Canaris, Methodenlehre der Rechtswissenschaft, 3. Aufl. 1975; Latour, Das Parlament der Dinge, 2001; Latour, Wir sind nie modern gewesen, 1994; Linardatos, Autonome und vernetzte Aktanten im Zivilrecht – Grundlinien zivilrechtlicher Zurechnung und Strukturmerkmale einer elektronischen Person, 2021; Linardatos (Hrsg.), Rechtshandbuch Robo Advice, 2020; Linke, Digitale Wissensorganisation – Wissenszurechnung beim Einsatz autonomer Systeme, 2021; Luhmann, Die Wirtschaft der Gesellschaft, 8. Aufl. 1994; Lutz, Autonome Fahrzeuge als rechtliche Herausforderung, NJW 2015, 119; Mann, Die Decentralized Autonomous Organization – ein neuer Gesellschaftstyp? Gesellschaftsrechtliche und kollisionsrechtliche Implikationen, NZG 2017, 1014; Maute, Responsio – Warum die Übertragung von Bitcoins kein dingliches Rechtsgeschäft erfordert, in: Müller et al. (Hrsg.), Privatrecht 2050 – Blick in die digitale Zukunft, 2020, 215; Möslein, Smart Contracts im Zivil- und Handelsrecht, ZHR 183 (2019), 254; Müller, Roboter und Recht, AJP/PJA 2014, 595; Müller-Hengstenberg/Kirn, Intelligente (Software-)Agenten: Eine neue Herausforderung unseres Rechtssystems. Rechtliche Konsequenzen der „Verselbständigung“ technischer Systeme, MMR 2014, 307; Nehm, Autonomes Fahren – Bremsen Ethik und Recht den Fortschritt aus?, JZ 2018, 398; Oechsler, Gerechtigkeit im modernen Austauschvertrag. Die theoretischen Grundlagen der Vertragsgerechtigkeit und ihr praktischer Einfluß auf Auslegung, Ergänzung und

445

Dimitrios Linardatos Inhaltskontrolle des Vertrages, 1997; Omlor, Blockchain-basierte Zahlungsmittel. Ein Arbeitsprogramm für Gesetzgeber und Rechtswissenschaft, ZRP 2018, 85; Omlor, Kryptowährungen im Geldrecht, ZHR 183 (2019), 294; Paulus/Matzke, Smart Contracts und das BGB – Viel Lärm um nichts? –, ZfPW 2018, 431; Raue, Haftung für unsichere Software, NJW 2017, 1841; Rebmann/Säcker (Hrsg.), Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 1: Allgemeiner Teil (§§ 1–240, ProstG, AGG), 8. Aufl. 2018, Band 3: Schuldrecht – Allgemeiner Teil II, 9. Aufl. 2022, Band 6: Schuldrecht Besonderer Teil IV (§§ 705–853, PartGG, ProdHaftG), 8. Aufl. 2020; Riehm, Nein zur ePerson! – Gegen die Anerkennung einer digitalen Rechtspersönlichkeit, RDi 2020, 42; Riehm, Von Drohnen, Google-Cars und Software-Agenten. Rechtliche Herausforderungen autonomer Systeme, ITRB 2014, 113; Riehm/Meier, Künstliche Intelligenz im Zivilrecht, in: Fischer/Hoppen/Wimmers (Hrsg.), DGRI Jahrbuch 2018; Schaub, Interaktion von Mensch und Maschine. Haftungs- und immaterialgüterrechtliche Fragen bei eigenständigen Weiterentwicklungen autonomer Systeme, JZ 2017, 342; Schirmer, Rechtsfähige Roboter?, JZ 2016, 660; Schmidt, Rationalisierung und Privatrecht, AcP 166 (1966), 1; Schulz, Verantwortlichkeit bei autonom agierenden Systemen: Fortentwicklung des Rechts und Gestaltung der Technik, 2015; Sommer, Haftung für autonome Systeme – Verteilung der Risiken selbstlernender und vernetzter Algorithmen im Vertrags- und Deliktsrecht, 2020; Sorge, Softwareagenten: Vertragsschluss, Vertragsstrafe, Reugeld, 2005; Spiecker gen. Döhmann, Zur Zukunft systemischer Digitalisierung – Erste Gedanken zur Haftungs- und Verantwortungszuschreibung bei informationstechnischen Systemen. Warum für die systemische Haftung ein neues Modell erforderlich ist, CR 2016, 698; Spindler, Digitale Wirtschaft – analoges Recht: Braucht das BGB ein Update?, JZ 2016, 805; Spindler, Zivilrechtliche Fragen beim Einsatz von Robotern, in: Hilgendorf (Hrsg.), Robotik im Kontext von Recht, 2013, 63; Spindler, Roboter, Automation, künstliche Intelligenz, selbststeuernde Kfz – Braucht das Recht neue Haftungskategorien? Eine kritische Analyse möglicher Haftungsgrundlagen für autonome Steuerungen, CR 2015, 766; Spiro, Die Haftung für Erfüllungsgehilfen, 1984; von Staudinger (Begr.), Kommentar zum Bürgerlichen Gesetzbuch, 2019; Teubner, Digitale Rechtssubjekte? Zum privatrechtlichen Status autonomer Softwareagenten, AcP 218 (2018), 155; Teubner/Beckers, Three Liability Regimes for Artificial Intelligence – Algorithmic Actants, Hybrids, Crowds, 2021; Thöne, Autonome Systeme und deliktische Haftung – Verschulden als Instrument adäquater Haftungsallokation?, 2020; Tröger, Arbeitsteilung und Vertrag, 2012; Vladeck, Machines Without Principals: Liability Rules and Artificial Intelligence, Wash. L. Rev. 89 (2014), 117; Wagner, Produkthaftung für autonome Systeme, AcP 217(2017), 707; Wagner, Robot Liability, SSRN 3198764, 2019; Wagner, Verantwortlichkeit im Zeichen digitaler Techniken, VersR 2020, 717; Wahlster, Künstliche Intelligenz als Grundlage autonomer Systeme, Informatik Spektrum 2017, 409; Waldkirch, Zufall und Zurechnung im Haftungsrecht, 2018; von Westphalen, Haftungsfragen beim Einsatz Künstlicher Intelligenz in Ergänzung der Produkthaftungs-RL 85/374/EWG, ZIP 2019, 889; White/Baum, Liability for Present and Future Robotics Technology, in: Lin/Abney/Jenkins (Hrsg.), Robot Ethics 2.0: From Autonomous Cars to Artificial Intelligence, Robot Ethics 2.0, 2017, 66; Wiebe, Die elektronische Willenserklärung, 2002; Wischmeyer, Regulierung intelligenter Systeme, AöR 143 (2018), 1; Zech, Entscheidungen digitaler autonomer

446

Autonome und vernetzte Aktanten im Zivilrecht Systeme: Empfehlen sich Regelungen zu Verantwortung und Haftung?, Gutachten A zum 73. Dt. Juristentag Hamburg 2020/Bonn 2022 Zech, Zivilrechtliche Haftung für den Einsatz von Robotern – Zuweisung von Automatisierungs- und Autonomierisiken, in: Gless/Seelmann (Hrsg.), Intelligente Agenten und das Recht, 2016, 163.

I. Heranführung an den Problemkreis Erst kürzlich sieht sich das Privatrecht mit einer Technologie konfron- 1 tiert, die von selbstlernenden Algorithmen und von einer unvorhersehbaren technischen Entscheidungsmacht geprägt ist. Der Mensch verliert zunehmend seine angestammten Handlungsdomänen. Stattdessen übernehmen Algorithmen, Roboter und Softwareagenten wesentliche Teile jener Aufgaben, die bisher von natürlichen oder juristischen Personen erfüllt wurden. Konnte man solche und ähnliche Aussagen noch lange Zeit kritisch hinterfragen, ja sie vielleicht sogar als Technologiemythen abtun, so ist sicherlich spätestens seit ChatGPT nicht nur dem Fachpublikum, sondern auch der breiten Öffentlichkeit bewusst, dass wir ein ganz neues Technologiekapitel aufgeschlagen haben, in dem der Mensch nicht mehr der alleinige Autor ist. Angesichts der Wirkmacht neuer „intelligenter“ Technologien sieht sich das Privatrecht verschiedentlich der Frage ausgesetzt, ob es vom anthropozentrischen und personalistischen Denkansatz abrücken muss, um rechtserhebliches technisches Verhalten einem Rechtsträger zuweisen zu können. So lässt sich für die Rechtsgeschäftslehre fragen:1 Besteht noch eine 2 Willensbasis vertragsrechtlicher Interaktionen, sobald der Kommunikationsprozess nicht mehr von einem Menschen, sondern von einer Maschine bestimmt wird? Ist das Willensmoment noch immer prägendes Proprium der Willenserklärung, wenn nicht mehr ein Mensch eine Erklärung formuliert oder empfängt, sondern ein Softwareagent? Auch das Haftungsrecht steht vor neuartigen Herausforderungen,2 weil 3 technische Systeme den Handlungsträger und die Kausalzusammenhänge im Techniknebel untergehen lassen. Prospektiv können die Verantwortlichkeiten nicht erkannt und retrospektiv nicht zurückverfolgt werden. Als Beispiel genannt sei der autonome und vernetzte (!) Straßenverkehr (vehicle-to-everything oder V2X), bei dem Fahrzeuge nicht nur untereinander, sondern auch mit ihrer Umwelt (z. B. Verkehrsschilder, Ampelanlagen etc.) kommunizieren und interagieren. Das umwelter-

1 2

Ausführlich Linardatos, Autonome und vernetzte Aktanten im Zivilrecht, § 7, S. 103 ff. Linardatos (Fn. 1), § 8, S. 184 ff.

447

Dimitrios Linardatos

hebliche Verhalten des technischen Systems konstruiert sich in solchen Architekturen durch die Interaktion einer unüberschaubaren Zahl an Teilnehmern. Der Aktant3 ist weit verästelt verbunden mit Personen, Systemen und Datenquellen. Das Verhalten verschiedener Handlungsträger greift ineinander, ohne dass für die Betroffenen bei einem Fehlverhalten des Systems das defizitäre Zahnrädchen klar identifizierbar ist. Ist es in einer solchen Situation noch möglich, eine haftungsrechtliche Verantwortung mit Hilfe der tradierten Zurechnungsvorschriften des Zivilrechts zu begründen? 4 Offene Fragen bestehen auch im Recht der Gesellschaften.4 Netzwerksysteme wie die Blockchain begründen durch die Assoziation von Mensch und Nicht-Mensch oder nur von unterschiedlichen Technikaktanten neuartige, emergente und sozialrelevante Einheiten, die das Zivilrecht wie auch das Gesellschaftsrecht in ihren aktuellen Formen nicht zu erfassen vermögen. Es entsteht eine untrennbare „menschlich-technische Verantwortungssphäre“, ein „Ressourcenpool“ aus Mensch und Nicht-Mensch, der nicht durch Individualzurechnung der Erklärungen und Handlungen an einen beteiligten Menschen oder an einen eingeschalteten Algorithmus richtig erfasst werden kann. Im Außenverhältnis tritt der hybride Verbund als überpersonale Einheit in eine kommunikative Beziehung zu Dritten – letztlich so, wie es von den juristischen Personen bekannt ist. Die Mitglieder eines anonymen Netzwerks wollen indes das Band der Gesellschaft typischerweise nicht knüpfen. Kann in einer solchen Situation die technische Einheit selbst rechtsfähig und damit Gegenstand normativer Zuordnung und Teilnehmer des Rechtsverkehrs sein? II. Technikspezifische Fokussierung der Problemanalyse 5 In der vom Verfasser vorgelegten Habilitationsschrift wird Antworten auf diese und auf ähnliche Fragen nachgespürt. Dabei sei klar betont, welche Situationen im Fokus der juristischen, aber auch ökonomischen wie auch soziologischen Analyse stehen: Es interessieren solche Systeme und Aktanten, die menschliche Kontrolle im Moment einer faktischen Veränderung der Umwelt (Umweltmanipulation5) so weit wie möglich 3

4 5

Der in der Arbeit aufgegriffene Aktantenbegriff hat seinen Ursprung in der soziologischen Forschung und ist geprägt von Latour: Das Parlament der Dinge, S. 93 ff.; Wir sind nie modern gewesen, S. 166. Linardatos (Fn. 1), § 9, S. 413 ff. Im technisch geprägten Sprachraum wird der Begriff „Manipulation“ als neutrale Umschreibung verwendet. Er ist weder positiv noch negativ konnotiert und er soll ontologische und philosophische Begriffsdiskussionen verhindern.

448

Autonome und vernetzte Aktanten im Zivilrecht

ausschließen, indem die Umweltmanipulation allein der technischen Einrichtung überlassen bleibt. Um diesen Zweck zu erreichen, sind die Systeme in der Regel mit anderen Technikeinheiten oder Akteuren, die zeitgleich in der jeweiligen Umwelt agieren, vernetzt und verbunden. Darüber hinaus agieren die betreffenden Aktanten, in einem disziplin- 6 spezifischen Erkenntnissinne,6 autonom – ein Begriff, der durch die Rechtsbrille betrachtet wie folgt bestimmt ist:7 (1) Das System trifft Entscheidungen in Situationen der Ungewissheit. Mit Entscheidung ist hierbei im funktionalen Sinne eine Reaktion des Systems auf adressierte Erwartungen8 gemeint. (2) Das System kann zwischen Alternativen wählen, die Auswahl ist mithin nicht prädeterminiert. (3) Die getroffene Auswahl beruht auf angelernten Erfahrungswerten des Systems, es handelt somit nach eigenen Gesetzmäßigkeiten. (4) Das Verhalten des Systems kann infolge der technischen Veränderlichkeit für die jeweils konkrete Situation nicht vorhergesagt werden. (5) Nach getroffener Entscheidung und entsprechender Aktion des Systems bestehen für alle Beteiligten nachhaltige Schwierigkeiten, die Entscheidungsnarrativen des technischen Aktanten mit angemessenem Ressourcenaufwand9 nachzuvollziehen.10 Damit Aktanten tatsächlich die Fähigkeit aufweisen, in einer vernetz- 7 ten Interaktion eigenständig Umweltmanipulationen auszuführen, sind gewisse technische Vorbedingungen unabdingbar:11 Erstens muss der Aktant die Fähigkeit haben, zwischen Handlungsalternativen auszuwählen (Entscheidungsfähigkeit).12 Der Aktant muss zweitens aufgrund von 6 Zur Betonung des disziplinspezifischen Erkenntniswunsches Teubner, AcP 218 (2018), 155, 170; vom Ansatz her ähnlich Wischmeyer, AöR 143 (2018), 1, 8 (Frage der jeweiligen Bereichsdogmatiken). 7 Ähnlich, wenn auch mit einigen Nuancenverschiebungen Teubner, AcP 218 (2018), 155, 174; ferner Vladeck, Wash. L. Rev. 89 (2014), 117, 121. 8 Siehe Luhmann, Die Wirtschaft der Gesellschaft, S. 274. 9 Ein Algorithmus ist theoretisch stets mathematisch erklärbar und nachvollziehbar. Aus juristischer Warte kann dies nicht ausreichen. Ein System, das nur theoretisch, praktisch hingegen kaum nachvollzogen werden kann, ist in der Rechtsanwendung als nicht nachvollziehbar anzusehen. 10 Als Beispiele zu nennen sind: Selbstfahrende Fahrzeuge, autonome Paketlieferdrohnen, Bots für natürlichsprachliche Textgenerierungen (advanced natural language generation), medizinische Diagnosesysteme mit angeknüpften Handlungsfunktionen (etwa KI-gestützte Retina-Scanner, die eigenständig einen Termin beim Ophthalmologen veranlassen) etc. 11 Linardatos (Fn. 1), § 5, S. 93. 12 Beispiel: Ob ein Fahrzeug nach rechts oder nach links ausweicht, einen Unfall durch Bremsen oder Beschleunigung verhindert, berechnet es anhand der zur Verfügung stehenden Parameter selbstständig.

449

Dimitrios Linardatos

Erfahrungs- und Beobachtungsdaten in der Lage sein, seine Daten- und Entscheidungsbasis zu ergänzen, zu revidieren und zu optimieren (Lernfähigkeit).13 Drittens ist erforderlich, dass der Aktant das Verhalten an den jeweils verfügbaren Ressourcen ausrichten (z. B. Zeit, Energie etc.) und somit auch eigene Leistungsgrenzen erkennen kann (Adaptionsfähigkeit). In Einzelfällen kann er viertens prognostisch agieren und bei der Handlungsplanung zukünftig erwartbare Ereignisse seiner Umwelt antizipieren (Fähigkeit zum Vorausblick). Schließlich ist der Aktant fünftens befähigt, mit anderen autonomen Systemen oder Menschen zu kommunizieren und zu kooperieren (Kooperationsfähigkeit). 8 Damit ein autonomer und vernetzter Aktant die oben beschriebenen Eigenschaften14 aufweist, müssen drei technische Komponenten vorhanden sein:15 (i) Sensorik, über die der Zustand der relevanten Umgebung analysiert wird; (ii) Aktorik, welche die Manipulation der Umwelt herbeiführt;16 (iii) KI, die für Auswertungen und Schlussfolgerungen zuständig ist sowie Sensorik und Aktorik zieldienlich koordiniert. III. De lege lata: Zurechnung des Aktantenverhaltens 9 Über die Frage, ob den eben skizzierten Aktanten ein eigener Rechtsstatus mit einem juristischen oder ökonomischen Mehrwehrt zuzusprechen ist (dazu unten Ziff. IV. Rz. 65 ff.), kann nicht entschieden werden, ohne geklärt zu haben, wie sich die Zurechnung des Verhaltens der autonomen und vernetzten Aktanten nach geltendem Recht darstellt. Die vorgelegte Habilitationsschrift wendet sich dabei vier Hauptbereichen zu: Rechtsgeschäftslehre (1.), vertragliches und außervertragliches Haftungsrecht (2., 3.) sowie Recht der Gesellschaften und Bruchteilsgemeinschaften (4.).

13 Dies veranschaulichen Spielalgorithmen (z. B. Schachprogramme, Pokercomputer etc.), die ihr Spiel durch ständiges Training optimieren. 14 Über diese Eigenschaften hinaus müssen auch Sicherheitsparameter erfüllt sein, die einem Aktanten ein Mindestmaß rechtlicher und ethischer Akzeptanz verschaffen: Erklärungsfähigkeit, Resilienz und Erkennung eigener Leistungsgrenzen zwecks Anforderungen menschlicher Unterstützung. 15 Linardatos (Fn. 1), § 5, S. 94 mit Bezug u. a. auf Wahlster, Informatik Spektrum 2017, 409, 411 f. 16 Sensorik und Aktorik sind dabei im weitesten Sinne zu verstehen, damit ein physisches System wie auch reine Software erfasst ist.

450

Autonome und vernetzte Aktanten im Zivilrecht

1. Allgemeine Rechtsgeschäftslehre Von einem Aktanten inhaltlich ausgeformte, abgegebene oder empfan- 10 gene Willenserklärungen werden – mit der h. M.17 – dem Geschäftsherrn analog §§ 164 ff. BGB zugerechnet.18 Der Vorteil dieser Zurechnung liegt darin, dass die Zweispurigkeit eines Kommunikationsprozesses zwischen Erklärendem und Empfänger berücksichtigt werden kann. Jedes Rechtsgeschäft weist spezifische Risiken auf Erklärenden- und auf Empfängerseite auf. Damit die Risiken zwischen diesen beiden Polen eine angemessene Distribution erfahren, ist die Zurechnung eines technisch-autonom geprägten Kommunikationsverhaltens nach Beherrschungssphären zu bewerkstelligen. Es ist dafür auf das Risikoprinzip zurückzugreifen,19 jedoch nicht in einer abstrakten, sondern in seiner konkreten, gemäß §§ 164 ff. BGB materialisierten Form. Beispiel: Ein autonomes Transportschiff steuert Verladehäfen selbstständig an, nimmt Transportaufträge entgegen, schließt Wartungsverträge ab, lässt sich auftanken etc.20 a) Rechtserhebliche Handlungsqualität statt Subjektstatus Die Anknüpfung an die §§ 164 ff. BGB setzt keinen Subjektstatus des 11 Aktanten voraus,21 sondern es genügt seine zweifelsfrei bestehende rechtserhebliche Handlungsqualität.22 Anders als teilweise im Schrifttum kolportiert,23 folgt aus § 165 BGB kein abweichendes Ergebnis. Denn die Vorschrift hat – wie Canaris schon treffend ausführte24 – nicht den Zweck, geschäftsunfähige Akteure per se vom Rechtsverkehr auszuschließen. Der Sinn des § 165 BGB besteht vielmehr darin, den Geschäftsherrn vor den Folgen des Verhaltens eines Geschäftsunfähigen zu schützen. Ist aber die Geschäftsunfähigkeit des Vertreters erkennbar, dann ist es die bewusste Risikoentscheidung des Vertretenen, diesen Ge17 Schirmer, JZ 2016, 660, 664; Kersten, JZ 2015, 1, 7; Gruber, in: Beck, Jenseits von Mensch und Maschine, S. 133, 155 f.; Beckers/Teubner, Algorithmic Actants, 2021, Chap. 3, Ziff. III; a. A. D. Paulus/Matzke, ZfPW 2018, 431, 443. 18 Linardatos (Fn. 1), § 7 D., S. 135 ff. 19 Linardatos (Fn. 1), § 7 C. II., S. 129 ff. 20 Ähnliches Beispiel bei Chwedczuk, JMLC 2016, 123, 163. 21 Anders R. John, Haftung für künstliche Intelligenz, 2007, S. 79; Schulz, Verantwortlichkeit bei autonom agierenden Systemen, 2015, S. 110 f.; Groß, InTeR 2018, 4, 5; Grapentin, NJW 2018, 181, 184; Kollmann, Autonome und intelligente Wertpapierhandelssysteme, 2019, S. 248 f., 261. 22 Beckers/Teubner Algorithmic Actants, 2021, Chap. 3 und passim. 23 Kainer/Förster, ZfPW 2020, 275, 291 f. 24 Canaris, JZ 1987, 993 ff.

451

Dimitrios Linardatos

schäftsunfähigen als Vertreter einzusetzen, weshalb ein paternalistischer Schutz über § 165 BGB deplatziert ist. Ein solcher Schutz ist ebenfalls nicht nötig, wenn die fehlende Geschäftsfähigkeit nicht erkennbar ist, indem die betreffende Person nach den Beobachtungen des Geschäftsherrn sinnhafte Geschäftshandlungen austrägt. Es ist in solchen Situationen schon aus verfassungsrechtlichen Gründen25 nicht gerechtfertigt, den Geschäftsunfähigen als Stellvertreter auszuschließen, obgleich er offensichtlich sinnhaft am Rechtsverkehr teilnehmen kann. Überträgt man nun diese Erwägungen auf den bewusst eingesetzten, selbstredend geschäftsunfähigen Aktanten, gilt folgendes: Der Aktant handelt funktional betrachtet mit rechtserheblicher Handlungsqualität – darin besteht ja nach hiesigem Verständnis26 der Sinn ihrer technischen Autonomie –, und weil der Geschäftsherr diesen Aktanten bewusst im Rechtsverkehr einsetzt mit dem Ziel, ihn für sich Erklärungszeichen setzen und empfangen zu lassen, bedarf er nicht des Schutzes, der normativ hinter § 165 BGB steht. b) Kein Einwand aus § 179 BGB 12 Entgegen einem verbreiteten Einwand27 benötigt der als Vertreter tätige Aktant nicht zwingend eine Haftungsmasse. Der falsus procurator hat dem Geschäftsgegner gemäß § 179 BGB einzustehen wegen des enttäuschten Vertrauens in die Bevollmächtigung, das er bei einer offenkundigen Stellvertretung in Anspruch nimmt. Diese Wertung ist bei Verwendung eines Aktanten nicht relevant, selbst wenn der Einsatz des Systems als Vertreter erkennbar ist. Der Erklärungsempfänger kann nämlich auf eine konkludente oder implizite „Behauptung“ des Aktanten, „bevollmächtigt“ zu sein, nicht vertrauen.28 Zu einer solchen Behauptung ist das System nicht fähig. Das Vertrauen des Empfängers bezieht sich nur auf die funktionelle Integrität sowie die konzeptionelle Sicherheit und Richtigkeit des eingesetzten Systems. Sein investiertes Vertrauen ist also technisch-prozessualer Natur und hat mit den Sachverhalten, die von 25 Siehe wiederum Canaris, JZ 1987, 993 (S. 998 sowie bereits im Titel des Beitrages). 26 Oben Ziff. II. Rz. 5. 27 MünchKommBGB/Schubert, § 164 Rz. 109; Sorge, Softwareagenten, 2005, S. 118; R. John, Haftung für künstliche Intelligenz, S. 87 f.; Gitter, Softwareagenten im elektronischen Geschäftsverkehr, 2007, S. 179; Bräutigam/Klindt, NJW 2015, 1137, 1138. 28 Zum Charakter des § 179 BGB als Tatbestand der Vertrauenshaftung BGH v. 10.5.2021 – III ZR 111/99, NJW 2001, 2626, 2627; BGH v. 20.10.1998 – VII ZR 219/87, BGHZ 105, 283, 285 f. = NJW 1989, 894; Bitter/Röder, BGB Allgemeiner Teil, § 10 Rz. 250.

452

Autonome und vernetzte Aktanten im Zivilrecht

§ 179 BGB erfasst werden, nichts gemein. Den Interessen des Empfängers ist ausreichend Rechnung getragen, indem die Auslegung der Zurechnungsregeln analog §§ 164 ff. BGB bei technisch-autonomer Kommunikation in einer Weise erfolgt, die das investierte Verfahrensvertrauen des Empfängers angemessen respektiert.29 c) Vorteil des Stellvertretungsrechts: Wertungskonsistenz Für eine analoge Anwendung der §§ 164 ff. BGB spricht insbesondere die 13 erleichterte Rechtsanwendung, weil auf konkrete Normen und Wertentscheidungen zurückgegriffen werden kann.30 Mit den Regeln der Stellvertretung können Fragen des Zugangs, der Wissenszurechnung und der Inhaltsbestimmung schlüssig und wertungskonsistent beantwortet werden: Agieren zwei autonome Algorithmen in Echtzeit miteinander, werden Willenserklärungen unter anwesenden Stellvertretern ausgetauscht; sie gehen dementsprechend auf beiden Seiten sofort zu.31 Die Erklärung wird wirksam, wenn das jeweils erklärende System in funktionaler Hinsicht keinen „vernünftigen“ Zweifel daran haben kann, die Erklärung sei vom empfangenden System richtig verarbeitet worden. – Findet keine Echtzeitkommunikation statt, ist Zugang erst zum nächsten Zeitpunkt anzunehmen, in dem die Mitteilungsdaten erstmals elektronisch gespeichert sind und eine selbstständige technische Verarbeitung der Erklärung möglich ist.32 In diesen Fällen liegt nämlich eine Kommunikation unter Abwesenden vor.33 Die Willenserklärung wird mit dem Inhalt zugerechnet, den ihr der Ak- 14 tant beigelegt hat; die Grundsätze der Wissenszurechnung sind anwendbar (§§ 164 Abs. 1 und 3, 166 Abs. 1 BGB analog).34 Auf diese Weise werden auf Erklärenden- und auf Empfängerseite die Risiken des Systems wertungsgleich und paritätisch verteilt. Außerhalb des Systems liegende 29 Ergo: Schutz des Empfängers durch Zurechnung des Verhaltens statt über § 179 BGB. 30 Andere im Schrifttum formulierte Vorschläge, etwa der erwogene Tatbestand einer objektivierten Willenserklärung (vgl. ausführlich dazu schon Wiebe, Die elektronische Willenserklärung, 2002, S. 199 ff.), bleiben hingegen – jedenfalls für die hier interessierenden Sachverhalte – zu abstrakt. 31 A. A. zu Smart Contracts Möslein, ZHR 183 (2019), 254, 275; a. A. zu Softwareagenten Schulz, Verantwortlichkeit bei autonom agierenden Systemen, 2015, S. 110 f., S. 119 Fn. 460. 32 Zur parallelen Problematik bei Smart Contracts Möslein, ZHR 183 (2019), 254, 275 f.; i. Ü. Linardatos (Fn. 1), § 7 D. III. 1., S. 163 f. 33 Vgl. allgemein BGH v. 19.3.2019 – XI ZR 280/17, NJW 2019, 2471 Rz. 30. 34 Siehe schon Hacker, RW 2018, 243, 270 ff.; instruktiv und im Allgemeinen sehr lesenswert Linke, Digitale Wissensorganisation, 2021.

453

Dimitrios Linardatos

Umstände, die vom Aktanten technikbedingt nicht berücksichtigt werden können (Vorgespräche, etwaige Verhandlungsdokumente etc.), bleiben bei der Auslegung der Willenserklärungen, insoweit entgegen der allgemeinen Regel,35 unberücksichtigt. d) Wertungsfundament der Zurechnung 15 Das Fundament für die Zurechnung des Erklärungs- und Empfangsverhaltens eines Aktanten bilden zwei Wertungsgrundsätze, die sich in Form gebunden in den §§ 164 ff. BGB wiederfinden: das Risikoprinzip auf der einen und das Selbstverantwortungsprinzip auf der anderen Seite.36 16 So findet die Zurechnung des Aktantenverhaltens an den Geschäftsherrn statt, weil er das System selbstverantwortlich an seiner statt agieren lässt und damit die vom System ausgeformten oder empfangenen Erklärungen in Geltung setzt. Um eine Kausalhaftung des Vertretenen zu verhindern, grenzt das Risikoprinzip die Zurechnung auf den Bereich ein, den der Geschäftsherr überblicken und beherrschen kann. Nach diesen Grundsätzen treffen Risiken bei der Schaffung der Erklärung den Vertretenen, während der Empfänger das Risiko eines Missverständnisses zu tragen hat. 17 Typisch für die hier aufgegriffenen Sachverhalte ist, dass sich der „Willensbildungs- und Verstehensprozess“ auf beiden Seiten auf den tatsächlich agierenden Aktanten verlagert. Dies ist kein Widerspruch zum Willensdogma der Rechtsgeschäftslehre: Das Erklärungsbewusstsein auf subjektiver Ebene folgt nämlich aus dem Willen der betreffenden Person, sich den algorithmisch begründeten Leistungspflichten in einem bestimmten Geschäftsfeld zu unterwerfen. Realisiert sich das Autonomierisiko und verlässt das Verhalten des Systems dieses Geschäftsfeld, so erlauben die §§ 164 ff. BGB eine angemessene Abwägung der Parteiinteressen. e) Übersetzung der Analyseergebnisse in Tatbestandsmerkmale 18 Die in der Arbeit vertieft ausgearbeiteten Ergebnisse lassen sich in tradierte Tatbestandsstruktur privatrechtlicher Willenserklärungen übersetzen. Die von Aktanten ausgeformte Willenserklärung besteht hiernach aus den folgenden Elementen: objektiver Tatbestand sowie subjektiver Tat-

35 Vgl. BGH v. 20.12.1974 – V ZR 132/73, BGHZ 63, 359 362 = NJW 1975, 536 f.; de la Durantaye, Erklärung und Wille, 2020, S. 66 ff. 36 Näher Linardatos (Fn. 1), § 7 D. IV., S. 169 ff.

454

Autonome und vernetzte Aktanten im Zivilrecht

bestand bestehend aus Handlungswille, Zurechenbarkeit und Geschäftswille.37 2. Vertragliches Haftungsrecht Im Zusammenhang mit dem vertraglichen Haftungsrecht ist streitig,38 19 ob das Verhalten autonomer und vernetzter Systeme dem Schuldner analog § 278 BGB zuzurechnen ist. Dabei kommt es darauf an, inwieweit die Risiken bei Verwendung eines solchen Aktanten durch den Schuldner zur Leistungserfüllung funktionell denen entsprechen, die beim Einsatz eines menschlichen Erfüllungsgehilfen entstehen. Beispiel: Das Krankenhaus K setzt ein intelligentes Diagnosesystem zur Erkennung von Lungenkrebs ein. Die bei K verwendete Diagnoseeinheit ist mit verschiedenen Geräten und Datenbanken, auch anderer Krankenhäuser, verknüpft (Informationsaustauschsystem), um eine wechselseitige Nutzung der Erkenntnisse aus dem täglichen Einsatz zu ermöglichen. Fehlerhafte Daten im Informationsaustauschsystem führen dazu, dass das Diagnosegerät bei mehreren Patienten von K die Krebserkrankung nicht erkennt. Es lässt sich nicht feststellen, wo die fehlerhaften Daten ihren Ursprung nehmen. a) Ablehnung unausgewogener und nicht „zukunftsfester“ Ansätze Im Ausgangspunkt wichtig ist, im Sinne eines „Innovationsermögli- 20 chungsrechts“39, für die Verwendung von Aktanten im Vergleich zum menschlichen Erfüllungsgehilfen weder mildere, noch strengere Anforderungen zu formulieren. Aus diesen Gründen kann man es beispielsweise nicht bei einer Haftung des Hintermanns gemäß §§ 280, 276 BGB belassen.40 Die Gehilfenmaschinen sollen den Menschen als handelndes Subjekt ablösen, mithin an die Stelle des Erfüllungsgehilfen treten. Es kann nicht rein ontologisch eine Rolle spielen, ob eine Handlung von einer Maschine oder von einem Menschen ausgeführt wird, soweit die Gründe

37 Linardatos (Fn. 1), § 7 D. IV., S. 174 ff. 38 Dafür etwa Teubner, AcP 218 (2018), 155, 186; Harke, Allgemeines Schuldrecht, 2009, Rz. 247; Schirmer, JZ 2016, 660, 665; Hacker, RW 2018, 243, 249 ff.; dagegen Staudinger/Caspers (2019), § 278 Rz. 5; Müller-Hengstenberg/ Kirn, MMR 2014, 307, 311; Köndgen, Festschrift Roth, 2015, S. 311, 317, 332 f.; Klingbeil, JZ 2019, 718, 720 f.; Müller, AJP/PJA 2014, 595, 600 f.; Brand, MedR 2019, 943, 950. 39 Hoffmann-Riem, Innovation und Recht, 2016, S. 33 ff. 40 So aber MünchKommBGB/Grundmann, § 278 Rz. 46; Spindler, in: Hilgendorf, Robotik im Kontext von Recht, S. 63, 66 f.; Brand, MedR 2019, 943, 950.

455

Dimitrios Linardatos

des Einsatzes und die faktischen negativen Handlungsfolgen vergleichbar sind. Umgekehrt ist deswegen auch eine pauschale vertragsrechtliche Gefährdungshaftung nicht haltbar,41 indem dadurch – letztlich technologiefeindlich – unterschiedliche Zurechnungsstandards beim Einsatz eines menschlichen und eines technischen Gehilfen etabliert wären.42 21 Ebenfalls nicht überzeugen kann die Ansicht, es sei eine Gleichstellung zwischen einem Menschen und einer Gehilfenmaschine zu fingieren und anknüpfend daran im Wege einer „hypothetischen Parallelbetrachtung“ und „qua Rechtsfiktion“ ein Verschuldensvorwurf festzustellen.43 Problematisch ist an diesem Konzept nämlich, dass langfristig gesehen die Aktanten die arbeitsteilige Pflichtenerfüllung auf einem Niveau übernehmen werden, das ein Mensch nie erreichen könnte. Ein Seitenblick zum menschlichen Gehilfen wäre also nicht geeignet, die Potentiale der Aktanten voll auszuschöpfen und die so orientierte Zurechnungsmatrix wäre nicht „zukunftsfest“. b) Erwägungen für eine Analogie zu § 278 BGB 22 Im Ergebnis richtig ist es, die Zurechnung über eine analoge Anwendung des § 278 BGB zu bewerkstelligen: Mithilfe von § 278 BGB soll erstens der geschädigte Vertragspartner mindestens (!) so gestellt werden, wie er stünde, hätte der Schuldner seine Leistungs- und Sorgfaltspflichten nicht einem Dritten übertragen (Gleichstellungsgedanke).44 Zweitens verhindert die Einstandspflicht des Geschäftsherrn gemäß § 278 BGB eine zu weitreichende Haftung von Produzenten und Herstellern. Dieser von R. Schmidt bereits 1966 ergänzend entwickelte (und zwischendurch in Vergessenheit geratene) Gedanke45 erlangt in einem neuen technischen Umfeld eine ungeahnte Aktualität. Hintergrund ist, dass der Aktant – anders als eine Hilfsperson – Gehilfen- und Produktrisiken in sich vereinigt. Wird die Schadensfolge in übermäßigem Umfang beim Geschädigten belassen, so entsteht der rechtspolitische (!) Druck,46 zur Entlastung des Geschädigten die Hersteller- und Produkthaftung auszuweiten, obgleich sich in concreto ein Gehilfen- und kein Produktrisiko 41 Dafür etwa Spindler, CR 2015, 766, 775 f.; Horner/Kaulartz, CR 2016, 7, 13 f. 42 Als Anknüpfungspunkt für eine solche Gefährdungshaftung käme faktisch nur das Inbetriebsetzen in Betracht. 43 Klingbeil, JZ 2019, 718, 723. 44 Teubner, AcP 218 (2018), 155, 188; letztlich auch Spiro, Die Haftung für Erfüllungsgehilfen, 1984, S. 210. 45 R. Schmidt, AcP 166 (1966), 1, 24. 46 Betont auch in der Arbeit, vgl. etwa Linardatos (Fn. 1), § 8 A. I. 1., S. 188 und § 8 A. III. 1. b) bb), S. 212.

456

Autonome und vernetzte Aktanten im Zivilrecht

verwirklicht haben mag. Dieser Druck wird vermieden, indem die Gehilfenrisiken analog § 278 BGB adäquat in dem Schuldverhältnis zwischen Schuldner und Gläubiger verteilt werden – also dort, wo diese Risiken auch entstehen. c) (Verhaltens-)Ökonomische Überlegungen Für eine analoge Anwendung des § 278 BGB auf Aktanten lassen sich 23 starke ökonomische Gründe anführen: Um sozial wünschenswerte Kooperationen zu fördern, ist es erforderlich, die mit dem Einsatz von Aktanten einhergehenden Risiken bei der richtigen Vertragspartei zu internalisieren.47 Diese richtige Partei ist in der Regel der Schuldner, jedoch nicht ausschließlich, da im einzelnen Fall denkbar ist, dass der Gläubiger mit geringeren Such- und Informationskosten die Gehilfenrisiken aufdecken, abwenden oder jedenfalls absorbieren kann. Schuldner und Gläubiger stehen wechselseitig in einem Verhältnis geprägt von Informationsasymmetrien zueinander. Für ein solches Beziehungsgeflecht ist typisch, dass beide Seiten für die Schadensprävention Suchkosten aufbringen müssen und abhängig von der Austauschsituation stets neu zu bestimmen ist, welche Partei die geringeren Kosten hat. § 278 BGB ist flexibel genug, um eine ökonomisch sinnvolle Verteilung von Risiken einzelfallabhängig zwischen Schuldner und Gläubiger zu bewerkstelligen. Die bei Anwendung des § 278 BGB entstehende Haftungsverteilung ent- 24 hält – wie schon angedeutet – einen wichtigen Fingerzeig auf die richtige Lösung im Produzenten- und Produkthaftungsrecht. Dort werden nur Produkt- und Werkzeugrisiken adressiert, während § 278 BGB allein bei Gehilfenrisiken eingreift. Die Gehilfenrisiken sind in einem funktionalen Sinne auch bei Aktanten feststellbar. Für solche mit der Gehilfenaktivität verbundenen Risiken sind die produzierenden Privatrechtssubjekte nicht verantwortlich zu machen, weil sie in der jeweiligen Situation nicht über das notwendige Einsatzwissen verfügen, nichts beherrschen und nicht die Aktivität steuern. Die praktische Herausforderung bei einer analogen Anwendung des § 278 BGB besteht mithin darin, die maschinen-spezifischen Gehilfen von den Produktrisiken abzugrenzen.48 Gelingt dies, bleibt der oben erwähnte rechtspolitische Druck vermieden, in Form einer Verlegenheitslösung zur Entlastung des Geschädigten die Hersteller- und Produkthaftung auszuweiten.49

47 Statt aller Tröger, Arbeitsteilung und Vertrag, 2012, S. 246. 48 Näher Linardatos (Fn. 1), § 8 A. III. 2. c), S. 226 ff. 49 Dass diese Befürchtung nicht unbegründet ist, zeigen letztlich die jüngsten Bestrebungen des unionalen Gesetzgebers, die Haftung für den Einsatz von

457

Dimitrios Linardatos

d) Materiell-rechtliche Konzeptüberprüfung 25 Diese nur skizzenhaft nachgezeichnete, ökonomisch motivierte Auslegung des § 278 BGB steht auch im Einklang mit dem materiellen Recht. aa) Untergeordnete Bedeutung des Innenregresses 26 Dabei sei nicht verkannt, dass im konventionellen Anwendungsbereich des § 278 BGB neben den bisher angesprochenen Verantwortlichen (Schuldner, Gläubiger, Hersteller) noch eine vierte Partei existiert: der Gehilfe. Dieser ist aus dem Innenverhältnis zum Geschäftsherrn verantwortlich und kann einem Regressanspruch ausgesetzt sein; über diese Gefahr der Inanspruchnahme werden verhaltenssteuernde Anreize zur Schadensvermeidung an den Gehilfen adressiert.50 Dieser Aspekt könnte bei erstem Hinsehen zu der Annahme verleiten, eine Analogie zu § 278 BGB sei bei Aktanten unzulässig, weil es am Subjekt fehlt, das in Regress genommen werden könnte – oder jedenfalls, weil keine Person existiert, die Steuerungsanreize psychisch zu spüren vermag.51 27 Obgleich solche und ähnliche Argumente von gewissem Gewicht sind, vermögen sie die Zurechnungsbrücke des § 278 BGB nicht zum Einsturz zu bringen: Erstens spielt der Regress beim Gehilfen schon rein tatsächlich eine untergeordnete Rolle, weil beim typischen Erfüllungsgehilfen – Geselle, einfacher Angestellter, Aushilfskraft etc. – selten viel zu holen ist, ein etwaiger Anspruch wirtschaftlich also von untergeordneter Bedeutung ist. Zweitens ist der Gehilfe regelmäßig rechtlich privilegiert (Beispiel: Begrenzung der Arbeitnehmerhaftung52). Drittens ist die Annahme unzutreffend, technische Systeme könnten keinen Steuerungsanreizen ausgesetzt sein. Im Gegenteil: Über die Steuerungsfunktion des Algorithmus lassen sich sogar stärkere „Anreize“ vermitteln als bei einem Menschen – nur sind die eben nicht psychologisch-emotionaler, sondern mathematischer Natur. Da das Ziel der Verhaltenssteuerung darin besteht, den Rechtsverkehr vor unerwünschten Folgen zu bewah-

KI zu verschärfen, insbesondere in erheblichem Umfang die Produzenten und Hersteller in die Pflicht zu nehmen. 50 Linardatos (Fn. 1), § 8 A. IV. 1. a), S. 233 ff. 51 Allgemein Köndgen, Festschrift Roth, 2015, S. 311, 335. 52 Dazu vgl. etwa BAG v. 12.10.1989 – 8 AZR 276/88, NZA 1990, 97; BAG v. 27.9.1994 – GS 1/89, NJW 1995, 210; BAG v. 17.9.1998 – 8 AZR 175/97, NJW 1999, 1049.

458

Autonome und vernetzte Aktanten im Zivilrecht

ren,53 ist § 278 BGB nicht allein auf Anreize beschränkt, für die nur Menschen rezeptiv sind.54 bb) Verschulden als zwingende Voraussetzung des § 278 BGB Der offenkundigste Einwand, der sich gegen die Analogie zu § 278 BGB 28 formulieren lässt, geht dahin, die Norm knüpfe expressis verbis am Verschuldensgrundsatz an. Maschinen sind nicht verschuldensfähig und sie werden es in einem anthropomorphen Sinne auch nicht sein. Nimmt man also den Wortlaut des § 278 BGB ernst, dann ließe sich die Analogie nur begründen, wenn ein geeignetes Verschuldensäquivalent für technische Systeme auffindbar wäre.55 Und dies erweist sich tatsächlich als schwierig: Ein solches Äquivalent lässt sich schon deswegen nicht einfach finden, weil es am Vergleichsmaßstab fehlt.56 So kann insbesondere auf ein hypothetisches menschliches Handeln nicht abgestellt werden, weil eine solche Auslegung des § 278 BGB mit dem technischen Fortschritt unvereinbar wäre. Das System soll (mittelfristig) besser als ein Mensch sein, nicht „gleich schlecht“.57 Bei genauerem Hinsehen ist es indes nicht notwendig, für § 278 BGB 29 ein Verschuldensäquivalent zu finden, denn der Anwendungsbereich des § 278 BGB kann beim Einsatz technischer Systeme ohne dogmatische Brüche nach Risikoaspekten bestimmt werden: (i) steht das Risikoprinzip als Zurechnungsgrund rechtsethisch gleichwertig neben dem Verschuldensprinzip;58 (ii) wohnt dem § 278 BGB ohnehin nicht der Geist eines strengen Willensdogmas inne, sondern ein objektivierter und entindividualisierter Verschuldensbegriff, welcher de facto dem Risikogrundsatz entspricht.59 Der zweite Punkt folgt insbesondere aus dem durch 53 White/Baum, in: Lin/Abney/Jenkins, Robot Ethics 2.0, 2017, S. 66, 71. 54 Bedenken bei Wagner, Robot Liability, SSRN 3198764, S. 21. 55 In diesem Sinne etwa Hacker, RW 2018, 243, 257 ff.; i. E. auch Klingbeil, JZ 2019, 718, 724. 56 Linardatos (Fn. 1), § 8 A. IV. 2. a), S. 240 ff. 57 Sog. positive Risikobilanz; vgl. etwa Nehm, JZ 2018, 398; s. auch Wagner, AcP 217 (2017), 707, 734 f. 58 Dies u. a., weil dem Risikoprinzip – ähnlich wie dem Verschuldensprinzip – „bipolare“ Wertungsmomente wie Vorhersehbarkeit, Vermeidbarkeit und Beherrschbarkeit immanent sind; näher dazu Koller, Die Risikozurechnung bei Vertragsstörungen in Austauschverträgen, 1979, S. 78–98; Oechsler, Gerechtigkeit in modernen Austauschverträgen, 1997, S. 174 ff.; Canaris, Die Vertrauenshaftung im deutschen Privatrecht, 1981, S. 479 ff.; Waldkirch, Zufall und Zurechnung, 2018, S. 152 ff. 59 Es ist deswegen nicht verwunderlich, dass § 278 BGB oftmals als Tatbestand der Garantie- oder Gefährdungshaftung eingeordnet wird; vgl. Mot. II, S. 30;

459

Dimitrios Linardatos

§ 278 BGB bezweckten Vertrauensschutz: Der Gläubiger kann die inneren Betriebsabläufe des Schuldners nicht einsehen, somit auch nicht in subjektiver Hinsicht bewerten, und gleichzeitig soll er durch die Arbeitsteilung nicht schlechter gestellt sein als bei persönlicher Leistungserbringung. Würde es bei § 278 BGB primär auf subjektive Umstände in der Person des Erfüllungsgehilfen ankommen, so wäre der Gläubiger mit dem schwerlich überwindbaren Problem konfrontiert, fundierte Einwände und vorgeschobene Schutzbehauptungen des Schuldners mangels Kenntnis der inneren Verhältnisse nicht auseinanderhalten zu können. Deswegen wird durch eine Objektivierung des § 278 BGB ein entindividualisierter Mindeststandard beim Schutz der Verkehrsschutzinteressen etabliert und unausräumbare Informationsasymmetrien beseitigt.60 Der so umrissene § 278 BGB ist somit einer Analogie beim Einsatz von Aktanten auch teleologisch zugänglich. cc) Schuldverhältnis als Referenzrahmen für den Pflichtenkatalog 30 Bei Anwendung des § 278 BGB auf Aktanten droht auch keine Orientierungslosigkeit. Der Einwand geht fehl, es existiere keine Handlung im anthropomorphen Sinne, an die § 278 BGB anknüpfen könne, um Verhaltensstandards zu entwickeln.61 Denn auch beim menschlichen Erfüllungsgehilfen folgt der Pflichtenkatalog nicht aus einer isolierten Bewertung des Gehilfenverhaltens, sondern aus dem Schuldverhältnis, welches die einzige Referenz des § 278 BGB ist. Dabei werden die Pflichten des Schuldverhältnisses von der Rspr., soweit das Gesetz keine Regelung enthält, abhängig von den individuellen Lebensbezügen konkretisiert. Anzuknüpfen ist an die Erwartungen, die der Gläubiger berechtigterweise aus dem Inhalt und der Natur des Schuldverhältnisses gegen den Schuldner haben darf. Es ist somit gerade nicht nach etwaigen Pflichten des Gehilfen zu forschen, weil dieser im Außenverhältnis mangels Schuldnereigenschaft keine Pflichten hat.62 Auf das Handeln des Gehilfen kommt es also prinzipiell nicht an, es sei denn, dieser und nicht der Geschäftsherr ist der Experte (z. B. der Chirurg im Krankenhaus).63 Doch auch in diesen Szenarien ist das Schuldverhältnis der Referenzrahmen für die vom Schuldner gegenüber dem Gläubiger geschuldeten Pflichten.

60 61 62 63

BGH v. 24.11.1995 – V ZR 40/94, NJW 1996, 452; Staudinger/Caspers (2019), § 278 Rz. 1. Dazu Linardatos (Fn. 1), § 8 A. IV. 2. b), S. 244. In diese Richtung Waldkirch, in: Linardatos, HdB Robo Advice, 2020, § 18 Rz. 65. Statt aller Köndgen, Festschrift Roth, 2015, S. 311, 321. Zu diesen Sonderfällen MünchKommBGB/Grundmann, § 278 Rz. 50.

460

Autonome und vernetzte Aktanten im Zivilrecht

Folglich gilt für unsere Aktanten: Die Regeln der Gehilfenzurechnung sind nicht pauschal, sondern einzelfallspezifisch anzuwenden. Es obliegt Wissenschaft, technischer Forschung und Rechtsprechung im Detail herauszuarbeiten, welche Kriterien im Angesicht des technischen Standes tatsächlich erfüllt sein müssen, damit § 278 BGB analog anwendbar ist. e) Tatsächliche Voraussetzungen für die Analogie zu § 278 BGB Die hier befürwortete Analogiefähigkeit des § 278 BGB beim Einsatz von 31 Aktanten soll freilich keiner pauschalen Anwendung der Zurechnungsvorschrift das Wort reden. Um es pointiert zu formulieren: Der adaptive Frontlichtassistent eines Pkw hat nichts mit Autonomie oder gar Vernetzung zu tun. Es ist ein zentrales Anliegen der vorgelegten Arbeit, dies zu betonen, mithin keine Lösung unbesehen tatsächlicher Gegebenheiten zu entwickeln und insbesondere Kriterien für eine austarierte Haftungsverteilung herauszuarbeiten. Freilich stellt sich die Frage: Wo verläuft die Grenze zwischen einfachen Werkzeugsystemen und Automatisierungseinrichtungen auf der einen und den hier in den Lichtkegel gestellten Aktanten auf der anderen Seite? Teilweise ist im Schrifttum vorgeschlagen worden, eine Unterscheidung 32 nach Autonomiegraden zu treffen.64 Teubner stellt dagegen darauf ab, ob eine Maschine oder ein Softwareagent autonom gehandelt und (rechtswidriges) Fehlverhalten aufgewiesen hat.65 In der vom Verfasser vorgelegten Arbeit ist ein dritter Weg, ein stufenweises Vorgehen entwickelt worden:66 (1) Zunächst einmal muss differenziert werden zwischen prinzipieller 33 Autonomiefähigkeit des verwendeten Systems67 und tatsächlicher Autonomie in der jeweiligen Einsatzsituation. Schließlich weist ja auch nicht jedes menschliche Verhalten eine für § 278 BGB relevante Handlungsqualität auf, etwa weil Reflexhandlungen „biologisch determiniert“ und 64 Hacker, RW 2018, 243, 251 ff. mit Bezug auf Zech, in: Gless/Seelmann, Intelligente Agenten, 2016, S. 163, 186, 192, 199: Bei „vollständiger Autonomie“ sei § 278 BGB analog anwendbar, bei „schwacher Autonomie“ sei die Analogie abzulehnen und bei „mittelstarker Autonomie“ sei § 278 BGB heranzuziehen, wenn ein menschliches Eingreifen zwar grundsätzlich noch möglich, jedoch nur ganz punktuell vorgesehen wird. 65 Teubner, AcP 218 (2018), 155, 186 f., 188 (besonders deutlich dann für die deliktische Haftung auf S. 195). Dabei definiert er klare Autonomiekriterien und unterscheidet nicht zwischen Autonomiegraden. 66 Im Detail zu den nachfolgenden Punkten s. Linardatos (Fn. 1), § 8 A. V. 3., S. 257 ff. 67 Siehe oben Ziff. II. Rz. 5.

461

Dimitrios Linardatos

somit nicht auf beherrschbares Verhalten zurückführbar sind. Beim Einsatz von Aktanten wäre wertungsparallel festzustellen, wann programm-, aktorik- oder sensorikseitig prädeterminierte Aktionen vorliegen – in diesen Fällen findet keine Zurechnung analog § 278 BGB statt – und in welchen Situationen eine systemseitig autonom ausgewählte Handlung gegeben ist, die zu § 278 BGB analog führt. Die Umweltmanipulation muss also kausal auf der Autonomie und auf der Vernetztheit des Systems beruhen.68 34 (2) Zudem muss eine Situation gegeben sein, in der das oben angesprochene69 Verantwortungsdreieck entsteht, indem mit dem eingesetzten Aktanten nicht nur Gehilfen-, sondern auch Produktrisiken einhergehen und insoweit eine differenzierte Risikenverteilung notwendig wird. Aktiviert werden beide Risikogruppen erst, wenn auch ein Veranlassungsakt des Geschäftsherrn feststellbar ist und die damit zusammenhängenden tatsächlichen (Aktivitäts-)Risiken bei diesem internalisiert werden müssen. Aktanten sind nämlich über § 278 BGB zuzurechnen, sofern sie in der konkreten Situation dem Zweck dienen, menschliche Erfüllungsgehilfen zu substituieren.70 Von einer solchen Zwecksetzung kann gesprochen werden, wenn der Geschäftsherr die Autonomiefähigkeiten des Systems bewusst in Anspruch nimmt, mithin willentlich sowie zielgerichtet den Hilfsaktanten einsetzt. 35 (3) Maßgeblich ist stets die konkrete Verwendungssituation. So ist ein autonomes Taxi nicht per se analog § 278 BGB dem Schuldner zuzurechnen, sondern die Zurechnung ist abhängig vom konkreten Einsatzzweck zu bestimmen, der für das System entstandenen Konfliktsituation, die es eigenständig zu lösen hatte, und damit zusammenhängend von den jeweils geltenden Umweltbedingungen. Dabei muss der Jurist den Blick in die Informatik wagen und sich vergegenwärtigen, dass die Beachtung des Umweltzustands für den Programmierer zentral ist: Abhängig von der

68 Im Eingangsbeispiel oben wäre dies zu verneinen, wenn die medizinische Behandlung erst auf Veranlassung eines Menschen erfolgt, das System mithin nicht eigenmächtig agiert (nota bene: das berufsrechtliche Erfordernis der Leistungserbringung durch einen Arzt, vgl. § 613 BGB, steht solchen System rechtlich noch entgegen). 69 Siehe oben bei Rz. 22. 70 Auf § 278 BGB kann es z. B. nicht ankommen, wenn sich die Batterie eines Fahrzeugs wegen eines Konstruktionsfehlers selbst entzündet und dadurch ein Schaden entsteht. Solche Sachverhalte haben mit § 278 BGB nichts gemeinsam, da eine Zurechnung des Batteriefehlers an den Geschäftsherrn auch im klassischen Anwendungsbereich, beim Einsatz eines menschlichen Fahrers, nicht stattgefunden hätte.

462

Autonome und vernetzte Aktanten im Zivilrecht

Aufgabenumgebung entstehen unterschiedliche Anforderungen an einen Algorithmus für eine erfolgreiche Aufgabenbewältigung und die Komplexität des algorithmischen Systems hängt unmittelbar von dieser Umgebung ab. Von entscheidender Unterscheidungskraft ist dabei folgendes: Rationalisierungsmaschinen fassen keine eigenen Entschlüsse, sondern 36 bewerten aktuelle Situationen, wohingegen autonome Systeme aufgrund der Umweltbedingungen eigene prognostische Entscheidungen an Stelle eines Menschen treffen. Während beispielsweise ein System am Fließband einen Ist-Zustand bewerten oder kategorisieren muss, muss ein anderes – z. B. ein selbstfahrendes Fahrzeug – beurteilen, ob eine Gefahrensituation ein Ausweichmanöver verlangt, mithin die Entscheidung auf einen Soll-Zustand beziehen. Der Ist-Zustand einer statischen Umwelt ist bereits mithilfe von vorbestimmten Kriterien und Parametern bewertbar, wogegen der Entschluss über einen Soll-Zustand in einer dynamischen Umwelt technische Entscheidungsflexibilität verlangt. Vor dem Hintergrund beschriebener Kriterien kann zusammenfassend 37 gesagt werden: Ist in der konkreten Entscheidungssituation des Aktanten eine prognostische Situationsbewertung entscheidend und erweist sich diese Bewertung als unzureichend und deswegen schadensverursachend, so ist in tatsächlicher Hinsicht ein Sachverhalt einschlägig, auf den es § 278 BGB anzuwenden gilt. 3. Außervertragliches Haftungsrecht Im außervertraglichen Haftungsrecht sind beim Betrieb der hier rele- 38 vanten Aktanten zwei Verantwortungsfelder zu unterscheiden: Auf dem einen stehen die Anwender, Halter, Nutzer und Betreiber des Systems (Anwenderseite), auf dem anderen die Hersteller, Produzenten, Datendienstleister und Lieferanten (Herstellerseite). a) Zur Herstellerseite Im Schrifttum sind teilweise Zweifel geäußert worden, ob eine pauscha- 39 le (verschuldensunabhängige) produzenten- und produkthaftungsrechtliche Einstandspflicht (§ 823 BGB; §§ 1 ff. ProdHaftG) des Herstellers bei autonomen und veränderlichen Systemen gerechtfertigt ist:71 Eine solche Haftung sei nämlich strenggenommen nicht mit der gesetzlichen Wer71 Siehe etwa Lutz, NJW 2015, 119, 120 f.; skeptisch hinsichtlich der Herstellerhaftung auch Foerster, ZfPW 2019, 418, 434. Ähnlich ist auch die Haltung in den USA, wo man einer Produkthaftung für „nicht-körperliche“ Produkte skeptisch gegenübersteht; s. Calo, Calif. L. Rev. 103 (2015), 513, 535 f.

463

Dimitrios Linardatos

tung vereinbar, dass nach Inverkehrgabe jede nachträgliche Veränderung des Produkts grundsätzlich haftungsfrei bleiben müsse. Zwangsläufige (rechtspolitische) Konsequenz einer Entlastung der Herstellerseite wäre es, ausgleichend die Anwenderseite verstärkt in Anspruch zu nehmen, denn offensichtlich kann der Schaden nicht pauschal dort belassen werden, wo er entstanden ist (Verhinderung eines weitreichenden casum sentit dominus). 40 Die h. M. verhindert richtigerweise solche Ergebnisse und sieht in erster Linie die Hersteller- und Produzenten in der Verantwortung.72 Normativ rationalisieren lässt sich die Haftung auf Herstellerseite schon deswegen, weil dort der Ursprung der Schadensgefahr liegt. Das Sorgfalts- und Aktivitätsniveau der Hersteller muss bei Aktanten in gleicher Weise gesteuert werden wie bei anderen Produkten, um eine Kostenexternalisierung zu verhindern. Im Verantwortungsfeld der Hersteller stehen die Personen, die kraft ihres Erfahrungswissens und ihrer Beherrschungsmöglichkeiten die cheapest cost avoider oder zumindest die cheapest insurer sind.73 Deswegen muss eine angemessene Haftungslast gewährleistet sein, um die Anwender der Systeme und Dritte nicht übermäßig mit dem unternehmerischen Risiko der Herstellung zu belasten. Da jeder Hersteller nur die „berechtigten Sicherheitserwartungen“ des Verkehrskreises erfüllen muss (vgl. § 3 Abs. 1 ProdHaftG), drohen keine innovationshemmenden Schadenskosten. aa) Drohende Haftungslücken? 41 Auch wenn sich die herstellerseitige Haftung normativ begründen lässt, heißt dies nicht automatisch, dass de lege lata die gesetzlichen Rahmenbedingungen eine angemessene Haftungszuweisung hergeben. So drohen nach h. M. hinsichtlich der Produzenten- und Produkthaftung aus verschiedenen Gründen Einstandslücken: Eine Produkthaftung scheide gemäß § 1 Abs. 2 Nr. 5 ProdHaftG bei sog. Entwicklungsrisiken aus, wozu die Autonomie der Systeme zu zählen sei;74 das Produkthaftungsrecht sei wegen des Produktbegriffs (§ 2 ProdHaftG) nicht anwendbar auf Dienstleistungen,75 auf denen jedes autonome System beruhe; die Identifizier72 Wagner, AcP 217 (2017), 707, 713; Wagner, VersR 2020, 717, 718 f., 724 f., 732 f.; Spindler, JZ 2016, 805, 816; von Westphalen, ZIP 2019, 889, 890; Zech, Entscheidungen digitaler autonomer Systeme, A 74; Gomille, JZ 2016, 76 ff. 73 Näher Linardatos (Fn. 1), § 8 I. 2., S. 270 ff. 74 Teubner, AcP 218 (2018), 155, 190; Brand, MedR 2019, 943, 949; Bertolini, Artificial Intelligence and Civil Liability, 2020, S. 58. 75 Vgl. allgemein EuGH v. 21.12.2011 – C-495-10, Slg. 2011, 14174 Rz. 27 ff. – Dutrueux; Staudinger/Oechsler (2018), ProdHaftG § 2 Rz. 42.

464

Autonome und vernetzte Aktanten im Zivilrecht

barkeit des produkt- und deliktsrechtlich verantwortlichen Herstellers sei bei getrenntem Vertrieb der Produkte schwierig. – Alle drei Einwände sind in dieser Pauschalität nicht zutreffend: (1) Die Privilegierung des Herstellers nach § 1 Abs. 2 Nr. 5 ProdHaftG soll 42 den Grenzen menschlicher Erkenntnis Rechnung tragen und Innovation fördern, indem die abstrakten, höherer Gewalt ähnelnden Fehlerrisiken des Produkts haftungsfrei gestellt werden.76 Ziel des Gesetzgebers ist es, Ausnahmekonstellationen aus der Produzentenhaftung auszuscheiden. Hingegen nicht privilegiert werden sollen die für das Produkt typischen Regelrisiken.77 Sie gehören zu den Kerneigenschaften des Produkts und sind demnach nicht exzeptionell. Folglich kann § 1 Abs. 2 Nr. 5 ProdHaftG hinsichtlich der spezifischen Autonomie- und Vernetzungsrisiken der Aktanten nicht eingreifen, weil sie konzeptionell zum betriebsimmanenten Produktrisiko gehören. Da solche Systeme trotz ihrer Veränderlichkeit innerhalb eines zuvor definierten Anwendungsrahmens agieren, sind alle drohenden Gefahren für den Produzenten bei Inverkehrgabe abstrakt vorhersehbar.78 Übertrieben innovationshemmende Belastungen der Unternehmer lassen sich ausreichend über Selbstbehaltsummen auf Geschädigtenseite und Haftungshöchstsummen auf Herstellerseite verhindern. (2) Nicht zu folgen ist weiterhin der pauschalen Annahme, das Produkt- 43 haftungsrecht sei bei Aktanten lückenhaft, weil es gemäß § 2 ProdHaftG nicht für Dienstleistungen gilt. Der Dienstleistungsbegriff ist nicht mit jenem des § 611 BGB gleichzusetzen. Der Gesetzgeber wollte solche (Telekommunikations-)Dienste ausscheiden, von denen keine Risiken mit Breitenwirkung ausgehen, weil sie typischerweise innerhalb eines engen Vertragskreises erbracht werden. Nicht gemeint waren sachbezogene Dienste mit Breitenwirkung, die für die Verwendung und Steuerung eines Zielprodukts essentiell sind (z. B. Navigationssoftware eines autonomen Fahrzeugs) – vor allem, wenn es sich dabei um Datendienste handelt, welche typische Risiken eines Herstellungsprozesses aufweisen oder die ohne einen körperlichen Vertriebsgegenstand keinen eigenen Sinn ergeben und deswegen haftungsrechtlich dessen Schicksal teilen.79 76 MünchKommBGB/Wagner, ProdHaftG § 1 Rz. 51 f.; Staudinger/Oechsler (2018), ProdHaftG § 1 Rz. 112. 77 So i. E. auch Thöne, Autonome Systeme und deliktische Haftung, S. 209 f. 78 Lernt ein Pkw einen Streckenabschnitt falsch und verhält er sich deswegen auf trockener wie auf nasser Fahrbahn zu Unrecht gleich, dann ist dies ein Risiko, das konzeptionell betriebsimmanent, mithin ein zurechenbares Regelrisiko ist. 79 Näher Linardatos (Fn. 1), § 8 B. II. 2. b) aa), S. 287 f.

465

Dimitrios Linardatos

44 (3) Werden Soft- und Hardware als Gesamtprodukt mit integriertem, funktionserforderlichem Zugang zu einem Datendienst vertrieben (bundled products), dann ist der Produktbegriff (§ 2 ProdHaftG) erfüllt, weil die Komponenten eine funktionale Einheit sind.80 Auch Updates, welche die Sicherheitseigenschaften von Hard- oder Software erheblich modifizieren, sind teleologisch vom Produkthaftungsrecht erfasst.81 Wird eine Komponente nicht direkt an den Endnutzer geliefert, sondern an die nächste Verarbeitungsstelle der Kette, liegt die Inverkehrgabe eines Produkts durch einen Hersteller i. S. d. ProdHaftG vor. Zuletzt kann auch beim getrennten Vertrieb von Software- und Hardwarekomponenten, die erst vom Nutzer zusammengesetzt und sodann in Betrieb genommen werden (unbundled products), das Produkthaftungsrecht zur Anwendung kommen, da jede Komponente für sich genommen ein Produkt bzw. ein gleichgestelltes Teilprodukt (§ 4 Abs. 1 S. 1 ProdHaftG) ist. Den Hersteller trifft somit weiterhin die Verantwortung, vor allem für „systemische Risiken“ (Konflikte und Gefahren in der Interaktion mit anderen Originalprodukten oder mit Fremdprodukten etc.).82 Übermäßige Belastungen auf Herstellerseite drohen durch ein so weit greifendes Produkthaftungsrecht nicht. Der Nutzer ist im Außenverkehr als Anwender und Betreiber gleichfalls verantwortlich, etwa für Installations-, Montageoder Anlernfehler. Solche Schadensursachen sind den Herstellern per se nicht zuzurechnen; das begrenzt ihre Haftungslast merklich. bb) Beweisführungslücken 45 Aus bisher Gesagtem folgt freilich nicht, dass die Haftung stets dort gesichert ist, wo sie normativ überzeugend oder wünschenswert ist. Tatsächlich entstehen nämlich prozessrechtliche Verantwortungsdefizite wegen Beweisproblemen auf Geschädigtenseite bei starker Vernetzung des Aktanten oder bei getrenntem Produktvertrieb. Bei tradierten Produkten ist die horizontale und vertikale Arbeitsteilung auf den Produktionsprozess beschränkt, wohingegen bei der vernetzten Technik dieses Zusammenwirken in das Produkt während des Betriebs hineinragt (mehrteilige Funktionalität).83 Dadurch können schwer entwirrbare Verantwortungsfäden entstehen. 46 Verschiedene Lösungsvorschläge gehen dahin, „den“ Endhersteller, mithin den Produzenten eines Gesamtprodukts als cheapest cost avoi-

80 81 82 83

Wagner, Robot Liability, SSRN 3198764, S. 10. MünchKommBGB/Wagner, ProdHaftG § 2 Rz. 26. Näher Thöne, Autonome Systeme und deliktische Haftung, S. 229 ff. Linardatos (Fn. 1), § 8 B. II. 2. c), S. 296 f.

466

Autonome und vernetzte Aktanten im Zivilrecht

der und einzigen Haftungsadressaten in die Verantwortung zu nehmen (Haftungskanalisierung).84 Da ein Endhersteller bei einem getrennten Produktvertrieb – trotz der Vernetzung des Aktanten – nicht existiert, müsste man einen solchen fingieren. Eine solche weitreichende Fiktion unabhängig von der materiell-rechtlichen Verantwortlichkeit eines Herstellers kann indes nicht überzeugen. Diese Lösung würde nämlich bedeuten, dass irgendein Akteur die Verantwortungsanteile irgendeines anderen Beteiligten tragen müsste. Wäre dieser im Außenverhältnis haftende Hersteller auf Regressansprüche verwiesen, entstünden für eine erfolgreiche Anspruchsdurchsetzung im Innenverhältnis nicht unerhebliche Informations- und Suchkosten. Diese Kosten würde das haftende Subjekt auf den Preis seines Produktteils umlegen oder ggf. auf einen Regress gänzlich verzichten, falls die Anspruchsverfolgung „steckenzubleiben“ droht. In der Folge würden das Verhalten einiger Akteure haftungsrechtlich relativ wenig Aktivitäts- und Sorgfaltssteuerung erfahren, weil eine Regressforderung ausbleibt, wogegen der fiktiv gedachte Endhersteller relativ hohe Produktionskosten in Kauf nehmen müsste, und Aktivität sowie Sorgfalt wären bei ihm zu starken Steuerungsanreizen ausgesetzt.85 cc) Problem der Veränderlichkeit Ein weiteres produkthaftungsrechtliches Problem bei veränderlichen 47 Systemen ist der Haftungszeitpunkt gemäß § 3 ProdHaftG (Inverkehrgabe). Wegen dieser Schranke fehlt es an einer verschuldensunabhängigen Produktbeobachtungspflicht.86 Vertieft wird das Problem aus Betroffenensicht durch die (noch) vorherrschende Auffassung, Sicherungspflichten des Herstellers nach Inverkehrbringen seines Produkts durch Nachrüstung oder Reparatur auf eigene Kosten seien abzulehnen.87 Selbst wenn man dies rechtlich anders sehen wollte – wofür die besseren Argumente sprechen88 –, existieren bei vernetzten Aktanten faktische Hindernisse, die Produktbeobachtungs- und Nachrüstpflichten zu erfüllen, weil dem jeweiligen Verantwortungsträger der Zugriff auf die betroffenen Komponenten nicht stets offensteht (daten- oder patentschutzrechtliche Gründe etc.). 84 Eidenmüller, ZEuP 2017, 765, 772; Thöne, Autonome Systeme und deliktische Haftung, S. 197, 203. 85 Linardatos (Fn. 1), § 8 B. II. 3. c), S. 297 ff. 86 Schaub, JZ 2017, 342, 344. 87 Grundlegend BGH v. 16.12.2008 – VI ZR 170/07, BGHZ 179, 157 = NJW 2009, 1080 Rz. 12 ff. – Pflegebetten. 88 Raue, NJW 2017, 1841, 1844; Thöne, Autonome Systeme und deliktische Haftung, S. 213–219.

467

Dimitrios Linardatos

b) Zur Anwenderseite (i. w. S.) 48 Wie gesehen bestehen auf Herstellerseite gewisse Lücken in der Haftungszurechnung (die teilweise durch teleologische Auslegung schließbar sind), nichtsdestotrotz werden von der h. M. haftungsrechtlich die größten Defizite des Deliktsrechts auf der Anwenderseite gesehen. Die geltende Dogmatik erlaube es nicht, dort angemessene Steuerungsanreize zu adressieren. aa) Der Meinungsstand 49 Im Schrifttum sind verschiedene Konzepte erwogen worden, um Verantwortungslücken aufseiten der Anwender zu schließen, die sich prinzipiell in zwei Denkrichtungen aufteilen lassen: Während manche Autoren Einzelanalogien – etwa zu den §§ 831–833, 836 BGB – ausloten,89 nehmen andere an, nur ein allgemeiner Tatbestand der Gefährdungshaftung für autonome (Assistenz-)Systeme könne geeignete Ergebnisse liefern. Letztgenannter Ansatz soll jedoch nur eine Lösung de lege ferenda sein, weil der für die Gefährdungshaftung geltende Enumerationsgrundsatz90 einen neuen Tatbestand im Wege der Rechtsfortbildung verhindere.91 bb) Bewertung und eigene Position 50 Bewertet man die im Schrifttum entwickelten Lösungskonzepte, so sind von vornherein diejenigen auszuscheiden, die methodisch nicht überzeugen können. 51 (1) Dies betrifft insbesondere die Überlegung, eine Haftung für das Verhalten autonomer und vernetzter Aktanten sei über eine Einzelanalogie (etwa zu den §§ 831–833 oder zu § 836 BGB) begründbar. Das Recht der Gefährdungshaftung ist geprägt von einer spezialgesetzlichen Zersplitterung,92 die sich historisch einfach erklären lässt: Dem Gesetzgeber war stets daran gelegen, durch ad hoc erlassene Spezialtatbestände ein konkretes soziales Problem zu lösen, „für das sich [bis dato] im Haftungssys89 Vgl. z. B. Riehm, ITRB 2018, 113, 114 f.; Sommer, Haftung für autonome Systeme, 2020, S. 300, 303 ff.; Brunotte, CR 2017, 583, 585 f.; Bräutigam/Klindt, NJW 2015, 1137, 1139; Grützmacher, CR 2016, 695, 698. Für eine Lösung über Verkehrssicherungspflichten Denga, CR 2018, 69, 71 ff. 90 RGZ 78, 171, 172; BGH v. 25.1.1971 – III 208/68, BGHZ 55, 229, 232 f. = NJW 1971, 607, 608; Canaris, VersR 2005, 577, 580. 91 So etwa Teubner, AcP 218 (2018), 155, 191–196, insbes. S. 192, 195; von Westphalen, ZIP 2019, 889, 894; Eidenmüller, ZEuP 2017, 765, 772 f.; Expert Group (NTF), Liability for Artificial Intelligence, S. 4, 61 f. 92 Larenz/Canaris, Schuldrecht II/2, S. 601.

468

Autonome und vernetzte Aktanten im Zivilrecht

tem des Deliktsrechts keine befriedigende Lösung finden ließ.“93 Folglich besteht das Recht der Gefährdungshaftung aus eng umrissenen Einzeltatbeständen – nicht umsonst existiert keine Generalklausel –, welche immer sehr konkret gefasste Sachverhaltsanforderungen stellen. Die Möglichkeit einer Einzelanalogie ist deswegen a priori eingeschränkt. Der erforderliche Ähnlichkeitsschluss scheitert häufig an den spezifischen Voraussetzungen der existierenden Tatbestände. Diese Diskrepanz ist für die Aktanten besonders augenscheinlich, da sie (Risiko-)Eigenschaften aufweisen, die neuartig sind, mithin selten eine Vergleichbarkeit besteht.94 (2) Diese Hürden für eine Einzelanalogie bedeuten indes nicht, dass eine 52 Anwenderhaftung auszuscheiden hat. Im Gegenteil, eine Anwenderhaftung erscheint notwendig und ist wie folgt zu rechtfertigen:95 Die Kosten des Konsums und der Nutzung müssen risikoäquivalent internalisiert werden, um eine effektive Steuerung von Sorgfalt und Aktivität bei all denjenigen Personen zu gewährleisten, die über Art und Umfang des Einsatzes (mit-)befinden. Vor allem die Residualkosten der (betrieblichen oder privaten) Nutzung dürfen nicht pauschal bei den Geschädigten verbleiben, sondern sind haftungsrechtlich auf denjenigen überzuleiten, der über das konkrete Einsatzwissen verfügt und die Aktivität des Aktanten steuert. Diese Kostenüberleitung verhindert eine ökonomisch unerwünschte Quersubventionierung der Aktivität. Zuzustimmen ist daher der h. M., die sich de lege ferenda für einen Gefährdungshaftungstatbestand auf Anwenderseite ausspricht. (3) Auch in anderer Hinsicht ist eine Klarstellung notwendig: Die be- 53 schriebenen Gründe gegen eine Einzelanalogie bedeuten nicht, dass keiner der existierenden Gefährdungshaftungstatbestände die Aktanten zu adressieren vermag. Gegenteiliges ist durchaus denkbar. Deswegen ist, bevor de lege ferenda-Lösungen ausgelotet werden, zunächst zu prüfen, ob eine spezifische Anwendung in ihrer Typizität und in ihren Risiken mit einer geregelten Gefahr vergleichbar, mithin von einem existieren-

93 N. Jansen, Die Struktur des Haftungsrechts, S. 370. 94 Deutlich wird dies etwa bei der Überlegung, ob eine Analogie zur Tiergefahr möglich ist. Während ein weitentwickelter KI-Spielzeughund, der unerwartet in ein chaotisches Verhalten ausbricht und fremde Fußgänger anspringt, mit einem Hund nach § 833 S. 1 BGB vergleichbar sein mag, ist dies bei einer Drohne, die Informationen aus verschiedenen Quellen bezieht (Betriebsplattform, Daten anderer Drohnen) und die unkontrolliert durch die Einkaufspassage einer Stadt schwebt, hingegen nicht der Fall. 95 Linardatos (Fn. 1), § 8 B. III. 3., S. 328 ff.

469

Dimitrios Linardatos

den Tatbestand (z. B. StVG, LuftVG, HaftPflG usw.) bereits erfasst ist.96 Eine Generalklausel ist nämlich nicht erforderlich, wenn Sorgfalt und Aktivität bereits durch einen existierenden Haftungstatbestand induziert werden. Überflüssige Vorschriften sind aus Gründen der Rechtsklarheit und der Stringenz zu vermeiden: Mit einem pauschalen Tatbestand strikter Haftung für Aktanten bestünde die Gefahr, einen Widerspruch zu den etablierten Wertungen der geschriebenen Tatbestände der Gefährdungshaftung zu produzieren. So soll z. B. ein Tatbestand strikter Haftung nicht jeden Anwender belasten. Im deutschen Recht gilt nämlich der Grundsatz, dass eine solche Haftung für Verbraucher nur ganz ausnahmsweise vorzusehen ist.97 Redet man hingegen pauschal einem Gefährdungshaftungstatbestand das Wort, dann könnten solche Prinzipien aus dem Blick geraten. Deswegen spricht sich die Arbeit für eine subsidiäre Ausgestaltung des Gefährdungshaftungstatbestandes aus. Misst man nämlich der Haftungsnorm für Autonomie- und Vernetzungsrisiken nur eine Auffangfunktion zu, so ist der Rechtsanwender automatisch gezwungen, sich zunächst zu vergegenwärtigen, welche Wertungen des sachnächsten Regimes zu beachten sind. 54 Weitere beachtenswerte Umstände folgen aus den allgemeindeliktischen Wertungen der verschuldensabhängigen Unrechtstatbestände, konkret gesprochen: aus § 831 BGB.98 Autonome und vernetzte Systeme treten an die Stelle der menschlichen Gehilfen; mit den Aktanten sind also spezifische Gehilfenrisiken verbunden. In den von § 831 BGB erfassten Sachverhalten gehen von Verrichtungsgehilfen keine Risiken mit Breitenwirkung aus; der Kreis der Personen, die Risiken ausgesetzt sind, ist also begrenzt. Anders ist hingegen die Sachlage bei Sachverhalten, die von einem Gefährdungshaftungstatbestand erfasst werden. Dort geht es um Handlungssituationen, denen ein breites Publikum unausweichlich ausgeliefert ist.99 Diese Unterschiede darf eine Anwenderhaftung für Autonomie- und Vernetzungsrisiken nicht planieren. Eine pauschale Gefährdungshaftung des Anwenders ist mithin nicht angezeigt, wenn nur eine situative, punktuelle Gefahrenlage besteht, die analog § 831 BGB ausreichend erfasst wird. Beispiel: Setzt das Krankenhaus K einen Putzroboter ein und verletzt dieser einen Besucher, dann ist § 831 BGB analog anzuwenden und für eine Gefährdungshaftung ist mangels Gefahr mit Breitenwirkung kein Raum. 96 97 98 99

Linardatos (Fn. 1), § 8 B. III. 4. a) aa), S. 336 ff. Thöne, Autonome Systeme und deliktische Haftung, S. 170. Vgl. wiederum Linardatos (Fn. 1), § 8 B. III. 4. a) aa), S. 336 ff. Esser, Grundlagen und Entwicklungen der Gefährdungshaftung, S. 90 und BGH v. 10.5.1976 – III ZR 150/73, VersR 1976, 930, 931.

470

Autonome und vernetzte Aktanten im Zivilrecht

(4) De lege ferenda ist der Auffangtatbestand im Wege der Induktion100 55 zu entwickeln. Aus dem Kreis der existierenden Gefährdungshaftungstatbestände sind also allgemeine Rechtssätze herauszuarbeiten, die es auf die Autonomie- und Vernetzungsrisiken herunterzubrechen gilt. Vom Besonderen (geschriebener Einzeltatbestand) ist auf das Allgemeine (Wertungsbasis) zu schließen, um sodann den verallgemeinerungsfähigen Gedanken auf den neuen Sachverhalt (Autonomie- und Vernetzungsrisiken) anzuwenden. Vor diesem Hintergrund haben folgende Prinzipien das Fundament des Tatbestandes zu sein:101 (i) Vom Aktanten muss eine abstrakt-generelle Gefahr ausgehen, die aus Sicht des Publikumsverkehrs unausweichlich ist oder aus Gründen sozialen Zwangs hingenommen werden muss; (ii) die Gefahr muss gleichartig trotz technischen Fortschritts fortbestehen und von einer gewissen Intensität sein; (iii) den Betroffenen dürfen wegen der Breitenwirkung der Gefahr keine vertraglichen Ersatzansprüche zustehen; (iv) abhängig davon muss die Haftung die Aktivität desjenigen ansteuern, der die Gefahrenquelle eröffnet hat oder beherrscht. (5) Neu in der Arbeit entwickelt und herausgehoben wurde die haftungs- 56 rechtliche Relevanz eines sich anschickenden Paradigmenwechsels in der Wirtschaftsgesellschaft:102 weg vom Eigentumserwerb und hin zu zeitweiligen Nutzungsrechten in einer Sharing-Economy und im Internet der Dinge. Dadurch verändert sich das Bild vom Konsumenten ebenso wie das vom Betreiber, Halter, Anwender oder Nutzer eines Produkts. Während beim Eigentumserwerb der Halter eines Fahrzeugs stets als Konsument und alleiniger Nutzer angesehen werden kann, dessen Sorgfalt und Aktivität es über das Deliktsrecht zu steuern gilt, fallen in den Sharing-Modellen die Halter und Betreiber eines Aktanten immer häufiger zusammen, wohingegen der Konsument nur noch ein Nutzer unter mehreren ist. Eine pauschale Forderung nach einer Anwenderhaftung führt somit immer häufiger aus wirtschaftsfaktischen Gründen am anvisierten Adressaten vorbei: Während im klassischen Wirtschaftsverkehr die Anwenderhaftung den privaten Nutzer und Konsumenten treffen würde (s. § 7 StVG), trifft sie nun vermehrt den unternehmerischen Anbieter/Betreiber, der ohnehin schon Haftungslasten unterliegen kann (z. B. aus Vertrag oder über das ProdHaftG). Pauschalierende Lösungen, welche die Verantwortung allgemein dem Hersteller, einem Anwender oder einem sonstigen Akteur unbesehen der wirtschaftlichen Sachverhalte zuweisen, verbieten sich deswegen. 100 Näher Larenz, Methodenlehre, S. 366 ff. 101 Linardatos (Fn. 1), § 8 B. III. 5. b) aa) – ff), S. 344 ff. 102 Linardatos (Fn. 1), § 8 B. IV., S. 369 ff.

471

Dimitrios Linardatos

4. Gesellschaften und Gemeinschaften 57 Mithilfe von Smart Contracts und der Distributed-Ledger-Technologie (Blockchain) sowie in Kombination mit KI lassen sich Organisationen, Gemeinschaften und Aktanten erschaffen, die strukturelle Ähnlichkeiten zu Gesellschaften i. S. d. §§ 705 ff. BGB oder zu Gemeinschaften gemäß §§ 741 ff. BGB aufweisen. Welche Phänomene aus der Welt der Aktanten von diesen Regeln erfasst werden, ist einzelfallabhängig zu bestimmen. Dabei ist zwischen Koordinierungsplattformen und Zweckgebilden103 zu unterscheiden: Erstere dienen der Koordinierung von untereinander unbekannten Interessenträgern; letztere werden von einer oder von mehreren Personen bewusst gewählt und implementiert, um einen bestimmten Zweck zu fördern und zu verwirklichen. a) Gesellschaftsrecht 58 Auf Blockchain-basierte Organisationen sind die §§ 705 ff. BGB unproblematisch anwendbar, wenn die gesellschaftsrechtliche Vereinbarung der Implementierung des algorithmischen Systems vorausgeht. Die Blockchain dient dann nur der technischen Umsetzung des vereinbarten gemeinsamen Zwecks. Beispiel: A, B und C vereinbaren, ein „vollautonomes“ Hotel zu betreiben. Nachdem das Hotel erbaut und technisch ausgestattet wurde, schließen sie es an eine Blockchain an. Den täglichen Betrieb des Hotels übernehmen Algorithmen (Bots) und Smart Contracts ohne Eingriff eines Menschen. 59 An dieser Einordnung ändert sich nichts, wenn der Organisation untereinander unbekannte Mitglieder jeder Zeit beitreten und aus dem Zusammenschluss wieder austreten; ähnliche Vorgänge sind von offenen Publikumsgesellschaften bekannt und schließen eine GbR nicht per se aus.104 Damit sei aber nicht gesagt, jeder Zusammenschluss auf einem Distributed Ledger sei über das Recht der Personengesellschaften zu erfassen.105 Die meisten Blockchainorganisationen sind nicht mehr als Zufallsgebilde, bei denen ein Gesellschaftsvertrag fehlt, weil den Mitgliedern zum einen nicht vor Augen steht, dass sie eine Erklärung gerichtet auf Bildung einer Gesellschaft abgeben. Zum anderen fehlt die wechsel-

103 Linardatos (Fn. 1), § 9 A., C. I. 1., S. 422 ff. 104 Vgl. BGHZ v. 14.4.1975 – II ZR 147/73, 64, 238, 241 = NJW 1975, 1318, 1319; BGHZ v. 9.11.1987 – II ZR 100/87, 102, 172, 177 f. = DNotZ 1988, 509. 105 A. A. Mann, NZG 2017, 1014 ff.; Hennemann, Interaktion und Partizipation, S. 183 f., 185 ff.

472

Autonome und vernetzte Aktanten im Zivilrecht

seitige Vertrauensinvestition, denn die Mitglieder kennen sich regelmäßig nicht und sie kommunizieren nicht miteinander.106 Das weitaus stärkere Argument gegen eine pauschale Anwendung der §§ 705 ff. BGB folgt allerdings aus dem Grundsatz der Verbandssouveränität:107 Die vertragsrechtliche Ordnung der gesellschaftsrechtlichen Rechtsverhältnisse liegt in der unentziehbaren Zuständigkeit der Mitglieder. Diese müssen nach dieser Ordnung agieren können. Dem Dritteinfluss sind mithin gesellschaftsrechtlich Grenzen gesetzt. Ein eigenverantwortliches Handeln des Verbandes und der Mitglieder muss stets sichergestellt sein. Dies ist bei spontan im Internet entstehenden Blockchain-basierten Organisation nicht gewährleistet. Vielmehr besteht die Gefahr einer unkontrollierbaren Fremdsteuerung, indem externen Dritten die Programmierung und Verwaltung des Blockchainsystems obliegen bleibt, ohne dass den Mitgliedern effektive Anweisungs- und Kontrollrechte zustehen. Fehlt es in solchen Konstellationen auf diese Weise an der Verbandssouveränität, so muss die Qualifizierung als Gesellschaft – jedenfalls in Ermangelung einer abweichenden gesetzgeberischen Entscheidung – ausscheiden. Beispiel: Auf einer Blockchain wird ein Open-Source-Algorithmus betrieben, der automatisiert in Venture-Capital-Projekte investieren soll, nachdem eine KI die Ertragswahrscheinlichkeit der jeweiligen Projekte bewertet hat. Personen können sich dem Projekt frei anschließen, allerdings nur Kapital hingeben; am Investitionsvorgang sind die Kapitalgeber entweder gar nicht beteiligt oder können im Einzelfall lediglich abstimmen, welches Projekt sie unter mehreren bevorzugen. Für ein abweichendes Ergebnis lassen sich auch nicht – jedenfalls nicht 60 pauschal – etwaige technisch vermittelten Mitwirkungsbefugnisse oder Vermögensrechte innerhalb einer Blockchainorganisation anführen, um auf eine Gesellschaft i. S. d §§ 705 ff. BGB zu schließen. Solche und ähnliche Umstände sprechen nämlich nicht automatisch für einen Gesellschaftsvertrag. Die richtige Auslegungsrichtung verläuft gerade umgekehrt: Nur wenn ein Gesellschaftsvertrag feststellbar ist und Mitwirkungs- sowie Vermögensrechte aus jenem Vertrag folgen, können die technisch vermittelten Befugnisse als Ausfluss einer Gesellschafterstellung anzusehen sein. 106 Die Vertrauensinvestition erklärt die gesellschaftsrechtlichen Treupflichten, den fundamentalen und zentralen Rechtssatz des Gesellschaftsrechts; vgl. MünchKommBGB/C. Schäfer, § 705 Rz. 228. 107 Grundlegend hierzu RGZ 169, 65 ff. (Abänderung der GmbH-Satzung dürfe nicht von Zustimmung eines Dritten abhängen); den Schutz eines Kernbestandes bestätigt auch in BVerfG v. S. 2 1991 – BVR 263/86, NJW 1991, 2623, 2625 f. – Bahai.

473

Dimitrios Linardatos

b) Recht der Bruchteilsgemeinschaften 61 Blockchain-Konstrukte lassen sich teilweise, wie im Schrifttum frühzeitig vertreten,108 über das Recht der Bruchteilsgemeinschaften (§§ 741 ff. BGB) erfassen. Die Bruchteilsgemeinschaft ist ein individualistisches Zufallsgebilde, das durch rein reales Parallelverhalten entstehen kann. Ein solches paralleles Agieren liegt typischerweise bei den Netzwerkmitgliedern einer Blockchain vor. 62 Die Bruchteilsgemeinschaft besteht aus einem Individualbereich und einem Gemeinbereich. In den Grenzen des Individualbereichs können die Mitglieder ihre Rechte frei ausüben, während im Gemeinbereich die Rechte eingeschränkt sind, damit ein individualistisches Verhalten eines Teilhabers nicht die Interessen der anderen Teilhaber negativ tangiert. Damit ähnelt die Bruchteilsgemeinschaft ihrer Struktur nach den technischen Hierarchieebenen, die bei Blockchain-Netzwerken existieren.109 Das Recht der Bruchteilsgemeinschaften ist vor allem dort anwendbar, wo bisher schon kraft Gesetzes eine solche Gemeinschaft entstand (z. B. Sammellager gemäß § 469 HGB), weil es keinen Unterschied machen kann, ob eine bestimmte Aktion von einem Menschen oder von einem technischen System erbracht wird. 63 Das Recht der Bruchteilsgemeinschaft ist hingegen nicht geeignet, flächendeckend alle Aktanten zu erfassen. Entscheidend bleibt die Spezifizität des jeweiligen Sachverhalts. Problematisch an der Lösung über die §§ 741 ff. BGB ist, dass sie einen Bruchteil an einem Recht als gemeinsamen Bereich fordert, während eine solche Rechtsposition oftmals einer Feststellung harrt.110 Weiterhin fehlt es an einer gesetzlichen Regelung, die an technische Realakte die Entstehung einer Bruchteilsgemeinschaft knüpft. Erforderlich ist dadurch eine rechtsgeschäftliche Begründung der Bruchteilsgemeinschaft.111 Diese lässt sich bei großzügiger Auslegung aus dem bewussten Beitritt zum Blockchain-Netzwerk herleiten, indem auf den Willen des jeweiligen Mitglieds geschlossen wird, es erkläre konkludent, zu der Funktionsfähigkeit des Systems beitragen zu wollen.112 Es ist dabei mit den §§ 741 ff. BGB vereinbar, die Ausführung der tatsäch108 Omlor, ZRP 2018, 85, 86; Omlor, ZHR 183 (2019), 294, 309. 109 Die „Verwaltungshierarchien“ sind logisch erklärt: Gewisse Maßnahmen sollen nicht von jedem Teilnehmer des Netzwerks angestoßen werden, da sie nicht nur im Widerspruch zu den Interessen der übrigen Teilnehmer stehen, sondern ggf. sogar die Stabilität des gesamten Netzwerks gefährden könnten. 110 Teilweise wird sie sogar explizit verneint, vgl. etwa L. Maute, Müller et al., Privatrecht 2050, S. 215 ff. 111 MünchKommBGB/Karsten Schmidt, § 741 Rz. 30. 112 In diesem Sinne etwa Hennemann, Interaktion und Partizipation, S. 176 f., 191.

474

Autonome und vernetzte Aktanten im Zivilrecht

lichen Verwaltungsmaßnahmen allein der Technik zu überlassen; die gemeinschaftliche Verwaltung der Bruchteilsgemeinschaft i. S. d. §§ 745 f. BGB setzt nämlich nur die unentziehbare Letztentscheidungskompetenz der Teilhaber voraus.113 Soweit die Blockchain den Anforderungen des § 747 BGB (freie Verfügung über Anteile der Gemeinschaft) und des § 749 BGB (Aufhebungsanspruch) genügt, ist es mit den Wertungen des Rechts der Bruchteilsgemeinschaften vereinbar, ein Blockchain-Netzwerk den §§ 741 ff. BGB zu unterwerfen. Die Lösung über die §§ 741 ff. BGB stößt freilich mangels Existenz eines 64 Rechtssubjekts dort an ihre Grenzen, wo das Bedürfnis im Außenverkehr besteht, das Netzwerk als rechtsfähigen Aktanten zu behandeln – etwa mit dem Ziel, Dritten die Durchsetzung ihrer Ansprüche zu erleichtern. IV. Identifizierung etwaiger Anwendungsräume für artifizielle Personen Wie skizzenartig aufgezeigt wurde, sind viele Zivilrechtsbereiche dem 65 Phänomen der Aktanten in weiten Teilen gewachsen, so dass es nicht angezeigt ist, etwaige Zurechnungslücken durch einen tiefgreifenden Eingriff in das Rechtssystem – durch Etablierung eines artifiziellen Rechtssubjekts – zu schließen. Nachfolgend sei aber gezeigt, dass sich durchaus Anwendungsbereiche identifizieren lassen, bei denen mit einem solchen Rechtssubjekt in Fragen der Verantwortungs- und Haftungszurechnung Vorteile einhergehen würden. 1. Rechtsgeschäfte Bei starken Verbund- und Vernetzungsrisiken kann es angezeigt sein, einen 66 Aktanten nicht als Repräsentanten einer Person, sondern einer Kooperations- und Koordinationsgemeinschaft oder einer atypischen kapitalistischen Vereinigung anzusehen.114 In solchen Szenarien, in denen Erklärungs- und Verstehensprozesse nicht jeweils einem Individuum des Kollektivs zugerechnet werden sollen, sondern dem Kollektiv selbst, bestünde ein tatsächlicher Bedarf, ein artifizielles Rechtssubjekt anzuerkennen. Beispiel: Im Flughafen F können von Reisenden automatisch betriebene Schlafkabinen gebucht werden. Die Schlafkabinen sind mit einer Blockchain verbunden. Über dieses Netzwerk sammeln Smart Contracts selbstständig Kapital für Kosten wie Standgebühren, Reinigungsservice und für das Aufstellen neuer Kabinen ein. Dem Netzwerk kann sich je113 Ähnlich Möslein, in: HdB AI und ML, Kapitel 9 Rz. 4 f. 114 Beispiel inspiriert von Business Traveller vom 14.6.2018 (https://www.businesstraveller.de/news/flughafen-trend-relaxen-in-der-eigenen-ruhezelle/).

475

Dimitrios Linardatos

der Kapitalgeber frei anschließen oder aus dem Netzwerk ausscheiden. Die Kapitalgeber erlangen ihrem hingegebenen Investitionsanteil entsprechend einen Anspruch auf den Residualerlös des Netzwerks. 67 Ein artifizielles Rechtssubjekt wäre weiterhin dort angezeigt, wo die Aktanten selbstständig und nach eigener Bewertung mit der Realwelt interagieren und darüber hinaus Vermögen einnehmen und ausgeben sollen. In solchen Szenarien kann die gesellschaftliche Erwartung entstehen, das autonome System sei nicht nur handelndes, sondern auch haftbares Subjekt. Das Recht müsste also einen Rechtsstatus „liefern“, wenn es dem gesellschaftlichen Verständnis und der sozialen sowie wirtschaftlichen Realität entspräche, Rechtsgeschäfte unmittelbar mit Maschinen zu schließen (Maschinenwirtschaft).115 Beispiel: Vgl. oben das Beispiel mit dem Transportschiff.116 2. Vertragliches Haftungsrecht 68 Die hier befürwortete Lösung im vertraglichen Haftungsrecht (Analogie zu § 278 BGB)117 ist nicht geeignet, das sog. Verbundrisiko zu adressieren. Hierunter ist die Assoziation zwischen Maschinen und zwischen Maschinen und Menschen zu emergenten, sozialrelevanten Einheiten und Kollektiven zu verstehen. Im Außenverhältnis tritt ein hybrider Verbund als überpersonale Einheit in eine kommunikative Beziehung zu Dritten. § 278 BGB hilft nicht weiter, weil er ein Zurechnungssubjekt voraussetzt, während bei einem Verbund aus Aktanten fraglich ist, wer das Zurechnungssubjekt ist, und weiter: ob das emergente Kollektiv als Zurechnungssubjekt fungieren sollte. An § 278 BGB kann also nicht angeknüpft werden, sollte a priori nicht feststehen, welcher Person unter mehreren eine Handlungsfolge zuzuweisen ist. Die Norm setzt die Kenntnis des potenziellen Zurechnungssubjekts voraus, stellt dieses also nicht erst her. In solchen Situationen kann es angezeigt sein, das mehrpolige Geflecht als eigenständiges Rechtssubjekt zu etablieren (ePerson). 3. Außervertragliches Haftungsrecht 69 Neu in der vorgelegten Arbeit entwickelt wurde, welche Rechtfertigungsgründe vor allem im außervertraglichen Bereich für eine Haftungskanalisierung auf eine neue Rechtsperson sprechen:118

115 Ähnliche Entwicklungen erwartet Bertolini, Artificial Intelligence and Civil Liability, 2020, S. 86 und passim. 116 Vgl. oben Rz. 10. 117 Oben Ziff. III. 2. Rz. 19. 118 Linardatos (Fn. 1), § 8 B. V. 1.–6., S. 379 ff.

476

Autonome und vernetzte Aktanten im Zivilrecht

a) Abmilderung etwaiger Beweisführungsprobleme Ein erster Vorteil für Geschädigte bestünde durch die ePerson darin, dass 70 keine Unklarheiten über den richtigen Anspruchsgegner mehr bestünden. Die Gerichte wären entlastet und Haftungsprozesse könnten einfacher durchgeführt werden, da Kausalitätsketten nicht mehr individualisiert werden müssten. Der Geschädigte müsste nur den Schaden und die kausale Verbindung zur Gefahrenquelle, also zum artefakten Aktanten, nachweisen; der getrennte Vertrieb der Komponenten des Aktanten und die Vernetzung der Systeme bliebe faktisch folgenlos. b) Verkehrssicherheit nach Inverkehrgabe des Aktanten Da eine Haftung der ePerson stets im Zeitpunkt des schädigenden Er- 71 eignisses greifen würde, käme es überhaupt nicht darauf an, ob nach Inverkehrgabe etwaige Beobachtungs- und Verkehrssicherungspflichten bestehen oder verletzt wurden. Maßgeblich für einen Ersatzanspruch wäre nur der Eintritt des Schadensereignisses. Weil die Haftungsmasse der ePerson (unter anderem) von allen Risikoträgern auf Herstellerseite zu unterhalten wäre,119 würden diese aus einem Eigeninteresse heraus das autonome Produkt beobachten und schadensabwendende Maßnahmen – etwa die Einspielung eines Upgrades – im effizienten Umfang ergreifen (Steuerung des Sorgfalts- und Aktivitätsniveaus). Die ePerson würde also einen starken intrinsischen Reiz schaffen, den Aktanten auf den aktuellen Stand des Risikowissens und der Sicherheitstechnologie zu halten. c) Einsparung von Transaktionskosten bei der Schadensverteilung Anknüpfend an die Sachverhalte mit starken Vernetzungsrisiken ist 72 die ePerson als (haftungsrechtlicher) Knotenpunkt der Akteure und als Instrument zur Einsparung von Transaktionskosten anzusehen. Dabei wurde in der Arbeit in den Blick genommen, dass die professionellen Akteure auf Hersteller- und Anbieterseite respektive deren Versicherer die Schadenslasten gerade bei starker Vernetzung typischerweise außergerichtlich über Teilungsabkommen nach empirischen Durchschnittssätzen verteilen und auf einen konkreten Schadensausgleich verzichten. Dadurch bleiben dysfunktionale Regressprozesse über Einzelansprüche die Ausnahme und im unternehmerischen Binnenverhältnis findet eine effiziente Sozialisierung der Schadenslasten und Fehlerfolgen statt.

119 Dazu sogleich Ziff. IV. 3. c) Rz. 72.

477

Dimitrios Linardatos

73 Die beschriebenen Binnenabreden sind ein Beispiel für ein Ergebnis privater Verhandlungen, wie sie von Coase beschrieben wurden.120 Danach sind Märkte unter bestimmten Bedingungen (Abstinenz von Transaktionskosten, volle Informiertheit, wenige Beteiligte, eindeutig spezifizierte Handlungsrechte etc.) geeignet, effektiv mit Externalitäten umzugehen. Die betroffenen Rechtssubjekte würden in einem optimalen und funktionierenden Markt die Ressourcen eigenständig effizient ohne staatliche Hilfe aushandeln und verteilen. Entschädigungs- und Ausgleichsansprüche würden sie nur im Umfang beiderseitiger Nutzenmaximierung vereinbaren. Eben diesem Ziel dienen die Binnenabreden, weil der „automatisierte“, mathematisch-statistischen Regeln folgende Ausgleich die Kosten für die Abwicklung und Verteilung von Schadenslasten weitestmöglich gering hält. Aus ökonomischer Sicht ist eine solche Abwicklung willkommen, weil die Schadenskompensation ein „Nullsummenspiel“ ist,121 denn es wird Vermögen nur umverteilt und kein zusätzlicher Nutzen geschaffen. Deswegen sind Haftungslösungen, die eine transaktionskostensparende Abwicklung und Verteilung von Schäden erlauben, wirtschaftlich erstrebenswert. 74 Ergänzend dazu wurde auch an die Theorie von Coase zur Entstehung von Unternehmungen erinnert (Nature of the Firm):122 Danach bilden verschiedene Akteure über ein Netz von expliziten und impliziten Verträgen feste Strukturen aus, um mithilfe von automatisiert abrufbaren Leistungsrechten und standardisierten Interaktionen organisationsweit Transaktionskosten zu sparen. 75 Mit Rücksicht auf diese beiden Gedankenmodelle ist in der Arbeit die Idee entwickelt worden, eine ePerson zu etablieren, damit unter ihrem Dach die Netzstrukturen versammelt werden können, die in der Realwirtschaft mittels impliziten und expliziten Abreden entstehen, um eine Inverkehrgabe und den effizienten Betrieb eines autonomen Aktanten zu ermöglichen. Die elektronische Person wäre demnach nur eine materialisierte Reaktion auf die realiter existierende (quasi-)vertragliche Vernetzung, welche dem Zweck dient, Bündelungsgewinne (Coase) über geschichtete und miteinander verknüpfte Rechtsverhältnisse zu verwirklichen. Die Beteiligten könnten über ein artifizielles Subjekt eine Vermögensmasse schaffen, die im Binnenverhältnis automatisierte Leistungsrechte aufweist, etwaige Teilungsabkommen zur Schadensabwick-

120 Eidenmüller, Effizienz als Rechtsprinzip, S. 62. 121 Zusf. Coase, The Firm, the Market, and the Law, S. 13 ff. 122 Coase, The Firm, the Market, and the Law, S. 33 ff.

478

Autonome und vernetzte Aktanten im Zivilrecht

lung ersetzt und im Außenverhältnis als klarer Haftungsadressat zur Verfügung steht (one-stop-shop solution).123 d) Zwingende Bedingung: Ausstattung mit einer Haftungsmasse Die ePerson müsste mit einer eigenen Vermögensmasse ausgestattet 76 werden. Alle Ansprüche wären gegen diese Vermögensmasse zu richten (Idee des Haftungsfonds), soweit sich das technikspezifische Risiko und nicht ein individuelles Fehlverhalten eines Beteiligten realisiert. Die Bedingungen des Haftungsfonds müssten dem Grundsatz der Wagnisträgerfinanzierung entsprechen.124 Demnach müssten die Hersteller und Betreiber auf der einen und die Anwender oder Konsumenten auf der anderen Seite wirtschaftlich bei der Bildung der Haftungsmasse quotal und risikoadäquat beteiligt werden.125 Wie im Einzelnen dieser Haftungsfonds ausgestaltet ist, ob er bedeutet, die Entität müsse über Eigenmittel verfügen oder es sei ein Versicherungsschutz für Schäden verursacht durch das Aktantenverhalten einzurichten, ist eine rechtspolitische Entscheidung in der Verantwortung des Gesetzgebers.126 Entgegen den im Schrifttum geäußerten Bedenken127 ist es technisch mög- 77 lich, die betraglichen Anteile der Handlungsträger am Haftungsfonds der ePerson zu ermitteln.128 Auf Herstellerseite hilft das Erfahrungswissen, das von den professionellen Akteuren (z. B. von den Versicherern) bisher über interne Vertragswerke und Teilungsabkommen gesammelt wurde. Mit der ePerson verbunden wäre eine reine Kapitalbelastung im Scha- 78 densfall. Durch ein solches Konzept würden die Verhaltensanreize des Rechts gleichwohl nicht verlustig gehen. Die Beteiligung – in Form von Beiträgen auf Hersteller- und Betreiber- sowie durch Nutzungsentgelte auf Konsumentenseite – würde, wenn auch sozialisiert und pulverisiert, Steuerungsanreize hinsichtlich des Sorgfalts- und Aktivitätsniveaus des jeweiligen Kostenträgers vermitteln. – Im Übrigen darf nicht angenommen werden, rechtliche Verhaltensanreize müssten stets gegen Menschen gerichtet sein.129 Das Haftungsrecht ist nicht moralisch oder 123 So auch schon Bertolini, Artificial Intelligence and Civil Liability, 2020, S. 58, passim. 124 Vgl. dazu von Hippel, in: Fleming/Hellner/v. Hippel, Haftungsersetzung durch Versicherungsschutz, S. 60 m. w. N. 125 Ähnlich (aber verwerfend) Spiecker gen. Döhmann, CR 2016, 698, 703 f.: graduelle Gesamtschuldnerschaft. 126 Praktikabler dürfte die Versicherungslösung sein. 127 Spiecker gen. Döhmann, CR 2016, 698, 703 f. 128 Näher Linardatos (Fn. 1), § 8 B. V. 4., S. 396 ff. 129 Linardatos (Fn. 1), § 8 B. V. 5., S. 400 ff.

479

Dimitrios Linardatos

ontologisch aufgeladen. Sein Zweck besteht nur darin, unerwünschte Handlungsfolgen zu vermeiden. Daher richtet sich die Haftung stets gegen denjenigen, der agiert und Wagnisträger ist. Ist dies die ePerson und nicht ein Mensch, so müssen sich die Steuerungsanreize auch an dieses Subjekt richten. Technisch lässt sich dies über die Steuerungsfunktion des Systems bewerkstelligen: Dem Algorithmus ist einzuschreiben, dass er eine monetäre Belastung des Haftungsfonds soweit wie möglich zu verhindern hat (Überlebenswille).130 4. Gesellschaften und Gemeinschaften 79 In der Arbeit ist weiterhin die Idee entwickelt worden, einen Subjektstatus für Blockchain-basierte Aktanten vorzusehen. Dabei ist der Anwendungsbereich einer entsprechenden Regelung im Wege einer Negativabgrenzung zu bestimmen:131 Zweckgebilde werden von den §§ 705 ff. BGB erfasst, soweit das Verhalten der Beteiligten den Tatbestand einer Willenserklärung gerichtet auf Abschluss eines Gesellschaftsvertrages erfüllt; Zufallsgebilde fallen unter die §§ 741 ff. BGB (analog), sofern ein gemeinschaftlicher Bereich oder ein ideell geteiltes Recht an einem Gegenstand ausgemacht werden kann und nur das Innenverhältnis zwischen den Teilhabern einer Regelung bedarf. Soweit mit dem Netzwerk auch eine Außenwirkung intendiert ist und Autonomie-, Vernetzungsund Verbundrisiken in den Rechtsverkehr hineinragen, ist ein Blockchain-basiertes Rechtssubjekt zuzulassen, dessen Entstehung von einer behördlichen Konzession abhängig sein sollte. V. Option de lege ferenda: Strukturmerkmale eines neuen Rechtssubjekts 80 Wie gesehen lassen sich im Haftungsrecht (ePerson) wie auch im Gesellschaftsrecht (Blockchain-basierte Organisationen) juristische und ökonomische Argumente für einen neuen, optionalen und technikgetriebenen Rechtsträger (oberbegrifflich: artifizielles Rechtssubjekt) ausfindig machen. Um besser bestimmen zu können, wie diese Rechtsträger strukturiert sein müssen (3.), war in der Arbeit rechtshistorisch und soziologisch zu untersuchen, weshalb juristische Rechtssubjekte entstehen (1.) und welche verbandsrechtlichen Kautelen es dabei zu beachten gilt (2.).

130 Riehm/Meier, Künstliche Intelligenz im Zivilrecht, Rz. 44; Riehm, RDi 2020, 42, Tz. 19 ff. 131 Linardatos (Fn. 1), § 9 E. I., S. 464 ff.

480

Autonome und vernetzte Aktanten im Zivilrecht

1. Schlussfolgerungen aus Historie und Soziologie Ein artifizielles Rechtssubjekt rechtfertigt, wie dies etwa bei juristischen 81 Person der Fall ist, unter anderem seine Konzentrationsfunktion.132 Die Einheit und Bündelung aller Teilnehmer auf einen Verantwortungspunkt erleichtert den Verkehr mit Dritten, sobald die Individualität der einzelnen Glieder in den Hintergrund tritt. Den Dritten werden Beweisschwierigkeiten abgenommen, die mit einer Personenmehrheit typischerweise einhergehen, weil die verschiedenen Handlungen und Folgen einem klaren Zurechnungspunkt zugeordnet werden. Historisch gesehen bestand ein wesentlicher Grund, juristische Perso- 82 nen zuzulassen, gerade darin, die Erreichung überpersönlicher Ziele zu erleichtern.133 Dasselbe Argument lässt sich für ein artifizielles Rechtssubjekt anführen. Ohne gesetzliche Rechtsformtypen würden die an den Aktanten beteiligten Akteure versuchen, über wechselseitige Vereinbarungen das Binnenverhältnis so zu gestalten, wie es erforderlich scheint, um die Erreichung der übergeordneten Ziele zu ermöglichen. Die gesetzliche Typisierung solcher Sozialgebilde bedeutet demnach ein Nachempfinden der Beteiligteninteressen – freilich mit dem Vorteil der Transaktionskostenreduktion durch die vertypten Rechtssubjekte, die bedarfsabhängig wählbar sind. Gesellschaften ist ein zweckgebundenes Sondervermögen zugeordnet.134 83 Diese Zweckbindung des dem Unternehmensträger zugeordneten Vermögens ist nicht nur rechtstechnisch von Bedeutung, sondern auch für die praktische Akzeptanz von personenstarken Gesellschaften. Dank der Zweckbindung des Vermögens konkurrieren die Gläubiger der Gesellschaft nicht mit den Privatgläubigern der Anteilseigner. Sie müssen deswegen weder bei Vertragsschluss noch in der Zeit danach Kosten aufwenden, um den Bestand des Privatvermögens der Gesellschafter zu bewerten und dessen Entwicklung zu überwachen. Relevant ist für sie nur der Bestand und die Entwicklung des Gesellschaftsvermögens, denn es ist vom Zugriff der Gesellschaftergläubiger abgeschottet. Da für die Gläubiger der Unternehmung die Mitglieder der Peergroup – die übrigen Gläubiger – auf diese Weise klarer feststellbar sind, können sie die ihnen verfügbare Haftungsmasse mit geringerem Aufwand abschätzen. Ähnliche Vorteile lassen sich auch für einen Aktanten mit Subjektqualität 132 Vgl. etwa schon Jolly, Zeitschrift für deutsches Recht und deutsche Rechtswissenschaft 1847, 317, 318 f. 133 Siehe wiederum Jolly, Zeitschrift für deutsches Recht und deutsche Rechtswissenschaft 1847, 317, 318 f. 134 Zusf. Dauner-Lieb, Unternehmen in Sondervermögen, S. 46.

481

Dimitrios Linardatos

formulieren. Die Gläubiger dieses Aktanten könnten sich auf ein zweckgebundenes Sondervermögen verlassen, das spezifisch zum Ausgleich realisierter Autonomie-, Vernetzungs- und Verbundrisiken vorgehalten wird. Diese Vermögensmasse bliebe getrennt vom Kapital der beteiligten Personen (insbes. Initiatoren) und Interessenträger (z. B. Hersteller, Anwender, Betreiber etc.). 2. Verbandsrechtliche Kautelen 84 Gesellschaften sind auf Kontinuität unbesehen einer personellen Fluktuation ausgelegt; Stiftungen dienen der Verewigung eines Zwecks, ohne ein Personensubstrat aufzuweisen. Das artifizielle Rechtssubjekt wäre ein bewusst geschaffenes, im engen Sinne mitgliederloses und zweckgebundenes Vermögen, das allein eine Organisation als Substrat aufweisen würde; es käme dadurch strukturell einer Stiftung nahe und wäre nur nach Konzessionserteilung durch eine zuständige Behörde zuzulassen.135 85 Aus verbandsrechtlichen Gründen unverzichtbar ist ein personeller Bezug des Aktanten. Nur die Einbeziehung einer persönlich verantwortlichen Person gewährleistet eine effektive staatliche Kontrolle des Aktanten. Auch spricht ein Blick auf die gesellschaftsrechtlichen Anforderungen an die Geschäftsleiter dafür, jedenfalls bei kapitalistischen Entitäten einen Personenbezug bei rechtsfähigen Aktanten zwingend zu fordern. Die für den Aktanten verantwortlichen Personen hätten dafür Sorge zu tragen, dass die im Gläubigerinterinteresse und zum Schutze des Rechtsverkehrs existierenden Vorschriften, die sich an Geschäftsleiter richten, in funktionaler Folgensicht auch vom algorithmischen System beachtet werden (z. B. Einhaltung der Insolvenzantragspflicht). Dabei wären Tatbestände, die eine Bestellung zum Geschäftsleiter aus Wertungsgründen ausschließen (Inhabilität), analog auf die verantwortlichen Personen (Repräsentanten, Administratoren) anzuwenden, um einen effektiven Schutz des Rechtsverkehrs sicherzustellen. 86 Ein menschliches Leitungsorgan des Aktanten ist hingegen nicht erforderlich. Gewährleistet sein muss nur ein geeigneter Willensbildungsprozess, damit eine rechtliche Operabilität besteht. Im Hinblick auf die hiesigen Aktanten ist wesensprägend, dass den (funktionalen) „Willensbildungsprozess“ das System selbst besorgt. Freilich kann im Einzelfall eine Vertretung notwendig werden – insbesondere in Prozessen. Ausreichend ist es hierfür, gegenüber den Initiatoren des Aktanten im Konzes-

135 Linardatos (Fn. 1), § 12 A., S. 504 ff.

482

Autonome und vernetzte Aktanten im Zivilrecht

sionsverfahren die Benennung eines entsprechenden Repräsentanten zu fordern. 3. Strukturmerkmale eines artifiziellen Rechtssubjekts Für artifizielle Rechtssubjekte lassen sich formelle und materielle Struk- 87 turmerkmale mithilfe eines Seitenblicks auf juristische Personen formulieren.136 Diese Merkmale müssen nach der vorgelegten Habilitationsschrift zwingend erfüllt sein. Es gilt also, eine hochliegende Barre zu überspringen –nicht nur, damit sich das Subjekt in den Rechtsverkehr praktisch einfügen lässt, sondern damit auch öffentliche Interessen ausreichend geschützt bleiben. Die Rechtsfähigkeit sollte der Aktant vor diesem Hintergrund nur in einem kombinatorischen System aus Konzession und Registerverfahren erlangen können: a) Gründung, Identifizierung und Repräsentation So ist die Entstehung des Subjekts zunächst einmal von einem Initiie- 88 rungsgeschäft (Gründungsakt) abhängig zu machen, welches den Zweck und den Gegenstand des Aktanten definieren und festschreiben sollte. Die Dokumente des Initiierungsgeschäfts sind einer zuständigen (Konzessions-)Behörde vorzulegen. Auf diese Weise kann ein gesetzeswidriges Ansinnen der Initiatoren des Aktanten abgewendet werden. Damit der Aktant auch tatsächlich nur innerhalb des von der Konzession abgesteckten Raumes agiert, sollte der Zweck in die zentrale algorithmische Steuerungseinheit eingeschrieben werden (Zweckbindung). Ein solches Rechtssubjekt hat von der zuständigen Behörde eine Kennzeichnung zu erhalten (Registernummer), damit es die Teilnehmer des Rechtsverkehrs bei einer Anspruchsverfolgung klar benennen können. Etwaige Ansprüche gegen einen Aktanten sind nur zweifelsfrei fest- 89 stellbar, wenn die Schadensverursachung klar auf das Verhalten dieses Aktanten zurückgeführt werden kann. Um dies zu gewährleisten, muss jeder Aktant seine Handlungen mit einer Signatur versehen.137 Die Registernummer sowie die Signatur müssen sich auf das zentrale Steuerungselement des Aktanten beziehen (funktionaler „Verwaltungssitz“) und beide Informationen sind nebst der Zwecksetzung des Subjekts in ein „Aktantenregister“ einzutragen.

136 Im Detail Linardatos (Fn. 1), § 13 A. II., S. 522 ff., für einen konkreten Gesetzesvorschlag ebda., § 14, S. 566 ff. 137 Ähnlich schon Gitter, Softwareagenten, S. 432 (zusf. Ziff. Z 14 mit weiteren Verweisen).

483

Dimitrios Linardatos

90 Das artifizielle Rechtssubjekt muss gerichtlich und außergerichtlich durch jedenfalls einen Repräsentanten vertreten werden, soweit es nicht selbst agieren kann. Es ist darüber hinaus – in der Terminologie der Arbeit – mindestens ein Administrator vorzusehen, der dafür verantwortlich ist, behördliche und gesetzliche Anforderungen technisch umzusetzen.138 b) Haftungsvermögen 91 Eine Verantwortungszuweisung ist nicht möglich, wenn das Rechtssubjekt auf die Ansprache des Haftungsrecht nicht sinngemäß antworten kann. Deshalb ist die Rechtsperson von den Initiatoren mit einer Haftungsmasse auszustatten. 92 Hinsichtlich des Haftungsfonds sind zwei Gestaltungsformen vorstellbar: entweder die Ausstattung mit Eigenkapital oder der Abschluss einer spezifischen Versicherung.139 Der Eigenkapitalansatz wäre mit vergleichsweise hohen Startkosten verbunden, womit merklich eine Seriositätsschwelle einherginge. Bei der Lösung über den Versicherungsschutz wäre die Initiierung kostengünstiger; dies wäre zumindest innovationsfreundlich. – Welches Konzept der Gesetzgeber dem Rechtsverkehr eröffnet, ist letztlich eine rechtspolitische Entscheidung und hängt von der Zwecksetzung der zugelassenen artifiziellen Rechtssubjekte ab. Eine entscheidende Rolle wird dabei spielen, ob die Rechtsperson nur als haftungsrechtlicher Konzentrationspunkt verschiedener Akteure fungieren oder ob darüber hinaus auch residualberechtigte Beteiligungen am Aktanten ermöglichen soll. Für das rein haftungsrechtlichen Zwecken dienende Subjekt ist die Versicherungslösung passender; eine Residualberechtigung wäre hingegen eher mit dem Eigenkapitalmodell zu verwirklichen. Denkbar sind auch Mischformen. 93 Bei dem Eigenkapitalmodell wäre vom Gesetzgeber weitergehend zu entscheiden, welche Kapitalaufbringungsregeln zu gelten haben und wie die Vermögensbindung ausgestaltet sein sollte: Es wäre entweder – ähnlich wie im Aktienrecht gemäß §§ 57, 62 AktG – ein Grundsatz strenger Kapitalbindung zu etablieren, welcher sowohl den Gläubigerinteressen als auch dem Schutz von etwaigen Teilhabern des Aktanten mit Minderheitspositionen dient.140 Oder es wäre ein engeres Kapitalerhaltungsprin-

138 Linardatos (Fn. 1), § 13 A. II. 2. c), S. 538 ff. 139 Linardatos (Fn. 1), § 13 A. II. 2. d) aa) (1)–(4), S. 542 ff. 140 Vgl. allgemein Bitter, ZHR 168 (2004), 302, 308 ff.; Bitter, Konzernrechtliche Durchgriffshaftung bei Personengesellschaften, S. 395 ff.

484

Autonome und vernetzte Aktanten im Zivilrecht

zip nach dem Vorbild der §§ 30 f. GmbHG vorzusehen, welches monofunktional nur dem Gläubigerschutz bestimmt wäre.141 c) Legalität des Verhaltens (Erfüllung von Normativbestimmungen) und Erklärbarkeit Für das artifizielle Rechtssubjekt wären vom Gesetzgeber grundlegende 94 technische Normativbestimmungen zu formulieren, die eine gesetzeskonforme Zweckverfolgung durch den Aktanten sicherstellen. Die Normativbestimmungen hätten Aspekte wie Robustheit des Systems zur Vermeidung von technischen Störungen, Resilienz gegen missbräuchliche Attacken (Cybersicherheit) sowie Dokumentation und Erklärbarkeit der technischen Entscheidungsfindung etc. zu adressieren. Die Initiatoren müssten die Erfüllung der Normativbestimmungen über ein Gutachten oder ein Zertifikat nachweisen, das mit dem Zulassungsantrag bei der zuständigen Behörde einzureichen wäre.

141 Statt aller Bitter, ZHR 168 (2004), 302, 344, 351.

485

Biometrische Videoüberwachung Zur Zulässigkeit biometrischer Gesichtserkennung in Verbindung mit Videoüberwachung zur Bekämpfung von Straftaten Stephan Schindler* I. Einleitung II. Videoüberwachung und Gesichtserkennung

1 2

III. Einsatzmöglichkeiten biometrischer Gesichtserkennung 8 IV. Rechtliche Aspekte des polizeilichen Einsatzes von Videoüberwachung in Verbindung mit Gesichtserkennung 11 1. Herkömmliche Videoüberwachung 12 2. Videoüberwachung in Verbindung mit Gesichtserkennung 16 a) Verstoß gegen die Menschenwürde? 17 b) Rechtsgrundlage für den Einsatz biometrischer Erkennung 20

aa) Hilfsmittel zur Sichtung von Videoaufzeichnungen 22 (1) Beispiel G20-Gipfel Hamburg 23 (2) Rechtliche Einordnung 25 bb) Anlassbezogene Suche in Lichtbilddatenbanken 27 cc) Personenfahndung im öffentlichen Raum 31 (1) Erprobung am Bahnhof Berlin Südkreuz 32 (2) Rechtliche Einordnung 34 3. Übergreifende Anforderungen der JI-Richtlinie 43 V. Fazit & Ausblick

48

Literatur: Borell/Schindler, Polizei und Datenschutz. Vorgaben der neuen JI-RL für technische und organisatorische Maßnahmen zur Gewährleistung datenschutzkonformer polizeilicher Datenverarbeitung, DuD 2019, 767; Borking, PrivacyEnhancing Technologies (PET). Darf es ein Bitchen weniger sein?, DuD 2001, 607; Bretthauer, Intelligente Videoüberwachung. Eine datenschutzrechtliche Analyse unter Berücksichtigung technischer Schutzmaßnahmen, 2017; Bundespolizeipräsidium, Teilprojekt 1 „Biometrische Gesichtserkennung“ des Bundespolizeipräsidiums im Rahmen der Erprobung von Systemen zur intelligenten Videoanalyse durch das Bundesministerium des Innern, für Bau und Heimat, das Bundespolizeipräsidium, das Bundeskriminalamt und die Deutsche Bahn AG am Bahnhof Berlin Südkreuz im Zeitraum vom 01.08.2017 – 31.07.2018, 2018; Büro für Technikfol*

Dr. Stephan Schindler ist wissenschaftlicher Mitarbeiter am Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht (Prof. Dr. Gerrit Hornung, LL.M.) an der Universität Kassel.

487

Stephan Schindler gen-Abschätzung beim Deutschen Bundestag, Biometrische Identifikationssysteme. Sachstandsbericht, BT-Drs. 14/10005, 2002; Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Datenschutzrechtliche Prüfung des Einsatzes einer Gesichtserkennungssoftware zur Aufklärung von Straftaten im Zusammenhang mit dem G20-Gipfel durch die Polizei Hamburg, 2018; Desoi, Intelligente Videoüberwachung. Rechtliche Bewertung und rechtsgemäße Gestaltung, 2018; Gill/Spriggs, Assessing the impact of CCTV. Home Office Research Study 292, 2005; Hahn, Die Regulierung biometrischer Fernidentifizierung in der Strafverfolgung im KI-Verordnungsentwurf der EU-Kommission. Mit lückenhafter Regulierung gegen lückenlose Überwachung, ZfDR 2023, 142; Held, Intelligente Videoüberwachung. Verfassungsrechtliche Vorgaben für den polizeilichen Einsatz, 2014; Hoffmann, Der nichtstaatliche Einsatz biometrischer Gesichtserkennung nach der DSGVO. Eine Gefahr für die Autonomie (?), 2023; Hornung, Grundrechtsinnovationen, 2015; Hornung, Chancen und Risiken der Biometrie aus rechtlicher Sicht. Grundlagen und aktuelle Herausforderungen, ZfWG Sonderbeilage 3/2015, 8; Hornung, Die digitale Identität. Rechtsprobleme von Chipkartenausweisen: Digitaler Personalausweis, elektronische Gesundheitskarte, JobCard-Verfahren, 2005; Hornung/Desoi, „Smart Cameras“ und automatische Verhaltensanalyse. Verfassungs- und datenschutzrechtliche Probleme der nächsten Generation der Videoüberwachung, K&R 2011, 153; Hornung/Schindler, Datenschutz bei der biometrischen Gesichtserkennung. Künstliche Intelligenz und Mustererkennung als Herausforderung für das Recht, DuD 2021, 515; Hornung/Schindler, Das biometrische Auge der Polizei. Rechtsfragen des Einsatzes von Videoüberwachung mit biometrischer Gesichtserkennung, ZD 2017, 203; Hornung/Schindler/Schneider, Die Europäisierung des strafverfahrensrechtlichen Datenschutzes. Zum Anwendungsbereich der neuen Datenschutz-Richtlinie für Polizei und Justiz, ZIS 2018, 566; House of Lords, Surveillance: Citizens and the State. Volume I: Report, 2009; Kammerer, Die Anfänge von Videoüberwachung in Deutschland. Videosurveillance in Germany: The Early Years, Krim. Journal 2008, 257; Karlsruher Kommentar zur Strafprozessordnung, hrsg. v. Barthe/Gericke, 9. Aufl. 2023; Kees, Algorithmisches Panoptikum. Identifikation gesellschaftlicher Probleme automatisierter Videoüberwachung, 2015; Lang, Videoüberwachung und das Recht auf informationelle Selbstbestimmung, BayVBl. 2006, 522; Lange, Gesichtserkennung im Dienst der Fahndung. Aktuelle Kamera, iX 2007, Heft 10, 58; Maximini, Polizeiliche Videoüberwachung öffentlicher Straßen und Plätze zur Kriminalitätsprävention, 2010; Roßnagel, Biometrie – Schutz und Gefährdung von Grundrechten, in: Schaar (Hrsg.), Biometrie und Datenschutz – Der vermessene Mensch. Tagungsband zum Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit am 27. Juni 2006 in Berlin, 2006, S. 56; Roßnagel/Desoi/ Hornung, Noch einmal: Spannungsverhältnis zwischen Datenschutz und Ethik. Am Beispiel der smarten Videoüberwachung, ZD 2012, 459; Roßnagel/Desoi/Hornung, Gestufte Kontrolle bei Videoüberwachungsanlagen. Ein Drei-Stufen-Modell als Vorschlag zur grundrechtsschonenden Gestaltung, DuD 2011, 694; Salzmann/ Schindler, Polizeiliche Gesichtserkennung in Deutschland, ZD-Aktuell 2018, 06344; Schafer, Crowdsourcing and cloudsourcing CCTV surveillance, DuD 2013, 434; Schenke/Graulich (Hrsg.), Sicherheitsrecht des Bundes, 2. Aufl. 2019; Schindler, Biometrische Videoüberwachung. Zur Zulässigkeit biometrischer Gesichtserkennung in Verbindung mit Videoüberwachung zur Bekämpfung von

488

Biometrische Videoüberwachung Straftaten, 2021; Schindler, Noch einmal: Pilotprojekt zur intelligenten Videoüberwachung am Bahnhof Berlin Südkreuz, ZD-Aktuell 2017, 05799; Schindler/ Schomberg, Der KI-Verordnungsentwurf und biometrische Erkennung: Ein großer Wurf oder kompetenzwidrige Symbolpolitik?, in: Friedewald/Roßnagel/Heesen/ Krämer/Lamla (Hrsg.), Künstliche Intelligenz, Demokratie und Privatheit, 2022, S. 103; Schneider/Schindler, Videoüberwachung als Verarbeitung besonderer Kategorien personenbezogener Daten. Datenschutzrechtliche Anforderungen beim Erheben von Videodaten, ZD 2018, 463; Schneider/Schindler, „Intelligente Videoüberwachung“ in Baden-Württemberg, ZD-Aktuell 2017, 05902; Simitis/ Hornung/Spiecker gen. Döhmann (Hrsg.), Datenschutzrecht. DSGVO mit BDSG, 2019; Stechow, Datenschutz durch Technik. Rechtliche Förderungsmöglichkeiten von Privacy Enhancing Technologies am Beispiel der Videoüberwachung, 2005; Sydow/Marsch (Hrsg.), DS-GVO | BDSG, 3. Aufl. 2022; Zöller, Möglichkeiten und Grenzen polizeilicher Videoüberwachung, NVwZ 2005, 1235.

I. Einleitung Lichtbild- und Videoaufnahmen können die Polizei bei der Verhinderung 1 und Aufklärung von Straftaten unterstützen. Die „händische“ Auswertung der Aufnahmen kann sich jedoch als sehr zeit- und ressourcenintensiv erweisen. Daher wird verstärkt an computergestützten Verfahren zur Auswertung von Lichtbild- und Videoaufnahmen geforscht.1 Dies gilt unter anderem für die biometrische Gesichtserkennung. Der vorliegende Beitrag betrachtet einige2 der verfassungsrechtlichen und einfachgesetzlichen Fragen, die mit dem Einsatz von Videoüberwachung in Verbindung mit Gesichtserkennung einhergehen.3

1

2

3

Die dem Beitrag zugrundeliegende Dissertation ist im Zusammenhang mit folgenden Drittmittelprojekten entstanden: Multi-Biometriebasierte Forensische Personensuche in Lichtbild- und Videomassendaten (MisPel), Förderkennzeichen: 13N12064; Kooperative Systemplattform für Videoupload, Bewertung, teilautomatisierte Analyse und Archivierung (PERFOMANCE), Förderkennzeichen: 13N14030; Flexibles, teilautomatisiertes Analysesystem zur Auswertung von Videomassendaten (FLORIDA), Förderkennzeichen: 13N14252. Die folgenden Ausführungen erheben keinen Anspruch auf vollständige Behandlung des Themas. Z. B. wird auf Gleichbehandlungsfragen (Art. 3 GG) nicht eingegangen. Die folgenden Ausführungen basieren u. a. auf Schindler, Biometrische Videoüberwachung; Hornung/Schindler, DuD 2021, 515; Hornung/Schindler, ZD 2017, 203. Zum – hier nicht relevanten – nichtstaatlichen Einsatz von Gesichtserkennung s. Hoffmann, Der nichtstaatliche Einsatz biometrischer Gesichtserkennung.

489

Stephan Schindler

II. Videoüberwachung und Gesichtserkennung 2 Videoüberwachung lässt sich in Deutschland bis in die 1950er Jahre zurückverfolgen. Sie wurde zunächst für die Verkehrsüberwachung genutzt, kam nach und nach aber auch bei der Überwachung von Versammlungen, der Observation verdächtiger Personen und der Beobachtung öffentlicher Straßen und Plätze zum Einsatz.4 Heute ist Videoüberwachung weit verbreitet. Sie wird sowohl von staatlichen als auch von privaten Stellen eingesetzt und findet sich in den Innenstädten genauso wie in öffentlichen Verkehrsmitteln, Parkhäusern, Supermärkten, Tankstellen und Banken sowie vermittels Dashcams in Kraftfahrzeugen.5 3 Der Einsatz von Videoüberwachung zielt regelmäßig auf die Verhinderung und Verfolgung von Straftaten (oder auch Ordnungswidrigkeiten) ab. Ersteres soll vor allem durch die abschreckende Wirkung der Videoüberwachung, letzteres durch die Heranziehung der Videoaufnahmen als Ermittlungsansatz oder Beweismittel vor Gericht erreicht werden. Zudem soll Videoüberwachung häufig auch das Sicherheitsgefühl der Menschen stärken.6 Inwieweit diese Ziele tatsächlich erreicht werden, ist umstritten.7 Der Gesetzgeber und die Rechtsprechung gehen jedenfalls erkennbar davon aus, dass Videoüberwachung ein wirksames Instrument zur Verhinderung und Verfolgung von Straftaten sein kann.8 4 Mit der Zunahme von Videoüberwachung steigt auch die Menge an auszuwertenden Bild- und Videoaufnahmen. Je mehr Aufnahmen anfallen, je größer die „Bilderflut“, desto eher stoßen die auswertenden Personen an ihre Grenzen. Stundenlanges Blicken auf einen oder mehrere Überwachungsmonitore kann nicht nur zu einem Überangebot an Informationen, sondern auch zu Langeweile führen.9 Es wird berichtet, dass ein menschlicher Beobachter bei zwei Monitoren mit automatischer Bildumschaltung nach zwölf Minuten fast die Hälfte und nach 22 Minuten 95 Prozent aller gezeigten Ereignisse übersieht;10 ein Zustand, der als

4 Kammerer, Krim. Journal 2008, 257, 258 ff. 5 Scholz in Simitis/Hornung/Spiecker gen. Döhmann, Anh. 1 zu Art. 6 DSGVO, Rz. 5 ff. 6 Scholz in Simitis/Hornung/Spiecker gen. Döhmann, Anh. 1 zu Art. 6 DSGVO, Rz. 9. 7 Z. B. Gill/Spriggs, Assessing the impact of CCTV; zu verschiedenen Studien Maximini, Polizeiliche Videoüberwachung, S. 22 ff. 8 Exemplarisch LT-Drs. BW 12/5706, S. 7 u. S. 11; VGH Baden-Württemberg v. 21.7.2003 – 1 S 377/02, NVwZ 2004, 498, 499. 9 Schafer, DuD 2013, 434, 436. 10 Lange, iX 2007, Heft 10, 58, 60 ff.

490

Biometrische Videoüberwachung

„Monitorblindheit“11 bezeichnet werden kann. Werden Videoaufnahmen aber nicht oder nicht zeitnah ausgewertet, kann dies das Erreichen der mit der Videoüberwachung verfolgten Ziele vereiteln, indem etwa Polizeikräfte nicht zeitnah gerufen12 oder Aufzeichnungen nicht sorgsam nach strafbaren Handlungen durchgesehen werden können. Nicht zuletzt deshalb wird unter dem Schlagwort „intelligente Video- 5 überwachung“13 an Verfahren geforscht, mit denen beispielsweise auffällige Bewegungs- und Verhaltensmuster (z. B. von gestürzten Personen) sowie verdächtige Gegenstände (z. B. „herrenlose“ Koffer) erkannt und Personen anhand äußerer Merkmale (z. B. mittels Gesichtserkennung) identifiziert werden können.14 Derartige Verfahren sollen menschliche Auswerter unterstützen und so die Wirksamkeit der Videoüberwachung steigern. Die hier interessierende biometrische Gesichtserkennung meint die 6 automatisierte Erkennung von Personen anhand bestimmter Merkmale des Gesichts.15 Hierzu müssen zunächst Referenzdaten erhoben werden. Dies kann je nach Situation durch ein freiwilliges Enrolment (z. B. bei einem privaten Vertragspartner), aufgrund allgemeiner gesetzlicher Pflicht (z. B. im Pass und Personalausweis) oder behördlicher Einzelfallanordnung (z. B. erkennungsdienstliche Behandlung), aber auch durch heimliches Aufnehmen (z. B. mittels Videoüberwachung) oder das Auswerten bereits gespeicherter Bilder erfolgen. Aus diesen Daten werden die für die Erkennung erforderlichen spezifischen Merkmale des Gesichts extrahiert und als Template16 gespeichert. Sodann werden (z. B. mittels Videoüberwachung) neue Daten zum Vergleich erhoben, aus denen eben11 Hornung/Desoi, K&R 2011, 153, 153. 12 S. Zöller, NVwZ 2005, 1235, 1239, demnach selbst eine Reaktionszeit der Polizei von drei Minuten für eine Verhinderung sich anbahnender Straftaten regelmäßig nicht ausreicht. 13 Zur rechtlichen Diskussion z. B. Desoi, Intelligente Videoüberwachung; Bretthauer, Intelligente Videoüberwachung; Held, Intelligente Videoüberwachung; u. a. wird dabei auch von „Smart Cameras“, z. B. Hornung/Desoi, K&R 2011, 153, oder „smarter Videoüberwachung“, z. B. Roßnagel/Desoi/Hornung, ZD 2012, 459, gesprochen. 14 Zu Techniken und Konzepten, z. B. Verhaltenserkennung, Objekterkennung, Personenidentifizierung, Vernetzung und Integration unterschiedlicher Sensoren, s. Kees, Algorithmisches Panoptikum, S. 38 ff. 15 Allgemein ist biometrische Erkennung die „automated recognition of individuals based on their biological and behavioural characteristics“, ISO/IEC 2382-37:2022. 16 Bei Templates handelt es sich um mathematische Modelle, die die für die Gesichtserkennung wesentlichen Merkmale enthalten.

491

Stephan Schindler

falls spezifische Merkmale extrahiert werden. Im Anschluss erfolgt der Vergleich. Das Maß an Übereinstimmung wird durch einen „Score“ angegeben, der zwischen 0 und 1 liegen kann.17 7 Je nach den Umständen können die Fehlerraten erheblich sein (s. a. Rz. 33). Bei der Gesichtserkennung können Fehler unter anderem auf schlechte Lichtverhältnisse, ungeeignete Kamerapositionen oder verdeckte Gesichter zurückzuführen sein. Ob und inwieweit dies ein Problem ist, richtet sich nach der konkreten Einsatzsituation und insbesondere nach der Möglichkeit einer manuellen Nachkontrolle.18 III. Einsatzmöglichkeiten biometrischer Gesichtserkennung 8 Biometrische Gesichtserkennung kommt in unterschiedlichen Bereichen zum Einsatz. Dies betrifft unter anderem Zutritts- und Zugangskontrollen bei Gebäuden, Räumen, Sicherheitsbereichen, Computern oder Smartphones19, wobei das Gesicht die Funktion eines Schlüssels oder Passwortes übernimmt.20 9 Im unternehmerischen Bereich lassen sich mittels biometrischer (Gesichts-)Erkennung drei Gruppen von Personen identifizieren: Kunden, z. B. beim Vertragsschluss, bei Bezahlverfahren oder bei der Einlasskontrolle, Mitarbeiter, z. B. bei der Zutrittskontrolle oder der Arbeitszeiterfassung, sowie Dritte, etwa um Hausverbote durchzusetzen.21 10 Im staatlichen Bereich wird Gesichtserkennung unter anderem bei der Grenzkontrolle eingesetzt (easyPASS22). Nicht zuletzt aber ist es aus polizeilicher Sicht reizvoll, Gesichtserkennung mit Videoüberwachung zu verbinden, um Straftäter oder anderweitig gesuchte Personen zu ermitteln. Dies wirft zahlreiche rechtliche Fragen auf.

17 Kurze Darstellung bei Hornung/Schindler, DuD 2021, 515, 515; ausführlich Schindler, Biometrische Videoüberwachung, S. 119 ff. 18 Zu Fehlerquellen Schindler, Biometrische Videoüberwachung, S. 160 ff. 19 S. bereits Viefhues, MMR-Aktuell 2010, 308792. 20 Zu Anwendungsfeldern z. B. Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag, BT-Drs. 14/10005, S. 33 ff. 21 Hornung/Schindler, DuD 2021, 515, 517; zur Durchsetzung von Haus- und Glücksspielverboten Hornung, ZfWG Sonderbeilage 3/2015, 8, 9. 22 S. www.easypass.de.

492

Biometrische Videoüberwachung

IV. Rechtliche Aspekte des polizeilichen Einsatzes von Videoüberwachung in Verbindung mit Gesichtserkennung Einerseits soll der Einsatz von Videoüberwachung zur Verhinderung und 11 Verfolgung von Straftaten beitragen. Es entspricht der ständigen Rechtsprechung des BVerfG, dass die Gewährleistung von Sicherheit durch Bekämpfung von Straftaten eine Aufgabe von großer verfassungsrechtlicher Bedeutung ist.23 Und für den EGMR steht es „außer Frage, dass der Kampf gegen das Verbrechen […] weitgehend vom Einsatz moderner wissenschaftlicher Techniken der Ermittlung und Identifizierung abhängt“.24 Eine solche moderne Technik ist auch die Videoüberwachung in Verbindung mit Gesichtserkennung. Andererseits kann der Einsatz von Videoüberwachung erhebliche Grundrechtseingriffe hervorrufen. Ein Umstand, der durch die erweiterten Möglichkeiten biometrischer Gesichtserkennung noch verschärft wird. Im Ergebnis ist also zwischen den beeinträchtigten Grundrechten und dem Interesse an der Verhinderung und Verfolgung von Straftaten abzuwägen. 1. Herkömmliche Videoüberwachung Der polizeiliche Einsatz von Videoüberwachung beeinträchtigt insbe- 12 sondere das Grundrecht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG25), indem Informationen über das Aussehen, die Kleidung oder das Verhalten (etc.) identifizierbar aufgenommener Personen verarbeitet werden. Dies gilt sowohl für das Beobachten im Kamera-Monitor-Verfahren als auch die Aufzeichnung der Aufnahmen.26 Betroffen sind daneben das Recht am eigenen Bild27 sowie – je nach erfasstem Verhalten – weitere spezielle Grundrechte, etwa die Versammlungsfreiheit gemäß Art. 8 GG.28

23 Z.B. BVerfG v. 14.7.1999 - 1 BvR 2226/94, BVerfGE 100, 313, 388. 24 EGMR v. 4.12.2008 - 30562/04, NJOZ 2010, 696, 701. 25 Als Ausprägung des allgemeinen Persönlichkeitsrechts anerkannt seit BVerfG v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1; auf europäischer Ebene Art. 7 und 8 GRCh sowie Art. 8 EMRK. 26 Für das Kamera-Monitor-Verfahren ohne Aufzeichnung war dies umstritten (z. B. offengelassen von VGH Baden-Württemberg v. 21.7.2003 – 1 S 377/02, NVwZ 2004, 498, 500), kann inzwischen aber als anerkannt gelten; bejahend z. B. Lang, BayVBl. 2006, 522; zum Grundrechtseingriff s. a. BVerfG v. 23.2.2007 – 1 BvR 2368/06, NVwZ 2007, 688, 690. 27 Dieses wird bei staatlicher Videoüberwachung allerdings kaum diskutiert. I. d. R. wird nur auf die informationelle Selbstbestimmung abgestellt. 28 Z. B. VG Berlin v. 5.7.2010 - 1 K 905/09, NVwZ 2010, 1442.

493

Stephan Schindler

13 Da Videoüberwachung mit Grundrechtseingriffen einhergeht, bedarf ihr polizeilicher Einsatz einer Rechtsgrundlage (Vorbehalt des Gesetzes), die dem Bestimmtheitsgebot und dem Grundsatz der Verhältnismäßigkeit entspricht.29 Die konkreten Anforderungen sind vom Gewicht des Eingriffs abhängig, „das insbesondere von der Art der erfassten Informationen, dem Anlass und den Umständen ihrer Erhebung, dem betroffenen Personenkreis und der Art der möglichen Verwertung der Daten“ bestimmt wird.30 14 Videoüberwachung führt zu Eingriffen von unterschiedlichem Gewicht. Ein relativ geringes Eingriffsgewicht weist die im öffentlichen Raum durchgeführte videotechnische Erfassung von Personen auf, die im Verdacht stehen, eine Straftat oder Ordnungswidrigkeit begangen zu haben (z. B. Abstands- oder Geschwindigkeitsüberschreitungen im Straßenverkehr).31 Hingegen kann die heimliche und länger andauernde Beobachtung schwere Eingriffe hervorrufen.32 Die meist kriminalpräventiv ausgerichtete Videoüberwachung öffentlicher Straßen und Plätze geht ebenfalls mit erheblichen Grundrechtseingriffen einher, da alle Personen erfasst werden, die sich in dem überwachten Bereich aufhalten, auch wenn sie für die Überwachung keinen Anlass (etwa durch Begehung einer Straftat) gegeben haben.33 Derartige Maßnahmen mit großer Streubreite können Einschüchterungseffekte hervorrufen. Das Gewicht des Eingriffs wird ferner durch die Folgemaßnahmen, die vielfältigen Möglichkeiten der Auswertung der Aufzeichnungen und die Verknüpfung des Bildmaterials mit anderen Informationen vertieft. Ein heimliches Vorgehen erhöht das Eingriffsgewicht zusätzlich.34 15 Wegen des meist erheblichen Eingriffsgewichts sind hohe Anforderungen an die Bestimmtheit und Verhältnismäßigkeit einer Rechtsgrundlage zu stellen. Allgemeine Generalklauseln genügen nicht.35 Rechtsgrundlagen 29 Z. B. BVerfG v. 23.2.2007 – 1 BvR 2368/06, NVwZ 2007, 688, 690. 30 BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 401 ff. m. w. N. 31 BVerfG v. 12.8.2010 – 2 BvR 1447/10, DuD 2010, 788, 790. Dass Verhaltensweisen im öffentlichen Raum erfasst werden, führt nicht zum Entfallen des Eingriffs, s. BVerfG v. 23.2.2007 – 1 BvR 2368/06, NVwZ 2007, 688, 690. 32 BVerfG v. 20.4.2016 – 1 BvR 966/09, BVerfGE 141, 220, 287 spricht von „schweren Eingriffen wie dem langfristig-dauerhaften heimlichen Aufzeichnen von Wort und Bild einer Person“. 33 BVerfG v. 23.2.2007 – 1 BvR 2368/06, NVwZ 2007, 688, 691. 34 Zu diesen und weiteren Kriterien z. B. BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 401 ff. m. w. N.; zur Entwicklung Hornung, Grundrechtsinnovationen, S. 309 ff.; speziell zur Videoüberwachung BVerfG v. 23.2.2007 – 1 BvR 2368/06, NVwZ 2007, 688, 691. 35 S. BVerfG v. 23.2.2007 – 1 BvR 2368/06, NVwZ 2007, 688, 691 für Art. 16, 17 BayDSG a. F.

494

Biometrische Videoüberwachung

sind unter anderem in der Strafprozessordnung (§ 100h Abs. 1 S. 1 Nr. 1 StPO), in den Polizeigesetzen von Bund und Ländern (z. B. § 27 BPolG, § 14 Abs. 3 HSOG) sowie in den Datenschutzgesetzen (z. B. § 4 BDSG) zu finden. Auch wenn diese Vorschriften nicht unumstritten sind,36 sind sie prinzipiell anerkannt und werden angewendet. 2. Videoüberwachung in Verbindung mit Gesichtserkennung Die Verbindung von Videoüberwachung mit Gesichtserkennung schafft 16 zusätzliche Möglichkeiten der Auswertung und kann den mit der Videoüberwachung einhergehenden Grundrechtseingriff vertiefen. a) Verstoß gegen die Menschenwürde? Fraglich ist, ob der Einsatz von Gesichtserkennung die Menschenwür- 17 de (Art. 1 Abs. 1 GG) verletzt,37 was ihn von vornherein unzulässig machen würde. Grundsätzlich stellt die staatliche Beobachtung von Menschen – auch wenn sie heimlich erfolgt – weder die Subjektqualität der Betroffenen in Frage38 noch beeinträchtigt sie, jedenfalls solange sie im öffentlichen Raum stattfindet, den Kernbereich privater Lebensgestaltung (Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 i. V. m. Art. 19 Abs. 2 GG)39. Die Menschenwürde stellt ein „Schutzschild gegen ganz große Bedro- 18 hungen des Menschseins“ dar und darf auch im Zusammenhang mit Biometrie nicht zur „kleinen Münze“ geschlagen werden.40 So führt das videotechnische Erfassen und Auswerten menschlicher Gesichter grundsätzlich nicht zu einer menschenwürdewidrigen umfassenden Registrierung und Katalogisierung41 der Betroffenen. Dies kann sich anders darstellen, wenn der menschliche Körper in seiner Gänze durch biometrische Verfahren erfasst und ausgewertet wird.42

36 Kritisch bzgl. § 4 Abs. 1 S. 1 Nr. 1 BDSG z. B. Marsch in Sydow/Marsch, § 4 BDSG, Rz. 17. 37 Hornung/Schindler, ZD 2017, 203, 206; ausführlich Schindler, Biometrische Videoüberwachung, S. 325 ff. 38 BVerfG v. 3.3.2004 – 1 BvR 2378/98, BVerfGE 109, 279, 313 zur akustischen Wohnraumüberwachung. 39 BVerfG v. 20.5.2011 – 2 BvR 2072/10, NJW 2011, 2783, 2785 bzgl. Videoaufzeichnungen von Verkehrsverstößen; zur Entwicklung des Kernbereichs privater Lebensgestaltung s. Hornung, Grundrechtsinnovationen, S. 319 ff. 40 Roßnagel in Schaar, Biometrie und Datenschutz, S. 59. 41 Zur unzulässigen Registrierung und Katalogisierung s. BVerfG v. 16.7.1969 – 1 BvL 19/63, BVerfGE 27, 1, 6. 42 Hornung, Die digitale Identität, S. 170.

495

Stephan Schindler

19 Jedenfalls unzulässig wäre eine Verbindung von Videoüberwachung und biometrischer Gesichtserkennung dergestalt, dass eine flächendeckende Videoüberwachung, wie sie z. B. in London,43 nicht aber in Deutschland, Realität sein mag, mit zentralen, die Gesichtsdaten aller Bürger umfassenden Datenbanken gekoppelt wird, um jeden jederzeit erkennen und verfolgen zu können.44 Dies würde eine nahezu vollständige „Rundumüberwachung“45 aller Verhaltens- und Lebensvorgänge im öffentlichen Raum ermöglichen und damit der verfassungsrechtlichen Identität der Bundesrepublik Deutschland widersprechen, nach der „die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf“46. b) Rechtsgrundlage für den Einsatz biometrischer Erkennung 20 Eine zentrale Frage beim Einsatz von Videoüberwachung in Verbindung mit Gesichtserkennung ist, ob es hierfür eine Rechtsgrundlage gibt. Dabei ist zu berücksichtigen, dass Gesichtserkennung in unterschiedlicher Art und Weise eingesetzt werden kann: 21 Wurde eine Straftat auf Video aufgezeichnet, kann Gesichtserkennung als Hilfsmittel zur nachfolgenden Sichtung der Aufzeichnungen eingesetzt werden (Rz. 22 ff.). Ein Abgleich mit Datenbanken erkennungsdienstlich behandelter Personen kann bei der Identifizierung aufgefundener Personen helfen (Rz. 27 ff.). Zudem kann die verzögerungsarme Auswertung von „Live“-Aufnahmen die Personenfahndung im öffentlichen Raum unterstützen (Rz. 31 ff.).47 aa) Hilfsmittel zur Sichtung von Videoaufzeichnungen 22 Zunächst kann biometrische Gesichtserkennung als ein Hilfsmittel für die Sichtung von Videoaufzeichnungen herangezogen werden. Wurde eine Straftat begangen, kann die nachträgliche Auswertung vorhandener Aufzeichnungen (z. B. des Tatorts) dazu beitragen, den Tathergang zu rekonstruieren und verdächtige Personen aufzufinden. Der Einsatz von Ge-

43 Großbritannien gilt (bzw. galt zumindest bis vor ein paar Jahren) als das Land mit der am stärksten ausgebauten Videoüberwachung weltweit, z. B. House of Lords, Surveillance: Citizens and the State, S. 20. 44 Hornung, Die digitale Identität, S. 170 f. 45 Zur unzulässigen Rundumüberwachung z. B. BVerfG v. 20.4.2016 – 1 BvR 966/09, BVerfGE 141, 220, 317 f. m. w. N. 46 BVerfG v. 2.3.2010 – 1 BvR 256/08, BVerfGE 125, 260, 324. 47 Zu den Szenarien Hornung/Schindler, ZD 2017, 203, 206 ff.; ausführlich Schindler, Biometrische Videoüberwachung, S. 189 ff.

496

Biometrische Videoüberwachung

sichtserkennung kann dabei helfen, die Auswertung zu beschleunigen, etwa indem Leersequenzen übersprungen oder interessierende Personen, die an einer Stelle in den Aufzeichnungen auftreten, an anderer Stelle automatisiert wiedergefunden werden. (1) Beispiel G20-Gipfel Hamburg Nach den Ausschreitungen im Rahmen des G20-Gipfels in Hamburg im 23 Jahr 2017 nutzte die Polizei biometrische Gesichtserkennung zur Aufklärung begangener Straftaten. Hierfür konnte die Soko „Schwarzer Block“ auf ca. 100 TB an Bild- und Videoaufzeichnungen aus unterschiedlichen Quellen zugreifen. Bei einem Großteil handelte es sich um Videomaterial aus dem Öffentlichen Personennahverkehr. Hinzu kamen von der Polizei angefertigte, von Privatpersonen bereitgestellte sowie dem Internet entnommene Videoaufzeichnungen. Davon wurden etwa 17 TB in ein Gesichtserkennungssystem eingespielt. Dies betraf sowohl polizeieigenes als auch polizeifremdes Material und umfasste unter anderem die mehrtägigen Aufzeichnungen der Überwachungskameras von acht S-Bahnhöfen. Aus den in den Aufzeichnungen aufgefundenen (detektierten) Gesichtern wurden biometrische Templates errechnet und in einer Datenbank des Gesichtserkennungssystems gespeichert. Dieser Prozess des Einspielens und Analysierens dauerte acht Wochen.48 Unabhängig von der Gesichtserkennung wurden polizeieigene Videoauf- 24 zeichnungen durch Polizeibeamte „händisch“ (d. h. unter Rückgriff auf Gedächtnisleistung und Rechercheunterlagen) gesichtet. Wurden dabei Anhaltspunkte für das Vorliegen einer Straftat wahrgenommen, wurden die Gesichtsbilder tatverdächtiger Personen (ggf. unter Beiziehung erkennungsdienstlicher Aufnahmen) dem Gesichtserkennungssystem zugeführt und automatisiert mit den in der Datenbank gespeicherten biometrischen Templates abgeglichen. Der Abgleich dauerte ca. 10 Minuten. Alle aufgefundenen Gesichter wurden mit ihrer Fundstelle (Pfad zu der Videoaufzeichnung, aus der sie stammen) in einer Liste angezeigt. Daraufhin mussten die Beamten „händisch“ die Gesichter herausfiltern, die mit den eingegebenen Gesichtern tatsächlich übereinstimmten. Im Trefferfall (also bei Übereinstimmung) war es möglich, neue Erkenntnisse über die jeweiligen Personen zu gewinnen (z. B. Verhalten in der Vor- und Nachtatphase oder Zuordnung weiterer Straftaten), da sie nun mit weiteren Videoaufnahmen – und den darauf festgehaltenen Verhaltensweisen – in Verbindung gebracht werden konnten. Bis zum 8.8.2018 48 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prüfbericht, S. 2 ff.; Bürg.-Drs. HH 21/13939, S. 2; s. a. Salzmann/Schindler, ZD-Aktuell 2018, 06344.

497

Stephan Schindler

wurden insgesamt 341 Recherchen in dem Gesichtserkennungssystem durchgeführt. In 147 Fällen wurden die polizeilichen Ermittlungen dadurch gefördert.49 (2) Rechtliche Einordnung 25 Die Nutzung biometrischer Gesichtserkennung als Hilfsmittel zur Sichtung von Videoaufzeichnungen ist nach derzeitiger Rechtslage zulässig. Erlauben gesetzliche Regelungen etwa, dass „Bildaufnahmen hergestellt“ (§ 100h Abs. 1 S. 1 Nr. 1 StPO) werden, oder ist es gestattet, „öffentlich zugängliche Orte mittels Bildübertragung offen [zu] beobachten und auf[zu]zeichnen“ (§ 14 Abs. 3 HSOG), umfasst dies auch die Befugnis, das rechtmäßig aufgenommene Bildmaterial zur gesetzlichen Aufgabenerfüllung zu sichten.50 Dies kann – wie bisher praktiziert – etwa mittels analoger Videorecorder und einem Fernsehbildschirm oder mittels digitaler Bildwiedergabeprogramme an einem Computer erfolgen. Hieran knüpft die biometrische Gesichtserkennung an und bietet ein zusätzliches computergestütztes Hilfsmittel zur Sichtung der Aufzeichnungen.51 Es ist nicht erkennbar, dass damit erhebliche zusätzliche Gefährdungen des Rechts auf informationelle Selbstbestimmung einhergehen, die nicht schon durch die Regelungen zur Herstellung der Aufnahmen abgedeckt sind. Zwar kann der mit der Gesichtserkennung verbundene Abgleich der Gesichter innerhalb der Videoaufzeichnungen einen zusätzlichen Grundrechtseingriff darstellen.52 Dieser ist aber nur von geringem Gewicht, da hierdurch keine Informationen gewonnen werden, die nicht bereits in den ausgewerteten Aufzeichnungen enthalten sind.53 26 Zwar ist grundsätzlich Zurückhaltung bei der Annahme geboten, ein technisch fortschrittliches Verarbeitungsverfahren sei „nur“ eine technische Arbeitshilfe und rechtlich deshalb nicht anders zu bewerten als bisherige „händische“ Verfahren.54 Hier aber wird Gesichtserkennung 49 Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prüfbericht, S. 5 ff.; Bürg.-Drs. HH 21/13939, S. 4; das Vorgehen wurde für rechtmäßig befunden von VG Hamburg v. 23.10.2019 – 17 K 203/19 (nicht rechtskräftig). 50 So auch Held, Intelligente Videoüberwachung, S. 185 zur „herkömmliche[n] Auswertung mit dem bloßen Auge“. 51 Ist mit dem Auswertevorgang das Anlegen von Dateien verbunden ist, kann dies durch Vorschriften wie § 483 StPO abgedeckt werden. 52 Abgleich als Eingriff z. B. BVerfG v. 4.4.2006 - 1 BvR 518/02, BVerfGE 115, 320, 344. 53 Hornung/Schindler, ZD 2017, 203, 206 f. 54 Z. B. ist eine Videokamera rechtlich anders zu bewerten als ein Streifenpolizist, der an derselben Stelle denselben Vorgang visuell wahrnimmt.

498

Biometrische Videoüberwachung

letztlich als eine fortschrittliche Form des Vor- und Zurückspulens genutzt, deren zusätzliches Eingriffsgewicht so geringfügig ist, dass sie keiner spezifischen Rechtsgrundlage bedarf und auf die Regelungen zur Anfertigung der Aufzeichnungen gestützt werden kann. Dies gilt zumindest solange, wie keine Verknüpfung mit Informationen aus anderen, mit den auszuwertenden Aufzeichnungen nicht im Zusammenhang stehenden Quellen stattfindet.55 bb) Anlassbezogene Suche in Lichtbilddatenbanken Des Weiteren besteht die Möglichkeit, aus einer Videoaufzeichnung 27 Lichtbilder zu extrahieren, etwa Aufnahmen, die eine tatverdächtige Person zeigen, und mittels Gesichtserkennung mit polizeilichen Datenbeständen, insbesondere erkennungsdienstlichen Lichtbildsammlungen, zum Zweck der Identitätsfeststellung abzugleichen. Beim Bundeskriminalamt wird biometrische Gesichtserkennung ge- 28 nutzt, um mit Suchbildern den erkennungsdienstlichen Lichtbildbestand zu durchsuchen.56 So wird für die Jahre 2012, 2013 und 2014 von 15.433, 15.513 und 18.135 Recherchen berichtet. Im Jahr 2015 waren es 16.773 Recherchen.57 Und für das Jahr 2019 spricht das Bundeskriminalamt von bundesweit etwa 54.000 Recherchen, bei denen über 2.100 Personen identifiziert wurden.58 Im Rahmen der Aufarbeitung der Ausschreitungen während des G20-Gipfels 2017 in Hamburg (Rz. 23 f.) hat die Soko „Schwarzer Block“ in 95 Fällen Recherchen in dem Gesichtserkennungssystem des Bundeskriminalamtes beantragt. Zwei Personen konnten dadurch namentlich identifiziert werden.59 Ein solcher Datenabgleich kann nicht mehr auf die Rechtsgrundlagen zur 29 Anfertigung der Videoaufzeichnungen gestützt werden. Möglich ist aber ein Rückgriff auf die Regelungen zum Datenabgleich. Etwa dürfen gemäß § 98c StPO zur Aufklärung einer Straftat personenbezogene Daten aus einem Strafverfahren mit anderen zur Strafverfolgung oder Strafvollstreckung oder zur Gefahrenabwehr gespeicherten Daten maschinell abgeglichen werden. Vergleichbare Vorschriften gibt es in den Polizeigeset-

55 Hornung/Schindler, ZD 2017, 203, 207. 56 Zur Gesichtserkennung beim BKA z. B. BT-Drs. 17/11299, S. 2 f.; BTDrs. 17/14714, S. 10; BT-Drs. 18/11041, S. 10 f.; BT-Drs. 18/11578, S. 9. 57 BT-Drs. 18/8675, S. 5. 58 S. die Darstellung auf dem Webauftritt des BKA bezogen auf die über INPOL abrufbaren Lichtbilder, https://www.bka.de/DE/UnsereAufgaben/Ermittlungs unterstuetzung/Erkennungsdienst/erkennungsdienst_node.html. 59 Bürg.-Drs. HH 21/13939, S. 4. Als „Stichtag“ wird der 8.8.2018 angegeben.

499

Stephan Schindler

zen (z. B. § 25 HSOG oder Art. 61 BayPAG). Zwar werden Bildaufnahmen weder in § 98c StPO noch in der Begründung60 explizit erwähnt (vgl. aber Art. 61 BayPAG). Die Vorschrift erfasst aber allgemein personenbezogene Daten und damit auch Videoaufnahmen, wenn diese solche enthalten. Zu den Daten, mit denen abgeglichen werden kann, gehören auch erkennungsdienstliche Lichtbildsammlungen.61 30 Es ließe sich einwenden, dass derartige Vorschriften nur geringe Eingriffsvoraussetzungen aufweisen und sehr allgemein gefasst sind. Allerdings ist diese Form des Datenabgleichs auch von vergleichsweise geringem Eingriffsgewicht, da nur Daten miteinander abgeglichen werden, die sich bereits auf Grundlage anderer gesetzlicher Ermächtigungen in der Verfügungsgewalt der staatlichen Behörden befinden. Dies erfolgt, anders als in dem nächsten Einsatzszenario, auch nicht durchgehend und „live“, sondern nur aus konkretem Anlass. Für diese Form des Datenabgleichs ist keine über die Voraussetzungen des § 98c StPO (bzw. vergleichbarer Vorschriften) hinausgehende Rechtsgrundlage erforderlich;62 wünschenswert wäre sie dennoch. cc) Personenfahndung im öffentlichen Raum 31 Im öffentlichen Raum befindliche Videoüberwachungskameras (z. B. an Bahnhöfen oder in innerstädtischen Bereichen) können mit einem Gesichtserkennungssystem verbunden werden, welches an eine Fahndungsdatenbank angeschlossen ist. Die Gesichter aller von der Kamera erfassten Personen werden durchgehend „live“ mit den in der Datenbank hinterlegten Gesichtern gesuchter Personen abgeglichen. Im Trefferfall können sich weitere Maßnahmen anschließen. (1) Erprobung am Bahnhof Berlin Südkreuz 32 Die technische Machbarkeit eines derartigen Vorgehens wurde in Deutschland am Bahnhof Berlin Südkreuz erprobt.63 Im Rahmen des Teilprojektes „Biometrische Gesichtserkennung“ des Pilotprojektes „Sicherheitsbahnhof Berlin Südkreuz“ wurde von August 2017 bis Juli 2018 die Eignung biometrischer Gesichtserkennung zur Unterstützung polizeilicher Fahndung am Bahnhof Berlin Südkreuz getestet. Dafür wurden drei verschiedene Gesichtserkennungssysteme in die am Bahnhof 60 61 62 63

BT-Drs. 12/989, S. 38. Greven in Karlsruher Kommentar, § 98c StPO, Rz. 1 f. Hornung/Schindler, ZD 2017, 203, 207. S. Salzmann/Schindler, ZD-Aktuell 2018, 06344; Schindler, ZD-Aktuell 2017, 05799.

500

Biometrische Videoüberwachung

bestehende Videoüberwachungsinfrastruktur eingebunden. Die erforderlichen Referenzdaten stammten von 312 (Testphase 1) bzw. 201 (Testphase 2) Testeilnehmern, die es als „gesuchte Personen“ zu erkennen galt.64 Der Abschlussbericht der Bundespolizei fiel positiv aus. Gesichtserken- 33 nung könne „ein Unterstützungsinstrument für die polizeiliche Fahndung sein“.65 Allerdings werde die Erkennungsleistung biometrischer Gesichtserkennung durch verschiedene Faktoren beeinflusst. Genannt werden insbesondere die Position der Kamera, die Beleuchtungsbedingungen sowie die Anzahl und Qualität der Referenzbilder.66 Die durchschnittliche Trefferrate des „logischen Gesamtsystems“ lag in der ersten Testphase bei 84,9% und in der zweiten Testphase bei 91,2%. Allerdings erzielten die Einzelsysteme zum Teil deutlich schlechtere Ergebnisse.67 Vor diesem Hintergrund bezeichnete der Chaos Computer Club die Trefferrate als geschönt und den Test insgesamt als „Debakel“.68 (2) Rechtliche Einordnung Diese Form der Nutzung von Gesichtserkennung knüpft unmittelbar an 34 die Videoüberwachung im öffentlichen Raum an, die bereits für sich gesehen erhebliche Grundrechtseingriffe hervorrufen kann (s. Rz. 14).69 Der Gesichtserkennung unterworfen werden alle Personen, die sich im überwachten Bereich aufhalten, ohne dass diese in ihrer ganz überwiegenden Mehrzahl hierfür einen Anlass gegeben haben oder auch nur konkrete Erkenntnisse dafür vorliegen, dass sich die gesuchten Personen unter ihnen befinden könnten. Solche „anlasslosen“ Maßnahmen mit großer Streubreite können Einschüchterungseffekte hervorrufen und sind nach der ständigen Rechtsprechung des BVerfG bereits aus diesem Grund von hohem Gewicht.70

64 Bundespolizeipräsidium, Teilprojekt 1 „Biometrische Gesichtserkennung“, S. 7. 65 Bundespolizeipräsidium, Teilprojekt 1 „Biometrische Gesichtserkennung“, S. 7. 66 Bundespolizeipräsidium, Teilprojekt 1 „Biometrische Gesichtserkennung“, S. 31 ff. 67 Bundespolizeipräsidium, Teilprojekt 1 „Biometrische Gesichtserkennung“, S. 24 f. 68 https://www.ccc.de/en/updates/2018/debakel-am-suedkreuz. 69 Zu den folgenden Ausführungen s.a. Hornung/Schindler, ZD 2017, 203, 207 ff. 70 S. BVerfG v. 23.2.2007 – 1 BvR 2368/06, NVwZ 2007, 688, 691 zur Videoüberwachung; BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 402 zur Kennzeichenerkennung.

501

Stephan Schindler

35 Im Trefferfall kann die Festnahme der gesuchten Person veranlasst werden. Es können aber auch zusätzliche und weitreichende Informationen über die betroffene Person gewonnen werden. Sind Ort und Zeit einer Treffermeldung feststellbar, ermöglicht dies Rückschlüsse auf das Verhalten einer Person, beispielsweise den Besuch bestimmter politischer, sportlicher oder kultureller Veranstaltungen. Werden so über einen längeren Zeitraum zahlreiche Treffermeldungen zusammengetragen, können Bewegungsprofile erstellt werden, die wiederum auf Interessen und Vorlieben der betroffenen Person schließen lassen.71 Dies alles kann automatisiert und heimlich geschehen, ohne dass die betroffene Person das Ausmaß der Datensammlung und -auswertung zu überblicken vermag.72 36 Auf diese Weise wird ein Überwachungsmittel eigener Art geschaffen, dessen Eingriffsgewicht weit über die herkömmliche Videoüberwachung hinausgeht.73 Die Automatisierung der Personenerkennung ermöglicht durch die „Vervielfachung der Zahl der möglichen Erfassungsvorgänge gegenüber den bisherigen technischen und personellen Möglichkeiten der Polizei“ eine „besondere Schlagkraft“ und schafft neue Möglichkeiten der (heimlichen) Datenerfassung und -auswertung.74 37 Der polizeiliche Einsatz eines solchen Instruments bedarf einer spezifischen Rechtsgrundlage, die es derzeit in Deutschland nicht gibt. Insbesondere genügen die bereits vorhandenen Regelungen zur Videoüberwachung nicht aus. Für Vorschriften wie z. B. § 100h Abs. 1 S. 1 Nr. 1 StPO oder § 14 Abs. 3 HSOG folgt das schon aus dem Wortlaut, der es erlaubt, dass „Bildaufnahmen hergestellt“ bzw. öffentlich zugänglich Räume mittels Bildübertragung offen beobachtet und aufgezeichnet werden. Dies umfasst keinesfalls den durchgehenden „Live“-Abgleich aller Aufnahmen mit – ggf. umfangreichen – Fahndungsbeständen.75 Die Vorschriften zum Datenabgleich wie z. B. § 98c StPO sind ebenfalls keine taugliche Rechtsgrundlage. Die vergleichsweise unbestimmten Regelungen zum Datenabgleich werden dem schwerwiegenden Grundrechtseingriff nicht gerecht. Überdies würde durch die Heranziehung derartiger Regelungen

71 BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 403 ff. zum Eingriffsgewicht der Kennzeichenerkennung. 72 Hornung/Schindler, ZD 2017, 203, 207 f. 73 Hornung/Schindler, ZD 2017, 203, 208. 74 BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 407 zur Kennzeichenerkennung. Der Gedanke ist übertragbar. 75 In diesem Sinne wohl auch OVG Hamburg v. 22.6.2010 – 4 Bf 276/07, MMR 2011, 128, 131; ablehnend bzgl. des Einsatzes von „thinking oder smart cameras“ auf Grundlage von § 27 BPolG Schenke in Schenke/Graulich, § 27 BPolG, Rz. 18.

502

Biometrische Videoüberwachung

ein einheitlicher Vorgang, namentlich das Anfertigen der Aufnahmen (z. B. auf Grundlage von § 100h StPO oder § 14 Abs. 3 HSOG) und der sofortige „Live“-Abgleich mit einem Fahndungsbestand, auf künstliche Weise auseinandergerissen und auf unterschiedliche Rechtsgrundlagen verteilt.76 Vielmehr verlangen der Vorbehalt des Gesetzes und das damit im Zu- 38 sammenhang stehende Bestimmtheitsgebot eine klare gesetzliche Regelung durch den demokratisch legitimierten Gesetzgeber. Dabei sind insbesondere der Anlass, der Verwendungszweck und die Grenzen der Datenverarbeitung bereichsspezifisch und präzise zu regeln.77 Zudem ist der Grundsatz der Verhältnismäßigkeit zu beachten, demnach die erlaubten Eingriffe nicht außer Verhältnis zur Bedeutung der sie rechtfertigenden Gründe stehen dürfen.78 Der Gesetzgeber darf den Einsatz von Videoüberwachung in Verbindung 39 mit Gesichtserkennung zur Personenfahndung im öffentlichen Raum mit Blick auf das ganz erhebliche Eingriffsgewicht nur unter sehr engen Voraussetzungen zulassen.79 Die verfassungsrechtlich geforderten Eingriffsvoraussetzungen können auf unterschiedliche Weise geregelt werden. Um eine angemessene Eingriffsschwelle zu gewährleisten, ist der Einsatz auf die Verhinderung oder Aufklärung schwerer oder schwerster Straftaten bzw. die Abwehr von (konkreten) Gefahren für hochrangige Rechtsgüter zu beschränken. Damit geht eine Eingrenzung des heranziehbaren Fahndungsbestandes auf Personen einher, die solcher Straftaten verdächtig oder überführt sind bzw. von denen entsprechende Gefahren ausgehen. Des Weiteren ist der Einsatz in räumlicher Hinsicht zu begrenzen und auf Orte zu beschränken, an denen tatsächlich mit einem Auffinden der gesuchten Personen zu rechnen ist. Auf jeden Fall ist eine flächendeckende Nutzung sowie eine anlasslose Ermittlung „ins Blaue hinein“ auszuschließen.80 Überdies ist die weitere Verwendung der erlangten Informationen zu 40 regeln. Eine Verwendung zu Zwecken, die nicht eine der Verfolgung schwerer Straftaten oder der Abwehr von Gefahren für hochrangige Rechtsgüter gleichwertige Bedeutung aufweisen, ist auszuschließen. Da die Erstellung von Bewegungs- und Verhaltensprofilen einen besonders

76 Hornung/Schindler, ZD 2017, 203, 208. 77 BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 408 zur Kennzeichenerkennung. 78 BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 427 f. zur Kennzeichenerkennung. 79 Zu den folgenden Ausführungen Hornung/Schindler, ZD 2017, 203, 208. 80 BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 430 zur Kennzeichenerkennung. Der Gedanke ist übertragbar.

503

Stephan Schindler

schweren Grundrechtseingriff darstellt, ist eine solche zu untersagen oder zumindest auf eng umgrenzte Ausnahmen zu beschränken. Soll die Videoüberwachung in Verbindung mit Gesichtserkennung als ein Instrument polizeilicher Beobachtung genutzt werden (z. B. § 163e StPO), ist dies explizit zu regeln, wobei das besondere Gewicht einer solchen Maßnahme in Rechnung gestellt werden muss. Außerdem muss eine gesetzliche Regelung technisch-organisatorische sowie verfahrensrechtliche Vorkehrungen umfassen, um einen ausreichenden Grundrechtsschutz zu gewährleisten.81 Dies bedingt ein hohes Maß an Datensicherheit82 sowie Dokumentationspflichten, um eine missbräuchliche Verwendung zu erschweren, einen Richtervorbehalt83 und parlamentarische Berichtspflichten.84 41 Werden technisch-organisatorische Maßnahmen im Sinne des Datenschutzes durch Technikgestaltung (Privacy by Design; vgl. Art. 20 JI-RL, s. Rz. 45)85 vorgegeben, kann dies das Eingriffsgewicht substantiell reduzieren und damit auf der Ebene der Verhältnismäßigkeit über die Zulässigkeit mitentscheiden. Dies kann beispielsweise eine „gestufte“ Überwachung umfassen, die sich zunächst auf eine Beobachtung ohne Aufzeichnung beschränkt und nur bei Auffälligkeiten die betreffenden Personen näher verfolgt, beweissichernd aufzeichnet und gegebenenfalls Maßnahmen zur (biometrischen) Identifizierung ermöglicht.86 Allerdings kommen solche Beschränkungen mit den sicherheitsbehördlichen Interessen in Konflikt, möglichst viele Aufnahmen guter Qualität zu erheben und für einen gewissen Zeitraum zu speichern. Eine solche Speicherung, die bei herkömmlicher Videoüberwachung inzwischen weithin üblich ist, steht auch einer unmittelbaren Löschung der „Nichttrefferfälle“ entgegen, die sich mildernd auf das Eingriffsgewicht auswirken kann.87 Wird 81 Zu organisatorischen und verfahrensrechtlichen Vorkehrungen bereits BVerfG v. 15.12.1983 – 1 BvR 209/83, BVerfGE 65, 1, 44. 82 Zu den (strengen) Anforderungen bei der Vorratsdatenspeicherung BVerfG v. 2.3.2010 – 1 BvR 256/08, BVerfGE 125, 260, 325 ff. 83 Zum Richtervorbehalt z. B. BVerfG v. 3.3.2004 – 1 BvR 2378/98, BVerfGE 109, 279, 357 f. 84 So z. B. § 31 Abs. 2 S. 6 BbgPolG zur polizeilichen Videoüberwachung öffentlicher Straßen und Plätze und § 36a Abs. 3 BbgPolG zur Kennzeichenerkennung. 85 Grundlegend Borking, DuD 2001, 607. 86 Zu einem „Drei-Stufen-Modell“ Roßnagel/Desoi/Hornung, DuD 2011, 694; zum technischen Privatsphärenschutz Bretthauer, Intelligente Videoüberwachung, S. 61 ff.; zu software-basierten „Privacy Filtern“ (z. B. Verpixelung) Stechow, Datenschutz durch Technik, S. 53 ff. 87 BVerfG v. 11.3.2008 – 1 BvR 2074/05, BVerfGE 120, 378, 399 nahm bzgl. der Kennzeichenerkennung an, dass im Falle einer sofortigen Löschung der Nicht-

504

Biometrische Videoüberwachung

auf eine technisch gesicherte sofortige Löschung verzichtet, führt dies jedoch dazu, dass ein erheblicher Eingriff für eine Vielzahl Unbeteiligter bestehen bleibt, der sich nur schwer rechtfertigen lässt. Im Ergebnis ist eine Verbindung von Videoüberwachung mit Gesichts- 42 erkennung zur Personenfahndung im öffentlichen Raum aufgrund fehlender Rechtsgrundlagen derzeit unzulässig. Die Schaffung geeigneter Rechtsgrundlagen ist zwar grundsätzlich möglich; dies aber nur unter sehr engen Voraussetzungen. Ein flächendeckender Einsatz ist auszuschließen.88 3. Übergreifende Anforderungen der JI-Richtlinie Zu berücksichtigen sind zudem die Vorgaben der JI-Richtlinie, die in 43 deutsches Recht umzusetzen sind. Der Anwendungsbereich der Richtlinie ist gemäß Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 JI-RL eröffnet, wenn die für die Verhinderung und Verfolgung von Straftaten sowie die Strafvollstreckung zuständigen Behörden zu diesen Zwecken personenbezogene Daten verarbeiten,89 was bei dem hier umrissenen Einsatz von Gesichtserkennung der Fall ist. Dies hat unter anderem zur Folge,90 dass der Verantwortliche ein Ver- 44 zeichnis von Verarbeitungstätigkeiten zu führen hat (Art. 24 JI-RL i. V. m. § 70 BDSG91). Außerdem ist vor Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten betroffener Personen aufweisen, eine Datenschutz-Folgenabschätzung durchzuführen (Art. 27 JI-RL i. V. m. § 67 BDSG). Dies gilt insbesondere bei Verwendung neuer Technologien und betrifft auch den Einsatz biometrischer Gesichtserkennung. Des Weiteren ist der Verantwortliche zum Datenschutz durch Technik- 45 gestaltung und datenschutzfreundliche Voreinstellungen verpflichtet (Art. 20 JI-RL i. V. m. § 71 BDSG). Die Umsetzung dieser Vorgabe kann zudem die Verhältnismäßigkeit einer Rechtsgrundlage und des praktischen Einsatzes von Gesichtserkennung positiv beeinflussen (Rz. 41).

88 89 90 91

trefferfälle der Eingriff entfällt; explizit aufgegeben in BVerfG v. 18.12.2018 – 1 BvR 142/15, BVerfGE 150, 244, 266 ff. Zu einer Verringerung des Eingriffsgewichts kann die sofortige Löschung trotzdem beitragen. Hornung/Schindler, ZD 2017, 203, 207 ff. Ausführlich zum Anwendungsbereich Hornung/Schindler/Schneider, ZIS 2018, 566. Die DSGVO ist nicht anwendbar, Art. 2 Abs. 2 lit. d DSGVO. Zu den technischen und organisatorischen Vorgaben der JI-RL s. Borell/ Schindler, DuD 2019, 767. Im Folgenden wird exemplarisch auf das BDSG abgestellt. Vergleichbare Vorschriften finden sich auch in den Landesgesetzen.

505

Stephan Schindler

Hinzu tritt die Pflicht, die Sicherheit der Verarbeitung personenbezogener Daten (Datensicherheit) zu gewährleisten (Art. 29 JI-RL i. V. m. § 64 BDSG). Ferner ist bei automatisierten Verarbeitungssystemen (dies erfasst auch die biometrische Gesichtserkennung) die Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, Kombination und Löschung von Daten zu protokollieren (Art. 25 JI-RL i. V. m. § 76 BDSG). 46 Kommt es zu einer Verletzung des Schutzes personenbezogener Daten (Art. 3 Nr. 11 JI-RL i. V. m. § 46 Nr. 10 BDSG), so dass Daten unbefugt offengelegt werden oder unbeabsichtigt oder unrechtmäßig verloren gehen oder verändert werden, besteht unter bestimmten Umständen die Pflicht, die zuständige Aufsichtsbehörde sowie die betroffenen Personen davon in Kenntnis zu setzen (Art. 30 JI-RL i. V. m. § 65 BDSG bzw. Art. 31 JI-RL i. V. m. § 66 BDSG). 47 Die materiellen Anforderungen an die Rechtmäßigkeit der polizeilichen Datenerhebung und -verarbeitung beschränken sich in den Art. 8 und 10 JI-RL92 indes auf Mindestvorgaben und lassen den Mitgliedstaaten insoweit einen sehr weiten Umsetzungsspielraum. V. Fazit & Ausblick 48 Die weitere Entwicklung des Einsatzes „intelligenter Videoüberwachung“ bleibt abzuwarten. In den Landespolizeigesetzen finden sich vereinzelt Vorschriften, die eine automatisierte Auswertung von Videoaufnahmen erlauben. Etwa gestattet es § 44 Abs. 4 PolG BW der Polizei, bestimmte Bildaufzeichnungen „automatisch aus[zu]werten“, wobei die automatische Auswertung nur auf das Erkennen solcher Verhaltensmuster ausgerichtet sein darf, die auf die Begehung einer Straftat hindeuten.93 Der Einsatz biometrischer Verfahren wird hierdurch nicht erlaubt.94 Art. 33 Abs. 5 BayPAG gestattet den Einsatz von Systemen zur automatischen Erkennung und Auswertung von Mustern bezogen auf Gegenstände (z. B. abgestellte Koffer). Ursprünglich waren an dieser Stelle weitergehende Auswertebefugnisse vorgesehen (Muster bezogen auf Gegenstände und das Verhalten von Personen, automatisierter Abgleich mit Fahndungsdateien).95 Da praktische Erfahrungen gezeigt hätten, dass die maßgeblichen Verfahren noch

92 Zum Problem der Verarbeitung besonderer Kategorien personenbezogener Daten bei Videoüberwachung Schneider/Schindler, ZD 2018, 463. 93 S. hierzu Schneider/Schindler, ZD-Aktuell 2017, 05902. 94 LT-Drs. BW 16/2741, S. 22. 95 LT-Drs. BY 17/20425, S. 12 f.

506

Biometrische Videoüberwachung

immer eine zu hohe Fehlerquote aufweisen würden,96 wurde lediglich die Erkennung von Gegenständen geregelt.97 Außerdem ist die derzeit im europäischen Gesetzgebungsverfahren be- 49 findliche KI-Verordnung im Blick zu behalten. Der Kommissionsentwurf98 sieht in Art. 5 Abs. 1 lit. d VO-E ein grundsätzliches Verbot der Verwendung biometrischer Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden vor.99 Es sind allerdings Ausnahmen geregelt, die das Verbot aufweichen und einen Einsatz in bestimmten Situationen erlauben. Dass am Ende des Gesetzgebungsverfahrens ein vollständiges Verbot stehen wird, ist nicht zu erwarten.

96 97 98 99

LT-Drs. BY 17/21887. S. hierzu Salzmann/Schindler, ZD-Aktuell 2018, 06344. COM(2021) 206 final. Dazu Hahn, ZfDR 2023, 142; Schindler/Schomberg in Friedewald/Roßnagel/ Heesen/Krämer/Lamla, Künstliche Intelligenz, Demokratie und Privatheit, 2022, 103.

507

Notwendige Entwicklung des Begriffs der algorithmischen Rechtsdienstleistung Daniel Timmermann* Vor I. Abstract

1

I. Weiterführung des Forschungsgesprächs 3 II. Rechtspolitischer Handlungsdruck zur Schaffung eines neuen Rechtsbegriffs 6 1. Gewährleistung der Qualität (algorithmischer) Rechtsdienstleistungen 8 2. Keine Einstandspflicht der anwaltlichen Berufshaftpflichtversicherung 14 3. Probleme des Merkmals der fremden Angelegenheit 18 a) Keine Eingrenzungsfunktion in digitaler Welt 19 b) Problem der fehlenden Rollentransparenz 23 4. Keine Lösungsmöglichkeit über BRAO-Reform 27 5. Keine Lösungsmöglichkeit über zeitlich verzögerten UWGSchutz 31 III. Vorschlag der Normierung einer dritten Spur im Rechtsdienstleistungsgesetz 36 1. Parlamentsgesetz oder Rechtsverordnung? 38

2. Legaldefinition der algorithmischen Rechtsdienstleistung in § 2 Abs. 4 RDG-E 40 3. Komprimierte Spiegelung funktionaler Legal TechAnwendungsgruppen an § 2 Abs. 4 RDGE 41 4. Verhältnis der algorithmischen Rechtsdienstleistung zum Rechtsdienstleistungsbegriff und Inkassodienstleistungsbegriff 48 a) Exklusivitätsverhältnis 48 b) Keine Konzentrationswirkung von Genehmigungen 51 c) Wahrung des unionsrechtlichen Kohärenzgebots 53 d) Vereinbarkeit von algorithmischen Rechtsdienstleistungen mit anderen Leistungspflichten (§ 4 RDG) 54 5. Berufsrechtliche Pflichten der Anbieter und Berufsaufsicht 55 a) Zentralisierung der Aufsicht 55 b) Erlaubnisbedürftigkeit und Unbedenklichkeitsbescheinigung 56 c) Genehmigungsfähigkeit (insb. Informationspflichten) 59 d) Kontinuierliche Kontrolle und Widerrufsmöglichkeit 67 IV. Ergebnis

*

70

Dr. Daniel Timmermann, Deutsche Forschungsgemeinschaft, Halle. Diese Abhandlung ist eine aktualisierte Fassung eines Beitrages, der in InTeR 2020, 194 ff. erschienen ist.

509

Daniel Timmermann Literatur: Deckenbrock/Henssler, RDG Kommentar, 5. Aufl. 2021; Dworkins, Taking Rights Seriously, 1977; Ewer, Legal Tech als Instrument der Anwaltschaft – kein Regulierungsbedarf, AnwBl. Online 2019, 434; Fries, Staatsexamen für Roboteranwälte? Optionen für die Regulierung von Legal-Tech-Dienstleistern, ZRP 2018, 161; Hartung, Große BRAO-Reform: Letzte Warnung!, AnwBl. Online 2020, 370; Heermann/Schlingloff, MünchKomm zum Lauterkeitsrecht, Band 2, 3. Aufl. 2020; Hellwig/Ewer, Keine Angst vor Legal Tech – Kurze Antworten auf aktuelle Fragen, NJW 2020, 1783; von Jhering, Ist die Jurisprudenz eine Wissenschaft?, Jherings Wiener Antrittsvorlesung vom 16. Oktober 1868, 2. Aufl. 2009; Kilian, Trojanische Pferde im Rechtsdienstleistungsrecht? Betrachtung zur Renaissance von Inkassodienstleistern, NJW 2019, 1401; Krenzler, RDG Kommentar, 2. Aufl. 2017; Martini, Algorithmen als Herausforderung für die Rechtsordnung, JZ 2017, 1017; Meller-Hannich, Sammelklagen, Gruppenklagen, Verbandsklagen – bedarf es neuer Instrumente des kollektiven Rechtsschutzes im Zivilprozess?, NJW-Beil 2018, 29; Meller-Hannich, Verbraucherschutz im Schuldvertragsrecht, 2005; Schwintowski/Podmogilnij/Timmermann, Legal Tech – ein neues (Ordnungs-)Prinzip der Rechtswissenschaft?, OdW 2019, 205; Timmermann, Legal Tech-Anwendungen, 2020; Timmermann/Gelbrich, Können Algorithmen subsumieren?, NJW 2022, 25; Wettlaufer, Vertragsgestaltung, Legal Techs und das Anwaltsmonopol, MMR 2018, 55.

Vor I. Abstract 1 Seit einer Dekade ist eine Inflation algorithmenbasierter, digitaler Geschäftsmodelle im Rechtsmarkt zu verzeichnen, die unter der Flagge „Legal Tech“ angeboten oder in der Literatur unter diesem Schlagwort diskutiert werden. Der Fortschritt der Technik ermöglicht in bestimmten Bereichen einen kostengünstigen Zugang zum Recht, zugleich sollen Rechtsuchende vor unqualifizierten Rechtsdienstleistungen geschützt werden – das ist keine Frage. Aber wie lautet die Antwort? 2 Die Abhandlung legt in Bezug auf Algorithmen strukturelle Schwächen des in § 2 Rechtsdienstleistungsgesetz (RDG) legaldefinierten Rechtsdienstleistungsbegriffs offen und entwickelt daraus die rechtspolitische Notwendigkeit der Einführung des Rechtsbegriffs der algorithmischen Rechtsdienstleistung. I. Weiterführung des Forschungsgesprächs 3 Für die Befugnis zur Erbringung außergerichtlicher Rechtsdienstleistungen normiert § 3 RDG ein präventives Verbot mit Erlaubnisvorbehalt, welches dem Schutz der Rechtsuchenden, des Rechtsverkehrs und der Rechtsordnung vor unqualifizierten Rechtsdienstleistungen dienen soll, § 1 Abs. 1 S. 2 RDG. Die bisherige rechtswissenschaftliche Forschung fokussiert sich auf die Subsumtion gegenwärtiger Legal Tech-Anwendungen unter den Rechtsdienstleistungsbegriff des § 2 Abs. 1 RDG de lege 510

Begriff der algorithmischen Rechtsdienstleistung

lata. Rechtsdienstleistung ist danach jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert. Der kleinteilige Streit in Wissenschaft und Praxis verliert sich insbesondere in den Fragen des Anwendungsbereichs (kann mittels Computeralgorithmen eine „Tätigkeit“ erbracht werden?1), ob eine rechtliche Prüfung erforderlich ist2, sowie, ob nach der Produktdarbietung die Einzelfallprüfung einer konkreten Angelegenheit in Aussicht gestellt wird3. In Bezug auf die Reichweite einer Inkassoerlaubnis ist zuvörderst streitig, welche algorithmenbasierten Rechenvorgänge vom Begriff der Forderungseinziehung des § 2 Abs. 2 RDG umfasst sind.4 Mit der im September 2020 im Nomos Verlag erschienenen Promotion 4 „Legal Tech Anwendungen – rechtswissenschaftliche Analyse und Entwicklung des Begriffs der algorithmischen Rechtsdienstleistung“ (740 Seiten) überschreitet der Autor die derzeitige Diskussion und Forschung durch den proaktiven Ansatz der Analyse, ob neben dem Rechtsdienstleistungs- und Inkassobegriff auch Raum und Notwendigkeit für auf Algorithmen bezogene Rechtsbegriffe de lege ferenda bestehen. Die Führung dieser Diskussion ist zwingend erforderlich, weil ihr Ergebnis erst die Grundlage für berufsrechtliche Fragestellungen bildet: Zunächst muss im RDG geklärt werden, welche normativen Berufsbilder für den Rechtsdienstleistungsmarkt de lege ferenda bestehen sollen. Anhand der normativen Berufsbilder sind sodann die konkreten berufsrechtlichen Pflichten auszugestalten. Das Werk wurde mit dem DSRI-Wissenschaftspreis 2021 ausgezeichnet. 5 Der Verfasser wird im Folgenden für die Leserinnen und Leser einen Teil seiner Forschungsergebnisse rekapitulieren, indem zunächst aus dem aktuellen Rechtsrahmen der politische Handlungsdruck zur Normierung einer dritten Spur im RDG für algorithmische Rechtsdienstleistungen abgeleitet wird (III). Sodann unterbreitet die Abhandlung den Vorschlag einer Legaldefinition der algorithmischen Rechtsdienstleistung in § 2 Abs. 4 RDGE. Den Anbietern algorithmischer Rechtsdienstleistungen sollten berufsrechtliche Pflichten auferlegt werden, deren Beachtung de lege ferenda Voraussetzung der Erteilung einer produktbezogenen Genehmigung ist (IV).

1 2 3 4

Bejahend BGH v. 9.9.2021 – I ZR 113/20, NJW 2021, 3125, 3127; ausführlich und mit weiteren Quellen: Timmermann, S. 389 ff. Ausführlich und mit weiteren Quellen: Timmermann, S. 409 ff. Ausführlich und mit weiteren Quellen: Timmermann, S. 440 ff. Ausführlich und mit weiteren Quellen: Timmermann, S. 495 ff.

511

Daniel Timmermann

II. Rechtspolitischer Handlungsdruck zur Schaffung eines neuen Rechtsbegriffs 6 Zur Gewährleistung eines einheitlichen Begriffsverständnisses soll an dieser Stelle zunächst der Inhalt des Ausdrucks „Rechtsbegriff“ bestimmt werden. Ein Rechtsbegriff ist eine für rechtliche Zwecke definierte Bezeichnung. Es müsste also eine Herausforderung bestehen, die sich nur rechtlich lösen lässt, weil eine rechtliche Ordnung erforderlich ist und diese vollstreckt beziehungsweise ihre Missachtung sanktioniert werden muss. Die Definition des Wortes Rechtsbegriff mündet somit in die Erkenntnis, dass die Notwendigkeit für neue Rechtsbegriffe aus dem Handlungsdruck des Gesetzgebers herzuleiten ist. 7 Das Rechtsdienstleistungsgesetz weist in seiner bestehenden Fassung im Hinblick auf die Erbringung von Leistungen mittels Algorithmen drei konzeptionelle Schwächen auf, wie die folgenden Ausführungen darlegen (Rz. 8 ff.). Die Probleme im RDG können nicht über Reparaturmechanismen in der BRAO oder dem UWG behoben werden (Rz. 27 ff.). 1. Gewährleistung der Qualität (algorithmischer) Rechtsdienstleistungen 8 Die selbstständige Erbringung außergerichtlicher Rechtsdienstleistungen ist gemäß § 3 RDG nur in dem Umfang zulässig, in dem sie durch das RDG oder durch oder aufgrund anderer Gesetze erlaubt wird. Das präventive Verbot wird durch entsprechende Erlaubnistatbestände ergänzt. Vorliegend richtet sich das Untersuchungsinteresse auf Rechtsanwälte und Inkassodienstleister. 9 Der Rechtsanwalt ist nach § 3 Abs. 1 BRAO der berufene unabhängige Berater und Vertreter in allen Rechtsangelegenheiten und daher zur Erbringung von allen Rechtsdienstleistungen befugt. Zulassungsvoraussetzung zur Rechtsanwaltschaft ist die Erlangung der Befähigung zum Richteramt5, welche ein rechtswissenschaftliches Studium an einer Universität mit der ersten Prüfung und einen anschließenden Vorbereitungsdienst mit der zweiten Staatsprüfung voraussetzt6. Die Zulassung zur Rechtsanwaltschaft ist somit personenbezogen.7 Nach der Zulassung 5 6 7

§ 4 S. 1 Nr. 1 BRAO. § 5 Abs. 1 Halbs. 1 DRiG. Auch juristische Personen, deren Unternehmensgegenstand die Beratung und Vertretung in Rechtsangelegenheiten ist, können als Rechtsanwaltsgesellschaften zugelassen werden, § 59c Abs. 1 BRAO (bzw. § 59f BRAOE). Zur Sozietätsfähigkeit von Nichtanwälten enthält § 59e BRAO (bzw. § 59c BRAOE) einschränkende Bestimmungen. Dazu Timmermann, S. 614 ff.; Hartung, AnwBl. Online 2020, 370 f.

512

Begriff der algorithmischen Rechtsdienstleistung

dürfen Tätigkeiten unter der Berufsbezeichnung „Rechtsanwältin“ oder „Rechtsanwalt“ ausgeübt werden.8 Inkassodienstleister sind historisch betrachtet „Spezialisten der Forde- 10 rungsbeitreibung“9. Die Einziehung einer wirtschaftlich fremden Forderung wird von § 2 Abs. 2 S. 1 RDG unabhängig vom Vorliegen der Voraussetzungen des Absatzes 1 zur Rechtsdienstleistung erkoren, sofern die Forderungseinziehung als eigenständiges Geschäft betrieben wird. Voraussetzung einer Registrierung als Inkassodienstleister ist unter anderem die Erbringung eines besonderen Sachkundenachweises.10 Eine hohe Qualität von Rechtsdienstleistungen, die Rechtsanwälte und 11 Inkassodienstleister erbringen, soll also durch die intellektuellen Fähigkeiten gewährleistet werden. Dieser Ansatz ist für gewöhnliche Rechtsdienstleistungen, die der Anbieter unter Zuhilfenahme seiner Denkleistung erbringt, durchaus geeignet. Dagegen wird die Qualität von mittels Algorithmen erbrachter (Rechts-)Dienstleistungen ausschließlich von zwei anderen Faktoren bestimmt, namentlich dem Programmcode und dem Nutzer. Plakativ ausgedrückt: Ob der Kopf des Softwareanbieters im Staatsexamen 0 oder 18 Punkte erreicht hat, zeitigt keine Auswirkung auf die Qualität einer algorithmischen Rechtsdienstleistung.11 Mit welcher Selbstverständlichkeit die Ordnungsstrukturen aus der ana- 12 logen Zeit (als Selbstzweck) in das algorithmische Zeitalter transferiert werden (sollen), versetzt in Verwunderung. Weder werden die Gründe der Regulierung verifiziert noch die Mittel zur Zielerreichung hinterfragt. Mitunter drängt sich der Verdacht auf, dass – unter Missachtung der „Masterpat-Entscheidung“12 des Bundesverfassungsgerichts 1997 – in der Argumentation das Schutzgut ausgewechselt und der Schutz vor Konkurrenz den Eingriff in die Berufsfreiheit rechtfertigen soll. Wer dagegen intendiert, die Ratio des § 1 Abs. 1 S. 2 RDG zu fördern, insbesondere die Rechtsuchenden vor unqualifizierten mittels Algorithmen erbrachter Rechtsdienstleistungen zu schützen, sollte für einen neuen produktbezogenen oder gemischt sachlich-persönlichen Erlaubnistatbestand plädieren, bei dem die Beschaffenheit und Funktionstüchtigkeit des Rechtsprodukts den Bezugspunkt des Genehmigungsverfahrens bildet.13

8 9 10 11 12 13

§ 12 Abs. 4 BRAO. Kilian, NJW 2019, 1401, 1405. S. § 10 Abs. 1 S. 1 Nr. 1, § 11 Abs. 1, § 12 Abs. 1 Nr. 2 RDG. Ausführlich Timmermann, S. 572 ff. BVerfG v. 29.10.1997 – 1 BvR 780/87, NJW 1998, 3481, 3483. Ausführlich Timmermann, S. 675 ff.

513

Daniel Timmermann

13 Der Verfasser hat im Rahmen der Rechtstatsachenanalyse seiner Promotion circa 100 Softwareanwendungen inspiziert. Infolge der personenbezogenen Erlaubnistatbestände de lege lata werden die intransparentesten Anwendungen, bei denen die Durchführung einer spezifisch juristischen Subsumtion gezielt vorgetäuscht und nach der Verkehrsanschauung erwartet wird, paradoxerweise ausgerechnet von jenen Anbietern offeriert, die sich rechtssicher auf einen personenbezogenen Erlaubnistatbestand berufen können. 2. Keine Einstandspflicht der anwaltlichen Berufshaftpflichtversicherung 14 Die Notwendigkeit der Einführung eines produktbezogenen Erlaubnistatbestandes für die Erbringung algorithmischer Rechtsdienstleistungen wird durch Überlegungen zur Einstandspflicht einer Haftpflichtversicherung bestärkt. 15 Die Einstandspflicht der anwaltlichen Berufshaftpflichtversicherung soll als zentrales Argument des Anwaltsvorbehalts dienen.14 Die Krux daran: Für Vermögensschäden, die Rechtsanwälte durch mittels Algorithmen erbrachter Rechtsdienstleistungen verursachen, besteht de lege lata keine Einstandspflicht. 16 § 51 Abs. 1 S. 1 BRAO verpflichtet den Rechtsanwalt eine Berufshaftpflichtversicherung zur Deckung der sich „aus seiner Berufstätigkeit“ ergebenden Haftpflichtgefahren abzuschließen. Zwar steht der Wortlaut einer Subsumtion von Legal Tech-Anwendungen unter die Berufstätigkeit des Anwalts nicht per se entgegen, wohl aber die Historie: Der Gesetzesbegründung aus dem Jahr 1994 liegen das freie Berufsbild des Rechtsanwalts und keine Legal Tech-Anwendungen zugrunde.15 Von der Haftpflichtversicherung sollten „anwaltsübliche Nebentätigkeiten“16 nicht erfasst werden, da andernfalls ohne Grund die mit diesen Tätigkeiten verbundenen Versicherungsrisiken auf die Gemeinschaft aller Versicherten umgelegt würden. Aus Programmierfehlern gehen in der Regel Massenschäden hervor, also Schäden, die auf einer Handlung kausal beruhen und bei einer Vielzahl von Personen zu Vermögenseinbußen führen.17 Massenschäden sollen nach dem gesetzgeberischen Willen nicht auf die Gemeinschaft der Versicherten umgelegt werden. Ob Legal 14 BGH v. 3.7.2008 – III ZR 260/07, NJW 2008, 3069, 3070, Rz. 20; DAV, Stellungnahme 63/2015, S. 17; Wettlaufer, MMR 2018, 55, 58. 15 S. BT-Drs. 12/4993, S. 31 f. 16 BT-Drs. 12/7656, S. 50. 17 Meller-Hannich, NJW-Beil 2018, 29, 30.

514

Begriff der algorithmischen Rechtsdienstleistung

Tech-Tätigkeiten „anwaltsüblich“ sind, kann somit dahinstehen. Die anwaltliche Berufshaftpflichtversicherung ist somit dem Grunde nach nur für freiberufliche anwaltliche Tätigkeiten, nicht dagegen für gewerbliche Legal Tech-Tätigkeiten einstandspflichtig.18 Sofern man dies anders sieht, ist die für alle innerhalb eines Versiche- 17 rungsjahres verursachten Schäden auf 1 Mio. Euro begrenzbare Leistungspflicht des Versicherers (§ 51 Abs. 4 S. 2 BRAO) in der Regel zu niedrig, um Massenschäden zu restituieren. Der Geschäftsführer eines Legal Tech-Prozessfinanzierers gab dem Verfasser die Auskunft, dass sein Unternehmen etwa 70.000 Prozesse parallel führt oder finanziert. Das addierte Prozesskostenrisiko liege bei circa 56 Mio. Euro. Wer Rechtsuchende vor den Folgen unqualifizierter softwarebasierter Rechtsdienstleistungen zumindest monetär schützen möchte, muss daher für die Einführung einer Betriebshaftpflichtversicherung für Legal Tech-Anbieter plädieren.19 Voraussetzung dessen ist die Implementierung eines neuen produktbezogenen Erlaubnistatbestandes im RDG. 3. Probleme des Merkmals der fremden Angelegenheit Die ersten beiden konzeptionellen Schwächen der Rechtsordnung sind 18 als Folge der generellen Abwesenheit eines produktbezogenen Erlaubnistatbestandes zu klassifizieren. Die dritte Problematik wird durch eine dogmatische Aufarbeitung der Legaldefinition des Rechtsdienstleistungsbegriffs offengelegt: Rechtsdienstleistung ist nach § 2 Abs. 1 RDG jede Tätigkeit in konkreten fremden Angelegenheiten, sobald sie eine rechtliche Prüfung des Einzelfalls erfordert. Dabei kann dem Tatbestandsmerkmal der Fremdheit der Angelegenheit im Hinblick auf mittels Algorithmen erbrachte Rechtsdienstleistungen keine Eingrenzungsfunktion beigemessen werden (a) vielmehr resultiert aus der Differenzierung zwischen eigenen und fremden Angelegenheiten in der Rechtswirklichkeit ein Problem der fehlenden Rollentransparenz (b).

18 Ausführlich Timmermann, S. 606 ff.; Der BGH würde das Ergebnis teilen. Nach seiner ständigen Rechtsprechung ist die Berufshaftpflichtversicherung allein für die von unabhängiger Beratung und Vertretung geprägte „klassische“ Tätigkeit als Rechtsanwalt einstandspflichtig: BGH v. 27.1.2021 – IV ZR 349/19, NJW 2021, 1763. 19 Ausführlich Timmermann, S. 609 ff.

515

Daniel Timmermann

a) Keine Eingrenzungsfunktion in digitaler Welt 19 Sinn und Zweck der Differenzierung zwischen eigenen und fremden Angelegenheiten ist, dass der Rechtsuchende seine Angelegenheiten nicht in ungeeignete fremde Hände legen soll. Dagegen bedarf der Rechtsuchende keines Schutzes vor sich selbst.20 Folgerichtig ist die Frage der Fremdheit nach dem wirtschaftlichen Interesse an der Angelegenheit zu bestimmen.21 Beispielsweise bleibt eine zum Zwecke der Einziehung abgetretene Forderung für den Zessionar fremd, sofern der Zedent weiterhin das Delkredererisiko trägt. 20 Die Begrenzung des sachlichen Anwendungsbereichs auf wirtschaftlich fremde Angelegenheiten ist für herkömmliche anwaltliche Rechtsdienstleistungen nicht nur stimmig, sondern verfassungsrechtlich geboten, weil ein Tätigkeitsverbot in eigenen rechtlichen Angelegenheiten als Verstoß gegen die allgemeine Handlungsfreiheit zu qualifizieren wäre. 21 Hingegen ist die rechtsfähige natürliche oder juristische Person, der algorithmische Rechenvorgänge zugerechnet werden, beliebig austauschbar: So können die Legal Tech-Anbieter die Rechenvorgänge auf ihren eigenen Computern oder denen eines Hosters für die Rechtsuchenden durchführen (fremde Angelegenheit). Denkbar ist aber auch eine Überlassung der Software an den Rechtsuchenden in Erfüllung eines Kauf-, Pachtoder Lizenzvertrages. Der Rechtsuchende bedient sich dann mit seiner Software selbst (eigene Angelegenheit). Absonderlich anmutend ist die Konstellation des Application Service Providing, mithin, wenn der Legal Tech-Anbieter dem Rechtsuchenden das Recht einräumt, seine Rechenkapazitäten für eine begrenzte Zeit zu nutzen (der Rechtsuchende wird dann auf dem Computer des Anbieters in eigener Angelegenheit tätig). 22 Dieses Gedankenspiel enthüllt eine erhebliche rechtspolitische Unstimmigkeit und Schutzlücke: Während die Differenzierung zwischen wirtschaftlich eigenen und fremden Angelegenheiten bei geistigen Tätigkeiten in der analogen Welt verfassungsrechtlich zwingend erforderlich ist, kann die Eingrenzungsfunktion des Tatbestandsmerkmals nicht auf die algorithmische, digitalisierte Welt transferiert werden.

20 Deckenbrock/Henssler, in: Deckenbrock/Henssler (Hrsg.), RDG Kommentar, § 2 Rz. 19. 21 BT-Drs. 16/3655, S. 48.

516

Begriff der algorithmischen Rechtsdienstleistung

b) Problem der fehlenden Rollentransparenz Die divergierende Behandlung wirtschaftlich fremder und eigener Ange- 23 legenheiten ist nicht nur in technischer Hinsicht antiquiert. Den Internetgeschäftsmodellen der Prozessfinanzierung und des echten Factorings haftet darüber hinaus die spezifische Gefahr an, dass durch die Produktdarbietung eine falsche subjektive Erwartung des Rechtsuchenden hervorgerufen wird: Der potenzielle Prozessfinanzierer und der echte Factor prüfen die Erfolgs- 24 aussichten des Rechtsstreits beziehungsweise die Durchsetzungschancen einer Forderung objektiv im eigenen wirtschaftlichen Interesse – ihre Tätigkeit ist daher nicht als Rechtsdienstleistung zu klassifizieren. In der analogen Welt vermag der Kunde dies in der Regel zu erkennen. In der digitalen Welt wird durch die Produktdarbietung hingegen oftmals kein Finanzprodukt suggeriert, sondern dass die Algorithmen ausschließlich oder überwiegend im wirtschaftlichen Interesse des Rechtsuchenden performen. Etwa heißt es beim Factoring-Modell von PayPal: „Melden Sie uns das 25 Problem und wir prüfen Ihren Fall. Ist Ihr Käuferschutzantrag begründet, erhalten Sie den Kaufpreis und die Versandkosten zurück.“22 Der Rechtsuchende erwartet hier eine rechtliche Prüfung seiner konkreten Angelegenheit in seinem wirtschaftlichen Interesse. Dass er tatsächlich einen Antrag zum Abschluss eines echten Factoringvertrages abgibt und PayPal durch die Prüfung lediglich im eigenen wirtschaftlichen Interesse über die Vertragsannahme entscheidet, kann der juristische und ökonomische Laie nicht reflektieren. Auch aus dieser Erwägung heraus sollte de lege ferenda bei Rechenvor- 26 gängen nicht entscheidungserheblich sein, in wessen objektivem wirtschaftlichen Interesse diese durchgeführt werden. 4. Keine Lösungsmöglichkeit über BRAO-Reform Somit ist im Zwischenergebnis zu konstatieren, dass zur Gewährleis- 27 tung einer hohen Qualität der Rechtsdienstleistungen, zur Sicherstellung der Einstandspflicht einer (Betriebs)Haftpflichtversicherung sowie wegen der fehlenden Eingrenzungsfunktion des Tatbestandsmerkmals

22 https://www.ebay.de/help/policies/ebay-money-back-guarantee-policy/ grundsatz-zum-ebaykuferschutz?id=4210. Die Kursivierung findet sich nicht im Original.

517

Daniel Timmermann

der fremden Angelegenheit die Einführung eines neuen Rechtsbegriffs für algorithmische Rechtsdienstleistungen unausweichlich ist. 28 Die Signale der Politik gehen aktuell in eine andere Richtung: Die Diskussionen um eine große oder kleine BRAO-Reform23 sind nicht neu, werden in jüngerer Zeit jedoch auch vor dem Hintergrund von Legal Tech geführt. So werden mögliche (weitere) Lockerungen des sogenannten Fremdbesitzverbotes (Sozietätsfähigkeit von Nichtanwälten und Wagniskapitalverbot) aus wirtschaftlichen Gründen auch im Kontext von Legal Tech diskutiert.24 Und der Forderung nach einer Liberalisierung des anwaltlichen Vergütungsrechts in Gestalt einer generellen Zulassung von Erfolgshonoraren sowie der Erlaubnis zur Übernahme von Prozesskosten durch Anwälte wird mit einer behaupteten Schlechterstellung von Rechtsanwälten gegenüber Legal Tech-Inkassounternehmern Nachdruck verliehen.25 29 Der Haken daran: Die vermeintlichen Reparaturmechanismen über die BRAO entfalten keine Rückwirkung auf die oben aufgezeigten Probleme im RDG. Der Ausgangsbefund des Bedarfs eines neuen Rechtsbegriffs für algorithmische Rechtsdienstleistungen kann folglich bei Einbeziehung der BRAO nicht anders interpretiert werden. BRAO-Reformen können den Handlungsbedarf im RDG nicht beseitigen. Vorzugswürdig ist daher, für algorithmische Rechtsdienstleistungen neben (anwaltlichen) Rechtsdienstleistungen und Inkassodienstleistungen eine dritte Spur einzuführen, und die berufsrechtlichen Pflichten der Anbieter von geistig geprägten Rechtsdienstleistungen (Rechtsanwälte), Inkassodienstleistungen (Inkassounternehmer) und algorithmischen Rechtsdienstleistungen (Legal Tech-Unternehmer) isoliert auszugestalten beziehungsweise fortzuentwickeln. 30 Dieser Ansatz würde die aktuelle Debatte strukturieren und eine klare Trennung zwischen der freiberuflichen Anwaltschaft als unabhängiges Organ der Rechtspflege26 auf der einen und Legal Tech-Gewerbetreibenden auf der anderen Seite ermöglichen. Die Sonderbehandlung der freien Berufe durchzieht aufgrund ihrer langen Tradition die gesamte Rechts23 Am 1.8.2022 tritt das Gesetz zur Neuregelung des Berufsrechts der anwaltlichen und steuerberatenden Berufsausübungsgesellschaften sowie zur Änderung weiterer Vorschriften im Bereich der rechtsberatenden Berufe v. 7.7.2021, BGBl. I S. 2363, in Kraft. 24 S. z. B. Koalitionsvertrag zwischen SPD, Bündnis 90/Die Grünen und FDP, S. 112. 25 U. a. FDP-Bundestagsfraktion, BT-Drs. 19/9527, S. 2; Hellwig/Ewer, NJW 2020, 1783, 1784. 26 S. § 1 BRAO.

518

Begriff der algorithmischen Rechtsdienstleistung

ordnung. Sie sollte für die fortbestehende analoge Welt in Anbetracht der neuen digitalen Welt nicht vorschnell aufgegeben werden. 5. Keine Lösungsmöglichkeit über zeitlich verzögerten UWG-Schutz Die konzeptionellen Schwächen des RDG im Hinblick auf mittels Algo- 31 rithmen erbrachter (Rechts-)Dienstleistungen können auch nicht über das UWG behoben werden. Wird eine rechtliche Einzelfallprüfung in Aussicht gestellt, obwohl die 32 Software diese tatsächlich nicht durchführt, so liegt je nach Produktdarbietung die Annahme einer unlauteren geschäftlichen Handlung in Gestalt einer irreführenden geschäftlichen Handlung durch unwahre oder sonstige zur Täuschung geeignete Angaben über wesentliche Merkmale einer Dienstleistung nahe, § 5 Abs. 1 S. 2 Nr. 1, § 3 Abs. 1 UWG. Mitbewerbern und Rechtsanwaltskammern bietet sich die Möglichkeit der Erhebung einer Unterlassungsklage.27 Gegen die Effektivität dieses Weges sprechen zwei Einwände:

33

Zunächst zeitigt das Lauterkeitsrecht auf die aufgezeigten strukturel- 34 len Probleme des RDG keine Rückwirkung: Ein Verstoß gegen das präventive Verbot mit Erlaubnisvorbehalt des § 3 RDG stellt zwar einen Rechtsbruch im Sinne des § 3a UWG dar, weil die Vorschrift auch im Interesse der Marktteilnehmer das Marktverhalten regelt und Verstöße gegen die Norm geeignet sind, die Interessen von Verbrauchern, sonstigen Marktteilnehmern oder Mitbewerbern spürbar zu beeinträchtigen.28 Doch gerade wegen dieses Gleichlaufs zwischen RDG und UWG vermag der UWG-Schutz die Schwächen des RDG nicht aufzufangen: Beispielsweise könnte eine umfassende Aufklärung des Rechtsuchenden über die wirtschaftliche Interessenlage und die Grenzen des technisch Möglichen (dazu Rz. 62 f.) die materielle, also tatsächliche Vertragsfreiheit herstellen. Dadurch würden eine für die Zwecke des Rechtsuchenden hinreichende Qualität der (Rechts)Dienstleistung gewährleistet sowie die dem Tatbestandsmerkmal der fremden Angelegenheit anhaftenden Probleme beseitigt. Aber: § 5 UWG untersagt nur aktive Täuschungen. Das passive „Verschweigen einer Tatsache“ im Sinne des § 5a Abs. 1 UWG setzt da-

27 S. § 8 Abs. 1 S. 1, Abs. 3 Nr. 1, 2 UWG. Der Auffangtatbestand des § 2 Abs. 1, 2 S. 1 Nr. 8 UKlaG ist neben § 8 UWG anwendbar; ausführlich zum Verhältnis von § 8 UWG und § 2 UKlaG: Meller-Hannich, Verbraucherschutz im Schuldvertragsrecht, S. 276 ff. 28 Offermann-Burckart, in: Krenzler (Hrsg.), RDG Kommentar, § 3 Rz. 74; Seichter, in: Deckenbrock/Henssler (Hrsg.), RDG Kommentar, § 3 Rz. 61 f.

519

Daniel Timmermann

gegen die Existenz einer Aufklärungspflicht voraus.29 Eine Aufklärungspflicht könnte de lege lata allenfalls unter erheblicher Rechtsunsicherheit aus § 242 BGB hergeleitet werden. Gänzlich ungelöst bliebe zudem das Problem der fehlenden Einstandspflicht der anwaltlichen Berufshaftpflichtversicherung. Das Fehlen eines systematischen Ansatzes für eine Akklimatisierung des RDG an das algorithmische Zeitalter kann folglich nicht in einer zufriedenstellenden Art und Weise über das UWG kompensiert werden.30 35 Darüber hinaus weist der lauterkeitsrechtliche Lösungsansatz auch wegen seiner zeitlichen Verzögerung Steuerungsschwächen für Rechtsuchende und Anbieter auf: So werden die softwaregestützten Leistungen zunächst erbracht, womit eine Beeinträchtigung des Schutzes der Rechtsuchenden vor unqualifizierten Dienstleistungen einhergeht. Eine nachträgliche Beseitigung der bereits eingetretenen Beeinträchtigung ist nicht möglich. Genauso unbefriedigend sind Lösungsversuche über das UWG für die Anbieterseite: Die permanente Gefahr einer Unterlassungsklage tangiert die Investitionssicherheit der Legal Tech-Anbieter. In ihrem Interesse wäre daher die Möglichkeit der Beantragung einer Unbedenklichkeitsbescheinigung, wie sie zum Beispiel das Kartellrecht in § 32c GWB kennt. III. Vorschlag der Normierung einer dritten Spur im Rechtsdienstleistungsgesetz 36 Im Folgenden stellt der Autor seinen Vorschlag zur Etablierung eines normativen Berufsbildes für Anbieter algorithmischer Rechtsdienstleistungen vor. Aufgrund der Komplexität der Materie ist aus Platzgründen lediglich eine komprimierte Darstellung möglich. Leserinnen und Leser, die eine Vertiefung wünschen und/oder zum Verfassen einer Replik tendieren, wird ein Studium der ausführlichen Begründung in der Monografie empfohlen.31 37 Eine Normierung durch Parlamentsgesetz ist gegenüber einer Rechtsverordnung vorzugswürdig (1). Das Herzstück des neuen normativen Berufsbildes für Legal Tech bildet die Legaldefinition der algorithmischen Rechtsdienstleistung in § 2 Abs. 4 RDGE (2). Nach einer rudimentären Spiegelung der gängigen funktionalen Legal Tech-Gruppen am neuen Rechtsbegriff (3) wird das (Exklusivitäts-)Verhältnis der algorithmischen 29 Alexander, in: Heermann/Schlingloff (Hrsg.), MünchKomm zum Lauterkeitsrecht, Band 2, § 5a Rz. 144 ff. 30 Ausführlich Timmermann, S. 580 ff. 31 Timmermann, S. 675 ff.

520

Begriff der algorithmischen Rechtsdienstleistung

Rechtsdienstleistung zur Rechtsdienstleistung und Inkassodienstleistung entwickelt. Dabei wird auch einem befürchteten „Dammbruch“ durch die Etablierung eines Rechtsdienstleistungsberufs unterhalb der Anwaltschaft entgegengetreten (4). Der Diskussionsbeitrag schließt mit Anregungen zur Berufsaufsicht und berufsrechtlichen Pflichten für die Anbieter algorithmischer Rechtsdienstleistungen (5). 1. Parlamentsgesetz oder Rechtsverordnung? Die Herausforderung der Kreierung eines geeigneten Rechtsbegriffs für 38 Legal Tech-Anwendungen resultiert aus der Vielzahl ihrer Erscheinungsformen (Dokumentengeneratoren, Entscheidungshilfesysteme, Chatbots, Geschäftsmodelle der Rechtsdurchsetzung usw.). Diese Erkenntnis, aus der die Länderarbeitsgruppe Legal Tech eine kategorische Ablehnung jeder Veränderung ableitet32, vermag die aufgezeigten Probleme allerdings auch nicht zu lösen. Deduziert man daraus mit dem Autor einen Bemühenswillen zur Entwicklung geeigneter – wenn auch nicht perfekter – Rechtsbegriffe, so bestehen im Ausgangspunkt zwei Möglichkeiten: Zum einen kann in das RDG ein unbestimmter Rechtsbegriff aufgenom- 39 men und dieser durch Rechtsverordnung konkretisiert werden.33 Zum anderen besteht die Möglichkeit der Verankerung eines hinreichend bestimmten, subsumtionsfähigen Rechtsbegriffs im RDG als Parlamentsgesetz. Der Verfasser präferiert letztere gesetzgeberische Variante: Zwar böte die Verordnungslösung eine höhere Flexibilität bezüglich der Erfassung neuer, künftiger Geschäftsmodelle, jedoch gewährt ein Parlamentsgesetz mehr Rechtssicherheit und damit Investitionssicherheit. 2. Legaldefinition der algorithmischen Rechtsdienstleistung in § 2 Abs. 4 RDG-E Deshalb schlägt der Autor vor, § 2 RDG folgenden Absatz 4 anzufügen: Satz 1: Algorithmische Rechtsdienstleistung ist jede Durchführung eines Rechenvorganges mittels eines Computeralgorithmus in konkreten Angelegenheiten sowie die Überlassung der Nutzung eines Computeralgorithmus zur Durchführung eines Rechenvorganges in konkreten Angelegenheiten, sobald der Anbieter nach der Produktdarbietung vorgibt,

32 Länderarbeitsgruppe Legal Tech, Bericht „Legal Tech – Herausforderungen für die Justiz“ 2019, S. 51 f. 33 Dieses Modell wurde beispielsweise für den Betäubungsmittelbegriff gewählt (s. §§ 1, 3 BtMG).

521

40

Daniel Timmermann

1. dass der Computeralgorithmus den Ausgang eines Rechtsstreits oder die Erfolgsaussichten eines Rechtsbehelfs oder das Bestehen eines Anspruchs dem Grunde nach im Einzelfall prüft oder berechnet oder eine rechtliche Erstberatung erteilt, 2. dass der Computeralgorithmus über den Ankauf einer Forderung entscheidet, oder 3. dass der Anwender mit Unterstützung des Computeralgorithmus eine (elektronische) Urkunde erstellen kann, sofern die Erstellung nach der Verkehrsanschauung eine über die schematische Anwendung von Rechtsnormen hinausgehende rechtliche Prüfung des Einzelfalls erfordert. Satz 2: Wird der Auftrag elektronisch erteilt und dem Rechtsuchenden das Ergebnis elektronisch mitgeteilt, so ist eine Prüfung, Berechnung oder Entscheidung durch den Computeralgorithmus anzunehmen, sofern sich nicht aus der Produktdarbietung etwas anderes ergibt. 3. Komprimierte Spiegelung funktionaler Legal Tech-Anwendungsgruppen an § 2 Abs. 4 RDGE 41 Durch das für alle Nummern des § 2 Abs. 4 S. 1 RDGE geltende Tatbestandsmerkmal der konkreten Angelegenheit werden Rechtsinformationssysteme aus dem Anwendungsbereich ausgegrenzt. 42 Da der Rechtsbegriff keine wirtschaftlich fremde Angelegenheit erfordert, erfasst er algorithmenbasierte Geschäftsmodelle des Factorings („Ankauf einer Forderung“ (Nr. 2)), des Inkassos („Bestehen eines Anspruchs dem Grunde nach“ (Nr. 1)) und der Prozessfinanzierung („Ausgang eines Rechtsstreits“ bzw. „Erfolgsaussichten eines Rechtsbehelfs“ (Nr. 1)). 43 Bei Softwareanwendungen zur automatischen Sachverhaltserfassung wird das natürliche Sein nicht mit dem anzuwendenden Gesetz in Beziehung gebracht. Dies stellt eine bloße technische Dienstleistung dar, die dem sachlichen Anwendungsbereich nicht unterfällt, insbesondere wird nicht „das Bestehen eines Anspruchs dem Grunde nach im Einzelfall geprüft oder berechnet“ (Nr. 1). 44 Auch beim Einsatz von Abrechnungssoftware wird das Bestehen eines Anspruchs dem Grunde nach als Prämisse unterstellt. Abrechnungssoftware berechnet lediglich die Anspruchshöhe und ist daher erlaubnisfrei. 45 Mittels Chatbots und Entscheidungshilfesystemen kann eine rechtliche Erstberatung erteilt (Nr. 1 Var. 3) werden. Wenn Chatbots oder Entschei522

Begriff der algorithmischen Rechtsdienstleistung

dungshilfesystemen eine (elektronische) Urkunde erstellen, wird der Algorithmus gemeinhin als Dokumentengenerator bezeichnet (Nr. 3). Dokumentengeneratoren unterfallen dem sachlichen Anwendungsbereich der Norm, „sofern die Erstellung nach der Verkehrsanschauung eine über die schematische Anwendung von Rechtsnormen hinausgehende rechtliche Prüfung des Einzelfalls erfordert.“ De lege lata ist bei der Subsumtion von Chatbots, Entscheidungshilfesystemen und Dokumentengeneratoren unter § 2 Abs. 1 RDG entscheidungserheblich, ob nach der Produktdarbietung die erforderliche rechtliche Prüfung seitens des Anbieters erbracht wird oder der Anbieter lediglich eine technische Dienstleistung schuldet und der juristische Input wissentlich durch den Anwender selbst eingebracht wird beziehungsweise eingebracht werden müsste.34 Nach dem Vorschlag des Autors ist de lege ferenda allein entscheidungserheblich, ob eine rechtliche Prüfung generell erforderlich ist. Dadurch wird jene Rechtsunsicherheit behoben, die in der Tatsache wurzelt, dass das Ergebnis der rechtlichen Prüfung mitunter nicht ausschließlich der geistigen Sphäre des Nutzers oder ausschließlich dem Programmierer zuzurechnen ist.35 Für die Beurteilung der Frage nach der generellen Erforderlichkeit einer rechtlichen Prüfung sind de lege ferenda weiterhin „spezifisch juristische Subsumtionsvorgänge“36 gegenüber „bloßen schematischen Anwendungen des Rechts“37 abzugrenzen. Die Übertragung dieser generellen Unschärfe aus der analogen in die algorithmische Welt ist nicht zufriedenstellend, insoweit wird allerdings ein in seinen Randzonen unscharfer Rechtsbegriff benötigt, der im Einzelfall im Wege der Wertungsjurisprudenz mit teleologischen Kriterien zu füllen ist.38 Schließlich gebietet die Berufsfreiheit beziehungsweise allgemeine 46 Handlungsfreiheit, kanzlei- und unternehmensinterne Assistenzsoftware aus dem präventiven Verbot des RDG auszunehmen. Da die Legaldefinition der algorithmischen Rechtsdienstleistung in § 2 Abs. 4 RDGE auf eine Eingrenzung mittels des Tatbestandsmerkmals der fremden Angelegenheit verzichtet (stattdessen ist auch die „Überlassung der Nutzung eines Computeralgorithmus“ erlaubnisbedürftig), muss das verfassungsrechtlich gebotene Ergebnis über § 3 RDGE erreicht werden. Dieser sollte daher folgende Fassung erhalten: „Die selbstständige Erbringung außergerichtlicher Rechtsdienstleistungen und algorithmischer Rechts-

34 35 36 37 38

So i. E. auch BGH v. 9.9.2021 – I ZR 113/20, NJW 2021, 3125, 3127 ff. Ausführlich Timmermann, S. 683 f. BT-Drs. 16/3655, S. 46. BT-Drs. 16/3655, S. 46, 117. Ausführlich Timmermann, S. 683.

523

Daniel Timmermann

dienstleistungen ist nur in dem Umfang zulässig, in dem sie durch dieses Gesetz oder durch oder aufgrund anderer Gesetze erlaubt wird.“ Ein angestellter Programmierer wird in abhängiger Beschäftigung und somit unselbstständig tätig. Gleiches gilt für einen Arbeitnehmer, der unter Zuhilfenahme der Software für seinen Arbeitgeber tätig wird. 47 § 2 Abs. 4 S. 2 RDGE normiert eine gesetzliche Vermutung für intransparente Geschäftsmodelle: „Wird der Auftrag elektronisch erteilt und dem Rechtsuchenden das Ergebnis elektronisch mitgeteilt, so ist eine Prüfung, Berechnung oder Entscheidung durch den Computeralgorithmus anzunehmen, sofern sich nicht aus der Produktdarbietung etwas anderes ergibt.“ Wenn Algorithmen bei menschlichen (Rechts)Dienstleistungen dem Dienstleistungserbringer lediglich intern zuarbeiten (Assistenzsoftware), kommt die Annahme einer algorithmischen Rechtsdienstleistung lediglich im Innenverhältnis zwischen Softwareanbieter und menschlichem Dienstleister in Betracht, nicht dagegen im Außenverhältnis zum Dienstleistungsempfänger. Dies setzt allerdings voraus, dass der Umstand der Zuarbeit nach der Produktdarbietung hinreichend transparent gemacht wird. 4. Verhältnis der algorithmischen Rechtsdienstleistung zum Rechtsdienstleistungsbegriff und Inkassodienstleistungsbegriff a) Exklusivitätsverhältnis 48 Der produktbezogene Erlaubnistatbestand für algorithmische Rechtsdienstleistungen tritt als dritte Spur neben die personenbezogenen Erlaubnistatbestände der menschlichen Rechtsdienstleistung und der Inkassodienstleistung. 49 Aus der inneren Systematik des § 2 RDGE ergibt sich, dass der Rechtsdienstleistungsbegriff des § 2 Abs. 1 RDG künftig nur noch menschliche Rechtsdienstleistungen erfasst. Die Einziehung fremder oder zum Zweck der Einziehung auf fremde Rechnung abgetretener Forderungen bleibt eine Inkassodienstleistung, § 2 Abs. 2 RDG. 50 Rechtsanwälte dürfen de lege lata und ferenda im Inkassobereich tätig werden. Sie sind und bleiben gemäß § 3 Abs. 1 BRAO die berufenen unabhängigen Berater und Vertreter in allen Rechtsangelegenheiten.

524

Begriff der algorithmischen Rechtsdienstleistung Vorschlag de lege ferenda

b) Keine Konzentrationswirkung von Genehmigungen Für eine formelle oder materielle Konzentrationswirkung zwischen der 51 Erlaubnis zur Erbringung algorithmischer Rechtsdienstleistungen auf der einen Seite und der Erlaubnis zur Besorgung menschlicher Rechtsdienstleistungen sowie Inkassodienstleistungen auf der anderen Seite besteht kein Anlass, da eine hinreichende Qualität der menschlichen Rechtsund Inkassodienstleistungen nur über personenbezogene Genehmigungsverfahren gewährleistet werden kann, wohingegen für algorithmische Rechtsdienstleistungen entweder ein rein produktbezogenes oder ein gemischt sachlich-persönliches Genehmigungsverfahren zu etablieren ist. Die Ablehnung einer Konzentrationswirkung von Genehmigungen wird 52 gestützt durch Erwägungen zur Haftpflichtversicherung: Die Einstandspflicht der anwaltlichen Berufshaftpflichtversicherung beschränkt sich auf den Einsatz geistigen Vermögens im Rahmen der anwaltlichen Berufstätigkeit (s. Rz. 4 ff.).39 Demgegenüber haftet die Betriebshaftpflichtversicherung des Anbieters algorithmischer Rechtsdienstleistungen lediglich für solche Schäden, die aus der Durchführung von Rechenvorgängen mittels eines Computeralgorithmus herrühren. c) Wahrung des unionsrechtlichen Kohärenzgebots Auch ist die Befürchtung eines „Dammbruchs“40 durch die Normie- 53 rung eines Rechtsdienstleistungsberufs unterhalb der Anwaltschaft bei Einführung eines produktbezogenen Erlaubnistatbestandes unbegründet. Dienstleister, die mit ihren geistigen Ressourcen arbeiten, wie

39 Ausführlich Timmermann, S. 606 ff. 40 So Ewer, AnwBl. Online 2019, 434, 435.

525

Daniel Timmermann

Fachhochschullehrer oder Wirtschaftsjuristen könnten den anwaltlichen Rechtsdienstleistungsvorbehalt über den verfassungsrechtlichen Gleichheitsgrundsatz oder über das unionsrechtliche Kohärenzgebot nur zu Fall bringen, wenn der Bezugspunkt des Erlaubnistatbestandes identisch wäre, mithin, wenn ein personenbezogener Erlaubnistatbestand unterhalb der Anwaltschaft etabliert würde.41 Dagegen bedeutet die Einführung eines produktbezogenen Erlaubnistatbestandes für Legal Tech-Rechtsprodukte gerade keinen Systembruch, weil die Beschaffenheit und Funktionstüchtigkeit des Produkts und nicht die persönliche Eignung des Antragsstellers den Prüfungsgegenstand des Genehmigungsverfahrens bildet. Das Ziel des Schutzes von Rechtsuchenden vor unqualifizierten Rechtsdienstleistungen würde durch unterschiedliche Genehmigungsverfahren für menschliche und algorithmische Rechtsdienstleistungen in widerspruchsfreier Art verfolgt. Die Kohärenz der Regulierung wird verbessert. d) Vereinbarkeit von algorithmischen Rechtsdienstleistungen mit anderen Leistungspflichten (§ 4 RDG) 54 Schließlich ist aufgrund des produktbezogenen Genehmigungsverfahrens der sachliche Anwendungsbereich des § 4 RDG schlechterdings ausgeschlossen. Sofern der Legal Tech-Anbieter neben der Durchführung von Rechenvorgängen andere Leistungen schuldet, ist die ordnungsgemäße Erbringung der algorithmischen Rechtsdienstleistung unter keinen Umständen gefährdet, da ein potenzieller innerer Interessenwiderstreit auf Seiten des Anbieters den genehmigten Code und die genehmigte Produktpräsentation nicht verändern kann. 5. Berufsrechtliche Pflichten der Anbieter und Berufsaufsicht a) Zentralisierung der Aufsicht 55 Angesichts der notwendigen technischen Expertise und zur Gewährleistung einer einheitlichen Rechtsanwendung sollte die Berufsaufsicht über die Anbieter von Legal Tech-Anwendungen – wie von der Forschungsstelle Legal Tech bereits 2019 angeregt42 – zentralisiert werden. Für die

41 Einen personenbezogenen Erlaubnistatbestand für „automatisierte Rechtsdienstleistungen“ sah der Vorschlag der FDP-Bundestagsfraktion 2019 vor: BT-Drs. 19/9527, S. 5. 42 Schwintowski/Podmogilnij/Timmermann, OdW 2019, 205, 210; zu möglichen Behörden s. Timmermann, S. 700 ff.

526

Begriff der algorithmischen Rechtsdienstleistung

Inkassoaufsicht hat der Bundestag am Ende der vergangenen Legislaturperiode eine entsprechende Entschließung angenommen.43 b) Erlaubnisbedürftigkeit und Unbedenklichkeitsbescheinigung Erlaubnisbedürftig ist die Erbringung algorithmischer Rechtsdienstleis- 56 tungen im Sinne des § 2 Abs. 4 RDGE, mithin die Durchführung von Rechenvorgängen für die Rechtsuchenden sowie die Überlassung entsprechender Computeralgorithmen zur Selbstbedienung. Wurde ein Produkt genehmigt, sollte im Falle einer unwesentlichen Än- 57 derung der Produktdarbietung sowie bei der Einführung gleichartiger Produkte durch denselben Anbieter eine Anzeigepflicht genügen.44 Die vorgeschlagene Legaldefinition in § 2 Abs. 4 RDGE behebt einige 58 Auslegungsschwierigkeiten des geltenden § 2 Abs. 1 RDG und kann dennoch auf unbestimmte Tatbestandsmerkmale nicht vollständig verzichten. Als Korrektiv dafür sollte Softwareanbietern die Möglichkeit eröffnet werden, selbst einen Antrag auf Prüfung der Genehmigungsbedürftigkeit zu stellen und durch die Einholung einer Unbedenklichkeitsbescheinigung ihre Rechts- und somit Investitionssicherheit zu stärken.45 c) Genehmigungsfähigkeit (insb. Informationspflichten) Für einen „Algorithmen-TÜV“46 besteht eine schwierig überwindbare 59 faktische Hürde, da selbst bei einer Offenlegung des Quellcodes keine Standards existieren, an denen sich die Aufsichtsbehörde orientieren könnte.47 Möglich ist lediglich eine Kontrolle der Textbausteine bei Dokumentengeneratoren. Ein „Staatsexamen für Roboteranwälte“48 ist hingegen nicht realisierbar. Den Prüfungsschwerpunkt muss daher die Beachtung der zu normieren- 60 den Informationspflichten bilden. Der Gesetzentwurf der FDP im April 2019 sah eine Darlegungs- und Informationspflicht über „die Risiken

43 44 45 46

BT-Drs. 19/30495, S. 7 f. Ausführlich Timmermann, S. 702 f. Ausführlich Timmermann, S. 704 f. Der Vorschlag von Mario Martini bezieht sich generell auf bestimmte Anwendungsbereiche von Software, nicht explizit auf Legal Tech: Martini, JZ 2017, 1017, 1021. 47 Arbeitsgruppe Digitaler Neustart, Berichte vom 1.10.2018 und 15.4.2019, Konferenz der Justizministerinnen und Justizminister der Länder, Ministerium der Justiz des Landes Nordrhein-Westfalen (Hrsg.), S. 66 f. 48 Fries, ZRP 2018, 161, 161.

527

Daniel Timmermann

von informationstechnischen Systemen im Allgemeinen, das Risiko von Algorithmen im Speziellen, den Umfang der automatisierten Prozesse sowie den Umfang der beruflichen Tätigkeit“49 vor. Eine derart allgemein gehaltene Informationspflicht gewährleistet nicht, dass der Rechtsuchende eine eigenständige Überprüfung der Geeignetheit des Rechtsprodukts für seine Zwecke durchführen kann. Stattdessen muss er über den konkreten Prüfungsmaßstab, das Prüfungsprogramm und die Methodik aufgeklärt werden: 61 Insbesondere beim Factoring versuchen Anbieter mitunter erst gar nicht, das materielle Recht im Programmcode bestmöglich abzubilden, sondern substituieren es durch triviale Regeln.50 62 Noch bedeutender ist allerdings, die Methodenlehre(n) der Rechtswissenschaft an ihrer technischen Umsetzbarkeit zu spiegeln: Wir leben im Rechtssystem der Wertungsjurisprudenz. Im Gegensatz zur Begriffsjurisprudenz ist dieses (auch in der Theorie) nicht lückenlos und geschlossen. Die bestehende Rechtsordnung kann daher nicht im Programmcode eines regelbasierten Systems vollständig erfasst und sodann der Einzelfall kausal subsumiert werden. Im System der Wertungsjurisprudenz erfordert eine rechtliche Prüfung vielmehr in der Regel normative Subsumtionsschritte – das Recht kann hier nicht im Wege einer mathematischen Berechnung gefunden, sondern nur durch normative Subsumtion unter Anwendung juristischer Auslegungsmethoden erfunden werden.51 63 Recht ist kein statisches Konstrukt, sondern eine Weisheit der Vielen; es ist das Ergebnis des fortlaufenden Verhandelns der Prämissen des Rechts durch Menschen in der Legislative, Exekutive und Judikative. Algorithmen subsumieren nicht im juristischen Sinne, sie wenden keine Auslegungsmethoden an und verhandeln nicht die Prämissen des Rechts, weil dies zwingend eine Erfassung der Semantik der Sprache erfordert, was technisch auch zukünftig nicht möglich sein wird.52 Bestimmte Algo-

49 BT-Drs. 19/9527, S. 5. 50 Eine ausführliche Analyse des Factoring-Modells von PayPal: Timmermann, S. 204 ff. 51 Hierzu auch Timmermann/Gelbrich, NJW 2022, 25 ff. 52 Der Physiker Tommaso Calarco, Direktor des Peter Grüneberg Instituts im Forschungszentrum Jülich, hat bei einem Besuch der Forschungsstelle Legal Tech am 4.9.2019 bestätigt, dass aktuell kein vielversprechender Ansatz zur Überwindung der durch die enge KI gesetzten Grenze des technisch Möglichen existiert. Algorithmen werden deshalb auch künftig nur in geschlossenen Systemen brillieren können, hingegen keine allgemeine Intelligenz entwickeln. Für eine Erfassung der Semantik der Sprache wäre letztere erforderlich.

528

Begriff der algorithmischen Rechtsdienstleistung

rithmen-Typen können lediglich stochastische Schlussfolgerungen aus der Syntax der Sprache ableiten.53

Diese Grundlagen der Rechtswissenschaft und Informatik sind manchen 64 Juristen nicht geläufig. Der Rechtsuchende muss jedoch die Schranken des technisch Möglichen reflektieren, um die Geeignetheit des Produkts für seine Zwecke zu beurteilen. Durch die Normierung von Informationspflichten erfolgt eine Einschränkung des Prinzips der informationellen Selbstverantwortung. Das ist bei algorithmischen Rechtsdienstleistungen dringend geboten. Erst dadurch wird die Entscheidung des Rechtsuchenden für das Produkt auf eine ausreichende Tatsachengrundlage gestellt und damit materielle Vertragsfreiheit hergestellt. Der Gesetzgeber hat den Vorschlag54 (in der Spur für Inkassodienstleister) 65 inzwischen in § 13b Abs. 2 RDG aufgegriffen, indem er Inkassodienstleister, die für Verbraucher tätig werden, verpflichtet, Verbrauchern im Falle einer Vertragsablehnung die hierfür wesentlichen Gründe mitzuteilen und darauf hinzuweisen, „ob eine rechtliche Prüfung der Forderung stattgefunden hat und ob diese ganz oder teilweise automatisiert vorgenommen wurde. Die Mitteilung ist mit einem Hinweis zu verbinden, dass die Ablehnung der Tätigkeit andere Möglichkeiten zur Durchsetzung der Forderung unberührt lässt.“ Weitere Voraussetzung der Genehmigungsfähigkeit könnte die Unterhal- 66 tung einer für Massenschäden konzipierten Betriebshaftpflichtversicherung sein.55

53 Zum Verhältnis von Rechtsanwendung (Legal) und Informatik (Tech) ausführlich: Timmermann, S. 75 ff.; Grundlagenwerke zu den Methodenlehren der Begriffs- und Wertungsjurisprudenz: von Jhering, Ist die Jurisprudenz eine Wissenschaft?, Jherings Wiener Antrittsvorlesung vom 16.10.1868; Dworkins, Taking Rights Seriously, 1977. 54 Ausführlich Timmermann, S. 694 ff. 55 Ausführlich: Timmermann, S. 698 f.

529

Daniel Timmermann

d) Kontinuierliche Kontrolle und Widerrufsmöglichkeit 67 Die Legalisierungswirkung einer erteilten Genehmigung bezieht sich auf den Programmcode und die Produktdarbietung. Im Falle einer unwesentlichen Änderung bleibt der Verwaltungsakt wirksam und zeitigt Regelungswirkung fort. 68 Sofern Gesetzesänderungen in Kraft treten, ist die tatsächliche Durchführung erforderlicher Updates Bestandteil einer ständigen Qualitätskontrolle.56 69 Sofern algorithmische Rechtsdienstleistungen ohne Genehmigung besorgt werden, sollte die Berufsaufsicht zur Selbsttitulierung von Unterlassungsverfügungen befugt sein, deren Missachtung bußgeldbewehrt ist.57 IV. Ergebnis 70 Die bestehenden personenbezogenen Erlaubnistatbestände des RDG vermögen die Ziele des RDG, also die Rechtsuchenden, den Rechtsverkehr und die Rechtsordnung vor unqualifizierten Rechtsdienstleistungen zu schützen, im Hinblick auf mittels Algorithmen erbrachter Rechtsdienstleistungen nicht zu fördern. Notwendig ist daher die Etablierung eines produktbezogenen Erlaubnistatbestandes. Dieser Weg würde den Zielen des RDG dienen und die Rechts- und Investitionssicherheit stärken. Die aktuelle58 und mögliche künftige BRAO-Reformen haben keine Rückwirkung auf die bestehenden Herausforderungen im RDG.

56 Ausführlich: Timmermann, S. 705 f. 57 Ausführlich: Timmermann, S. 707 f. 58 BGBl. I S. 2363.

530

E. Aus der DGRI DGRI Jahreschronik 2021/2022 Romy Fiolka* I. 27. Drei-Länder-Treffen (17. – 18.6.2021, online)

1

II. DGRI Jahrestagung (25. – 27.11.2021, online)

2

III. 28. Drei-Länder-Treffen (30.6. – 2.7.2022, Karlsruhe) IV. DGRI Jahrestagung (10.11. – 12.11.2022, Leipzig) V. 22. und 23. DSRI-Herbstakademie (online 2021/ Hannover 2022) VI. Aktivitäten der Fachausschüsse 1. Fachausschuss Softwareschutz 2. Fachausschuss Social Media und Intermediäre im Internet 3. Fachausschuss der Unternehmensjuristinnen und Unternehmensjuristen

3 4

6 8 9 10

4. Fachausschuss Telekommunikation und IT-Sicherheit 14 5. Fachausschuss Schlichtung 15 6. Fachausschuss Digital Compliance 16 VII. Schlichtungsstelle IT

17

VIII. Journal of Intellectual Property, Information Technology and eCommerce Law (JIPITEC)

18

IX. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt

19

X. Preise und Auszeichnungen

23

XI 1. 2. 3.

27 27 28 31

Wissenswertes aus der DGRI Mitgliederentwicklung Personalia Geschäftsstelle

12

I. 27. Drei-Länder-Treffen (17. – 18.6.2021, online) Das 27. Drei-Länder-Treffen 2021 fand auf Grund der weiterhin andau- 1 ernden Corona-Pandemie rein digital statt und ermöglichte eine länderübergreifende Diskussion über drei aktuelle Themenblöcke – Online-Warenhandel und Bereitstellung digitaler Inhalte, Cloud-Strategie, sowie ein Update im Ländervergleich. Als digitales Rahmenprogramm konnten die Teilnehmer:innen während einer Weinverkostung mit Sommelière Stephanie Döring ausgiebig networken. Das Drei-Länder-Treffen war mit 62 Teilnehmer:innen sehr erfolgreich besucht.

*

Ass. iur. Romy Fiolka ist Geschäftsführerin der DGRI, Frankfurt am Main.

531

Romy Fiolka

II. DGRI Jahrestagung (25. – 27.11.2021, online) 2 Die DGRI Jahrestagung 2021 war ursprünglich als Präsenztagung in Leipzig geplant. Auf Grund des neuerlichen „Wellenbrechers“ in Sachsen musste die Tagung kurzfristig umgeplant werden und fand daher wieder als reine Online-Veranstaltung statt. Sie stand unter dem Oberthema „Daten – Plattformen – Ökonomie“. Die einzelnen Themenblöcke umfassten Vorträge zu „Datenökonomie“, „Datenschutz“, „IT-Sicherheit“, „Digitalen Vertragsrecht“, „Digitale Herausforderungen für die Unternehmensführung“ und „Plattformökonomie“. Erstmals hat die DGRI bereits am Donnerstag vor dem Eröffnungsabend mit Pre-Sessions Vortragsblöcke der JIPITEC und der DSRI Female Netcademy angeboten. Neben den spannenden Vorträgen der Referent:innen wurde am Abend noch der DSRI-Wissenschaftspreis und der DSRI-Absolvent:innenpreis von der DSRI Stiftungsratsvorsitzenden RAin Dr. Ursula Widmer verliehen. Trotz der kurzfristigen Umplanung war die Jahrestagung mit 140 Anmeldungen ein voller Erfolg. III. 28. Drei-Länder-Treffen (30.6. – 2.7.2022, Karlsruhe) 3 Nach den reinen Online-Veranstaltungen im Jahr 2021 konnte die DGRI mit dem Drei-Länder-Treffen 2022 endlich wieder in Präsenz tagen. Den passenden Rahmen für das Wiedersehen nach zwei Jahren bot das KIT in Karlsruhe. Das 28. Drei-Länder-Treffen stand unter den großen Themen: „Mangelhafte Roboter“ – Digitale Inhalte und Waren mit digitalen Elementen, Mangelbegriff, „maßgeblicher Zeitraum“, AGB-Gestaltung im Ländervergleich und Gaming versus Gambling: Stand der Technik, Markt, Vertragsgestaltung, Online-Glücksspiel, virtuelle Währungen, virtuelle Gegenstände, Spielanreize, Jugendschutz, Verbraucherschutz, Datenschutz, Immaterialgüterrechte. Daneben durfte natürlich das traditionelle D-A-CH-Update mit aktuellen Entwicklungen mit IT-Bezug in Gesetzgebung und Rechtsprechung des vergangenen Jahres in Deutschland, Österreich und der Schweiz nicht fehlen. Das passende Rahmenprogramm fand in Form einer Führung durch die Ausstellung „Bio-Medien – Das Zeitalter der Medien mit lebensähnlichem Verhalten“, dem gemeinsamen Abendessen in einem Haubenrestaurant, der „Oberländer Weinstuben“, und einer Stadtführung durch Karlsruhe statt.

532

DGRI Jahreschronik 2021/2022

Mit insgesamt 51 Anmeldungen war die erste Präsenztagung nach langer Pause gut besucht. IV. DGRI Jahrestagung (10.11. – 12.11.2022, Leipzig) Nachdem die Jahrestagung 2021 für Leipzig schon fast fertig geplant und 4 leider kurzfristig abgesagt werden musste, entschied sich der Vorstand dazu Leipzig in 2022 eine zweite Chance zu geben. So fand die erste Jahrestagung nach der Pandemie vom 10. bis 12.11.2022 in Leipzig in Kooperation mit der Universität Leipzig in den spektakulären Hallen des Paulinums statt und stand unter den Eckthemen „Daten – Märkte – KI“. Die einzelnen Blöcke waren den Themen „KI“, „der europäische Datenmarkt“, „TTDSG/TKG“, „Digital Services Act“ und „Datenmanagement“ gewidmet. Das gemeinsame Abendessen und die Verleihung des DSRI-Wissen- 5 schaftspreises und DSRI-Absolvent:innenpreises fand im berühmten Auerbachs Keller statt. Als krönender Abschluss unternahmen die Teilnehmer:innen noch eine Stadtrundfahrt im original roten Doppeldeckerbus und einige Teilnehmer besuchten eine sehr interessante Führung durch das Bundesverwaltungsgericht. Mit insgesamt 103 Anmeldungen hat die Jahrestagung die Erwartungen dennoch nicht ganz erfüllt. V. 22. und 23. DSRI-Herbstakademie (online 2021/Hannover 2022) Die 22. Herbstakademie fand wie bereits im Vorjahr als virtuelle Konfe- 6 renz am 1.9.2021 statt und stand unter dem Motto „Im Fokus der Rechtsentwicklung – Die Digitalisierung der Welt“. Erneut wurde ein besonders herausragender Vortrag als Best Speech der Herbstakademie 2021 ausgezeichnet. Die Preisträgerin Laura Stoll hielt Ihren Vortrag mit dem Titel „Wahrnehmungspsychologische Erkenntnisse und datenschutzrechtliche Einwilligungen: Eine interdisziplinäre Betrachtung am Beispiel von dark patterns und nudging“ auch auf der DGRI-Jahrestagung. Nach zweijähriger Pause konnte die DSRI-Herbstakademie 2022 endlich 7 wieder als Präsenzveranstaltung stattfinden. Vom 14. bis 17.9. konnte die 23. Herbstakademie in Zusammenarbeit mit dem Institut für Rechtsinformatik und der Leibniz Universität wie gewohnt in Präsenz abgehalten werden. Unter dem großen Thema „Daten, Plattformen und KI als Dreiklang unserer Zeit“ und mit über 250 Teilnehmenden war die erste Herbstakademie nach der Corona-Pandemie ein großer Erfolg. Im 533

Romy Fiolka

Rahmen der Tagung wurde ein besonders herausragender Vortrag als Best Speech der Herbstakademie 2022 ausgezeichnet. Die Preisträgerin Viktoria Schmittmann hielt Ihren Vortrag mit dem Titel „Employee-Experience-Plattformen und Datenschutz“ auch auf der DGRI-Jahrestagung in Leipzig. VI. Aktivitäten der Fachausschüsse 8 In seinem Kick-Off-Meeting im Januar 2021 hat der Vorstand eine umfassende Neuaufstellung und thematische Neuausrichtung der Fachausschüsse vorgenommen. Außerdem wurden die Voraussetzungen für die Durchführungen von Online-Sitzungen geschaffen und somit das grundsätzliche Format der Fachausschusssitzungen für die Fachausschussleiter:innen als auch die Teilnehmenden vereinfacht. Dies führte dazu, dass die DGRI-Fachausschüsse in den Berichtsjahren 2021/2022 zu insgesamt 18 Sitzungen einladen konnten. 1. Fachausschuss Softwareschutz 9 Der Fachausschuss kam in 2021 online zusammen. Auf der Agenda stand das zentrale Thema „Selbsthilfe bei Computerprogrammen und Schranken: Was ändert sich durch die Reform des Urheberrechts?“, zu dem Dipl.-Jur. Marvin Gülker, Wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Medien- und Informationsrecht (Prof. Dr. Kai von Lewinski) an der Universität Passau, Programmierer im Open-SourceUmfeld, referierte. Die Sitzung fand digital statt. 2. Fachausschuss Social Media und Intermediäre im Internet 10 Unter der Leitung von RA Dr. Johanna Götz und Prof. Dr. Franz Hofmann traf sich der neu begründete Fachausschuss in 2022 zwei Mal. Dr. Daniel Holznagel und Malaika Nolde, LL.M. referierten im Februar zum Thema „Telegram – Stoßen NetzDG und TMG an ihre Grenzen?“ und Prof. Dr. Gerald Spindler im Juni zu dem Thema „Digital Service Act – Was bringt das neue Gesetz für digitale Dienste?“. 11 Außerdem gestaltete der Fachausschuss den Themenblock IIIb zur Jahrestagung. Hier referierten die beiden Fachausschussleitenden zu dem topaktuellen Oberthema „Digital Services Act“.

534

DGRI Jahreschronik 2021/2022

3. Fachausschuss der Unternehmensjuristinnen und Unternehmensjuristen Die Firmenjuristen trafen sich im Jahr 2022 zwei Mal und befassten 12 sich dabei mit folgenden Themen: „Zugriff auf unsere Gehirne – hat das Recht Antworten?“, „Neues aus Brüssel: Entwurf des Artificial Intelligence Act“, „Die neuen EVB-IT Cloud“ und „Return to the Office-/Work from Anywhere-Policies“. Beide Sitzungen fanden rein digital statt. Zu den Referent:innen zähl- 13 ten Dr. Olaf Koglin, Alexander Eichler sowie die beiden neuen Fachausschussleitenden Jyoti Pakrasi und Dr. Susann Wolfgram, LL.M. 4. Fachausschuss Telekommunikation und IT-Sicherheit Der ebenfalls neu begründete Fachausschuss Telekommunikation und 14 IT-Sicherheit unter der Leitung von RA Dr. Sebastian Louven und RA Dr. Gerd Kiparski traf sich in den Berichtsjahren 2021/2022 insgesamt zehn Mal. Der Fachausschuss hat mit der TK-Lunchtime@DGRI ein neues Format gefunden, welches in 45-minütigen Sessions um die Mittagszeit allen TK-Interessierten einen Vortrag zu aktuellen Themen und eine anschließende Diskussionsrunde bietet. Das Format wird sehr gut angenommen. Die einzelnen Themen und Referent:innen finden Sie auf der DGRI-Website. Im Oktober 2021 richtete der Fachausschuss eine „DGRI-Open Access“ Veranstaltung zum Thema: „Das neue Telekommunikations- und Telemediendatenschutzgesetz“ aus. Es referierten RA Dr. Simon Assion über den telekommunikationsrechtlichen und RA Dr. Carlo Piltz über den telemedienrechtlichen Teil des neuen Gesetzes. 5. Fachausschuss Schlichtung Der Fachausschuss Schlichtung befasste sich im November 2021 in sei- 15 ner rein digitalen Schlichtersitzung mit den Themen: „Austausch der Schlichter: Die aktiven Schlichter berichten aus den Fällen der letzten Jahre“, „ITDR – IT Schiedsgerichtsbarkeit und IT Mediation in der Schweiz“ und „Neue ADR-Verfahren im europäischen IT-Recht – neue Aufgaben für die DGRI-Schlichtung?“. Die Schlichter erhielten ferner die Gelegenheit, über ihre Erfahrungen mit dem Schlichtungsverfahren zu berichten. Auf diese Weise diente die Sitzung des Fachausschusses zugleich dem produktiven Austausch.

535

Romy Fiolka

6. Fachausschuss Digital Compliance 16 Der neu begründete Fachausschuss Digital Compliance führte in 2022 unter der Leitung von Prof. Dr. Stefanie Fehr gleich drei Sitzungen rein digital durch. Dabei handelte es sich um eine dreiteilige Sitzung zu dem großen Oberthema „Hinweisgebermanagement im Lichte der EU Whistleblower Richtlinie“. Neben der Fachausschussleiterin selbst referierten Marco Hüsner zu dem Thema: Elektronisches Hinweisgebermanagement sowie Henning Stuke, zu dem Thema: Umgang mit Hinweisgebern. VII. Schlichtungsstelle IT 17 Die Schlichtungsstelle ist Ansprechpartner in allen Fragen bezüglich des von der DGRI bereitgestellten Instruments zur Beilegung von Streitigkeiten mit informations- und kommunikationstechnischem Bezug und beantwortet regelmäßig Anfragen zum Ablauf des Schlichtungsverfahrens. Neben der Betreuung der laufenden Verfahren obliegt der Schlichtungsstelle IT die Pflege der Schlichterdatenbank und der Erfahrungsaustausch mit den Schlichtungsteams. Mehr dazu finden Sie im Bericht der Schlichtungsstelle in diesem Jahrbuch. VIII. Journal of Intellectual Property, Information Technology and eCommerce Law (JIPITEC) 18 Die Kooperation mit der JIPITEC als Open Access Journal und Forum für die international ausgerichtete Analyse des europäischen Rechts wurde in den Berichtsjahren 2021/2022 vorerst pausiert. Eine Fortführung der Zusammenarbeit mit der Jipitec ist ab 2023 wieder geplant. IX. Seminare und Workshops in Kooperation mit Dr. Otto Schmidt 19 Die Zusammenarbeit mit dem Publikationsorgan der DGRI wurde auch in den Berichtsjahren 2021 und 2022 fortgesetzt. Im Rahmen dieser Kooperation wurde die gemeinsame Veranstaltungsreihe insbesondere mit den Kölner Tagen zum IT-Recht und den Kölner Tagen Datenschutzrecht gestaltet. 20 Unter der Tagungsleitung von RA Prof. Dr. Sibylle Gierschmann und RA Dr. Michael Karger widmeten sich die Kölner Tage IT-Recht am 25./26.3.2021 der Umsetzung der Digitale Inhalte Richtlinie.

536

DGRI Jahreschronik 2021/2022

Die Kölner Tage Datenschutzrecht fanden am 7./8.10.2021 statt. Sie wurden von RA Prof. Niko Härting und RA Dr. Flemming Moos geleitet und befassten sich mit dem Datenschutz in der Pandemie, Datentransfers nach Schrems II, Das neue TTDSG, Update von Bußgeldverfahren und Cyber-Security. Die Kölner Tage Datenschutzrecht im Jahr 2022 fanden am 23./24.6.2022 21 statt und wurden wieder von RA Prof. Niko Härting und RA Dr. Flemming Moos geleitet. Sie befassten sich mit den Themen Auskunftsanspruch, Bußgeld und immaterieller Schadensersatz, Scoring, Vertragserfüllung als Rechtsgrundlage und Verwendung von Gesundheitsdaten, Wirkung von EU-Proposals für DSA, Data Act, AI Act & nationale Pläne für Beschäftigtendatenschutz und Daten-Treuhand, -Spende sowie -Drehscheibe, Cookie-Enforcement, Data Transfer Impact Assessment (DTIA). Unter der Tagungsleitung von RA Dr. Truiken J. Heydn und RA Prof. Dr. Fabian Schuster fanden die Kölner Tage IT-Recht 2022 am 17./18.3.2022 statt. Sie behandelten die Themenschwerpunkte §§ 327 ff. BGB: ein neues digitales Vertragsrecht?, Der neue Mangelbegriff des BGB im IT- und Softwarerecht, Erkenntnisse/Folgen für B2B – über § 327u BGB hinaus?, Klauseln zur Verantwortlichkeit des IT-Dienstleisters bei Cyberattacken, Haftung für künstliche Intelligenz nach künftigen Europäischen Recht. Die Kölner Tage wurden in den Berichtsjahren immer als Hybrid-Veran- 22 staltung, also in Präsenz und Remote, angeboten. X. Preise und Auszeichnungen Der Wissenschaftspreis der Deutschen Stiftung für Recht und Informatik 23 (DSRI) wurde 2021 an Dr. Dimitrios Linardatos (Universität Mannheim) für dessen Habilitationsschrift „Autonome und vernetzte Aktanten im Zivilrecht – Grundlinien zivilrechtlicher Zurechnung und Strukturmerkmale einer elektronischen Person“. Der Wissenschaftspreis wurde an Dr. Daniel Timmermann (HU Berlin) für seine Schrift „Legal Tech Anwendungen – rechtswissenschaftliche Analyse und Entwicklung des Begriffs der algorithmischen Rechtsdienstleistung“. Beide Preise wurden im Rahmen des digitalen Rahmenprogramms der Jahrestagung 2021 durch RA Dr. Ursula Widmer als Vorsitzende des Stiftungsrates der DSRI verliehen. In 2022 wurde der DSRI-Wissenschaftspreis an zwei Preisträger ver- 24 geben. Zum einen erhielt Dr. Stephan Schindler (Universität Kassel) 537

Romy Fiolka

den Preis für seine Dissertation „Biometrische Videoüberwachung“. Außerdem durfte sich PD Dr. Konrad Duden (Universität Leipzig) über den Preis zu seiner Habilitationsschrift „Digitale Sachherrschaft“ freuen. 25 Der Absolventenpreis ging an Felix Will, BSc, MSc (TU Berlin) für seine Masterarbeit „Zwangslizenzen für standardessentielle Patente im Spannungsverhältnis von Patent- und Kartellrecht“. Die Preise wurden im Rahmen der Jahrestagung der DGRI durch Rechtsanwältin Dr. Ursula Widmer übergeben. Die Preisträger haben eine Zusammenfassung ihrer ausgezeichneten Arbeiten im Tagungsband veröffentlicht. 26 Der Wissenschaftspreis ist mit 2.000 Euro dotiert, der Absolventenpreis mit 500 Euro und wird von der DGRI zur Verfügung gestellt. XI Wissenswertes aus der DGRI 1. Mitgliederentwicklung 27 Per 23.11.2022 belief sich die Zahl der Mitglieder auf 801, davon 30 Firmen- und 770 Einzelmitgliedschaften. 2. Personalia 28 Prof. Dr. Peter Bräutigam und Dr. Peter Hoppen haben ihren Posten als stellvertretende Vorsitzende der DGRI niedergelegt. Dafür wurden RA Caroline Gaul und RA Dr. Axel Funk während der Mitgliederversammlung im November 2022 wiedergewählt und als neue Stellvertreter benannt. Prof. Dr. Boris Paal, Dr. Peter Hoppen wurden von der Mitgliederversammlung für eine weitere Amtsperiode von zwei Jahren wieder in den Vorstand der DGRI gewählt. Im Rahmen dieser Mitgliederversammlung wurden weiter RA Dr. Sonja Dürager, RA Monika Menz und RA Dr. Gerd Kiparski neu in den Vorstand gewählt. 29 RA Dr. Anselm Brandi-Dohrn wurde durch den Vorstand während der Mitgliederversammlung im Mai 2022 als Beiratsvorsitzender bestellt. Der bisherige Beiratsvorsitzende RA Dr. Matthias Scholz bleibt dem Beirat weiter als Beiratsmitglied erhalten. 30 Kassenprüfer sind für das Jahr 2023 Prof. Dr. Stefan Ernst und Jan Spoenle.

538

DGRI Jahreschronik 2021/2022

3. Geschäftsstelle Die Geschäftsstelle wird weiterhin von Romy Fiolka geleitet. Sie ist An- 31 sprechpartnerin für Mitglieder, Kooperationspartner und Sponsoren und kümmert sich um die Organisation der Veranstaltungen der DGRI, den Kontakt mit den Mitgliedern, Fachausschüssen und Kooperationen sowie um die Buchhaltung und den Jahresabschluss.

539