Datenschutzrecht in der Due Diligence: Unternehmens­kauf ohne Risiko

Die Begriffe Datenschutz und Due Diligence fallen häufig in dem Kontext, dass im Rahmen einer zu jeder M&A gehörenden Due Diligence wichtige und schützenswerte Daten des verkaufenden Unternehmens offengelegt und daher geschützt werden müssen. Ein durchaus auch von Juristen unterschätztes Risiko liegt in dem Kontext allerdings woanders, wie insbesondere das anhängige Bußgeldverfahren gegen die Hotelkette Marriott zeigt. Ihr droht wegen der vernachlässigten Prüfung der Einhaltung von Datenschutzrecht in einem gekauften Unternehmen nun ein Bußgeld in Höhe von 110 Millionen Euro. 

Das Problem: Datenschutzrechtliche Risiken beim Target 

Auch wenn die erwerbenden Unternehmen die eigene Einhaltung der datenschutzrechtlichen Anforderungen im Blick haben, prüfen sie dennoch regelmäßig nicht, ob das verkaufende Unternehmen (sog. Target) seinerseits die datenschutzrechtlichen Vorgaben einhält und die Anforderungen an die IT-Sicherheit sicherstellt bzw. in der Vergangenheit sichergestellt hat.
Dies kann jedoch schnell drastische Folgen in Form von Sicherheitslücken und datenschutzrechtlichen Risiken, aber auch einem erheblichen „eingekauften“ Bußgeldrisiko nach sich ziehen, für das der Erwerber haftet.

Das bei der britischen Datenschutzbehörde (ICO) anhängige Bußgeldverfahren gegen die Hotelkette Marriott ist ein Paradebeispiel für ein solches Versäumnis und deren Folgen: Satte 110 Millionen Euro Bußgeld drohen Marriott wegen einer Datenschutzpanne, die ihren Ursprung bei der Hotelkette Starwood hat. Hacker hatten sich nach bisherigen Erkenntnissen bereits im Jahr 2014 Zugang zu den IT-System von Starwood verschafft und konnten so auf dort gespeicherte Kundendaten zugreifen. Als Marriott im Jahr 2016 die Hotelkette Starwood erwarb, blieb dies wohl aufgrund fehlender Überprüfung der IT-Infrastruktur und eines unterbliebenen datenschutzrechtlichen Audits unerkannt. Neben dem Bußgeld, das Marriott nun droht, dürfte vermutlich auch der Kaufpreis angesichts der bestehenden Risiken und der mangelhaften IT-Sicherheit sowie Datenschutz-Compliance „zu hoch“ ausgefallen sein. Von dem bei Marriott eingetretenen einem erheblichen Image-Schaden ganz zu schweigen.

Dieses Beispiel zeigt recht deutlich, dass im Vorfeld von Unternehmenszusammenführungen (Mergers & Acquisitions) genau geprüft werden sollte, wie es um Datenschutz und IT-Sicherheit im zu übernehmenden Unternehmen steht.

Eine Prüfung des zu übernehmenden Unternehmens auf bestehende datenschutzrechtliche Risiken, Einhaltung der DSGVO und des BDSG sowie die Sicherheit der IT-Infrastruktur lässt sich ohne Weiteres in eine im Rahmen des Erwerbs stattfindende sog. „Due Diligence“ integrieren.

Risikominimierung: Der Garantienkatalog im Rahmen von M&A

Unternehmenszusammenführungen gehen mit hohen Investitionen einher. Aus diesem Grund prüft vor Abschluss des Kaufvertrags der Käufer im Rahmen einer sog. Due Diligence, auf was er sich einlässt. Beispielsweise: Wie sehen die genauen Umsatzzahlen des zu kaufenden Unternehmens aus? Wie viele Mitarbeiter hat es? Wie kann die zukünftige Entwicklung des Unternehmens vorhergesagt werden?

Im Rahmen der Legal Due Diligence werden die rechtlichen Aspekte des zu kaufenden Unternehmens anhand sog. Due Diligence Request Lists abgeprüft. Um sich gegen die bei der Prüfung festgestellten Risiken abzusichern, wird im Anschluss an die Due Diligence ein Garantienkatalog erstellt. Hier wird festgelegt, ob und wie der Verkäufer im Falle der Realisierung eines Risikos haften muss. Diese Garantien sind nicht nur für den Käufer, sondern auch für den Verkäufer von Bedeutung. In diesen kann festgelegt werden, dass der Verkäufer im Garantiefall zwar Schadenersatz zahlen, jedoch nicht einen Teil des Kaufpreises zurückerstatten muss.

Gerade für die Erstellung des Garantienkatalogs aber auch der Due Diligence Request List sollte auf die Expertise von Fachanwälten zurückgegriffen werden. Nur diese können etwaige Risiken in rechtlichen Spezialgebieten erkennen und deren Folgen ein- und abschätzen.

Datenschutzrecht als Teil der Legal Due Diligence

Der Fall Marriott hat deutlich gemacht, dass Datenschutzrecht im Rahmen einer Due Diligence geprüft werden sollte. Datenschutzrechtliche Risiken können sich an verschiedenen Stellen im zu erwerbenden Unternehmen verbergen und erheblichen Schaden anrichten.

Insbesondere folgende Fragen sollten daher im Rahmen der Due Diligence geklärt werden:

1. Passende Rechtsgrundlagen vorhanden?

Im Rahmen der datenschutzrechtlichen Due Diligence ist zu prüfen, ob das zu kaufende Unternehmen personenbezogene Daten aufgrund von (zutreffenden) Rechtsgrundlagen verarbeitet. Für den potenziellen Käufer könnten die Daten sonst „wertlos“ sein bzw. von diesem nur mit einem ganz erheblichen Bußgeldrisiko verarbeitet werden. So könnten beispielsweise zahlreiche E-Mail-Adressen von Kunden, die bislang Newsletter erhalten haben, aufgrund fehlender Einwilligung gelöscht werden müssen. Dies kann sich auf den Umsatz auswirken, da ein wichtiges Werbemittel wegfällt.

2. Werden die Grundsätze bei der Datenverarbeitung nach der DSGVO eingehalten?

Die DSGVO enthält einige Grundsätze, die bei der Verarbeitung personenbezogener Daten eingehalten werden müssen. So besagt der Grundsatz der Zweckbindung, die Daten dürften nur zu dem oder den Zwecken genutzt werden, zu denen sie auch erhoben wurden. Nach dem Grundsatz der Richtigkeit muss zudem immer dafür gesorgt werden, dass die Daten auf dem neuesten Stand sind. Damit geht einher, dass sobald eine Unrichtigkeit festgestellt wird, die Daten gelöscht oder korrigiert werden müssen.

Insbesondere die Beachtung des datenschutzrechtlichen Grundsatzes der Integrität und Vertraulichkeit sollte im Rahmen der Due Diligence geprüft werden. Dieser schreibt die Gewährleistung der Sicherheit und des Schutzes der personenbezogenen Daten vor Verlust, Zugriff unbefugter Dritter sowie Zerstörung und Schädigung durch geeignete technische und organisatorische Maßnahmen vor. Gerade die Beachtung dieses Grundsatzes durch die Starwood Hotelkette hätte beim Kauf durch Marriott überprüft werden müssen. Dabei hätte die Sicherheitslücke im IT-System erkannt werden können.

3. Werden weitere wichtigen Pflichten nach der DSGVO beachtet

Verantwortliche müssen unter anderem durch technische und organisatorische Maßnahmen (TOMs) sicherstellen, dass Daten sicher verarbeitet werden. Dazu müssen beispielsweise dem neuesten Stand der Technik entsprechende IT-Systeme eingesetzt werden und technologische Entwicklungen verfolgt werden. Die zu treffenden Maßnahmen sind dabei unter anderem am Risiko der Datenverarbeitung zu orientieren, so sind bei der Verarbeitung sensibler Daten erhöhte Anforderungen zu beachten. Zu geeigneten TOMs zählen unter anderem die Pseudonymisierung und Verschlüsselung von personenbezogenen Daten.
Des Weiteren kann ein Unternehmen die Pflicht treffen, mit einem anderen Unternehmen einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Das ist in den Konstellationen der Fall, in denen ein anderes Unternehmen weisungsgebunden mit einer datenverarbeitenden Dienstleistung beauftragt wird, z.B. beim Cloud Computing. Das Auftragsverarbeitungsverhältnis ist von gemeinsamer und getrennter Verantwortlichkeit abzugrenzen. Im Rahmen der Legal Due Diligence sollte daher geprüft werden, ob diese Abgrenzung zutreffend vorgenommen wurde oder fälschlicherweise kein AVV abgeschlossen wurde bzw. ein Vertrag über die Verarbeitung in Gemeinsamer Verantwortlichkeit (Joint Controllership Agreement) hätte abgeschlossen werden sollen.

Fazit: Mit der Bewältigung datenschutzrechtlicher Risiken wird der Unternehmenskauf zum Erfolg

Bußgeldverfahren als Folge von wirtschaftlich eigentlich erfolgsversprechenden Unternehmenskäufen können vermieden werden. Dazu gehört rechtlich gesehen aber auch die Prüfung von Datenschutzrecht im Rahmen der Legal Due Diligence. Der Fall Marriott hat deutlich gezeigt, welchen finanziellen und wirtschaftlichen Risiken durch eine gründliche rechtliche Beratung des kaufenden Unternehmens abgeholfen werden kann. Auf Datenschutzrecht spezialisierte Anwälte mit technischem Verständnis sollten dazu gründlich das zu kaufende Unternehmen auf die Einhaltung der Vorgaben der DSGVO und dem BDSG durchleuchten und im Hinblick auf die Gewährleistung der IT-Sicherheit prüfen.

Brauchen Sie im Rahmen eines Unternehmenserwerbers bzw. einer Due Diligence Hilfe und möchten sichergehen, dass auch das Datenschutzrecht hinreichend geprüft wird? Die Rechtsanwälte von Schürmann Rosenthal Dreyer stehen Ihnen gerne als Datenschutzexperten zur Verfügung!

Blockchain und Smart Contracts: Wo liegt das Potential?

Blockchain und Smart Contracts sind Schlagworte, auf die man immer häufiger stößt und die mit großen Erwartungen verbunden werden. Von ähnlichen Veränderungen wie nach der Einführung des Internets ist genauso die Rede wie vom Ende herkömmlicher Verträge, die künftig nur noch in Form eines Programmcodes schnell und digital geschlossen werden. Doch was verbirgt sich eigentlich hinter den beiden Begriffen und wie hängen sie miteinander zusammen? Und sind solch hochgesteckte Hoffnungen überhaupt berechtigt? Dieser Beitrag zielt auf die Klärung dieser Fragen ab und zeigt auf, was praktisch wie rechtlich schon jetzt möglich ist.

Blockchain: Eine gute Option für rechtliche Angelegenheiten?

Zunächst die Basics: Besondere Bekanntheit hat die Blockchain-Technologie im Zuge des Bitcoin-Hypes erlangt, weswegen sie häufig noch nur mit Kryptowährungen in Verbindung gebracht wird. Die Technologie hat sich aber längst selbstständig gemacht und ihre besonderen Eigenschaften können für die verschiedensten Anwendungsfälle genutzt werden.

Vereinfacht ausgedrückt ist die Blockchain ein Netzwerk, auf das zahlreiche Teilnehmer Zugriff haben. Die Teilnehmer stellen selbst redundante Knotenpunkte in dem Netzwerk dar, wodurch das Manipulationsrisiko minimiert wird. Im Netzwerk werden Informationen (in der Regel Transaktionen) in Blöcken gespeichert. Sobald ein Block voll ist, wird der nächste Block verwendet, sodass nach und nach eine Kette, die Blockchain, entsteht. Damit ergibt sich ein digitales, dezentrales Register. Dieses ermöglicht es nicht nur, den aktuellen Stand der in den Blöcken gespeicherten Informationen einzusehen, sondern die gesamte Entwicklung von Anfang an nachzuverfolgen. Wichtig ist, dass die Informationen verschlüsselt werden und ein Hashwert, eine Prüfsumme aus den gespeicherten Daten, gebildet wird. Der Hashwert des einen bezieht sich dabei auf den des vorangegangenen Blocks. Dies reduziert das Manipulationsrisiko auf ein Minimum: Sobald ein Wert verändert wird, passt die gesamte Kette nicht mehr zusammen und die Veränderung wird offensichtlich. Ein nicht unwichtiger Nebeneffekt: Da eine solche, beispielsweise eine Bank, nicht mehr benötigt wird, fallen (Transaktions)-Kosten weitgehend weg.

Eine Blockchain eignet sich daher ideal zu Beweis- und Dokumentationszwecken. Die Echtheit von Dokumenten und Informationen aller Art kann schnell überprüft und zu jeder Zeit ist der Nachweis möglich, wer zu welchem Zeitpunkt Zugang zu den Informationen hatte. In China wurde die Blockchain sogar als Beweismittel vor Gericht zugelassen und ähnliche Bestrebungen zeigen sich in vielen anderen Ländern. In der EU beispielsweise bestimmt die eIDAS-Verordnung die gerichtliche Anerkennung elektronischer Zeitstempel, mit denen die Speicherung von Daten auf einer Blockchain mit einem Zeitpunkt verknüpft werden kann.

Smart Contract: Mehr als ein Vertrag?

Durch die Blockchain-Technologie haben zugleich Smart Contracts an Bedeutung gewonnen, deren Potential mit dieser voll ausgeschöpft werden kann. Smart Contracts sind dabei erst einmal weder Verträge im klassischen Sinne noch von sich aus intelligent, sondern im Grunde Computerprogramme, die – beim Eintritt bestimmter Ereignisse – im Vorfeld programmierte Abläufe umsetzen, etwa Geld überweisen oder Zugänge freischalten. Dafür werden die Bedingungen für und die Folgen von Ereignissen formuliert und in ein Programm geschrieben.

Anwender sollten beachten: Hier liegt kein Vertrag im juristischen Sinn vor. In vielen Fällen können Smart Contracts die dafür notwendigen Voraussetzungen nicht erfüllen, beispielsweise wenn es zur Wirksamkeit eines Vertrags der eigenhändigen Unterschrift bedarf. Für die Praxis dürfte sich daher das Modell empfehlen, zunächst einen herkömmlichen Vertrag zu schließen, auf dessen Grundlage ein Smart Contract programmiert wird, der dann das vertraglich zuvor vereinbarte schnell und selbstständig umsetzt. Komplexe rechtliche Wertungen können Smart Contracts zwar noch nicht ohne Weiteres vornehmen, doch klare Wenn-Dann-Beziehungen lassen sich schnell, kostengünstig und sicher umsetzen. Dafür eignen sich viele denkbare Vertragsbeziehungen, bei denen Vorgänge automatisiert werden sollen. Als typische Beispiele sind die Freischaltung einer Lizenz mit der Zahlung der Lizenzgebühr oder die sofortige Entschädigungszahlung bei der Verspätung eines Zugs oder Flugzeugs zu nennen. Weitere Anwendungen bieten sich für den Bereich Internet of Things (IoT) an. Ein Smart Contract kann während des Ladevorgangs eines Elektroautos direkt die Zahlung veranlassen oder für einen 3D-Drucker den Druckvorgang veranlassen, sobald die Erlaubnis geprüft wurde.

Smart Contract und Blockchain: Eine gute Verbindung

Smart Contracts müssen zwar nicht zwingend über eine Blockchain laufen, doch sind die Vorteile der Blockchain für Smart Contracts offensichtlich. Im Gegensatz zu herkömmlichen Verträgen erhöht die hohe Manipulationssicherheit der Blockchain das Vertrauen der Parteien. Damit können auch unerwünschte Gerichtsverfahren vermieden werden, indem die Bedingungen vor dem Start des Smart Contracts klar und eindeutig definiert und danach automatisch und zwingend ausgeführt werden. Der Smart Contract ersetzt sogar Schiedsstellen. Diese Klarheit vermindert das Streitpotential erheblich, wenngleich diese Wirkung nur eintrifft, sofern die Bedingungen des Smart Contracts im Vorfeld sauber und vollständig rechtlich überprüft wurden und er im Einklang mit dem Willen der Parteien und den einschlägigen Gesetzen steht. Die Möglichkeit digitaler Signaturen statt eigenhändiger Unterschriften (solange eine solche Form nicht vorgeschrieben ist) und automatischer Bezahlung macht die Vertragsabwicklung per Smart Contract kostengünstig, praktisch und so für Kunden attraktiver als herkömmliche Verträge.

Das Ende klassischer Vertragsbeziehungen?

Wozu braucht es überhaupt noch den Vertrag auf Papier, mag man sich da fragen. Doch Vorstellungen, nach denen Blockchain und Smart Contracts weite Teile des Gerichtswesens oder klassischer Vertragsbeziehungen vollständig ersetzen, dürften trotz aller Euphorie noch nicht so bald Wirklichkeit werden. Fraglich ist auch, ob es dazu überhaupt kommen muss. Schließlich sind Verträge nichts anderes als festgehaltene übereinstimmende Willenserklärungen der Vertragsparteien. Ohne Willensbekundungen werden Parteien auch in digitalen Zeiten keine Verträge schließen wollen, weshalb diese Voraussetzungen auch weiterhin Gültigkeit haben werden und Smart Contracts gut in das bestehende Rechtssystem integrierbar sind.

Doch trotz hoher Sicherheit und Effizienz ist die Verwendung einer Blockchain nicht ohne Herausforderungen möglich. Die schnell wachsende Menge an Daten, die auf allen teilnehmenden Rechnern gespeichert werden muss, erfordert einen hohen technischen Aufwand, sodass Blockchain-Anwendungen auch Grenzen gesetzt sind und abzuwarten ist, wie sich das Problem der Kapazität in der Zukunft stellt. Und auch aus rechtlicher Sicht stellen sich einige Fragen. Wie bereits angedeutet, sollte man sich in der Praxis auf das beschränken, was technisch bereits umsetzbar ist und komplexe rechtliche Fragen wie Abwägungen oder die Ausfüllung unbestimmter Rechtsbegriffe keinem Smart Contract überlassen. Zu den zu klärenden Fragen gehören unter anderem auch datenschutzrechtliche Aspekte. Wer die Aktivitäten eines Smart Contracts über eine Blockchain laufen lässt und datenschutzrechtlich auf eine Einwilligung stützt, muss bedenken, dass die Eintragungen auf der Blockchain nicht ohne weiteres löschbar sind und sich daher Probleme mit dem Erfordernis der Widerruflichkeit der Einwilligung ergeben. Gleiches gilt für das Recht auf Vergessenwerden nach der DSGVO. Eine mögliche Lösung kann daher der Rückgriff auf eine andere Rechtsgrundlage als die Einwilligung sein. Wer Smart Contracts also nutzen will, sollte auf ein durchdachtes Zusammenspiel technischen Know-hows und rechtlicher Absicherung setzen. Mit der richtigen Herangehensweise lassen sich somit vielfältige Vertragsbeziehungen, die Organisation von IP-Rechten und viele andere Anwendungen auf eine neue Stufe heben.

Datenhandel & Datentransfer: rechtliche Heraus­forderungen

Besonders im Bereich des Industrial Internet of Things (IIoT) und Industrial Big Data gehört die Erzeugung und Arbeit mit Daten zum Tagesgeschäft. Während die Banken- und Versicherungsindustrie schon lange den Umgang mit großen Mengen v.a. kundenbezogener Daten im Bereich des Marketing durch Einsatz von KI-unterstützten Tools pflegt, haben sich im Bereich Industrie 4.0 diese Anforderungen an die Produkte erst in den letzten Jahren herauskristallisiert. Datenerhebung durch feine Sensoren der Produkte z.B. aus dem Automobilbereich oder der Elektrotechnik eröffnen Möglichkeiten für die Vernetzung von Gegenständen, aber auch präventive Einsatzmöglichkeiten wie das Vorbeugen von Abnutzung oder die Verbesserung von betrieblichen Prozessen. 

Der Einsatz und Vertrieb von Anwendungen aus den Bereichen IIoT und Industrial Big Data ist mit rechtlichen Herausforderungen verbunden: Vertragsgestaltung, Datenschutz und der Schutz von Geschäftsgeheimnissen stehen hier im Fokus.

Datentransfer im Smart System

Für Smart Systems werden oft Plattformen entwickelt und im Rahmen einer Joint Venture betrieben, wobei die Gerätehersteller und Serviceanbieter oft variieren, sodass beim Austausch von Produktions- und Kundendaten zwischen den Geräten teils auch unterschiedliche Hersteller involviert sind.  Die Übermittlung von Daten wirft dabei einige juristische Fragestellungen auf, die nachfolgend näher betrachtet werden sollen.

Eigentum an Daten? 

Es stellt sich die Frage, ob beim Datenhandel oder -transfer Eigentum an diesen – entweder durch Erzeugung oder durch Übertragung – erlangt werden kann. Die Eigentumsfrage an Daten wird mehrheitlich verneint. Doch können Daten trotzdem einen kommerziellen Wert haben?

Produktions- und Kundendaten verlieren – ökonomisch betrachtet – schnell an Aktualität. Sie können zielgerichtet und kurzweilig vervielfältigt werden, sodass sie nicht exklusiv sind und auch dadurch schnell an wirtschaftlichem Wert verlieren können. Rechtlich besteht kein Ausschließlichkeitsrecht an Daten. An Produktionsdaten können sowohl der Eigentümer/Betreiber einer Maschine, wie auch der Hersteller oder Zulieferer, aber auch die Dienstleister des Eigentümers/Betreibers Interesse haben. Bereits hier stellt sich die Frage, ob und wie z.B. der Hersteller Produktions- oder Kundendaten an Dritte weitergeben darf oder ob es einer „Datenlizenz“ bedarf.

Daten und Geschäftsgeheimnisse 

Produktions- und Kundendaten können mitunter Geschäftsgeheimnisse umfassen. Darunter sind nach dem neuen GeschGehG Informationen zu verstehen, die weder allgemein bekannt oder zugänglich sind, deshalb kommerziellen Wert haben, Gegenstand von angemessenen Geheimhaltungsmaßnahmen durch den Inhaber (Betriebsinhaber) sind und an deren Geheimhaltung ein berechtigtes (meist schutzwürdiges wirtschaftliches) Interesse besteht.

Mit der Einführung des GeschGehG entfällt die bisherige Differenzierung zwischen Geschäftsgeheimnissen und Betriebsgeheimnissen: sowohl technisches Know-how als auch geschäftliche Informationen sind also gleichermaßen geschützt. Auch belanglose Information, die nach Erwägungsgrund 14 der Richtlinie (EU) 2016/943 nicht umfasst sein sollen, können in der Gestalt von Big Data u.U. einen wirtschaftlichen Wert besitzen.

Technisches Know-how wie Verfahren, Prototypen, Rezepturen, aber auch Software und Produktionsdaten können ebenso unter den Begriff des Geschäftsgeheimnisses fallen wie Informationen zum kaufmännischen Geschäftsverkehr, z.B. Kundenlisten und Marktstrategien. Welche Auswirkungen hat es also, wenn Kunden- und Produktionsdaten zwischen den Anbietern verschiedener Hersteller oder Betreiber ausgetauscht werden?

Während der Austausch von Kundendaten v.a. den Bereich des Datenschutzes und unlauteren Wettbewerbs umfasst, stellen sich bei Industriedaten besonders viele Fragen hinsichtlich der Vertragseinordnung und -gestaltung, die nachgehend näher beleuchtet werden sollen.

Zur Veranschaulichung ein Beispiel

Ein Hersteller von Maschinen bietet neben Verkauf auch Wartung und Pflege, inkl. Ersatzteile an. Hierzu eignet sich ein Service per Fernzugriff (Remote-Service) auf die Daten des Betreibers, der die proaktive Überwachung (Monitoring) und das Reporting von Störungen oder Verschleiß übernimmt, künftig gar Letztere ggf. auch selbst steuern kann. Hier findet also ein Datentransfer statt.

Für den Remote-Service benötigt der Hersteller einen Remote-Zugang. Über diesen kann er u.a. auch Geschäfts- und Betriebsgeheimnisse abrufen und hat Zugriff auf Maschinen- und Produktionsdaten sowie personenbezogene Daten aus der Anlage des Betreibers. Die Daten werden von einem beim Betreiber stehenden Server-Rechner ausgelesen und ggf. an eine private Cloud des Herstellers übermittelt und per KI-Algorithmen ausgewertet. Auch der Betreiber hat Zugang zu der IIoT-Plattform des Herstellers und kann die Auswertungen abrufen und verwerten. Mittels der gewonnenen und anonymisierten Produktionsdaten kann sich der Hersteller mit anderen Herstellern vergleichen und neue Marktstrategien entwickeln. Die gewonnen Daten haben damit erheblichen Wert für den Hersteller.

Einordnung des Vertrages zwischen Hersteller und Betreiber

Wie können sich die Vertragsparteien jeweils rechtlich absichern? Die typologische Einordnung des Vertrages über Remote-Leistungen hat Auswirkungen auch auf der Sekundärebene, da sie das anwendbare Recht bestimmt.

Hier gilt es, zuerst die verschiedenen Beziehungen zu analysieren:

• Die Nutzung des Herstellerrechners beim Betreiber stellt i.d.R. einen Mietvertrag gem. §§ 535 ff BGB dar.
• Das Monitoring und Reporting sowie der Einsatz von KI-Tools zwecks Auswertung ist als eine Dienstleistung des Herstellers zu bewerten, vgl. §§ 611 ff BGB, soweit nicht Teile des Reporting (gerade in Hinsicht auf Abnutzung und Störungen) auch als Werkvertrag einzustufen sind. Gleiches gilt für die Steuerung der Anlage, sodass im Einzelnen die Vertragsart genau geprüft werden muss.
• Die Nutzung und Zugang der IIoT-Plattform sind begrenzt auf die Dauer des Hauptvertrages. Damit ist das Mietrecht einschlägig. Darüber hinaus ist die angebotene Nutzung als Telemediendienst (TMG) zu qualifizieren.

Eine eindeutige Zuordnung zu einem Vertragstypus des BGB ist nicht möglich, weil viele der Leistungen gleichgewichtig nebeneinander bestehen. Auf der Haftungsebene hat dies zur Folge, dass kaum Rechtssicherheit besteht, weil nicht voraussehbar ist, welches Recht im Streitfalle anwendbar werden könnte. Sekundäransprüche und Exit-Maßnahmen sollten daher gesondert geregelt werden.

Wechselseitige Verpflichtungen – was sollte zudem geregelt werden?

Vertraglich ergeben sich einige wichtige Punkte, die bei Remote-Leistungen zwischen dem Hersteller und Betreiber berücksichtigt werden sollten.

Wir empfehlen, die folgenden Leistungspflichten für die Parteien im Einzelnen klar und präzise zu definieren:

• Der Betreiber muss dem Hersteller einen Zugang auf dessen Daten und deren Auswertung auf einer IoT-Plattform durch Tools gewähren. Der Hersteller wiederum muss den Zugang zu seiner IoT-Plattform zulassen und ermöglichen.
• Daneben hat der Betreiber die Pflicht, Vorgaben des Herstellers betreffend Wartung und Betrieb zu beachten sowie eine bestimmte IT- und TK-Infrastruktur bereitzustellen, die störungsfreien und schnellen Datentransfer ermöglicht. Hierzu gehört auch, die Verfügbarkeit und Erreichbarkeit der Plattform sowie deren Reaktionszeiten zu regeln.
• Der Betreiber benötigt u.U. eine Lizenz für die Software, die er für den Datentransfer auf den Rechner des Herstellers nutzt.
• Im Einzelfall ist stets zu prüfen, ob eine Datenlizenz seitens des Herstellers erforderlich ist, da sich unter den erzeugten Datenmengen auch Geschäfts- und Betriebsgeheimnisse befinden können (s.o.). Während der Hersteller an den Daten auch das Interesse zur Nutzung zu eigenen Zwecken haben kann – wofür er eine Lizenz benötigen wird – kann es für den Betreiber unabdingbar sein, hier eine Geheimhaltungsklausel (sog. NDA) abzuschließen oder in den Vertrag miteinzubeziehen.
• Die Qualität der Daten sollte sichergestellt sein.
• Hinsichtlich des Rechners beim Betreiber muss auch gewährleistet sein, dass der Betreiber seinen Zugangs- und Bereitstellungspflichten nachkommt: zur Produktionsstätte als auch zur Anlage.
• Datenschutzrechtlich sind – sofern personenbezogene Daten betroffen sind – v.a. die Grundsätze zur Sicherheit der Datenverarbeitung (Art. 32 Abs. 1 DSGVO) und ggf. Vorgaben zu einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) zu beachten; im Zweifel muss auch in Erwägung gezogen werden, ob eine Auftragsverarbeitungsvereinbarung (Art. 28 DSGVO) erforderlich ist.
• Mängelansprüche sollten vorausschauend und überlegt in den Vertrag mit einbezogen werden. Durch fehlerhafte Berechnungen können bspw. falsche Entscheidungen in der Marktstrategie getroffen werden, was zu erheblichen Mangelfolgeschäden führen kann. Dies ist ein Haftungsrisiko für den Hersteller und ein betriebliches Problem beim Betreiber. Z.B. könnten Kündigungsklauseln hinsichtlich nur einzelner Auswertungs-Dienstleistungen vereinbart werden, um den Vertrag nicht in Gänze zu gefährden. Hinsichtlich Störungsmeldungen könnten Mitwirkungspflichten des Betreibers vereinbart werden.
• Die deliktische Haftung zu regeln bietet sich an, wenn bspw. autonom arbeitende Systeme eingesetzt werden.
• Als (Neben-)Pflicht kann auch die Vereinbarung zur Vornahme von Virenschutzmaßnahmen in Betracht kommen, da bislang im B2B-Bereich noch nicht geklärt ist, ob solche Maßnahmen als Verkehrssicherungs- oder Nebenpflicht zum Vertrag besteht.

Fazit

Der Vertrieb von IIoT und Industrial Big Data Anwendungen stößt auf rechtliche Probleme, insbesondere in der vertraglichen Einordnung und Vertragsgestaltung. Einzelfallbezogene Klauseln im Bereich Nutzung und Verwertung von Daten sind sowohl auf beiden Seiten des Datentransfers unabdingbar – stets unter Berücksichtigung der besonderen Vertragsziele.

Dies gilt seit der Einführung des GeschGehG umso mehr, weil mit dem Datentransfer ein weiterer Regelungsbereich erforderlich wird. Nur wenn angemessene Schutzmaßnahmen ergriffen worden sind, z.B. mittels einer Vertraulichkeitsverpflichtung, sind die Parteien rechtlich abgesichert. Besonders bei Verträgen, die einen Fernzugriff umfassen, gehört der Abschluss von NDA’s, die Art und Umfang der schützenswerten Information festlegen, unbedingt einbezogen.

Die Anwälte unserer Kanzlei Schürmann Rosenthal Dreyer zeichnen sich durch besondere Expertise in allen für IIoT und Industrial Big Data relevanten Bereichen aus – von passgenauer Vertragsgestaltung über Wettbewerbsrecht bis hin zum Datenschutz. Gerne beraten wir Sie einzelfallbezogen und mit der erforderlichen Präzision.

Einwilligungen in die Verarbeitung von Gesundheitsdaten: rechtssicher und verständlich gestalten

Durch die DSGVO gilt beim Umgang mit Daten, die im Zusammenhang mit einer natürlichen Person stehen, das sogenannte Verbot mit Erlaubnisvorbehalt. Um einen guten und wirksamen Datenschutz für die einzelnen Bürger zu ermöglichen, ist demnach jede Datenverarbeitung, also im Grunde fast alles, was man mit den Daten macht, erst einmal unzulässig, sofern sie nicht nach der DSGVO ausdrücklich erlaubt ist. Das gilt umso mehr für Gesundheitsdaten, die als besonders persönliche Daten gelten und daher auch besonders schützenswert sind. Der Begriff der Gesundheitsdaten ist weit zu verstehen und umfasst alle Daten, die sich auf eine natürliche Person beziehen und die Informationen über ihren Gesundheitszustand beinhalten. So kann darunter selbst ein Foto fallen, wenn sich daraus ergibt, dass die Person eine Brille trägt.

Erlaubt sind Datenverarbeitungen unter anderem bei einer Einwilligung. Erklärt sich jemand mit der Verarbeitung seiner Daten einverstanden, gibt es für den Gesetzgeber keinen Grund, diese zu verhindern. Da die Einwilligung vom Anfang an im Einvernehmen mit dem Betroffenen erfolgt, handelt es sich also um eine sehr sichere Rechtsgrundlage. Damit die Rechte des Betroffenen aber nicht mit missverständlich formulierten oder erzwungenen Einwilligungen untergraben werden, müssen einige Voraussetzungen befolgt werden, damit diese auch wirksam ist– hat der Betroffene gar nicht verstanden, in was oder dass er überhaupt in irgendetwas einwilligt, kann eine Einwilligung, auch wenn sie schriftlich vorliegt, keine rechtliche Wirkung haben. Gleiches gilt, wenn die Einwilligung unfreiwillig, das heißt mit Zwang oder Druck, erfolgt. Die Anforderungen im Einzelnen und wie Sie sie gesetzeskonform und zugleich anwenderfreundlich gestalten, zeigen wir Ihnen in diesem Artikel.

Die Voraussetzungen im Überblick

Der Ausgangspunkt für die Einwilligung findet sich in Art. 6 I a DSGVO. Da Gesundheitsdaten grundsätzlich strengeren Regeln unterliegen, weil sie wesentlich persönlicher sind und Betroffene in der Regel ein stärkeres Interesse an ihrem Schutz haben, kommt mit Art. 9 II a DSGVO gleich eine weitere Norm, die für die Einwilligung in Gesundheitsdatenverarbeitungen gilt, hinzu. Damit ist im Gesundheitswesen auch die Einwilligung etwas komplizierter als gewöhnlich.

Zunächst muss der Betroffene ausdrücklich in die Datenverarbeitung zustimmen. Dafür sollte vom Verantwortlichen erwähnt werden, dass es sich um sensible Daten handelt und welche konkret verarbeitet werden. Auch reicht es nicht wie bei der „normalen“ Einwilligung aus, wenn die Person stillschweigend oder durch schlüssiges Verhalten zu verstehen gibt, mit der Verarbeitung einverstanden zu sein. Eine mündliche Einwilligung hingegen ist durchaus noch ausdrücklich und genügt daher den Anforderungen, wobei der Verantwortliche in diesem Fall aber darauf achten muss, die Einwilligung und die Einhaltung all ihrer Voraussetzungen im Nachhinein noch nachweisen zu können.

Des Weiteren muss sich die Datenverarbeitung auf ganz bestimmte und vorher festgelegte Zwecke beziehen, die dem Betroffenen zuvor auch mitgeteilt werden müssen. Für den Forschungsbereich wird hier eine Ausnahme gemacht, da oft nicht genau vorhergesagt werden kann, wie die gewonnenen Daten hinterher eingesetzt werden. Daher können Studienteilnehmer eine allgemeinere Einwilligung für den Einsatz ihrer Daten in einem bestimmten Forschungsbereich abgeben, „wenn dies unter Einhaltung der anerkannten ethischen Standards der wissenschaftlichen Forschung geschieht“ (Erwägungsgrund 33 DSGVO). Die Ziele sollten aber auch hier selbstverständlich so genau und umfassend wie möglich beschrieben werden.

Ganz besonders entscheidend ist die Freiwilligkeit der Einwilligung. Diese ist nur gegeben, wenn der Betroffene eine echte Wahlmöglichkeit hat, sich mit der Datenverarbeitung einverstanden zu erklären, sie nur in einem bestimmten Umfang zu erlauben oder sie gänzlich zu verbieten. Hier gilt das sogenannte Kopplungsverbot: Im Grundsatz darf die Erteilung einer Leistung nicht von der Einwilligung in Datenverarbeitungen abhängig gemacht werden, die für die Leistung gar nicht erforderlich sind. In Konstellationen, in denen ein starkes Ungleichgewicht zwischen dem Verantwortlichen und der betroffenen Person besteht, muss auf die Freiwilligkeit der Einwilligung besonders geachtet werden. Das ist in Arzt-Patienten-Verhältnissen in der Regel gegeben, sodass darauf geachtet werden muss, dass dem Patienten keine Nachteile durch die Verweigerung der Einwilligung entstehen und dass ihm seine Wahlmöglichkeit ausdrücklich und eindeutig genannt wird. Macht ein Krankenhaus die Behandlung zum Beispiel von einer Einwilligung in die Erhebung von Daten zu Forschungszwecken abhängig, ist das unzulässig.

Genauso ist es wichtig, dass der Betroffene über alles, was im Rahmen der Einwilligung relevant ist, informiert wird. Davon umfasst ist die Tatsache, dass er eine Einwilligung abgibt und welche Folgen sich daraus ergeben, also insbesondere, was mit den seinen Daten danach geschieht. Damit der Betroffene wirklich als informiert im Sinne der DSGVO gelten kann, muss die Einwilligungserklärung mit allen wichtigen Informationen in klarer und einfacher Sprache sowie in leicht zugänglicher Form erfolgen. Dazu gehört auch, dass man eine übermäßige Information, etwa durch die Erklärung sämtlicher technischer oder rechtlicher Details, vermeidet. Die Information darf und sollte im Sinne einer verständlichen Erklärung auf das Wesentliche reduziert werden, während die detaillierten Informationen an anderer Stelle, etwa durch eine Verlinkung, aufgeführt werden sollten. Nutzt man als Verantwortlicher Allgemeine Geschäftsbedingungen (AGB), kann die Einwilligungserklärung auch mit den AGB zusammen dem Betroffenen vorgelegt werden. Dann muss aber darauf geachtet werden, dass sie sich von ihnen klar abgrenzt und abgeschlossen als eigene Erklärung wahrgenommen wird. Diese Hervorhebung kann etwa durch Absätze, Fettdruck oder Ähnliches dargestellt werden.

Schließlich gibt es die Möglichkeit eines Widerrufs, über die der Betroffene auch vorab informiert werden muss. Mit einem Widerruf, der genauso einfach erklärt werden können muss wie die Einwilligung erteilt werden kann, wird die Einwilligung in Gänze zurückgenommen. Das bedeutet, dass die betreffenden Datenverarbeitungen ab dem Zeitpunkt des Widerrufs nicht mehr durchgeführt werden dürfen. Der zugrundeliegende Vertrag kann aber durchaus bestehen bleiben, wenn sich das mit den Folgen des Widerrufs vereinbaren lässt. Im Gesundheitswesen gibt es an dieser Stelle eine besondere Ausnahme, die nicht vergessen werden sollte. Bei Arzneimittelstudien können auch im Falle eines Widerrufs Daten unter besonderen Umständen weiterverarbeitet werden, beispielsweise um die Wirkungen des zu prüfenden Arzneimittels festzustellen (vgl. § 40 Abs. 2a Nr. 3 AMG). Im Falle der Weiterverarbeitung muss der Betroffene informiert werden.

Muss es immer eine Einwilligung sein?

Aufgrund all dieser Voraussetzungen kann das Einholen einer Einwilligung einen gewissen Aufwand bedeuten und aufgrund der Widerrufsmöglichkeit der Betroffenen die langfristige Planung erschweren. Sie mag dem Verantwortlichen daher nicht immer vorteilhaft erscheinen. Da sie aber im Gesundheitsbereich oftmals die einzige rechtlich zulässige Möglichkeit ist, Daten überhaupt zu erheben und zu verwenden, gilt es, die Anforderungen umzusetzen, um rechtskonform zu bleiben. Das gilt etwa bei Fitnesstrackern, die die erhobenen Daten an das jeweilige Unternehmen leiten, das diese dann weiterverarbeitet. Allerdings muss die Einwilligung keine unverhältnismäßig hohe Mehrarbeit bedeuten. In vielen Fällen genügt beispielsweise die einmalige Erstellung einer Einwilligungserklärung, die dann als Vorlage für eine Vielzahl von Anwendungsfällen verwendet werden kann. Insgesamt ist die Einwilligung daher ein gutes Instrument, um die Interessen des Datenverarbeiters mit denen der Patienten am Schutz ihrer Daten miteinander zu vereinbaren.

Bußgeld­zumessung: DSK-Konzept nach DSGVO veröffentlicht

Im Oktober 2019 hat die deutsche Datenschutzkonferenz (DSK) ihr Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht, an dem sich die deutschen Datenschutzbehörden bei der Festlegung ihrer Bußgeldhöhe orientieren sollen. Für Gerichte entfaltet es hingegen keine Wirkung. Sobald der Europäische Datenschutzausschuss (edpb) eigene konkrete Leitlinien zur Festsetzung von Bußgeldern erlassen hat, verliert das Konzept der DSK jedoch in Deutschland seine Gültigkeit. Wir wollen das Konzept kurz vorstellen und eine Einschätzung abgeben.

Vorstellung des Konzepts zur Bußgeldzumessung

Die Bußgeldzumessung erfolgt nach dem Konzept der DSK in fünf Schritten:

1.     Zuordnung des Unternehmens zu einer Größenklasse und Untergruppe

2.     Bestimmung des mittleren Jahresumsatzes der Untergruppe (Mittelwert der Jahresumsatzspanne)

3.     Ermittlung des wirtschaftlichen Grundwerts, Tagessatz (Mittlerer Jahresumsatz geteilt durch 360)

4.     Multiplikation dieses Werts mit einem Faktor der Tatschwere

5.     Anpassung des erhaltenen Wertes anhand sonstiger Umstände des Einzelfalls

Von der DSK werden vier Größen von Unternehmen abhängig vom Vorjahres-Jahresumsatz definiert: Kleinstunternehmen bis 2 Mio. Euro (A), kleine Unternehmen ab 2 bis 10 Mio. Euro (B), mittlere Unternehmen ab 10 bis 50 Mio. Euro (C) sowie Großunternehmen ab 50 Mio. Euro (D). Innerhalb dieser Größenklassen gibt es dann zwischen 3 und 7 Abstufungen, durch welche die Spannen des Jahresumsatzes weiter unterteilt werden. Im zweiten Schritt wird dann der Mittelwert der Spanne des Jahresumsatzes der betreffenden Untergruppe gebildet. Danach wird dieser Mittelwert durch 360 geteilt, um den wirtschaftlichen Grundwert (Tagessatz) zu ermitteln (siehe Tabelle):

Dieser Tagessatz bildet den Ausgangspunkt für die weitere Berechnung des Bußgeldes. Er wird anhand des Schweregrads der Tat (leicht, mittel, schwer, sehr schwer) und der Art des Verstoßes (formell, materiell) mit einem Faktor multipliziert (siehe Tabelle):

Durch letztere Rechnung können die Bußgelder erheblich höher werden. Der Schweregrad der Tat und die Art des Verstoßes haben also einen entscheidenden Einfluss auf die Höhe des Bußgeldes (siehe Diagramm):

Zuletzt wird der resultierende Wert des Bußgeldes nach Multiplikation mit dem Faktor noch anhand der für oder gegen das Unternehmen sprechenden konkreten Umstände des Einzelfalls angepasst.

Einschätzung des DSK-Konzepts

Das Konzept der DSK zur Bußgeldzumessung gibt einen Einblick, wie die Bußgelder der Aufsichtsbehörden zustande kommen und welche Beträge auch jenseits der in der DSGVO genannten konkreten Grenzen von 10 bis 20 Mio. Euro erreicht werden können. Bis einschließlich der Ermittlung des Tagessatzes ist die Zumessung objektiv gut nachvollziehbar. Sobald der Faktor der Tatschwere hinzukommt, kann sich dieser Tagessatz aber schnell vervielfachen.

Während die Einordnung nach der Art des Verstoßes noch objektiv ist, liegt es im Ermessen der Aufsichtsbehörde, eine Einordnung des Schweregrads der Tat nach leicht, mittel, schwer und sehr schwer vorzunehmen. Die Kriterien gem. Art. 83 DSGVO sind hierzu zudem nur bedingt trennscharf und eindeutig. In Bezug auf die individuelle Zumessung wird die Berechnung des Bußgeldes undurchsichtiger und dadurch auch schlecht nachvollziehbar.

Immerhin aber bekommt man durch die Veröffentlichung des Konzeptes einen groben Überblick, auf welcher Ausgangsbasis das Bußgeld beruht. Unternehmen können sich jetzt zumindest im groben Rahmen auf mögliche Bußgelder einstellen, wobei es natürlich besser wäre, wenn es erst gar nicht zu solchen kommt. Für die Gegenüberstellung mit notwendigen Implementierungskosten, z. B. im Bereich IT-Sicherheit, kann die Kalkulation dieser Bußgeldrisiken jedoch absolut legitim sein. 

Es ist jedenfalls wichtig, schon frühzeitig die datenschutzrechtlichen Vorgaben zu beachten, Maßnahmen zu identifizieren und umzusetzen, um mögliche Bußgelder gering zu halten, und diese ggf. in einem Datenschutz-Managementsystem zu bündeln. Wir beraten Sie gerne bei der Umsetzung eines solchen Systems und unterstützen Sie auch bei Datenschutzvorfällen oder im Falle angedrohter oder verhängter Bußgelder der Aufsichtsbehörden

Cookie-Banner: rechtliche Umsetzung in der Praxis

Der EuGH hat mit seinem Urteil vom 1. Oktober 2019 („Planet49“) eine wichtige Entscheidung in Hinblick auf die Nutzung von Cookies gefällt. Insbesondere hat er Aussagen dazu getroffen, wie eine wirksame Einwilligung in Cookies aussieht und welche Informationspflichten man erfüllen muss. In diesem Blogartikel wollen wir klären, wie man weiterhin Cookies nutzen kann und wie Cookie-Banner konkret ausgestaltet sein sollten.

Welche Cookies werden genutzt und welche Rechtsgrundlage ist möglich?

Bevor man beginnt, das Cookie-Banner zu entwickeln und es auszugestalten, muss man zunächst eine Bestandsaufnahme aller verwendeten Cookies vornehmen. Dies ist nötig, um herauszufinden, welche Kategorien von Cookies (gruppiert nach Zwecken) existieren und auf welcher Rechtsgrundlage man die Cookies verwenden kann. Als Rechtsgrundlage für Cookies kommen aus Art. 6 Abs. 1 DSGVO insbesondere in Betracht: die Einwilligung und das berechtigte Interesse.

Bei der Frage, ob man die entsprechenden Cookies auf Grundlage eines berechtigten Interesses nutzen kann, kann man sich am Kriterienkatalog der Datenschutzkonferenz (DSK) orientieren. Dieser formuliert 8 Kriterien, nach denen man eine Interessenabwägung vornehmen kann. Das ist zwar im Einzelfall aufwendig, jedoch im Rahmen der Rechtsgrundlage nach Art. 6 Abs. 1 lit. f DSGVO nötig, um deren dreistufige Voraussetzung (Vorliegen eines berechtigten Interesses, Erforderlichkeit der Datenverarbeitung sowie Interessenabwägung im Einzelfall) dokumentiert und nachvollziehbar zu erfüllen. Aus dem Kriterienkatalog lassen sich folgende Fragen ableiten:

1. Vorhersehbarkeit und Transparenz: Entspricht die Datenverarbeitung den vernünftigen Erwartungen der betroffenen Personen? (dazu gehört nicht z. B. Maustracking)
2. Interventionsmöglichkeiten: Besteht die Möglichkeit, die Datenverarbeitung durch Cookies zu unterbinden oder einzuschränken? (z. B. Opt-out)
3. Verknüpfung der Daten: Werden die verarbeiteten Daten mit weiteren Daten verknüpft? (z. B. Profilbildung, geräteübergreifendes Tracking)
4. Anzahl der beteiligten Akteure: Sind mehrere Akteure an der Datenverarbeitung beteiligt?
5. Dauer der Verarbeitung: Erfolgt die Verarbeitung über einen längeren Zeitraum, gibt es ein Verfallsdatum für persistente Cookies?
6. Kategorien von Daten: Werden besondere Datenkategorien oder wird besonders detailliert verarbeitet? (z. B. Gesundheitsdaten, Tippverläufe, Texte aus nicht abgeschickten Formularen)
7. Umfang der Datenverarbeitung: Werden Daten in großem Umfang verarbeitet?
8. Kategorien von betroffenen Personen: Sind besonders geschützte Personen betroffen? (z. B. Kinder)

Die DSK formuliert übrigens deutlich, dass eine solche Interessenabwägung „eine substantielle Auseinandersetzung mit den Interessen, Grundrechten und Grundfreiheiten der Beteiligten verlangt“, wobei „unzureichende oder pauschale Feststellungen, dass eine Datenverarbeitung gemäß Art. 6 Abs. 1 lit. f) DSGVO zulässig sei“ die gesetzlichen Anforderungen nicht erfüllten.

Als grobe Faustregel könnte man formulieren, dass Cookies zu Präferenzen (z. B. Schriftgröße, Darstellung, Farben) sowie zur Analyse der Seitenaufrufe wohl häufig aufgrund eines berechtigten Interesses zulässig sind, während Cross-Site-Marketing und Re-Targeting auf Drittseiten wohl nur mit Einwilligung zulässig wären. Praktisch lässt sich jedoch keine einfache Formel zur Zulässigkeit aufstellen, da sie zu sehr vom konkreten Cookie und der damit verbundenen Datenverarbeitung abhängt.

Wann braucht man ein Cookie-Banner und wie wird es ausgestaltet?

In dem unwahrscheinlichen Fall, dass die Website lediglich unbedingt (technisch) erforderliche Cookies verwendet (z. B. Session-Cookies, Warenkorb-Cookies, Login-Cookies), ist kein Cookie-Banner erforderlich. Gleichwohl müssen aber auch in diesem Fall die Informationspflichten in der Datenschutzerklärung beachtet werden.

Ansonsten ist stets ein Cookie-Banner erforderlich – also auf den allermeisten Websites. Wird die Nutzung der Cookies auf ein berechtigtes Interesse gestützt, ist das Cookie-Banner dringend empfehlenswert, während es bei der Einholung der Einwilligung zwingend notwendig ist.

Das Cookie-Banner sollte mindestens darüber informieren:

• Warum bzw. welche Arten von Cookies genutzt werden (z. B. für Analyse, Verbesserung der Website, personalisierte Anzeigen und Inhalte, Funktionen für soziale Medien)
• Ob Daten weitergegeben werden (z. B. an Partner, zur Profilbildung)
• Wo man weitere Informationen erhält (Link zur Datenschutzerklärung)
• Dass und wie man Cookies deaktivieren/löschen kann (Opt-Out-Möglichkeit)
• Im Falle einer Einwilligung: dass diese freiwillig ist und auch verweigert werden kann

Beim Einsatz des Cookie-Banners sollte gewährleistet sein, dass:

• Es nicht den Link zum Impressum oder zur Datenschutzerklärung überdeckt
• Im Falle eines berechtigten Interesses: Möglichst keine Cookies gesetzt werden, bevor der Nutzer eine Interaktion ausgeführt hat (z. B. Klick auf internen Link), also ein Delay eingebaut wird
• Im Falle einer Einwilligung: Cookies erst gesetzt werden, wenn der Nutzer aktiv die Zustimmung durch eine Schaltfläche gegeben hat, und das Banner vor Entscheidung des Nutzers (Zustimmung/Ablehnung) auch nicht weggeklickt werden kann

Auf konkrete Textbeispiele wollen wir an dieser Stelle verzichten, da keines den individuellen Anforderungen der eigenen Website genügte und diese ggf. in falscher Erwartung als Standardmuster verwendet würden. Vielmehr sollte der Text des Cookie-Banners den individuellen Eigenheiten der Website und der genutzten Cookies entsprechen.

Was muss man beim Cookie-Banner aufgrund eines berechtigten Interesses noch beachten?

Das Cookie-Banner bei der Nutzung von Cookies auf Grundlage eines berechtigten Interesses sollte nicht den Eindruck erwecken, es würde eine Einwilligung darstellen. Stattdessen sollte der Banner-Text als reine Information dienen, die man etwa mit einem Button „Ok“ als Bestätigung der Kenntnisnahme abschließen könnte. Der Klick auf „Ok“ wäre wohl die einfachste Möglichkeit, zugleich das Setzen bzw. den Zugriff auf Cookies zu aktivieren, wenn man keine andere Form eines Delay nutzt (s.o.).

Mit der Kenntnisnahme verbunden werden kann ein – in diesem Fall dann unbedingt notwendiges – Cookie, welches eben diese Bestätigung, das Banner gelesen zu haben, dokumentiert. Solange dieses „Gesehen“-Cookie existiert, braucht das Cookie-Banner dann nicht mehr angezeigt zu werden. Sollte der Nutzer seine Cookies regelmäßig löschen, würde jedoch auch das Banner wieder auftauchen.

Welche Formen könnte ein Cookie-Banner mit Einwilligung annehmen?

Das Cookie-Banner sollte grundsätzlich die freie Wahl zwischen Zustimmung und Ablehnung der Cookies ermöglichen – und keinen Zwang ausüben. Die konkrete Ausgestaltung hängt wiederum davon ab, wie datenschutzfreundlich man sein bzw. wie viel Risiko man eingehen möchte.

Sicherlich wäre es besonders datenschutzfreundlich, wenn das Cookie-Banner standardmäßig keine der aufgeführten Cookie-Arten (gruppiert nach Zweck) voreingestellt hat und den Button “Keine auswählen” bzw. nach dem Ankreuzen “Auswahl bestätigen” besitzt. Dann sollte man sich jedoch zugleich bewusst sein, dass kaum jemand freiwillig Cookies für Marketing ankreuzen wird, sondern stattdessen keine Cookies auswählen wird.

Ein Mittelweg wäre wohl, die Schaltflächen “Alle Cookies akzeptieren”, “Nicht notwendige Cookies ablehnen” und “Cookies individuell einstellen” nach (oder in) dem Informationstext anzubieten. Dabei sind verschiedene Design und konkrete Ausgestaltungen möglich.

Besonders progressiv – jedoch zugleich auch risikoreicher – wäre die Möglichkeit, einen Button „Alle Cookies akzeptieren“ anzubieten und zugleich (nur) die Schaltfläche „Cookies individuell einstellen“. Aus dem Informationstext sollte dann aber deutlich hervorgehen, dass man über diesen Button auch die Cookies ablehnen kann. Die Interaktion mit diesem Button könnte dann zu nicht voreingestellten Checkboxen von nach Zwecken gruppierten Cookies führen, wobei eine Schaltfläche standardmäßig die Ablehnung nicht notwendiger Cookies ermöglichen (“Keine auswählen”) und nach dem Ankreuzen “Auswahl bestätigen” heißen könnte.

Gerichtsentscheidungen, die konkret besagen, wie die Einwilligungen mithilfe von Cookie-Bannern auszusehen haben, gibt es bisher nicht, so dass es noch an Rechtssicherheit in diesem Bereich fehlt.

Fazit: Eine Frage des Risikos

Die Ausgestaltung des Cookie-Banners für Einwilligungen kann also ziemlich unterschiedlich ausfallen, je nachdem, welche Prioritäten man setzt. Man sollte sich immer bewusst sein, dass es sich weiterhin um eine Abwägungs- und Risikofrage handelt. So sollte die Entscheidung für ein Konzept nicht leichtfertig und schnell gefällt werden, sondern immer vor dem Hintergrund einer genauen Erwägung der möglichen Vor- und Nachteile bestimmter Varianten eines Cookie-Banners.

JUVE: Erneute Empfehlungen für SRD Rechtsanwälte

Der JUVE-Verlag hat zum wiederholten Mal SRD Rechtsanwälte im Bereich Datenschutz gelistet.

„Die Berliner Technologieboutique hat vor allem für ihre umfangreiche Beratung zu Kundenbindungsprogrammen einen guten Ruf. […] Die Anwälte nutzen ihre Kenntnisse daraus geschickt, um sich als Berater in der weiteren technischen Entwicklung zu positionieren“, heißt es im neuen JUVE Handbuch Wirtschaftskanzleien 2019/2020.

Neben dem Schwerpunkt Kundenbindung werden auch die Bereiche Gesundheit und Digitalisierung herausgestellt: „Darüber hinaus gelingt es regelmäßig, aus Empfehlungen neue Mandate zu gewinnen, zuletzt entwickelte sich daraus ein Schwerpunkt auf das Gesundheitswesen. […] Besonders bemerkenswert ist, dass die Kanzlei akribisch daran arbeitet, auch die technischen Aspekte zu durchdringen und dies in der Mandatsarbeit mit einbringen kann.“

Über JUVE

Das JUVE Handbuch Wirtschaftskanzleien hat sich durch seine langjährige Beständigkeit längst am deutschen Anwaltsmarkt etabliert. Basis für die Bewertungen sind umfangreiche Recherchen bei Kanzleien, Unternehmensverantwortlichen, Behördenvertretern und Mitarbeitern aus Justiz und Wissenschaft. Einmal jährlich werden Kanzleien aus ganz Deutschland in den verschiedensten Rechtsgebieten ausgezeichnet.

Die Kanzlei und ihre Anwälte sind bereits mehrfach für ihre außerordentlichen Leistungen in den letzten Jahren hervorgehoben worden:

• Erstmalige Nennung für Schürmann Rosenthal Dreyer Rechtsanwälte im JUVE HANDBUCH Wirtschaftskanzleien 2018/2019 im Bereich Datenschutzrecht
• The Legal 500 zählt SRD Rechtsanwälte zu den besten Kanzleien in den Bereichen Informationstechnologie und Datenschutz
• Rechtsanwältin und Partnerin Kathrin Schürmann wurde bereits fünfmal von Best Lawyers und Handelsblatt im Bereich Gewerblicher Rechtsschutz empfohlen und bereits mehrfach von The Legal 500 als „absolute Datenschutzexpertin“ hervorgehoben.
• Simone Rosenthal – Partnerin bei SRD – ist mehrfach empfohlene Rechtsanwältin von The Legal 500
• Phillip Müller-Peltzer (Associated Partner) wurde ebenfalls von The Legal 500 als idealer Ansprechpartner für Digitalisierungsprojekte mit großer IT- und Datenschutzexpertise hervorgehoben
• Jan O. Baier wurde bereits mehrfach u.a. von Best Lawyers und Handelsblatt empfohlen und gehört zu Deutschlands besten Anwälten im Urheber- und Medienrecht

Vorsicht bei Chatbots: Die wichtigsten Voraussetzungen für den sicheren Einsatz

Während man noch vor wenigen Jahren im Alltag nicht so viele Gelegenheiten hatte, auf virtuelle Gesprächspartner wie Chatbots zu treffen, sieht die Lage heute schon anders aus. Die Möglichkeiten scheinen unbegrenzt, wenn man an Chatbots, die Hilfe bei seelischen Erkrankungen versprechen, oder andere Anwendungen denkt. Da die dahinterstehende Künstliche Intelligenz (KI) sich immer weiter verbessert, wächst ihr Potential auch für Unternehmen im Kundenservice. Ob Hotelbuchungen, Ticketkäufe oder Kundenanfragen – zunehmend ersetzt der computergesteuerte Kundenservice den persönlichen Kontakt zu menschlichen Ansprechpartnern in Unternehmen.

Was können Chatbots?

Ein Chatbot zeichnet sich durch die Fähigkeit aus, Sprache oder Text verstehen zu können und Unterhaltungen mit Menschen zu simulieren. Die KI, die im Backend des Chatbots hinterlegt, zerlegt die vom Nutzer gestellten Fragen (sog. „intents“) und gemachten Eingaben (sog. „entities“) in Einzelteile und verarbeitet diese nach vorgegebenen Regeln. Die meisten Chatbots greifen dabei auf Datenbanken mit Antworten und Erkennungsmustern zurück.

Durch Chatbots werden herkömmliche Kundenkanäle nicht bloß ersetzt, sondern auch erweitert, indem der Grad der Automatisierung erhöht wird. Dadurch kann der Umfang der Kundenkommunikation erheblich vergrößert werden, da Chatbots – anders als menschliches Personal – mit nahezu beliebig vielen Kunden gleichzeitig kommunizieren können. Chatbots können die Kunden zudem auch über Instant-Messaging-Dienste ansprechen, welche die Kunden im Alltag ohnehin nutzen. Der direkte Austausch mit einem Chatbot über ein dem Kunden bekanntes Medium stärkt das Vertrauen gegenüber der KI.

Für Kunden beziehungsweise Nutzer versprechen gut abgestimmte Chatbots frustrationsfreie, direkte Kommunikation, die frei von Wartezeiten ist. Für Unternehmen ermöglichen sie beachtliche Kosteneinsparungen sowie effiziente, individuell auf den Kunden zugeschnittene Service- und Vertriebsmechanismen. Sie sind damit in der Lage, die Mitarbeiter zu entlasten und den Kunden gleichzeitig einen Service rund um die Uhr zu bieten. In jedem Fall wird die Nutzung von Chatbots die Kundenkommunikation weiter stark verändern und Gespräche mit Mitarbeitern immer weiter in den Hintergrund rücken lassen. Damit sind zahlreiche moralische Fragen verbunden, denen sich Politik und Gesellschaft, aber auch die Unternehmen stellen müssen. Chatbots sollten daher nicht blind und wahllos eingeführt, sondern mit Bedacht für konkrete Anwendungsfälle ausgesucht und implementiert werden.

Sind Chatbots bedenkenlos einsetzbar? Ein Überblick über die rechtlichen Grundlagen

Den Unternehmen, die Chatbots einsetzen wollen, sollte zudem bewusst sein, dass sich Chatbots fast immer im Anwendungsbereich der Datenschutz-Grundverordnung (DSGVO) bewegen, da Gesprächsdaten und Kommunikationsdaten (wie etwa die die IP-Adresse des Nutzers) personenbezogene Daten im Sinne der DSGVO darstellen. Der Einsatz von Chatbots bringt insofern einige datenschutzrechtliche Herausforderungen mit sich.

Gemäß Art. 6 Abs. 1 DSGVO bedarf die Verarbeitung personenbezogener Daten immer einer Rechtsgrundlage. Es kommen dabei verschiedene Rechtsgrundlagen in Betracht: So besteht bei vertragsspezifischen Anfragen über Chatbots regelmäßig eine gesetzliche Rechtsgrundlage, da die Datenverarbeitung zur Erfüllung der vertraglichen Pflichten erforderlich ist. Dies gilt insbesondere, wenn die Nutzung des Chatbots für die Beantwortung von Supportanfragen zuvor ausdrücklich zum Vertragsbestandteil gemacht wird. Teilweise kann die Verarbeitung auch auf die berechtigen Interessen des Betreibers gestützt werden. Zuvor muss jedoch eine Abwägung mit den Interessen der Nutzer erfolgen. Demgegenüber muss regelmäßig eine Einwilligung des Nutzers eingeholt werden, wenn die Funktion des Chatbots über herkömmlichen Support-Service hinausgehen. Auch für das Anlernen der KI mit personenbezogenen Daten ist regelmäßig eine Einwilligung erforderlich. Dies gilt insbesondere, wenn Daten besonderer Kategorien wie Gesundheitsdaten verarbeitet werden, die Kontaktaufnahme durch das Unternehmen geschieht (§ 7 UWG) oder bei Sprachaufnahmen. Die Einwilligung sollte protokolliert werden und muss jederzeit durch den Nutzer wiederrufbar sein.

Wie bei jedem datenschutzrechtlich relevanten Vorgang, müssen auch im Rahmen der Chatbot-Nutzung die Informationspflichten aus Art. 13, 14 DSGVO eingehalten werden. Ein Unternehmen muss hier alle geeigneten Maßnahmen treffen, um der betroffenen Person die gesetzlichen Pflichtangaben in präziser, transparenter, verständlicher und leicht zugänglicher Form in klarer und einfacher Sprache zu übermitteln (Art. 12 Abs. 1 DSGVO). Dazu gehört grundsätzlich auch die Vermittlung der groben Funktionsweisen der eingesetzten KI. Dies gilt jedenfalls, wenn die KI ein sog. Profiling, die automatisierte Bewertung persönlicher Aspekte für Analyse und Prognosezwecke, vornimmt. Auch sind über den Gegenstand und Umfang der Datenverarbeitungen, die Rechtsgrundlage und die Empfänger zu informieren. Schließlich muss über die datenschutzrechtlichen Rechte der betroffenen Personen aufgeklärt werden. Da die Datenschutzerklärung jederzeit erreichbar eingebunden werden muss, drohen die Vorteile einer unkomplizierten und damit schnellen Kommunikation abhanden zu kommen. Um das zu verhindern, empfiehlt es sich nur Kurzinformationen in den Bot einzubinden und im Übrigen auf ergänzende Hinweise zu verlinken.

Zudem muss, sofern es sich nicht um einen unternehmenseigenen Bot handelt, zwischen Betreiber und Anbieter des Bots ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden, wenn der Bot-Anbieter die Möglichkeit eines Zugriffs auf Daten hat. Wichtig ist auch, darauf zu achten, dass das Programm nicht maßlos Daten verarbeitet, sondern dass der Grundsatz der Datensparsamkeit eingehalten wird. Angaben, die für die jeweilige Funktion des Chatbots nicht erforderlich sind, dürfen auch nicht erhoben werden. Die namentliche Ansprache kann beispielsweise ein Gefühl des persönlichen Gesprächs geben, doch eine Ansprache mit Klarnamen ist gerade im Kundensupport häufig nicht notwendig.

Neben den rein rechtlichen Anforderungen muss das verantwortliche Unternehmen nach Art. 32 DSGVO den allgemeinen technisch-organisatorischen Anforderungen zu Datenschutz und -sicherheit nachkommen. Dazu gehört unter anderem die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung von Daten. Dies alles sollte gewährleistet sein, bevor ein Unternehmen sich zum Einsatz von Chatbots entschließt. Zum Beispiel müssen technische Vorkehrungen getroffen werden, um bei einem Serverausfall des Dienstes die Daten im Chatverlauf schnell wiederherstellen zu können. Ebenso gehören dazu die Pseudonymisierung und Verschlüsselung personenbezogener Daten – Maßnahmen, um dem Risiko entgegenzuwirken, dass über den Chat personenbezogene Daten durch Dritte ausgelesen werden. Möglichkeiten zur Verschlüsselung der Daten sollten daher in jedem Fall geprüft und gegebenenfalls umgesetzt werden.

Fazit

Die Fähigkeiten von Chatbots werden weiterhin zunehmen und damit einhergehend auch ihre Verbreitung. Die DSGVO versucht nicht, diese Entwicklung aufzuhalten, sondern durch datenschutzrechtliche Rahmenbedingungen die Interessen der Nutzer und Verwender miteinander in Einklang zu bringen, was nicht zuletzt auch zu einer höheren Akzeptanz für derartige Technologien führen dürfte. Die Umsetzung aller datenschutzrechtlichen Maßnahmen im Vorfeld dürfte zwar zunächst zu Mehrarbeit führen, zahlt sich schließlich aber durch eine erhöhte Sicherheit und die Vermeidung datenschutzrechtlicher Sanktionen aus.

Das Bußgeldverfahren unter der DSGVO – Ein Überblick

Einer der Aspekte der seit Mai 2018 verbindlich geltenden Datenschutz-Grundverordnung (DSGVO), der besondere Aufmerksamkeit in der Öffentlichkeit erlangt hat, ist das Bußgeldverfahren, welches auf Datenschutzverstöße folgen kann. Insbesondere die in Großbritannien angekündigten Rekordsummen haben es in die Medien geschafft. Die dortige Aufsichtsbehörde übertraf die bis dahin höchste Geldbuße in Höhe von 50 Mio. EUR gegen Google mit Summen von jeweils 110 und 200 Mio. EUR gegen die Hotelkette Marriott und British Airways. Ihre Abschreckungswirkung werden solche Summen sicherlich nicht verfehlen. Auch in Deutschland, wo bisher maximal von sechsstelligen Geldbußen zu hören war, kündigen sich neuerdings Sanktionen in Millionenhöhe an. Dieser Artikel gibt einen Überblick über die verschiedenen Aspekte des Bußgeldverfahrens, zu denen wir zudem auf unsere weiteren Beiträge zur Vertiefung verweisen.

Der Gang des Bußgeldverfahrens

Wie kommt es für ein Unternehmen also zu einem solchen Bußgeld? Ausgangspunkt für das Bußgeldverfahren kann sowohl ein von der Aufsichtsbehörde gehegter Verdacht auf Datenschutzvorfälle als auch die Beschwerde einer betroffenen Person sein. Kommt die Behörde daraufhin zu dem Schluss, ein Verfahren gegen den Verantwortlichen einleiten zu wollen, wird diese ein Schreiben in Form eines Auskunftsersuchens versenden, das einerseits der Behörde bei ihrer Beurteilung helfen und andererseits dem Verantwortlichen Gelegenheit geben soll, bereits zu Anfang in eigener Person Stellung zu beziehen. Hier wird es in den allermeisten Fällen am sinnvollsten sein, die Fragen schnell und umfassend zu beantworten, da bereits in dieser frühen Phase der Behörde Sanktionsmöglichkeiten aufgrund fehlender oder unzureichender Auskunft an die Hand gegeben sind.

Das eigentliche Bußgeldverfahren wird allerdings erst eingeleitet, wenn die Behörde nach der Anhörung der Auffassung ist, dass tatsächlich ein Datenschutzverstoß vorliegt. Das Procedere dieses Verfahrens richtet sich nach den nationalen Verfahrensvorschriften, die in Deutschland dem Ordnungswidrigkeitengesetz (OWiG) entnommen werden. Dabei gibt es allerdings eine rein datenschutzrechtliche Besonderheit, die zulasten des Verantwortlichen geht: Anders als im OWiG vorgesehen ist diesen die Unschuldsvermutung verwehrt und sie haben daher zu beweisen, dass sie keinen Verstoß gegen die DSGVO begangen haben.

Wurde schließlich ein Bußgeldbescheid erlassen, bleibt nur noch die Möglichkeit des Einspruchs. Je nach Reaktion der Behörde kann der Fall so zur Staatsanwaltschaft oder vor Gericht gelangen. Das Gericht kann am Ende entscheiden oder auch an die Behörde zurückverweisen. In allen möglichen Szenarien kann das Verfahren allerdings sehr lange dauern und entsprechend kostspielig werden, während man in Unsicherheit verbleibt, ob und in welcher Höhe am Ende ein Bußgeld bezahlt werden muss. Daher ist ein rechtlicher Beistand von Anfang an zu empfehlen, auch da man durch eine gute Zusammenarbeit mit den Behörden einen positiven Einfluss auf das Verfahren nehmen kann.

Die Rolle der Aufsichtsbehörden

Grundsätzlich nehmen die Behörden nämlich nicht bloße Sanktions-, sondern auch beratende Funktionen wahr. Nimmt man diese Beratung an und zeigt sich kooperativ, kann man als Unternehmen mit geringeren oder gegebenenfalls auch gar keinen Bußgeldern rechnen.

Damit die Kooperation mit der Behörde gelingt, sollte man sorgfältig vorgehen: Zum einen sollte man als Unternehmen bereits im Vorfeld – vor dem Beginn etwaiger Verfahren – geeignete Datenschutzmaßnahmen ergreifen, um im Fall der Fälle vorbereitet zu sein und behördliche Anfragen angemessen beantworten zu können. Gerade, wenn man neue Geschäftsmodelle etablieren möchte, kann eine initiative Kooperation mit der Behörde zu einer höheren DSGVO-Konformität und einem geringeren Bußgeldrisiko führen. Darüber hinaus muss man auch mit unangekündigten Kontrollen der Behörden rechnen. Hat man dann bereits die notwendigen Konzepte und Maßnahmen eingerichtet, steht man als Unternehmen auf der sicheren Seite und kann mit der Aufsichtsbehörde zielgerichtet zusammenarbeiten.

Auch nach dem Eintritt eines Datenschutzverstoßes zahlt sich ein proaktives Vorgehen aus, wenn man ihn umgehend meldet und darauf entsprechend, das heißt schnell und effektiv, reagiert. Ganz entscheidend ist dies, wenn die Information an die Behörde nicht fakultativ ist, sondern eine Meldepflicht besteht. Das ist nach Art. 33 Abs. 1 DSGVO immer dann der Fall, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen zu erwarten ist. Das Unternehmen sollte sich dann möglichst schnell, in jedem Fall aber innerhalb der Meldefrist von 72 Stunden, an die Behörde wenden.

Wann muss man mit Bußgeldern rechnen?

Für die Verhängung eines Bußgeldes ist ein Datenschutzverstoß Voraussetzung. Welche Verstöße das sein können, lässt sich in Art. 83 Abs. 4 und 5 DSGVO nachlesen. Darin ist eine Vielzahl von Normen aufgezählt, deren Verletzung Geldbußen nach sich ziehen kann, beispielsweise wenn die Betroffenenrechte missachtet werden. Allerdings kann ein Bußgeld nur verhängt werden, wenn die Stelle, die gegen Datenschutzvorschriften verstoßen hat, zumindest fahrlässig gehandelt hat. Das bedeutet, dass keines zu befürchten ist, wenn der Datenschutzvorfall ohne jedes Verschulden eingetreten ist.

Indes wird ein Bußgeld umso wahrscheinlicher, je fahrlässiger oder wenn gar vorsätzlich der Datenschutzverstoß herbeigeführt wurde. Weitere Kriterien, deren Vorliegen eher für die Verhängung eines Bußgeldes sprechen, sind: Die Größe der Datenmenge, die Anzahl der betroffenen Personen, eine besondere Schutzwürdigkeit der Daten oder wenn der aktuelle Verstoß nicht der erste ist. Nach ähnlichen Kriterien bestimmt sich auch die Höhe des Bußgeldes. Der Höchstrahmen ist wiederum in Art. 83 Abs. 4 und 5 DSGVO gesetzt worden mit den Summen von bis zu 10 bzw. 20 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes. Um diese Höchstgrenzen zu erreichen, müssen die Datenschutzverstöße aber sehr gravierend sein; wie im Falle der bereits angesprochenen Sanktion gegen British Airways. Hier waren teilweise als äußerst sensibel eingestufte Daten von ca. 500.000 Kunden für unbefugte Dritte über einen längeren Zeitraum hinweg zugänglich.

Was ganz grundsätzlich seit der Einführung der DSGVO festzuhalten ist: Mit Bußgeldern ist einerseits häufiger zu rechnen als zuvor und andererseits können im Einzelnen höhere Beträge erwartet werden – eine Entwicklung, die sich auch zukünftig noch fortsetzen dürfte. Richtet man sein Augenmerk ins EU-Ausland, ergibt sich ein vielfältiges Bild aufgrund unterschiedlicher Fortschritte bei der Umsetzung der DSGVO.

Fazit

Trotz der medienwirksamen Rekordbußgelder und der auch in der Breite häufigeren Sanktionierung gibt es im Zusammenhang mit DSGVO-Bußgeldern keinen Grund in Panik zu geraten. Das mit ihnen verfolgte Ziel ist nicht mehr und nicht weniger eine konsequente Umsetzung der DSGVO, die für jeden möglich ist und Bußgelder im Umkehrschluss zu vermeiden hilft. Und falls es dennoch einmal zu einem Vorfall gekommen ist, kann und sollte die Aufsichtsbehörde als beratende Institution begriffen werden, die bei der Bewältigung der Probleme unterstützt und die eine enge Zusammenarbeit mit geringeren Bußgeldern anerkennt. Wer über das Verfahren also informiert ist, sich gut beraten lässt und schließlich im Umgang mit der Behörde richtig vorgeht, hat auch unter der DSGVO wenig zu befürchten.

Datenschutz­konformes Outsourcing im Gesundheitswesen

Outsourcing ist eine sinnvolle Möglichkeit für Krankenhäuser, Arbeiten, die nicht zu ihren Kernkompetenzen der Untersuchung, Behandlung und Pflege von Patienten gehören, an externe Dienstleister zu delegieren. Ein solches Outsourcing geht jedoch häufig mit der Weitergabe von Patientendaten einher. Dabei gilt es die Vorgaben des Datenschutzes zu beachten. Außerdem müssen strafrechtlich relevante Verletzungen der ärztlichen Schweigepflicht verhindert werden. Dieser Beitrag fasst die wichtigsten Vorgaben zusammen, deren Beachtung einen reibungslosen Ablauf von Outsourcing gewährleisten

Outsourcing im Gesundheitswesen im Einklang mit dem Datenschutz

Outsourcing ist kein positiv besetzter Begriff. Die Vergangenheit hat gezeigt, dass Outsourcing einerseits kein Allheilmittel ist, aber andererseits in speziellen Bereichen sinnvoll eingesetzt werden kann.
Ob das gelingt, hängt in der Umsetzung von der Vereinbarung mit dem jeweiligen Auftragnehmer ab. Im Gesundheitswesen wird das Outsourcing bestimmter Bereiche immer öfter notwendig, auch und gerade, wenn es um IT-Dienstleistungen geht. Nicht immer kann etwa ein einzelnes Krankenhaus IT-Systeme oder medizinische Geräte instand halten und sich zugleich auf seine eigentlichen Kompetenzen konzentrieren, ohne die Sicherheit der Patientendaten zu gefährden. Aufgrund der steigenden Anzahl an Datenverarbeitungen, komplexen Informationssystemen oder Geräten in der Gesundheitsbranche kann die Inanspruchnahme externer IT-Dienstleister daher geboten sein. Dennoch werden damit sensible Gesundheitsdaten der Patienten an Dritte weitergegeben.

Rechtlich gesehen existieren zwei Felder, die dem im Mittelpunkt stehenden Patienten Schutz für seine gesundheitlichen Informationen bieten:
Ihm steht das Recht auf den Schutz der ihn betreffenden Gesundheitsdaten zu: Zum einen sollen Dritte nicht „am Patienten vorbei“ Zugriff auf seine Gesundheitsdaten erhalten, sondern der Betroffene muss in irgendeiner Weise der Weiterleitung seiner Daten zugestimmt haben. Das kann beispielsweise durch den Abschluss eines Behandlungsvertrags geschehen, der als Rechtsgrundlage für die Datenverarbeitungen dienen kann. Die Kontrolle über die Daten ist zudem strafrechtlich abgesichert durch die ärztliche Schweigepflicht, die die Wichtigkeit dieser Daten noch einmal unterstreicht, indem sie die Weitergabe von Patientengeheimnissen unter Strafe stellt.

Datenschutzrechtliche Privilegierung von Outsourcing

Vom datenschutzrechtlichen Standpunkt aus betrachtet liegt in den meisten Fällen eine Auftragsverarbeitung zwischen dem Unternehmen des Gesundheitsbereichs, beispielsweise einem Krankenhaus, und dem IT-Dienstleister vor.
Dieses besteht aus dem Verhältnis zwischen einem Verantwortlichen, der allein über Mittel und Zwecke der Datenverarbeitung entscheidet und einem Auftragsverarbeiter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Dienstleister muss folglich im Auftrag zum Beispiel eines Krankenhauses handeln und dabei weisungsgebunden sein. Dabei ist er aber — abgesehen von den Mitteln und Zwecken der Verarbeitung — nicht vollständig an die Weisungen des Auftraggebers gebunden.
Eine Besonderheit der Auftragsverarbeitung ist, dass der Verantwortliche und der Auftragsverarbeiter gedanklich aneinanderrücken und datenschutzrechtlich zu einer Einheit werden, was zur Folge hat, dass die Offenlegung der Gesundheitsdaten an und die weitere Verarbeitung durch den IT-Dienstleister von der für das Krankenhaus geltenden Rechtsgrundlage gedeckt ist. Haben Patienten beispielsweise in eine bestimmte Verarbeitung ihrer Daten eingewilligt, muss man von ihnen in der Regel keine weitere Einwilligung dafür einholen, dass die Verarbeitung nun der Dienstleister übernimmt. Üblicherweise müsste man für die Verarbeitung der Daten durch einen Dritten eine gesonderte Einwilligung einholen oder eine andere Rechtsgrundlage anführen. Diese sogenannte „Privilegierung“ der Auftragsverarbeitung gilt freilich nur, sofern alle Voraussetzungen der Auftragsverarbeitung nach der Datenschutz-Grundverordnung (Art. 28 DSGVO ) erfüllt sind.

Hier gilt es, sorgfältig vorzugehen:
1. Man entscheidet sich für den richtigen Dienstleister
2. Mit diesem schließt man einen umfassenden Auftragsverarbeitungsvertrag.

Bei der Auswahl des Dienstleisters sollte darauf geachtet werden, dass dieser geeignete technische und organisatorische Maßnahmen anbietet. Diese sollten in der Lage sein Datenschutzrechtsverstößen vorzubeugen und dafür sorgen, dass die Einhaltung der DSGVO-Vorschriften wahrscheinlich ist. Dabei können entsprechende Zertifizierungen helfen, den richtigen Dienstleister zu finden.
Der Vertrag sollte die betreffenden Datenverarbeitungen und die Rechte wie Pflichten der Beteiligten möglichst genau beschreiben und die erforderliche Weisungsbefugnis festlegen. Weitere Details wie beispielsweise die Vergabe von Unteraufträgen durch den Dienstleister oder zum Umgang mit den Daten nach der Beendigung des Vertragsverhältnisses sind mit aufzunehmen. Ist der Dienstleister ein Unternehmen, das die Daten außerhalb der EU verarbeitet, ist zu prüfen, ob die EU-Kommission das Datenschutzniveau in dem betreffenden Land als angemessen einstuft oder sonstige Garantien beziehungsweise Ausnahmen bestehen. Im Falle der USA ist eine Übermittlung der Gesundheitsdaten dorthin zulässig, wenn das Unternehmen nach dem Privacy-Shield-Abkommen zertifiziert ist.

Strafrecht als Hemmschuh des Outsourcings?

Abgesehen davon, ob das Outsourcing datenschutzkonform gestaltet wurde, sollte geprüft werden, ob Daten weitergegeben werden müssen, die der ärztlichen Schweigepflicht unterliegen.
Wichtig ist, dass es hier um Patientengeheimnisse geht, die nicht mit den Gesundheitsdaten im Sinne der DSGVO gleichzusetzen sind. Denn während letztere alle Daten sind, die sich auf eine natürliche Person beziehen und zugleich Informationen zu deren Gesundheitszustand beinhalten, sind diese nur dann zugleich auch Patientengeheimnisse, wenn sie vertraulich sind, also in Ausübung der Tätigkeit des Berufsgeheimnisträgers diesem vom Patienten mitgeteilt wurden.
Deren Weitergabe kann — bei Nichtbeachtung der Vorgaben des Gesetzgebers — eine strafbare Verletzung des Patientengeheimnisses bedeuten, die Geld- und sogar Freiheitsstrafen nach sich ziehen kann.
Durch die Gesetzesänderungen des § 203 StGB zum 9. November 2017 wurde der Notwendigkeit externer Dienstleister aber Rechnung getragen und deren Inanspruchnahme deutlich vereinfacht. Der ärztlichen Schweigepflicht unterfallende Daten dürfen demnach inzwischen nicht nur berufsmäßig tätigen Gehilfen von Ärzten und anderen Berufsgeheimnisträgern offenbart werden, sondern auch allen sonstigen Personen, die an ihrer beruflichen Tätigkeit mitwirken. Voraussetzung dafür ist, dass die Weitergabe für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Person erforderlich ist und sofern diese zur Geheimhaltung verpflichtet wurde.
Mit erforderlich ist gemeint, dass der Dienstleister die Daten benötigt, um seine geschuldete Leistung sinnvoll ausführen zu können. Da das in vielen Fällen im Vorhinein nicht genau absehbar ist, ist eine Vereinbarung zulässig, nach welcher der Dienstleister nur auf die für seine Tätigkeit erforderlichen Informationen zugreift.
Schließlich muss der Beauftragte zur Geheimhaltung verpflichtet werden und dazu, ebenfalls seine Mitarbeiter und ggf. weitere Unterauftragnehmer zur selben Geheimhaltung zu verpflichten. Eine Strafbarkeit des Berufsgeheimnisträgers ist auch gegeben, wenn eine solche Geheimschutzverpflichtung unterbleibt. Das bedeutet aber auch, dass sich der strafrechtliche Schutz des Patientengeheimnisses auf den Dienstleister und seine ausführenden Personen erweitert, die umgekehrt sich damit strafbar machen können, wenn sie unbefugt die Patientengeheimnisse weitergeben. Darauf sollte im Rahmen der Verpflichtungsvereinbarung sinnvollerweise auch hingewiesen werden.

Pflichten aus den Landeskrankenhausgesetzen

Für Krankenhäuser sind zusätzlich die jeweiligen Landeskrankenhausgesetze zu beachten, die je nach Bundesland strengere Bestimmungen formulieren können. Beispielsweise legt § 11 Abs. 2 des Hamburger Landeskrankenhausgesetzes bei der regelmäßigen oder automatisierten Offenlegung von Daten dem Krankenhaus eine Aufzeichnungspflicht auf. Weitere technische Schutzmaßnahmen verlangt § 24 Abs. 7 des Berliner Gesetzes. Verarbeitet eine andere Stelle als ein Krankenhaus Patientendaten, dürfe der Auftragnehmer keinen Personenbezug der Patientendaten herstellen können und werden Patientendaten außerhalb des Krankenhauses archiviert, muss das Krankenhaus diese zuvor verschlüsselt haben. Ein weiteres Beispiel ist § 27 Abs. 4 S. 6 des Bayerischen Landeskrankenhausgesetzes, welcher die Verarbeitung von Patientendaten eines Krankenhauses, die nicht nur für die verwaltungsmäßige Abwicklung der Behandlung der Patienten erforderlich ist, ausschließlich durch andere Krankenhäuser erlaubt.
Wenn die Zulässigkeit eines Outsourcing-Vorhabens oder einer seiner Komponenten von einer landesrechtlichen Bestimmung abhängt, lohnt sich eine Beobachtung der rechtlichen Entwicklung auf lange Sicht. Denn nicht wenige sehen in vielen dieser Normen Verstöße gegen das Europarecht, da dieses den Ländern nur Bestimmungen über die Art der Daten, aber nicht über den Ort ihrer Verarbeitung gestattet. Da die Europarechtswidrigkeit allerdings noch nicht gerichtlich festgestellt wurde, sollte bis dahin an den Landesgesetzen festgehalten werden.

Möglichkeit Outsourcing

Datenschutzkonformes Outsourcing im Gesundheitsbereich ist möglich. Patientendaten sind besonders sensibel. Daher sind die Anforderungen, die an Outsourcing im Gesundheitsbereich gestellt werden, höher als in vielen anderen Branchen.
Der Gesetzgeber hat die Notwendigkeit externer Dienstleister allerdings erkannt und dieses rechtlich ermöglicht. Zu beachten sind die zentralen Bestimmungen des Art. 28 DSGVO sowie des § 203 StGB und gegebenenfalls spezielle Regelungen wie die Krankenhausgesetze, deren Europarechtskonformität allerdings fraglich ist und jeweils genau untersucht werden müssen. Der Umfang dieser Anforderungen kann je nach Einzelfall sehr unterschiedlich sein. Prüft man genau, welche Vorgaben sich für den eigenen Fall ergeben und setzt man diese sorgfältig um, ist ein reibungsloses Outsourcing auch im sensiblen Gesundheitsbereich möglich. Es ist also nicht notwendig, alle anfallenden Arbeiten selbst vorzunehmen – es ist durchaus möglich, die eigenen Ressourcen zu einem größeren Teil auf die Kernkompetenzen zu verwenden. Auf die besprochene Weise bleiben Gesundheitsdaten und Patientengeheimnisse geschützt und das Vertrauen in die entsprechenden Institutionen bleibt auch im digitalen Zeitalter gewahrt.

EuGH präzisiert Recht auf Vergessenwerden und Schutz sensibler Daten in Suchmaschinen

Mit zwei Urteilen vom 24.09.2019 hat der Europäische Gerichtshof (EuGH) das Recht auf Vergessenwerden in Hinblick auf Suchergebnisse in Suchmaschinen wie Google präzisiert. Dabei wurde auch Bezug auf die Datenschutz-Grundverordnung (DSGVO) genommen, die im ersten Urteil des EuGH zum Recht auf Vergessenwerden von 2014 (Rechtssache: Google Spain) noch keine Rolle spielte. Es wurde geklärt, welche Reichweite das Recht auf Vergessenwerden hat und inwiefern sensible Daten Schutz auf Suchmaschinen genießen.

Was ist das Recht auf Vergessenwerden?
Beim Recht auf Vergessenwerden geht es insbesondere darum, dass Suchmaschinenbetreiber Links in Suchergebnissen löschen, die in Verbindung mit der Suche nach bestimmten Namen angezeigt werden. Die Suchmaschinenbetreiber stellen ihre Ergebnisse zusammen, indem sie Websites durchsuchen („crawlen“) und die auf den Websites enthaltenen Inhalte nach bestimmten Kriterien katalogisieren und indizieren. Dabei werden in der Regel auch personenbezogene Daten verarbeitet. Das Recht auf Vergessenwerden betrifft daher das Grundrecht auf Achtung der Privatsphäre und den Schutz personenbezogener Daten. Es verpflichtet die Suchmaschinenbetreiber nicht nur zur einmaligen Löschung, sondern legt ihnen darüber hinaus auch für die Zukunft die Pflicht auf, eine dauerhafte Löschung der Suchergebnisse sicherzustellen.
Nach Art. 17 DSGVO besteht nunmehr auch gesetzlich ein Recht auf Löschung personenbezogener Daten, wenn einer der in Art. 17 Abs. 1 DSGVO genannten Gründe vorliegt, also insbesondere, wenn die Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig sind. Ergänzend dazu sind die wesentlichen Aspekte des Rechts auf Vergessenwerden in Art. 17 Abs. 2 DSGVO kodifiziert.
Das Recht auf Löschung bzw. Vergessenwerden kann jedoch von Betroffenen nicht geltend gemacht werden, soweit die Datenverarbeitung aufgrund von Art. 17 Abs. 3 DSGVO erforderlich ist. Dazu gehört auch die Ausübung des Rechts auf Informationsfreiheit der Internetnutzer, also das Informationsinteresse der Öffentlichkeit.
Insofern ist eine Interessenabwägung erforderlich, wenn eine betroffene Person ihr Recht auf Löschung geltend macht und dieses in Konflikt mit dem Recht auf Informationsfreiheit steht.

Welche Reichweite hat das Recht auf Vergessenwerden?
In dem einen Urteil des EuGH (Az.: C-507/17) hatte sich das Gericht mit Fragen zur Reichweite des Rechts auf Vergessenwerden zu beschäftigen, nachdem Google gegen die französische Datenschutzbehörde CNIL wegen eines Bußgelds geklagt hatte. Es ging darum, ob die Löschung der Suchergebnisse nur im Land des Antragstellers, in allen Mitgliedsländern der EU oder sogar weltweit durchgeführt werden muss. Außerdem sollte geklärt werden, inwiefern dabei auch Geoblocking angewendet werden müsste.
Der EuGH entschied, dass Suchmaschinenbetreiber nach erfolgreichem Antrag die entsprechenden Suchergebnisse nicht in allen Versionen ihrer Suchmaschine löschen müssen. Stattdessen müsse die Löschung vielmehr grundsätzlich nur in den Mitgliedsstaaten der EU erfolgen. Jedoch räumt der EuGH ein, dass sich bei der Beurteilung des Interesses der Öffentlichkeit Unterschiede ergeben könnten, etwa wenn die Mitgliedsstaaten die Datenverarbeitung zu journalistischen Zwecken abweichend regeln.
Darüber hinaus urteilte der EuGH, dass die Suchmaschinenbetreiber wirksame Maßnahmen ergreifen müssen, um zu verhindern, dass Internetnutzer aus Mitgliedstaaten die Löschung der Suchergebnisse umgehen, indem sie Versionen anderer Länder der Suchmaschine nutzen. Dies ließe sich wohl mit Geoblocking realisieren, bei welchem dann die entsprechenden Suchergebnisse nicht angezeigt werden, solange die Suchmaschine über einen Internetzugang aus dem Mitgliedsland genutzt wird.
Im Einzelfall, wenn ein besonders starker Eingriff in die Grundrechte des Betroffenen vorliegt, könne das Recht auf Vergessenwerden aber auch weltweit gelten. Denn dem EuGH zufolge bleibe eine Aufsichts- oder Justizbehörde eines Mitgliedsstaates befugt, ausgehend von den nationalen Schutzstandards für Grundrechte gegebenenfalls dem Suchmaschinenbetreiber die Löschung der Suchergebnisse in allen Versionen seiner Suchmaschine aufzugeben.

Worum ging es beim anderen Urteil des EuGH?
Vier Personen aus Frankreich verlangten die Löschung von bestimmten Suchergebnissen bei Google, die mit ihnen in Verbindung stehen. Dabei gingen sie gegen Suchergebnisse über eine satirische Fotomontage im politischen Kontext, die Nennung der Mitgliedschaft in der Scientology-Kirche, die Berichterstattung über eine Anklage und gerichtliche Voruntersuchung eines später eingestellten Verfahrens bzw. die Berichterstattung über sexuelle Übergriffe mit intimen Details vor.
Nachdem Google die Anträge zur Löschung der Suchergebnisse ablehnte und die vier Personen erfolglos Beschwerde bei der Datenschutzbehörde CNIL einlegten, erhoben sie Klage vor Gericht. Im Rahmen eines sogenannten Vorabentscheidungsverfahren legte dieses Gericht sodann dem EuGH mehrere Vorlagefragen vor, die dieser nun beantwortete.

Welche Aussagen traf der EuGH zur Verantwortlichkeit?
Der EuGH entschied in seinem Urteil (Az.: C-136/17) zunächst, dass Suchmaschinenbetreiber für die verarbeiteten personenbezogenen Daten verantwortlich sind, die in den Suchergebnissen angezeigt werden. Ebenso wie andere Verantwortliche darf ein Suchmaschinenbetreiber daher grundsätzlich keine besonderen Kategorien personenbezogener Daten (sensible Daten) gemäß Art. 9 Abs. 1 und Art. 10 DSGVO verarbeiten, außer es liegen Ausnahmen vor. Das ist beispielsweise der Fall, wenn die betroffene Person die Daten offenkundig gemacht hat (Art. 9 Abs. 2 lit. e DSGVO).

Welche Prüfpflichten haben Suchmaschinenbetreiber bei sensiblen Daten?
Der Suchmaschinenbetreiber muss gemäß dem EuGH im Rahmen eines Antrags auf Vergessenwerden bei sensiblen Daten prüfen, ob sich die Aufnahme der Links in die Suchergebnisse als unbedingt erforderlich erweist, um die Informationsfreiheit von Internetnutzern zu schützen.
Dies hat er auf der Grundlage aller relevanten Umstände des Einzelfalls unter Berücksichtigung der Schwere des Eingriffs in die Grundrechte der betroffenen Person und des öffentlichen Interesses der Internetnutzer zu beurteilen.
Mit diesem Urteil gibt der EuGH Suchmaschinenbetreiber einmal mehr einen umfassenden Prüfumfang auf, der einer Beurteilung durch ein Gericht gleichkommt. Trotz der teils berechtigten Kritik gegenüber Suchmaschinenbetreibern muss man sich fragen, ob Suchmaschinenbetreiber diesen hohen Anforderungen in jedem Einzelfall gerecht werden können.

Was urteilte der EuGH speziell zu Suchergebnissen über Strafverfahren?
Auch hinsichtlich der Löschung von Suchergebnissen über frühere Abschnitte von Strafverfahren gibt der EuGH den Suchmaschinenbetreibern hohe Prüfpflichten vor. So haben diese zu prüfen, ob unter Berücksichtigung sämtlicher Umstände des Einzelfalls die betroffene Person das Recht habe, dass die Informationen bei der Suche nach ihrem Namen nicht mehr angezeigt werden. Dazu solle der Suchmaschinenbetreiber insbesondere berücksichtigen:

• Art und Schwere der Straftat
• Verlauf und Ausgang des Verfahrens
• verstrichene Zeit
• Rolle der betroffenen Person im öffentlichen Leben und ihr Verhalten in der Vergangenheit
• Interesse der Öffentlichkeit zum Zeitpunkt der Antragstellung
• Inhalt und Form der Veröffentlichung
• Auswirkungen der Veröffentlichung für die betroffene Person

Zusätzlich dazu müssten Suchmaschinenbetreiber darüber hinaus auch sicherstellen, die Ergebnisliste so auszugestalten, dass diese das „Gesamtbild der aktuellen Rechtslage“ widerspiegele. So müssten Links zu Websites mit Informationen über ein solches Gesamtbild „auf dieser Liste an erster Stelle stehen.“
Wie dieses Erfordernis umzusetzen ist, bleibt fraglich. Denn Suchmaschinen sortieren in der Regel standardmäßig nach Relevanz. Auch eine chronologische Darstellung würde wohl nicht immer Links mit einem „Gesamtbild der aktuellen Rechtslage“ an erster Stelle ermöglichen. Es bleibt spannend, wie Suchmaschinen wie Google diese Anforderung umsetzen werden. Eine manuelle Sortierung und Prüfung jedenfalls erscheint vor diesem Hintergrund wenig praxistauglich.

Einschätzung der Urteile
Der EuGH macht deutlich (Az.: C-136/17), dass Links zu Informationen mit sensiblen personenbezogenen Daten weiterhin nur in Ausnahmefällen nach einem Antrag auf Löschung in den Suchergebnissen bleiben dürfen, nämlich dann, wenn sie für die Informationsfreiheit der Internetnutzer unbedingt erforderlich sind.
Beide Urteile des EuGH zeigen zudem, wie umfassend das Gericht die Prüfpflichten für Suchmaschinenbetreiber im Rahmen des Rechts auf Vergessenwerden sieht. Diesen vollumfänglich nachzukommen wird den Suchmaschinenbetreibern kaum gelingen. Insbesondere im Bezug zu Strafverfahren sind die Anforderungen des EuGH derart hoch, dass sie wohl nur schwerlich im Sinne des Europäischen Gerichtshofs umgesetzt werden können.

Das Urteil zur Reichweite des Rechts auf Vergessenwerden (Az.: C-507/17) zeigt darüber hinaus, wie schwer es ist, angesichts eines globalen Internets juristische Grenzen zu ziehen. Der Europäische Gerichtshof versucht einen flexiblen Rahmen vorzugeben, der einerseits zwar grundsätzlich das Recht auf Vergessenwerden auf die Mitgliedsstaaten der EU beschränkt, andererseits aber auch eine weltweite Löschung der Suchergebnisse im Einzelfall offenlässt.
Der EuGH möchte mit seiner Auslegung des Rechts auf Vergessenwerden so dem globalen Charakter des Internets gerecht werden, scheitert jedoch in Teilen an der Wirklichkeit. Denn Geoblocking lässt sich heutzutage relativ einfach durch technische Lösungen (VPN, Proxies, etc.) umgehen. Über ein europäisches Geoblocking hinaus würde eine Reglementierung der Suchmaschinenbetreiber durch europäisches Datenschutzrecht jedoch aus völkerrechtlichen Gesichtspunkten scheitern. Eine effektive (weltweite) Durchsetzung des Rechts auf Vergessenwerden würde daher entsprechende völkerrechtliche Abkommen erfordern.

Insgesamt bleibt das Recht auf Vergessenwerden auch nach diesen EuGH-Urteilen ein sehr einzelfallabhängiges Recht, das eine umfangreiche Interessenabwägung voraussetzt, die dem Suchmaschinenbetreiber aufgegeben wird. Dieser wird die Interessenabwägung aber wohl selten so vornehmen, wie sich Gerichte – und Betroffene – dies wünschen würden. Letztendlich bleibt es dann an den Gerichten zu klären, ob die Suchmaschinenbetreiber die ihnen übertragenden Prüfpflichten richtig umgesetzt haben.

Markenan­meldung in den USA – Neue Anforderungen des US-Marken­amts

In den USA können Klagen wegen Markenverletzungen höhere Schadensersatzpflichten nach sich ziehen als in Deutschland bzw. der EU. Eine ordnungsgemäße Markenanmeldung in den USA ist daher für alle jene Unternehmen von großer Bedeutung, die auf dem US-Markt tätig sind oder tätig werden wollen. In diesem Beitrag soll ein kurzer Überblick über wichtige Fragen gegeben werden, die sich bei einer Anmeldung von Marken in den USA stellen. Auch besteht ein entscheidender Unterschied bei der Markenanmeldung zwischen Unternehmen, die ihre Firmen innerhalb der USA haben und solchen Unternehmen, die ihren Firmensitz außerhalb der USA haben.

Hintergrund: Internationale Anmeldung oder US-Markenanmeldung

Grundsätzlich bestehen zwei Möglichkeiten, um eine Marke in den USA anzumelden. Diese lassen sich als internationale oder US-Markenanmeldung klassifizieren.

1. Internationale Markenanmeldung

Die internationale Markenanmeldung verläuft über die WIPO (World Intellectual Property Organization) nach dem sog. „Madrider Protokoll. Deutsche Unternehmen stellen dabei zunächst einen entsprechenden Antrag beim DPMA (Deutsches Patent- und Markenamt) oder beim Amt der Europäischen Union für geistiges Eigentum (EUIPO) auf Eintragung einer internationalen Marke bei der WIPO. Entweder es besteht in diesem Fall bereits eine nach deutschem/europäischen Recht geschützte Marke, die dann vermittelt über das jeweilige Markenamt bei der WIPO als internationale Markenanmeldung eingeht  oder der Antrag auf Eintragung einer deutschen bzw. europäischen Marke kann mit dem Antrag auf Eintragung einer internationalen Marke direkt verbunden werden. Liegt noch keine nach nationalem Recht geschützte Marke vor, kann keine international geschützte Marke bei der WIPO beantragt werden.

Bei der WIPO wird zugleich beantragt, für welche konkreten Länder (z.B. USA) der Schutz gelten soll. Die WIPO prüft dann in einem ersten Schritt die Voraussetzungen für eine Markeneintragung und informiert dann die Behörden in den benannten Ländern (hier also in den USA). Diesen Behörden wird die Marke als „Schutzgesuch“ angemeldet und ihnen für 18 Monate die Möglichkeit eingeräumt zu prüfen, ob eine Schutzmöglichkeit im jeweiligen Land besteht. Lehnen die betroffenen Länder den Schutz nach ihrem nationalen Recht nicht binnen 18 Monaten ab, so hat der Anmelder der Internationalen Marke die Rechte eines nationalen Markeninhabers auch in den USA. Dieser besteht für 10 Jahre. Der Vorteil einer solchen Markenanmeldung über die WIPO besteht darin, dass sie auch von deutschen Anwälten vermittelt werden kann. Allerdings genügt die Vertretung durch einen deutschen Anwalt nach den neuen Regelungen des United States Patent and Trademark Office (USTPO) vom 03.08.2019 (s. dazu gleich unter b)) dann nicht mehr, wenn die US-Behörden eine solche Markenanmeldung über die WIPO ablehnen. In diesem Fall ist eine Vertretung durch einen U.S.-licensed Attorney at Law zwingend erforderlich. Dies gilt selbst dann, wenn die Markenanmeldung nur vorläufig abgelehnt wird („provisional refusal“).

1. US-Markenanmeldung über das United States Patent and Trademark Office (USPTO)

Die zweite Möglichkeit eine in den USA geschützte Marke zu erhalten, besteht in einer direkten Anmeldung der Marke beim United States Patent and Trademark Office (USTPO). Hierbei ist es wichtig zu beachten, dass seit dem 03.08.2019 die neuen „USPTO Trademark Rules“ gelten und danach eine solche Anmeldung für ausländische Unternehmen, also solche mit Firmensitz außerhalb der USA, nur über einen in den USA als „US Attorney at Law“ zugelassenen Anwalt erfolgen darf, während US-Unternehmen sich auch direkt an das USPTO wenden dürfen. Selbst für solche einheimischen Unternehmen empfiehlt jedoch das USPTO dringend die Beauftragung eines US-Anwaltes.

Die Notwendigkeit zur Beauftragung eines U.S.-licensed Attorney at Law wird vom USPTO mit der häufig fehlerhaften oder sogar betrügerischen Markenanmeldung durch ausländische Unternehmen in den USA begründet.

Checkliste US-Markenanmeldung

Internationale Markenanmeldung/ WIPO:

• Markenanmeldung für mehrere Länder möglich
• Anmeldung auch durch deutschen Anwalt möglich
• Anmeldung kann gleichzeitig mit deutscher Markenanmeldung erfolgen

US-Markenanmeldung/ USTPO:

• Erfolg der Markenanmeldung u.U. höher
• Verfahren erleichtert gegebenenfalls erforderliche Anpassungen der angemeldeten Marke
• Vereinbarkeit mit sonstigem US-Recht wird teilweise mit überprüft
• Verfahren in der Regel schneller

US-Markenanmeldung – Das Verfahren

Beim USPTO kann eine Marke entweder online/elektronisch oder schriftlich / in Papierform angemeldet werden. Die elektronische Anmeldung ist zwar günstiger, kann aber ein Nachverfahren nach sich ziehen, wenn elektronisch nicht alle zur Markenanmeldung notwendigen Informationen übersandt werden können.

Eine Markenanmeldung über das USPTO kann nur erfolgen, wenn alle erforderlichen Informationen (wie Gestaltung des Logos, Abgrenzung, Markenname etc.) vorliegen und ein Verzeichnis der Waren/Dienstleistungen eingereicht wird, das erkennen lässt, das von der Markenanmeldung nur solche Waren/Dienstleistungen betroffen sind, die vom USTPO als schutzwürdig akzeptiert werden (USTPO accepted identiciation of goods and services).

Absolute und relative Eintragungshindernisse

Das USTPO prüft nach Eingang der Anmeldung, ob absolute oder relative Eintragungshindernisse der Eintragung entgegenstehen. Absolute Eintragungshindernisse verhindern den Eintragungsschutz bereits bei ihrem Vorliegen. Bei relativen Eintragungshindernissen wird in der Regel genauer geprüft, ob sie durch kleinere Veränderungen der einzutragenden Marke behoben werden können oder ob sie auch unverändert dem Sinn und Zweck des Markenschutzes (z.B. Verwechslungsgefahr) tatsächlich entgegenstehen.

Dementsprechend besteht ein absolutes Eintragungshindernis dann, wenn die Marke bereits nicht eintragungsfähig ist. Entsprechende Marken sind in Section 2 (a)-(e) Lanham Act aufgeführt. Das betrifft etwa beleidigende Inhalte, unzulässige Einbeziehungen der US-Fahne oder Täuschungen. Ein relatives Eintragungshindernis besteht, wenn eine Marke nur aus einem Namen besteht oder nur einen beschreibenden Vorgang enthält. Ein relatives Eintragungshindernis kann zudem dann angenommen werden, wenn eine Gefahr der Verwechslung mit einer bereits geschützten Marke besteht.

Fazit

Eine Markenanmeldung in den USA ist auf zwei Wegen möglich. Entscheiden sich ausländische Unternehmen dabei für eine direkte Markenanmeldung in den USA müssen sie seit dem 03.08.2019 zwingend einen U.S.-licensed Attorney at Law mit der Markenanmeldung betrauen. Scheitert eine Markenanmeldung über das Madrider Protokoll der WIPO ist ebenfalls eine Markenanmeldung durch einen U.S.-licensed Attorney at Law erforderlich. Gerne stehen wir in beiden Fällen mit unserem Netzwerk, das auch entsprechend zugelassene Anwälte umfasst, beratend zur Verfügung.