Unterlassungsanspruch DSGVO

Unterlassungsansprüche nach der DSGVO? – Einblicke in die Rechtsprechung und rechtliche Einschätzung

Die Datenschutz-Grundverordnung (DSGVO) hält für natürliche Personen, deren personenbezogene Daten verarbeitet werden, einige Betroffenenrechte, wie etwa das Widerspruchsrecht, das Recht auf Datenübertragbarkeit, das Auskunftsrecht oder das Recht auf Löschung bereit. Hintergrund der Regelungen in den Art. 12 ff. DSGVO ist die Wahrnehmung von Rechten der betroffenen Personen zu erleichtern und ihre Datensouveränität zu gewährleisten. Überdies sieht die DSGVO auch ein Recht auf Schadensersatz nach Art. 82 DSGVO vor, soweit ein Verstoß gegen datenschutzrechtliche Vorschriften vorliegt und daraus ein Schaden entstanden ist. Neben diesen ausdrücklich formulierten Rechten fällt auf, dass kein expliziter Unterlassungsanspruch in der DSGVO vorgesehen ist. Mit Blick auf die uneinheitliche deutsche Rechtsprechung zur Frage, ob ein datenschutzrechtlicher Unterlassungsanspruch für natürliche Personen angenommen werden kann, zeigen wir in diesem Beitrag die dazu vertretenen Rechtsansichten und Konsequenzen auf.

Unterlassungsansprüche von Verbraucherverbänden

Neben möglichen Unterlassungsansprüchen natürlicher Personen war auch die Frage, ob Verbraucherschutzverbände klagebefugt sind, Verbandsklagen zu erheben, um Betroffenenrechte geltend zu machen, lange Zeit umstritten. Mit Urteil vom 28. April 2022 (Az. C-319/20) hat der Europäische Gerichtshof (EuGH) nun entschieden, dass eine Klagebefugnis für Verbraucherschutzverbände für Verbandsklagen ohne konkrete Rechtsverletzung und ohne Beauftragung einer betroffenen Person anzunehmen ist. Im Rechtsstreit standen sich Facebook (inzwischen Meta Platforms) und der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (im Folgenden: Bundesverband) gegenüber. Der Bundesverband klagte gegen Facebook auf Unterlassung wegen unlauteren Praktiken – unter anderem wegen nicht wirksam eingeholten Einwilligungen für Datenverarbeitungen von Drittanbietern. Facebook stellte in einem App-Zentrum kostenlose Spiele von Drittanbietern bereit, wobei die Nutzung der entsprechenden Anwendung es dem Drittanbieter ermöglichte, eine Reihe personenbezogener Daten zu erheben und ihn berechtigte, im Namen des Nutzenden Informationen wie etwa den Punktestand zu veröffentlichen. Mit der Nutzung eines Spiels selbst stimmte der Nutzende den Allgemeinen Geschäftsbedingungen für die Anwendung und der Datenpolitik des jeweiligen Spieleanbieters zu. Darin sah der Bundesverband eine unlautere Praktik, unter anderem weil keine DSGVO-konformen Einwilligungen in die Datenverarbeitung seitens der Nutzenden vorlagen und klagte daher auf Unterlassung auf Grundlage des deutschen Gesetzes gegen den unlauteren Wettbewerb (UWG und des Unterlassungsklagengesetzes (UKlaG).

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Dem EuGH wurde in diesem Verfahren die Frage vorgelegt (vgl. Art. 267 Vertrag über die Arbeitsweise der Europäischen Union – AEUV), ob der Bundesverband überhaupt klagebefugt ist. Die Klagebefugnis liegt vor, wenn ein Kläger die Verletzung eines eigenen Rechtes geltend machen kann. Es stellte sich die Frage, ob der Bundesverband seit in Krafttreten der DSGVO unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Zivilklage vorgehen kann oder ob die DSGVO das Vorgehen auf Grundlage nationaler Regelungen sperrt. Der EuGH beantwortete die Vorlagefrage dahingehend, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage […] erheben kann, […], nicht entgegenstehe, „sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.“

Da der EuGH nun in diesem Fall die Klagebefugnis nach Art. 80 DSGVO angenommen hat, hat er implizit auch das Recht auf Unterlassung – zumindest für Verbände – anerkannt.

Nicht beantwortet wurde hingegen die Frage, ob auch natürlichen Personen ein datenschutzrechtlicher Unterlassungsanspruch zukommt und falls ja, worauf dieser rechtlich gestützt werden kann.

Unterlassungsansprüche von natürlichen Personen

Anknüpfungspunkte für einen datenschutzrechtlichen Unterlassungsanspruch

Aus der DSGVO ergibt sich ausdrücklich, im Gegensatz zum Schadensersatzanspruch nach Art. 82 DSGVO, kein Unterlassungsanspruch.

Die Herausforderungen und Risiken von Schadensersatzansprüchen im Datenschutz haben wir für Sie hier auf unserem Blog näher beleuchtet.

Die Ansichten der Gerichte, ob ein datenschutzrechtlicher Unterlassungsanspruch besteht und falls ja, welche Anspruchsgrundlage hierbei heranzuziehen ist, gehen auseinander.

In den bisherigen Urteilen werden je nach Fall unterschiedliche Ansichten vertreten:

  • Ein Unterlassungsanspruch folge direkt aus Art. 17 DSGVO,
  • Ein entsprechender Anspruch könne auf nationale Normen wie §§ 1004 Abs. 1 Satz 2 BGB (analog) i.V.m. § 823 Abs. 1 Bürgerliches Gesetzbuch (BGB) gestützt werden,
  • Es bestehe kein Anspruch, da Art. 79 Abs. 1 DSGVO Sperrwirkung für nationale Normen im Rahmen eines Unterlassungsersuchens entfalte,
  • Es bestehe grundsätzlich kein Unterlassungsanspruch im Kontext der DSGVO.

Deutsche Rechtsprechung zum datenschutzrechtlichen Unterlassungsanspruch

Das Oberlandesgericht (OLG) Frankfurt hat mit Urteil vom 06. September 2018 (Az. 16 U 193/17) einen Unterlassungsanspruch für natürliche Personen direkt aus Art. 17 DSGVO anerkannt. Zwar regele Art. 17 DSGVO primär das Recht auf Löschung und damit nicht ein Recht auf Unterlassung, jedoch könne Art. 17 DSGVO so verstanden werden, dass darin ein qualitatives „mehr“ enthalten sei, wovon das schwächere Recht auf Unterlassung mit umfasst sei. Gegenstand der Entscheidung des OLG Frankfurt war das Begehren einer natürlichen Person, die Anzeige von sie betreffenden Suchergebnissen in einer Suchmaschine zu unterlassen und damit das „Recht auf Vergessenwerden“ geltend zu machen. Das OLG argumentierte, dass das Begehren auf Unterlassung von der Rechtsfolge (die Löschung) des Art. 17 DSGVO erfasst sei. Dabei könne es offenbleiben, ob es sich bei Art. 17 DSGVO um eine abschließende Spezialnorm gegenüber den nationalen Vorschriften handelt. Notwendig sei aber, dass eine Abwägung zwischen dem Recht auf Informationsfreiheit der Allgemeinheit und dem Recht auf informationelle Selbstbestimmung des Klägers zugunsten des Klägers ausgehe. In dem vom OLG entschiedenen Fall ging die Abwägung zugunsten des Interesses der Öffentlichkeit aus, sodass dem Kläger im Ergebnis kein Unterlassungsanspruch wegen unerlaubter Beeinträchtigung seines Persönlichkeitsrechts im Sinne von veröffentlichter personenbezogener Daten zugesprochen wurde.

In einem anderen Fall, der mit Urteil vom 10. Oktober 2019 durch das OLG Köln (Az. I-15 U 39/19) entschieden wurde, begehrte eine natürliche Person die Unterlassung der Veröffentlichung eines Bildnisses und Verwendung ihres Namens. Das OLG Köln nahm zu Recht an, dass es sich bei dem Bildnis um personenbezogene Daten handelte und stütze den Anspruch des Klägers auf einen Unterlassungsanspruch aus nationalen Vorschriften gemäß § 1004 Abs. 1 Satz 2 BGB analog, § 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO. § 1004 BGB schützt ausdrücklich nur das Eigentum. Dennoch könne die Norm in analoger Anwendung für die unberechtigte Verarbeitung personenbezogener Daten herangezogen werden, so das OLG Köln. Es bedürfe hierbei einer umfassenden Abwägung der widerstreitenden Interessen und grundrechtlich geschützter Güter zwischen Informationsinteresse der Öffentlichkeit und dem Recht am eigenen Bild des Klägers. Diese Abwägung könne, so das OLG Köln, auch im Rahmen des Art. 6 DSGVO vorgenommen werden.


Das könnte Sie auch interessieren:


Einzelne Gerichte lehnen hingegen einen Anspruch aus § 1004 Abs. 1 Satz 2 BGB analog mit der Begründung ab, dass das Recht an eigenen Daten kein absolutes Recht darstelle (vgl. unter anderem Landgericht (LG) Wiesbaden, Urt. v. 20. Januar 2022, Az. 10 O 14/21). Als Begründung wird hierbei angeführt, dass § 1004 Abs. 1 Satz 2 BGB nur auf absolute Rechte sinngemäß angewendet werden kann. Dies sind solche Rechte, die erga omnes, also gegenüber allen gelten und dem Rechtsinhaber gewährt, andere von der Nutzung auszuschließen. In der Literatur wird darum viel diskutiert, ob es eine Art „Dateneigentum“ überhaupt geben soll oder nicht, da Daten grundsätzlich darauf ausgerichtet sind im Verkehr zu sein. Vorliegend muss aber erkannt werden, dass es bei der analogen Anwendung des § 1004 Abs. 1 Satz 2 BGB, nicht um ein „Dateneigentum“, sondern um Rechtsschutzmöglichkeiten bei einer unberechtigten Verarbeitung personenbezogener Daten geht.

Der wissenschaftliche Dienst des deutschen Bundestages erkennt in seiner Ausarbeitung zu Abmahnungen im Datenschutzrecht (Az. WD 7 – 3000 – 116/18) vom 13. Juni 2018 ebenfalls einen nationalen Unterlassungsanspruch aus § 1004 Abs. 1 Satz 2 BGB analog an.

Das Landgericht (LG) Wiesbaden sprach sich mit Urteil vom 20. Januar 2022 (Az. 10 O 14/21) hingegen jüngst für eine Sperrwirkung der DSGVO von Unterlassungsansprüchen aus nationalem Recht aus. Diese ergebe sich aus Art. 79 Abs. 1 DSGVO, der das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter regelt. Das LG Wiesbaden begründet die Sperrwirkung damit, dass die DSGVO einen mit § 1004 Abs. 1 Satz 2 BGB vergleichbaren Unterlassungsanspruch gerade nicht vorsehe. Bei der DSGVO handele es sich um vollharmonisiertes Gemeinschaftsrecht mit einem eigenen, abschließenden Sanktionssystem. Nach Art. 79 Abs. 1 DSGVO blieben ausschließlich verwaltungsgerichtliche oder außergerichtliche Rechtsbehelfe unbeschadet. Die Inanspruchnahme von Zivilgerichten gehöre aber gerade nicht dazu. Es gebe gerade keine Öffnungsklausel, die den Rückgriff auf nationales Zivilrecht in diesem Falle zulässt, die die Erweiterung der Betroffenenrechte durch den nationalen Gesetzgeber oder Gerichte erlauben würde. Auch der Wortlaut des Art. 79 Abs. 1 DSGVO sei eindeutig, indem die DSGVO von zustehenden Rechten „aufgrund dieser Verordnung“ spreche. Damit sei ausschließlich der Verweis auf die Rechte in Kapitel 3 der DSGVO, die Betroffenenrechte, gemeint. Daher ergebe sich aus Art. 79 Abs. 1 DSGVO eine Sperrwirkung. Effektiven Rechtsschutz könnten natürliche Personen immer noch dadurch erlangen, dass sie eine Beschwerde gem. Art. 77 DSGVO an die Aufsichtsbehörden richten.

Andere Stimmen, wie etwa das LG Darmstadt (Urt. v. 26. Mai 2020, Az. 13 O 244/19), sehen keine Sperrwirkung in Art. 79 DSGVO für Unterlassungsansprüche aus nationalem Recht. Das LG ist der Ansicht, dass der Rückgriff auf nationales Recht im Falle eines Unterlassungsanspruches wegen rechtswidriger Datenverarbeitung zwingend notwendig sei, da nur so lückenloser Rechtsschutz gewährt werden könne. Andernfalls würde kein ausreichender Individualrechtsschutz bestehen und die betroffene Person wäre erheblich schlechter gestellt, weil dieser dann ausschließlich ein Anspruch auf Schadensersatz aus Art. 82 DSGVO zustünde und das sei nicht hinnehmbar.

Das Verwaltungsgericht (VG) Regensburg (Gerichtsbescheid v. 06. August 2020, Az. RN 9 K 19.1061) erkennt hingegen bereits generell keinen datenschutzrechtlichen Unterlassungsanspruch an – weder aus nationalen Normen noch aus der DSGVO selbst. Art. 17 DSGVO könne nicht angewendet werden, da es sich um einen Löschungsanspruch und nicht um einen Unterlassungsanspruch handelt. Ein Unterlassen sei auch nicht in der Norm als qualitatives „weniger“ enthalten. Der Anwendung von nationalen Vorschriften, wie dem § 1004 Abs. 1 Satz 2 BGB stünde entgegen, dass keine Öffnungsklausel für den Rückgriff auf nationale Regelungen existiere. Generell gebe es daher keinen datenschutzrechtlichen Unterlassungsanspruch.

Die besseren Argumente sprechen für einen Unterlassungsanspruch aus nationalen Normen

Für den Rückgriff auf nationale Normen spricht, dass andernfalls subjektive Rechte verletzt werden könnten, ohne dass Betroffenen ein entsprechender Rechtsbehelf zustünde. Der Verweis auf ein Vorgehen durch Datenschutzaufsichtsbehörden (nach Art. 77 DSGVO) vermag nicht zu überzeugen und wird dem anerkannten Grundrecht auf effektiven Rechtsschutz nicht gerecht. Es kommt hinzu, dass Art. 79 Abs. 1 DSGVO gerade ausdrücklich parallele Rechtsdurchsetzungsmöglichkeiten vorsieht und nicht den alleinigen Verweis an die Aufsichtsbehörden bei Rechtsverletzungen genügen lässt. Darüber hinaus hat der EuGH mit seinem Urteil zur Frage nach der Klagebefugnis des Bundesverbandes implizit einen Unterlassungsanspruch von Verbänden anerkannt. Es spricht einiges dafür, dass nichts anderes auch für natürliche Personen gelten muss.

Fazit

Die uneinheitliche Rechtsprechung der deutschen Gerichte im Bereich datenschutzrechtlicher Unterlassungsansprüche bringt Rechtsunsicherheit mit sich. Zwar hat der EuGH mit seinem Urteil v. 28. April 2022 einen Unterlassungsanspruch von Verbänden auf Grundlage von nationalen Vorschriften anerkannt, die Frage, ob auch natürlichen Personen ein Unterlassungsanspruch – etwa auf Grundlage nationaler Vorschriften wie § 1004 Abs. 1 Satz 2 BGB analog, § 823 Abs. 2 BGB i.V.m. DSGVO-Vorschriften – zusteht, wurde hierbei jedoch nicht beantwortet. Viele Argumente sprechen dafür, dass entsprechende Unterlassungsansprüche auch durch natürliche Personen geltend gemacht werden können. Eine höchstrichterliche Klärung wird jedoch erst durch weitere EuGH-Rechtsprechung erfolgen können. Bis dahin bleibt die weitere nationale Rechtsprechung abzuwarten.

Wir sind Ihre Experten für Datenschutz. Kontaktieren Sie uns gerne, wenn Sie Beratungsbedarf oder weitergehende Fragen rund um das Thema Datenschutz haben.

SCRUM Vertragsgestaltung

Scrum-Verträge: Herausforderungen und Lösungsansätze für die Vertragsgestaltung

Was ist SCRUM?

Es gibt verschiedene Modelle für agile Softwareentwicklung aber vor allem SCRUM etabliert sich immer mehr neben den traditionellen linearen Entwicklungsmethoden wie dem Wasserfallmodell. SCRUM bietet sowohl für die Auftraggeber als auch die Entwickler:innen viele Vorteile, vor allem, was Kosten und Erfolgsquote angeht. In der Vertragsgestaltung stellt sich der Umgang mit SCRUM aber eher als schwierig dar. Der Beitrag soll einige der Probleme bei SCRUM sowie Lösungsansätze und -ideen aufzeigen.

Um jedoch die Vorteile und die Probleme bei SCRUM zu verstehen, muss zunächst geklärt werden, was SCRUM überhaupt ist. Dem SCRUM-Modell liegt das Verständnis zugrunde, dass die Softwareentwicklung ein kompliziertes Unterfangen ist, dessen Umfang, mögliche Probleme und Störungen sich anfangs nicht absehen und planen lassen. SCRUM folgt einem iterativen und inkrementellen Ablauf. In jeder Iteration wird ein weiterer Ausbau des zuvor entwickelten Produkts vorgenommen. Diese Schleifen wiederholen sich so lange, bis das Projekt endgültig abgeschlossen und ein fertiges und funktionsfähiges Produkt entwickelt ist. Durch den iterativen Ablauf können innerhalb recht kurzer Zeit Probleme und Störungen identifiziert und darauf reagiert werden. Während die klassischen Entwicklungsmethoden (wie z.B. das Wasserfallmodell) aufgrund ihres sequenziellen und phasenbasierten Ablaufs unter langwierigen Prozessen und Entwicklungszyklen leiden, führt die iterative Arbeitsweise bei SCRUM zu kürzeren Entwicklungszyklen und früher zur Codeerstellung.

Wie funktioniert SCRUM?

Zu Beginn eines SCRUM-Projektes werden die vom Auftraggeber gewünschten Anforderungen an das Produkt in das Product Backlog (verwaltet durch den Product Owner) aufgenommen und nach Priorität sortiert. Im Rahmen der Sprint Planung, entscheidet das Entwicklungsteam in Rücksprache mit dem Product Owner, welche Anforderungen in einem zeitlich begrenzten Entwicklungsschritt, dem Sprint, umgesetzt werden. Diese Anforderungen werden sodann in das Sprint Backlog aufgenommen und der Sprint zeitnah gestartet. Während des Sprints arbeitet das Entwicklungsteam an der Umsetzung der Anforderungen und überprüft in täglichen Besprechungen, den Daily Scrums, die bisherigen Arbeitsergebnisse und bespricht das weitere Vorgehen der nächsten 24 Stunden. Nach Abschluss des Sprints stellt das Entwicklungsteam dem Product Owner die Arbeitsergebnisse des Sprints vor. Im Anschluss haben die Beteiligten in der Sprint Retrospektive die Möglichkeit, die eigene Arbeitsweise zu evaluieren und Verbesserungen auszuarbeiten. Die Sprint Retrospektive findet zeitlich zwischen der Sprint Review und der nächsten Sprint Planung statt. Mit den gewonnenen Erkenntnissen aus dem vorangegangenen Sprint beginnt der Prozess erneut und die nächsten Anforderungen aus dem Product Backlog werden im Rahmen der Sprint Planung in das Sprint Backlog aufgenommen und im Sprint umgesetzt. Dieser Zyklus wiederholt sich so lange bis das Projekt abgeschlossen ist.

Für das weitere Verständnis von SCRUM ist es wichtig, sich neben dem Prozessablauf auch mit den Rollen und Artefakten im SCRUM-Prozess vertraut zu machen, die benutzt werden, um den Entwicklungsprozess zu strukturieren. Dazu dient folgende kurze Übersicht zu den Begrifflichkeit bei SCRUM:

Rollen bei SCRUMSCRUM ArtefakteSCRUM Events
Product Owner: verwaltet das Product Backlog und ist verantwortlich für die fachlichen Anforderungen und die Priorisierung.Product Backlog: ist eine Liste mit den gewünschten Anforderungen des Auftraggebers (veränderlich und unverbindlich)Sprint: ist ein Zeitraum (i.d.R. 2-4 Wochen) innerhalb dessen ein fertiges, nutzbares und potenziell auslieferbares Produkt hergestellt wird.
Sprint: ist ein Zeitraum (i.d.R. 2-4 Wochen) innerhalb dessen ein fertiges, nutzbares und potenziell auslieferbares Produkt hergestellt wird.Sprint Backlog: enthält die im jeweiligen Sprint umzusetzenden Anforderungen. Das Entwicklungsteam schätzt ein, welche Anforderungen im Sprint bewältigt werden können.Sprint Planung: Planung und Festlegung dessen, welche Anforderungen im nächsten Sprint umgesetzt werden sollen.
Entwicklungsteam: ist ein Team aus Expert:innen, die dafür verantwortlich sind, das definierte Produkt zu entwickeln und auszuliefern.User Story und Epics: eine User Story ist eine in Alltagssprache formulierte Softwareanwendung. Eine zusammenhängende Gruppe von User Stories werden Epic genannt.Daily Scrum: kurzes, tägliches Meeting um die Arbeit der nächsten 24h zu besprechen und bisherige Arbeitsergebnisse zu überprüfen.
Sprint Review: Präsentation der implementierten Funktionen gegenüber dem Product Owner.
Sprint Retrospektive: bietet den Beteiligten die Möglichkeit sich selbst zu überprüfen. Findet zwischen dem Sprint Review und der Sprint Planung statt.
Definition of Done: definierte Feststellungskriterien, um ein einheitliches Verständnis herzustellen, wann ein Arbeitsergebnis als fertig anzusehen ist.

Rechtsnatur von SCRUM-Verträgen

Das erste Problem bei der Vertragsgestaltung von SCRUM-Verträgen stellt sich bereits bei der Suche nach dem „richtigen“ Vertragstyp. In der Regel werden Softwareentwicklungsverträge, insbesondere solche die einer klassischen Entwicklungsmethode folgen, dem Werkvertragsrecht zugeordnet. Eine solch starre Einordnung eines agilen Softwareprojekts läuft jedoch der angestrebten Agilität entgegen. Zunächst entspricht die Risikoverteilung bei SCRUM-Projekten regelmäßig nicht der dem Werkvertragsrecht zugrundeliegenden Risikoverteilung. Bei klassischer Beauftragung trägt der Auftragnehmer allein das Fertigstellungsrisiko. Diese Verteilung wird der SCRUM-Methode nicht gerecht, denn dabei ist der Auftragnehmer auf die Mitwirkung des Auftraggebers angewiesen.

Im Rahmen eines SCRUM-Projektes ist das Erfolgs- und Fertigstellungsrisiko häufig auf beide Parteien aufgeteilt. Regelmäßig wird der Product Owner vom Auftraggeber bestellt, womit der Auftraggeber auch Kontrolle über das Product Backlog erhält. Über diese Rolle hat der Auftraggeber immensen Einfluss auf den konkreten Ablauf und die Durchführung des Projekts. Ob ein SCRUM-Projekt erfolgreich ist, liegt in den Händen beider Parteien. Ein weiterer Unterschied zu den klassischen Entwicklungsmethoden und deren Einteilung besteht darin, dass das Lasten- und Pflichtenheft der klassischen Entwicklungsmethoden nicht mit dem Product Backlog oder dem Sprint Backlog bei SCRUM vergleichbar ist. Diese Backlogs stellen im Gegensatz zu einem Lasten- und Pflichtenheft nur unverbindliche, jederzeit abänderbare Anforderungen dar. Sie sind nicht dazu geeignet – und auch nicht dazu gedacht – verbindliche Zielvereinbarungen für den Entwicklungsprozess zu enthalten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Neben der Rollenverteilung spielt zudem der Umfang, die Tiefe und die Spezifikationen des Projekts eine große Rolle. Je detaillierter das Projekt und die einzelnen Anforderungen verbindlich spezifiziert sind, desto eher hat das Projekt werkvertraglichen Charakter. Demgegenüber spricht es eher für einen dienstvertraglichen Charakter, je geringer die Projektdetails konkretisiert wurden. Für den Auftragnehmer ist es in diesem Fall nur bedingt ersichtlich, welche Funktionen die Software haben soll und wie diese Funktionen ausgestaltet werden sollen. Die konkrete Ausgestaltung wird dann im Rahmen der Entwicklungstätigkeit in den Sprints herausgearbeitet.

Es sollte jedoch vermieden werden, bei SCRUM-Verträgen eine strikte Kategorisierung in Werk- oder Dienstvertrag vorzunehmen. SCRUM-Projekte enthalten Elemente, die beiden Vertragstypen zugeordnet werden können. Auf jeden Fall ist es nicht ratsam, das SCRUM-Projekt vorab, um einen gewählten Vertragstypus herum zu gestalten. Vielmehr sollte ausgehend vom Zweck des Projekts und der Projektdetails eine vertragliche Grundlage erstellt werden.

Aufgrund der diversen Faktoren, die Einfluss auf die Gestaltung und Ablauf des Projektes haben, ist es vorzugswürdig, sich nicht für einen Vertragstyp zu entscheiden, sondern die Vertragstypen zu kombinieren. Der Vertrag würde typischerweise sowohl dienstvertragliche als auch werkvertragliche Regelungen enthalten. Beispielsweise die Projektplanung, die Sprint Planung und weitere Punkte könnten dabei dienstvertraglicher Natur sein, während die konkrete Durchführung des Sprints sowie die Prüfung und Bewertung der Arbeitsergebnisse dem Werkvertragsrecht unterworfen werden. Der Vorteil dabei würde darin bestehen, dass die angestrebte Agilität über dienstvertragliche Regelungen umgesetzt werden kann, gleichzeitig jedoch mit einem (verbindlichem) Ziel verbunden ist, ein funktionsfähiges Werk zu erstellen und abzuliefern.

Abnahme der Arbeitsergebnisse

Die Abnahme des Werks hat auch bei IT-Projekten eine erhebliche Bedeutung und stellt regelmäßig einen Streitpunkt unter den Parteien dar. Denn die Abnahme kann, sofern das Werk nicht unter wesentlichen Mängeln leidet, nicht verweigert werden. Um Unstimmigkeiten darüber zu vermeiden, wann die Abnahme erklärt werden muss, sollten die Parteien Kriterien für Abnahme vereinbaren. Es besteht auch die Möglichkeit, Teilabnahmen für einzelne Produktinkremente zu vereinbaren. Aus rechtlicher Sicht wäre dies für beide Parteien zunächst von Vorteil. Sowohl Auftraggeber als auch Auftragnehmer würden Gewissheit darüber erlangen, ob die Produktinkremente funktionsfähig und den Erwartungen des Auftraggebers entsprechen. Faktisch besteht dabei jedoch insbesondere für den Auftraggeber das Problem, dass nicht jedes Produktinkrement oder Arbeitsergebnis am Ende eines Sprints abnahmefähig ist. Insbesondere bei den ersten Sprints des Projektes ist fraglich, ob die Ergebnisse abgenommen werden können. So lässt sich zum Beispiel zu Anfang eines Projekts, nicht bzw. nur erschwert beurteilen, wie und ob ein erzieltes Teilergebnis mit anderen Arbeitsabschnitten und dem Endergebnis zusammenspielen und funktionieren.

Man vollzieht hier eine Gratwanderung zwischen der für die Parteien nachvollziehbaren und durchaus wichtigen gewünschten Rechtssicherheit und der faktischen Ausgestaltung der Softwareentwicklung als agiles Projekt. Macht man zu sehr von der Möglichkeit von Teilabnahmen Gebrauch, droht man die Agilität des Projekts zu ersticken. Um die Spannung aus dieser Situation zu nehmen, bietet es sich an, Teilabnahmen zumindest für User Stories und Epics zu vereinbaren, sowie für weitere Produktinkremente, die der Auftraggeber zeitnah produktiv schalten möchte. Für die übrigen Sprints sollte (lediglich) geprüft werden, ob die erzielten Ergebnisse den festgelegte Akzeptanzkriterien entsprechen. Bestandteil des iterativen Prozesses kann sein, die Funktionsfähigkeit der Software zu testen. Der Auftraggeber bekommt so die Gelegenheit frühzeitig Fehlentwicklungen zu erkennen und zu intervenieren, indem er auf die Gestaltung des nächsten Sprints Einfluss nimmt.


Das könnte Sie auch interessieren:


Wenn alle Anforderungen aus dem Product Backlog abgearbeitet und umgesetzt sind sowie den Akzeptanzkriterien entsprechen, gilt es das Projekt als Ganzes abzunehmen. Hierbei kommt es einerseits auf die Funktionsfähigkeit und Interoperabilität der einzelnen Produktinkremente zueinander und andererseits auf die Gesamtfunktionalität der Software an. Auch bei der Gesamtabnahme sollten die Parteien Kriterien für Abnahme vereinbaren sowie die Übereinstimmung der vereinbarten Zieldefinition der Definition of Done prüfen.

Gewährleistungsrechte

Ähnliche Überlegungen sind bei der Inanspruchnahme von Gewährleistungsrechten anzustellen. Bei SCRUM-Projekten ist es dabei wichtig im Kopf zu behalten, dass nicht jeder Fehler bei der Umsetzung der Anforderungen unweigerlich auch einen Mangel darstellt. Vielmehr gilt bei SCRUM, dass nicht oder fehlerhaft umgesetzte Anforderungen zurück in das Sprint Backlog aufgenommen und in einem späteren Sprint erneut bearbeitet werden. Nicht jeder Fehler bedarf daher der Anwendung der Gewährleistungsrechte. Mit SCRUM geht ein für Gewährleistungsrechte unpassendes Verständnis von Fehlern einher. Eine fehlerhaft umgesetzte Anforderung aus dem Sprint Backlog, kann in einem der nächsten Sprints umgesetzt werden oder das Lernergebnis aus dem ersten Fehler führt dazu, dass die Anforderung gar nicht umgesetzt wird. Diese Arbeitsweise ist dem SCRUM-Prozess immanent und sollte nicht durch das Ausüben von Gewährleistungsrechten torpediert werden. Der Auftraggeber kann seinen Interessen an fehlerarmen Entwicklungsprozessen dadurch gerecht werden, dass er sich aktiv in den Entwicklungsprozess einbringt.

Davon zu unterscheiden ist das Vorliegen tatsächlicher Mängel, also Programmier- und Entwicklungsfehler, die sich nach Abschluss des Entwicklungsprozesses auf die Funktionsweise der Software auswirken. Für diese Art von Fehlern ist die Ausübung von Gewährleistungsrechten sinnvoll.

Vergütung und Exit

Bei der Vergütung muss ebenfalls mitgedacht werden, dass sich ein agiles Projekt in der Rollen- und Risikoverteilung von klassisch linearer Vorgehensweise unterscheidet. Die Vereinbarung eines Festpreises oder Vergütung anhand von Milestones ist zwar grundsätzlich möglich, birgt aber das Risiko des „agile washing“. Entsprechende Vergütungsvereinbarungen können nur schwer die Realität des Entwicklungsprojektes abbilden. Bei einem SCRUM-Projekt wird man zu Beginn keine vernünftigen Milestones definieren können oder zumindest den Aufwand bis zu deren Erreichen nicht vernünftig abschätzen können. Und auch ein Festpreis führt tendenziell dazu, dass der im SCRUM-Projekt tatsächlich anfallende Aufwand nicht angemessen in der Vergütung abgebildet werden kann, denn zu Beginn des Projekts ist der Aufwand noch gar nicht wirklich absehbar.

Das Ergebnis eines Entwicklungsvorgangs nach SCRUM kann auch sein, dass das Projekt abgebrochen werden muss. Gründe dafür können vielfältig sein; von mangelnder Kooperationsfähigkeit des Teams bis zu der Erkenntnis, dass sich die Anforderungen des Backlogs nicht umsetzen lassen. Vertragsregelungen zum Exit-Management müssen dies widerspiegeln und es den Vertragsparteien erlauben, das Projekt an geeigneter Stelle abzubrechen – oder gegebenenfalls den Zwischenstand an ein anderes Projektteam zu geben, damit weiterentwickelt werden kann.

Fazit

SCRUM-Verträge sind in der Vertragsgestaltung ein schwieriges Thema. Wer ein Entwicklungsprojekt mit SCRUM umsetzen möchte, beabsichtigt die Vorteile der damit einhergehenden Agilität in Kosten und Erfolgschancen zu nutzen. Damit die angestrebte Agilität auf vertraglicher Ebene gebührend berücksichtigt und umgesetzt wird, ist es erforderlich, dass ein starres Schubladendenken vermieden wird. Die Vertragsgestaltung muss die Struktur des SCRUM-Projektes abbilden, ohne die Agilität zu ersticken. Das ist nur möglich, wenn sich das ganze Projektteam auf das Konzept SCRUM einlässt, und jeder beteiligte sich aktiv und kooperativ einbringt. Es bedarf Zugeständnissen auf rechtlicher und faktischer Ebene von beiden Parteien, um auch wirklich ein Projekt agil durchzuführen und nicht nur ein Projekt durchzuführen, das man „agil“ nennt. Damit all das im Vertrag sinnvoll abgebildet werden kann, braucht es Fingerspitzengefühl und ein Verständnis für das konkrete Entwicklungsprojekt.

DSGVO-Schadensersatzverfahren: SRD erzielt Erfolg im Abwehren eines Schadensersatzanspruchs

Schadensersatzansprüche gemäß Art. 82 DSVGO gewinnen nach wie vor an Relevanz und beschäftigen Unternehmen zunehmend. Die Norm ermöglicht Betroffenen die Geltendmachung von Schadensersatzansprüchen direkt gegenüber den Verantwortlichen, wenn diese gegen datenschutzrechtliche Bestimmungen verstoßen.

In einer Klage auf Zahlung von Schadensersatz aus Art. 82 DSGVO konnten Schürmann Rosenthal Dreyer Rechtsanwälte kürzlich vor dem Kammergericht (im Folgenden: KG) einen beachtlichen Erfolg für unsere Mandantin erzielen und einen durch den Kläger zu Unrecht geltend gemachten Anspruch abwehren.

Hintergrund

Der Kläger hatte am 25.09.2019 mit anwaltlichem Schreiben verlangt, dass ihm sämtliche bei unserer Mandantin vorhandenen Unterlagen, die einen Vertrag mit ihm begründen würden, vorgelegt werden. Hintergrund des Informationsbegehrens hinsichtlich der Vertragsbegründung war, dass der Kläger laut anwaltlichem Schreiben einer nicht nachvollziehbaren Forderung ausgesetzt gewesen sei. Auf das entsprechende Schreiben wurde von unserer Mandantin am 7.10.2019 mitgeteilt, dass ein Vertrag mit dem Kläger nicht wirksam zustande gekommen sei und die Forderung entsprechend storniert würde.

Am 17.11.2020 folgte ein datenschutzrechtliches Auskunftsbegehren des Klägers nach Art. 15 DSGVO, welches durch unsere Mandantin binnen zwei Tagen und damit innerhalb der gesetzlich vorgesehenen Frist am 19.11.2020 erfüllt wurde.

Urteil des Landgerichts Berlin

In der anschließenden Klage vor dem erstinstanzlichen Landgericht Berlin (im Folgenden: LG) machte der Kläger geltend, bereits das erste Schreiben vom 25.09.2019 sei als Auskunftsersuchen nach Art. 15 DSGVO zu verstehen gewesen. Wegen des damals angeblich nicht vollständig erfüllten Auskunftsanspruches sei durch unsere Mandantin gegen Art. 15 DSGVO verstoßen worden, weshalb dem Kläger ein Schadensersatzanspruch nach Art. 82 DSGVO zustehen würde.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Das LG allerdings entschied mit Urteil vom 26.11.2021, dass unsere Mandantin das Auskunftsersuchen des Klägers vollumfänglich erfüllt habe. In dem Schreiben vom 25.09.2019 habe der Kläger die Beklagte lediglich zur Vorlage der einen Vertrag begründen Unterlagen aufgefordert. Das in dem Schreiben zum Ausdruck gekommene Informationsinteresse des Klägers beziehe sich gerade auf den „angeblichen Vertragsschluss“ und nicht auf die von unserer Mandantin vorgehaltenen Daten des Klägers, nach dem objektiven Empfängerhorizont musste dieses Schreiben von unserer Mandantin gerade nicht als Auskunftsbegehren nach Art. 15 DSGVO verstanden werden.

Dem am 17.11.2020 geltend gemachten Auskunftsanspruch sei mit dem Schreiben unserer Mandantin vom 19.11.2020 vollständig und fristgerecht entsprochen worden. Hinsichtlich der ebenfalls durch den Kläger behaupteten Unvollständigkeit dieser Auskunft trüge dieser die Darlegungs- und Beweislast, welcher hier nicht ausreichend entsprochen worden sei. Folgerichtig entschied das LG, dass mangels Verstoßes gegen die DSGVO kein Anspruch aus Art. 82 DSGVO bejaht werden könne.


Das könnte Sie auch interessieren:


Beschluss des Kammergerichts

Das KG schloss sich im Rahmen der Berufung der Argumentation des LGs an. Dem Schreiben des Klägers vom 25.09.2019 ließe sich gerade entnehmen, dass er sich vor der Entscheidung über weitere Schritte zunächst einmal informieren wollte. Dies sei von der Auskunft über die Verarbeitung personenbezogener Daten (Art. 15 Abs. 1 S. 1 DSGVO) zu unterscheiden. Das in dem Schreiben zum Ausdruck gekommene Informationsinteresse des Klägers beziehe sich gerade auf den „angeblichen Vertragsschluss“ und nicht auf die von unserer Mandantin vorgehaltenen Daten des Klägers.

Das KG kündigte an, die gegen das Urteil des LG eingelegte Berufung nach § 522 Abs. 2 ZPO zurückweisen zu wollen, da die Berufung nach Aussage des KG offensichtlich keine Aussicht auf Erfolg gehabt hätte und auch kein sonstiger Berufungsgrund einschlägig gewesen sei. Daraufhin erklärte die Klägerseite die Rücknahme der Berufung.

So konnte sich unsere Mandantin mit der Unterstützung von Schürmann Rosenthal Dreyer schlussendlich auch in der zweiten Instanz gegen die ungerechtfertigte Inanspruchnahme aus Art 82 DSGVO verteidigen.

Gerade wenn (vermeintlich) Betroffene ungerechtfertigt Schadensersatz gem. Art. 82 DSGVO geltend machen, ist wegen der mittlerweile immer ausdifferenzierteren und vor allem sich ständig verändernden Rechtsprechung die Zusammenarbeit mit einer spezialisierten Kanzlei dringend zu empfehlen.
Gerne unterstützen wir auch Sie mit unserer Expertise und Erfahrung, wenn ihr Unternehmen mit der Geltendmachung entsprechender Ansprüche konfrontiert ist.

Schadensersatzansprueche Datenschutz Datenschutzkongress

Datenschutzkongress: Philipp Müller-Peltzer zu Schadensersatzansprüchen im Datenschutz

Der Datenschutzkongress ist deutschlandweit die wichtigste Veranstaltung für Datenschutzexpertinnen und -experten und bot in seiner diesjährigen 23. Auflage allen Interessierten wie immer spannende Einblicke von führenden Köpfen aus Politik, Wirtschaft und Wissenschaft sowie wertvolle Networking-Möglichkeiten mit Gleichgesinnten. Rechtsanwalt und Partner Philipp Müller-Peltzer sprach in seinem Vortrag über Schadenersatzansprüche im Datenschutz und gab zudem wertvolle Praxistipps für Unternehmen.

Schadensersatzansprüche im Datenschutz sind nach dem Inkrafttreten der DSGVO ganz besonders in den Fokus von Unternehmen, aber auch medienwirksam in den der Öffentlichkeit gerückt. Inzwischen bestehen aufgrund einiger Erfahrungswerte etwa bezüglich der Behördenpraxis sowie einer Vielzahl rechtskräftiger Gerichtsentscheidungen wichtige Anhaltspunkte für die Praxis, wie Unternehmen mit Schadensersatzkonstellationen umgehen können. Darüber hinaus versuchen Online-Portale, Geschäftsmodelle zur massenhaften Geltendmachung von Datenschutzansprüchen zu etablieren.

Welche aktuellen Risiken ergeben sich für datenverarbeitende Unternehmen? Welche Rechtsnormen gilt es zu beachten und welche Entscheidungen sind zu erwarten? Wie können Unternehmen mit Forderungen umgehen und Schadenersatzansprüche vermeiden?

Nützliche Hinweise und erste Antworten liefert der Video-Mitschnitt des Datenschutzkongress-Vortrags unseres Kollegen Philipp Müller-Peltzer. Unser Team aus Rechts- und Fachanwält:innen steht Ihnen bei allen weiteren Fragen jederzeit gern zur Verfügung.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Neue Leitlinien des EDSA zur Berechnung von Bußgeldern

Am 12. Mai 2022 hat der Europäische Datenschutzausschuss (EDSA) neue Leitlinien zur Berechnung von Bußgeldern im Rahmen der Datenschutz-Grundverordnung (DSGVO) verabschiedet. Ziel dieser Leitlinien ist es, die Handhabung der datenschutzrechtlichen Bußgeldbestimmungen europaweit zu vereinheitlichen. Den allgemeinen Bedingungen für die Verhängung von Geldbußen (Art. 83 DSGVO) entsprechend, enthalten die Leitlinien keine einfach gestrickten Bußgeldkataloge, sondern stellen eine komplexe Methode vor, um vom je zulässigen Maximalbußgeld auf das im Einzelfall angemessene Bußgeld zu schließen.

Im Einzelnen sehen die Leitlinien fünf Schritte zur Berechnung von Bußgeldern vor:

Zunächst sind die relevanten Verarbeitungsvorgänge zu identifizieren (Schritt 1) und ein Ausgangspunkt für die weitere Berechnung zu ermitteln (Schritt 2); dabei sind insbesondere Art (a) und Schwere (b) des Verstoßes sowie der Umsatz des betroffenen Unternehmens (c) zu berücksichtigen. In Schritt 3 sind dann erschwerende sowie mildernden Umstände abzuwägen; anschließend wird kontrolliert, ob sich das so ermittelte Bußgeld noch innerhalb des gesetzlichen Rahmens bewegt (Schritt 4). Im fünften und letzten Schritt wird dann noch einmal überprüft, ob das Bußgeld gleichermaßen wirksam, abschreckend und verhältnismäßig ist – und gegebenenfalls angepasst.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Was bedeuten die neuen Leitlinien für die Bußgeldpraxis in Deutschland?

Die neuen Leitlinien erinnern stark an das Konzept der deutschen Datenschutzaufsichtsbehörden in Verfahren gegen Unternehmen vom 14. Oktober 2019 (Bußgeldkonzept). Da die Leitlinien der EDSA zudem wiederholt betonen, dass sich jede schematische Lösung verbiete und es allein Sache der nationalen Aufsichtsbehörden sei, im Einzelfall angemessene Bußgelder zu verhängen, dürfte sich die überkommene Behördenpraxis hierzulande kaum ändern. Nach dem Bußgeldkonzept erfolgt die Bußgeldzumessung in Verfahren gegen Unternehmen ebenfalls in fünf Schritten: Zunächst wird das betroffene Unternehmen einer Größenklasse zugeordnet (Schritt 1), danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe bestimmt (Schritt 2), ein wirtschaftlicher Grundwert ermittelt (Schritt 3), dieser Grundwert mit einem Faktor multipliziert, der sich aus der Schwere des Verstoßes ergibt (Schritt 4), und der so ermittelte Wert abschließend mit Blick auf noch nicht berücksichtigte Umstände angepasst (Schritt 5).

Worin unterscheiden sich die Bußgeldkonzepte des EDSA und der Deutschen Aufsicht?

Aus einem Vergleich der beiden Dokumente ergibt sich, dass der europäische Schritt 2 c) im Wesentlichen den deutschen Schritten 1 bis 3 entspricht; umgekehrt entsprechen die europäischen Schritte 2 a), 2 b) und 3 dem deutschen Schritt 4. Das ist kein Zufall: Bereits auf der Oberfläche beider Dokumente fokussiert das achtseitige deutsche Konzept stärker auf eine möglichst genaue Bestimmung des Umsatzes, wohingegen die vierzigseitigen Leitlinien aus Brüssel den Schwerpunkt auf Art und Schwere des entsprechenden Verstoßes legt. Dazu nennt der EDSA verschiedene Beispiele und Kriterien wie die Anzahl betroffener Personen, die Dauer des Verstoßes oder die Frage nach Vorsatz und Fahrlässigkeit.

Die Leitlinien betonen laufend, dass es nicht um eine mathematische Berechnung des Bußgeldes, sondern um eine gewissenhafte Abwägung der relevanten Umstände gehe; gleichwohl geben sie den Aufsichtsbehörden mehrere Topoi an die Hand, um einen angemessenen Bußgeldrahmen zu bestimmen. So empfiehlt der EDSA beispielsweise nach leichten, mittleren und schweren Verstößen zu differenzieren und dementsprechend 0 bis 10%, 10 bis 20% oder 20 bis 100% des zulässigen Höchstbußgeldes zu veranschlagen. Abhängig vom Jahresumsatz des betroffenen Unternehmens kann dieser Prozentsatz dann weiter gemindert werden. So soll das Bußgeld bei einem Jahresumsatz von zwei Millionen Euro oder weniger auf bis zu 0,2% des Betragesgesenkt werden können, der zuvor anhand des Maximalbußgeldes bestimmt wurde. Wird also beispielsweise ein mittelschwerer Verstoß gegen die DSGVO in einem kleinen Unternehmen festgestellt, so soll sich das Bußgeld in einem Rahmen von 2.000 bis 2.000.000 bewegen (0,2% des niedrigsten Ausgangspunktes bzw. 20% des maximalen Bußgelds). Diese Vorgaben dürften besonders jene Behörden unter Rechtfertigungsdruck setzen, die in der Vergangenheit zu eher laxen Bußgeldern tendiert haben.


Das könnte Sie auch interessieren:


Wichtige Neuerung: EDSA spricht sich für das sogenannte Funktionsträgerprinzip aus!

Eine für Deutschland wesentliche Neuerung enthalten schließlich die Ausführungen des EDSA zur Haftung im Unternehmen. Zwischen deutschen Gerichten war bislang umstritten, ob die Haftung aus Art. 83 DSGVO an die Handlung einer natürlichen Person anknüpft (Rechtsträgerprinzip) oder ob eine unmittelbare Verbandshaftung über die Grundsätze des europäischen Kartellrechts begründet werden kann (Funktionsträgerprinzip).

Konkret entzündete sich die Diskussion an der Frage, ob ein Unternehmen für das Fehlverhalten einzelner Mitarbeiter haftet oder ob es darüber hinaus einer Art Aufsichtsversagens bedarf. Das Landgericht Bonn urteilte Ende 2020, sanktioniert werde der Datenschutzverstoß selbst (und nicht: die dafür ursächliche Handlung); das Landgericht Berlin entschied demgegenüber Anfang 2021, dass die Feststellung eines vorwerfbaren Verhaltens Grundvoraussetzung für die Begründung unternehmerischer Verantwortlichkeit sei. Unter Berufung auf die Rechtsprechung des Europäischen Gerichtshofs erteilt der EDSA dem Rechtsträgerprinzip nun eine klare Absage: die betreffenden Unternehmen hafteten selbst und unmittelbar für zurechenbare Handlungen. Aufsichtsbehörden und Gerichte seien daher nicht verpflichtet, eine natürliche Person zu benennen oder auch nur zu ermitteln; etwaige entgegenstehende Bestimmungen – beispielsweise die §§ 30, 130 des Gesetzes über Ordnungswidrigkeiten – seien mit dem unionsrechtlichen Grundsatz der Effektivität unvereinbar und dürften daher nicht angewendet werden. Die Vorgaben des EDSA dürften damit auch Auswirkungen auf das laufende Beschwerdeverfahren gegen die Entscheidung des Berliner Landgerichts haben.

Laut Pressemitteilung des EDSA werden die Leitlinien nun sechs Wochen lang online ausgelegt; nach Ablauf dieser Frist wird eine endgültige Fassung verabschiedet, die eingegangene Rückmeldungen berücksichtigen und eine Referenztabelle enthalten soll. Die Leitlinien können sich also noch ändern. Gleichwohl sind sie in ihrer Stoßrichtung schon jetzt zu begrüßen. Die Leitlinien liefern einen relevanten Beitrag, die anhaltende Rechtsunsicherheit zu mitgieren, die insbesondere aus der uneinheitlichen Gesetzesanwendung deutscher und europäischer Behörden und Gerichte resultiert. Allerdings lässt sich die Höhe etwaiger Bußgelder allein auf Grundlage der neuen Leitlinien noch immer nicht genau vorhersehen. Kontaktieren Sie uns gerne, wenn Sie weitergehende Fragen oder Beratungsbedarf zum Datenschutz, zu Aufsichtsbehörden oder etwaigen Bußgeldverfahren haben.

Kassenloses bezahlen Datenschutz

Kassenloses Bezahlen im Fokus der Datenschützer

Neue Technologien werden in vielen Bereichen des täglichen Lebens erprobt und haben schon lange den Einzug in unseren Alltag gefunden. Auch Anbieter im Einzelhandel zeigen sich experimentierfreudig und haben das Potential des modernen Einkaufs, insbesondere das des kassenlosen Bezahlens erkannt. Dabei wird der Bezahlvorgang praktisch ohne Zutun der Kund:innen gestaltet – anstatt Kassen oder Kassenpersonal, kommen Kameras und Künstliche Intelligenz (KI) zum Einsatz. Aktuell laufen zahlreiche Pilotprojekte für autonomes Einkaufen, bei denen neben Start-ups auch große Anbieter wie Rewe, Edeka und die Schwarz Gruppe mitmischen. Die eingesetzten Technologien variieren, haben aber gemein, dass sie auf personenbezogene Daten zurückgreifen. Dies wiederum ruft datenschutzrechtliche Fragestellungen auf – doch der Datenschutz bedeutet keinesfalls ein Hindernis für die Implementierung des kassenlosen Bezahlens. Dennoch muss die Datenschutz-Grundverordnung (DSGVO) berücksichtigt und Datenschutz von Anfang an mitgedacht werden.

Wie das gelingt und welche Maßnahmen getroffen werden können, um Sicherheitsrisiken zu minimieren beleuchtet dieser Beitrag für Sie.

Eingesetzte Technologien

Viele Unternehmen haben einen Schritt in Richtung autonomes Einkaufen gewagt, verfolgen dabei aber teils unterschiedliche Ansätze. REWE hat sich mit einer Filiale in Köln für ein hybrides Modell entschieden. Hier wird Kund:innen die Wahl gelassen: Bezahlvorgang an der Kasse oder automatisiertes Erfassen der gewählten Produkte und Rechnung im Nachhinein per App. Wählen Kunden letztere, können sie sich über ihr eigenes Smartphone mittels App einchecken. Danach verfolgt ein System aus Sensoren und Echtzeit-Datenverarbeitung, welche Artikel aus dem Regal herausgenommen oder auch wieder hineingelegt werden. Der Verbraucher kann das Produkt direkt in seine Tasche packen – die Abbuchung erfolgt dann automatisch; ein Scan-Vorgang ist nicht nötig. Bei dem Rewe-Modell wird der Kunde nicht optisch aufgenommen, sondern es werden nur bestimmte Datenmerkmale erfasst – so werden die Kunden nur als fortlaufende Nummer mit deren „Skelettmerkmalen“ erfasst.

Ähnlich arbeitet Aldi Süd bereits in London und Aldi Nord ab diesem Jahr in den Niederlanden. Neben einer App, in der sich Kund:innen durch einen QR-Code ein- und ausloggen können, wird der gesamte Einkauf durch Kameras und Sensoren an den Regalen aufzeichnet. Künstliche Intelligenz wird eingesetzt, um sämtliche Bewegungen des Kunden zu registrieren und zu erkennen, welche Produkte eingepackt werden. Bei der „Just walk out“-Technologie von Amazon kommen darüber hinaus smarte Einkaufswagen zum Einsatz. Diese sind ausgestattet mit Kameras, Sensoren und Waagen. Sie werden durch wiegende Regalböden unterstützt, die mit Deep-Learning-Algorithmen registrieren, welche Waren der Kunde aus dem Regal nimmt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Sicherheit und Sicherheitsrisiken

Einkaufen ohne aktiven Bezahlvorgang bringt Innovation und spart Zeit, gerade wenn es für Kund:innen schnell gehen muss und erleichtert dabei sogar die Einhaltung der coronabedingten Abstandsregelungen. Die Digitalisierung hat dem Menschen neue Möglichkeiten eröffnet und damit auch ihr Einkaufsverhalten geändert: Konsumenten schätzen die Schnelligkeit und Effizienz des Onlineshopping, aber auch die persönliche Beratung im Geschäft. Kassenlose Bezahlvorgänge können beide Eigenschaften verbinden und versprechen deshalb ein hohes Potential. Dabei darf aber nicht unterschätzt werden, dass die meisten eingesetzten Technologien damit arbeiten, die Bewegungen von Kund:innen genau zu verfolgen und zu analysieren. Schließlich muss der Einzelhandel sicherstellen, dass jedes Produkt, dass im Kühlschrank des Kunden landet auch von diesem bezahlt wurde. Doch werden Bewegungsmuster angefertigt, kann dies auch ein sogenanntes Profiling ermöglichen: Profile der Kund:innen könnten erstellt werden, um herauszufinden, welche Produkte diese am liebsten kaufen; Verhaltensanalysen können durchgeführt werden. Die Möglichkeit dauerhafter Profilbildung oder ein erster Schritt in Richtung Totalüberwachung durch Gesichtserkennung nach dem Negativbeispiel China müssen ausgeschlossen werden. Auch der Bezahlvorgang kann Risiken bergen, wenn automatisch oder per externer App gezahlt wird. Diese widerstreitenden Interessen erfordern eine Abwägung der Interessen der Händler auf der einen und des Kunden auf der anderen Seite.


Das könnte Sie auch interessieren:


Erforderliche Maßnahmen

Diesen Risiken kann Abhilfe geschaffen und ein Interessensausgleich gefunden werden, denn Datenschutz ist kein unüberwindbares Hindernis. Zentral dabei ist den Datenschutz von Anfang an einfließen zu lassen, die Nutzung eines möglichst datensparsamen Konzepts und informierte Entscheidungsmöglichkeiten seitens der Kundschaft.

1. Privacy by Design

Bereits bei der Entwicklung der eingesetzten Technologien sollte der Datenschutz nach Maßgabe des Artikel 25 Absatz 1 DSGVO berücksichtigt werden.

Denn Datenschutz wird bei Datenverarbeitungsvorgängen am besten eingehalten, wenn er bei deren Entwicklung bereits technisch integriert ist. Der Grundgedanke sieht vor: Sobald Datenschutz im Sinne der DSGVO technisch integriert ist, lässt sich der Schutz der Daten am leichtesten einhalten. Es müssen nachträglich keine Maßnahmen ergriffen werden, die Mehraufwand oder einen Datenverlust bedeuten. Technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten treten frühzeitig in der Entwicklungsphase auf und ermöglichen eine Datenschutz-konforme Software.

2. Notwendigkeit eines datensparsamen Konzepts

Die Verarbeitung personenbezogener Daten muss transparent und datensparsam erfolgen. Unbedingt verzichten werden sollte dabei auf die Verwendung von biometrischen Daten. Das Rewe-Modell zeigt, wie ein datensparsames Konzept ohne funktionelle Einbußen funktionieren kann: nicht der Kunde wird optisch aufgenommen, sondern nur bestimmte Datenmerkmale. Mithilfe der Skelettmerkmale lassen sich dann die Bewegungen nachvollziehen, ohne dass es der Erfassung weiterer optischer Merkmale des Kunden bedarf. Um eine Wiedererkennungsmöglichkeit der Kund:innen nach einem Besuch im Supermarkt auszuschließen, kann das System diese als randomisierte Nummer erfassen. Gesichtserkennungen, Re-Identifizierung und die Gefahr von Überwachung werden dadurch ausgeschlossen – so ist sowohl dem Händler als auch dem Kunden gedient.

3. Bewusstes und informierte Entscheidungsmöglichkeit der Kund:innen

Letztlich muss es jedem Kunden möglich sein, sich bewusst und informiert für oder gegen das Modell des kassenlosen Bezahlens zu entscheiden. Die Verarbeitung personenbezogener Daten ist verboten, soweit und solange sie nicht durch eine entsprechende gesetzliche Bestimmung erlaubt wird. Beim Kassenlosen Bezahlen liegt eine Einwilligung nach Art. 6 I a DSGVO mittels App am nächsten. Um DSGVO konform zu sein, muss die Einwilligung freiwillig und bezogen auf einen bestimmten Fall informiert abgegeben werden. Augenmerk ist auf das Kriterium „informiert“ zu legen: Kund:innen sind mindestens darüber zu informieren, wer der oder die Verantwortliche ist und zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden sollen. Darüber hinaus sind betroffene Person nach Auffassung des Europäischen Datenschutzausschusses über die Art der verarbeiteten Daten, über ihr Recht, die Einwilligung jederzeit zu widerrufen zu informieren. Es ist sicherzustellen, dass den Verbraucher:innen bekannt ist, dass bei der kassenlosen Bezahlmethode auch ihr Einkaufsverhalten mittels intelligenter Videokameras ausgewertet wird.

Betreiber Hybrider-Modelle müssen darüber hinaus gewährleisten, dass nur die personenbezogenen Daten von Kunden verarbeitet werden, die sich für das Bezahlen ohne Kasse entschieden und eingewilligt haben.

Fazit und Ausblick

Der Implementierung vom Kassenlosen Bezahlen steht aus DSGVO-Sicht nichts entgegen, wenn der Datenschutz von Anfang an mitgedacht wird. So gelingt es, dass Interesse der Kund:innen und die der Anbieter in einen interessensgerechten Ausgleich zu bringen und Innovation rechtssicher zu leben. Privacy by Design, ein datensparsames Konzept und Information und Einwilligung sind dabei besonders wichtig.

In nächster Zeit ist auch mit einer Stellungnahme der DSK zu dem Thema „kassenloses Einkaufen“ zu rechnen. Diese wird Händlern weitere Klarheit verschaffen.

Gerne stehen wir Ihnen bei der Umsetzung Ihres Konzepts mit unserer Expertise und Erfahrung im Datenschutz zur Seite.

saas recht ueberblick

Software-as-a-Service und Recht – Ein Überblick

Software-as-a-Service (SaaS) Anwendungen sind aus Unternehmen kaum noch wegzudenken und stellen eine gängige Lösung für die Bewerkstelligung von Arbeitsprozessen dar. Zu den bekanntesten SaaS-Produkten gehören unter anderem Microsoft Office 365 und Google Workspace oder auch diverse Anbieter:innen für Videokonferenzen, die während der Corona-Krise wichtiger denn je geworden sind. Dieser Beitrag soll einen ersten Überblick über SaaS-Anwendungen verschaffen und darstellen, welche Vorteile sie bieten und wie sie rechtlich einzuordnen sind.

I. Was ist SaaS?

Software-as-a-Service bedeutet, dass der Anbieter nicht die Software selbst, sondern deren Nutzung als Produkt anbietet. Software und IT-Infrastruktur werden bei einem externen IT-Dienstleister betrieben. Software-as-a-Service ist deshalb ein Teilbereich des Cloud-Computing. Es gibt zahlreiche Anwendungsfälle, von den bereits erwähnten Office- und Videokonferenz-Applikationen bis zu Lösungen für das Personal-, Customer-Relationship- und Finanzmanagement.

Neben Software-as-a-Service (SaaS) tauchen auch häufig die Begriffe Infrastructure-as-a-Service (IaaS) und Platform-as-a-Service (PaaS) auf. Diese Geschäftsmodelle stellen ebenfalls Teilbereiche des Cloud-Computings dar und werden oft mit SaaS zusammen in einem pyramidenförmigen Diagramm dargestellt, da sie sich in den Anwendungsfällen gegenseitig ergänzen können. Beispielsweise kann ein SaaS-Anbieter die Nutzung der Software zur Verfügung stellen, indem er die Software selbst programmiert und sie dann auf einem Server hostet, deren Nutzung der SaaS-Anbieter von einem IaaS-Anbieter einkauft. Der IaaS-Anbieter kümmert sich dann um den Betrieb des Servers.

Beim Einsatz von SaaS-Produkten entstehen häufig sog. Dienstleisterketten. Der SaaS-Anbieter greift z.B. auf PaaS-Dienste zurück und der PaaS-Anbieter auf einen IaaS-Dienst. In Dienstleisterketten gibt es ein paar Besonderheiten zu beachten, etwa was die Verteilung der Zugriffsmöglichkeiten oder die Ausfallsicherheit betrifft. Auch Drittlandübermittlungen können eine Rolle spielen. Die Dienstleister müssen die Vertraulichkeit der Daten sicherstellen und der Kunde sollte einen Überblick darüber haben, welche Dienstleister mit seinen Datensätzen in Berührung kommen.

Infrastructure-as-a-Service stellt die unterste Ebene der Pyramide dar. IaaS-Anbieter stellen nur die grundlegende Infrastruktur (z. B. Rechenleistung, Speicher) zur Verfügung. Alles weitere betreiben die Nutzenden selbständig. Beispiele hierfür sind die Anbieter AWS oder Microsoft Azure.

Auf der mittleren Ebene der Pyramide befindet sich das Geschäftsmodell Platform-as-a-Service. Zielgruppe sind insbesondere Programmierende denen eine Plattform zur Verfügung gestellt wird, auf der sie eigene Anwendungen entwickeln können, ohne dass sie die hierfür nötige Infrastruktur selbst verwalten müssen. Beispiele für PaaS sind Google App Engine oder Heroku.

SaaS steht an der Spitze der Pyramide, denn die in diesem Geschäftsmodell entwickelten Dienste richten sich direkt an den End-Benutzer.

Die Abgrenzung von SaaS zu PaaS und IaaS kann gelegentlich schwierig sein, da Dienste ineinandergreifen können. Man orientiert sich dabei eher an der technischen Ausgestaltung. Von Seiten der Rechtsprechung hat SaaS noch nicht viel Beachtung gefunden; häufig beziehen sich Urteile auf ältere Dienst- und Vertragsarten, die heutzutage in der Praxis weniger wichtig sind.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

II. Vorteile von SaaS-Verträgen

Die Verwendung von SaaS-Produkten bietet für die Nutzenden vielfältige Vorteile. Die Anschaffungskosten für SaaS-Produkte sind in der Regel gegenüber on-premise-Lösungen niedriger und oftmals besteht die Möglichkeit einer Abrechnung nach dem Pay-as-you-go-Prinzip, denn häufig wird SaaS in Abonnement-Form verkauft.

Darüber hinaus ist der Einsatz von SaaS-Software gegenüber on-premise-Lösungen einfacher: die Software muss nicht installiert, gepflegt, gewartet oder geupdatet werden. All dies erfolgt durch den Anbieter. Auch die Voraussetzungen an die Infrastruktur sind deutlich geringer, in der Regel genügt eine Internetzugang und ein Standard-Browser. Letztendlich bekommt der End-Benutzer nur den Zugang zur Software zur Verfügung gestellt

III. Rechtliche Einordnung

Bevor konkrete Fragen, etwa zu Vertragsgestaltung, Haftung oder Gewährleistung, beantwortet werden können, muss zunächst die Rechtsnatur von SaaS-Verträgen geklärt werden.

Rechtsnatur

In einem SaaS-Vertrag kommen Elemente aus verschiedenen Vertragstypen zusammen: das Werkvertragsrecht, §§ 631 ff. BGB, das Dienstvertragsrecht, §§ 611 ff. BGB und das Mietvertragsrecht, §§ 535 ff. BGB.

Im Rahmen eines Werkvertrages wird im Gegensatz zum Dienstvertrag über das bloße Tätigwerden hinaus auch ein Erfolg geschuldet. Ein Erfolg kann etwa bei einer Datenmigration, der Implementierung der Software oder bei individueller Softwareanpassung geschuldet sein. In diesen Fällen soll der Anbietende nicht nur versuchen, etwa eine Datenmigration durchzuführen, sondern diese auch tatsächlich bewerkstelligen.

Ein reines Tätigwerden nach den Vorschriften des Dienstvertrages kann beispielsweise bei Schulungen über die Software geschuldet sein. Der Anbietende muss lediglich die Schulungen von entsprechend qualifiziertem Personal durchführen, ist aber für keinen Erfolg verantwortlich, etwa dass die Teilnehmenden die Software verstanden haben und mit dieser umgehen können.

Den Kernbereich eines SaaS-Vertrags stellt jedoch das Mietrecht dar. Dieser Ansicht ist auch der Bundesgerichtshof (BGH, Urteil vom 15.11.2006 – XII ZR 120/04). Das Urteil stammt aus dem Jahr 2006, ist also älter als viele heute gängige SaaS-Geschäftsmodelle. Die Rechtsprechung zu SaaS ist insgesamt eher überschaubar. Trotzdem: Die Bereitstellung einer Software zu Gebrauchszwecken ist am ehesten mit der Besitzüberlassung aus dem Mietrecht vergleichbar. Dies war lange streitig, weil Mietrecht voraussetzt, dass der/die Mieter:in Besitz an einer Sache erlangt und der/die Vermieter:in diesen Besitz vollständig aufgibt. Im Rahmen eines SaaS-Vertrages bleibt die Software jedoch im Besitz des Anbietenden, nur die Nutzung wird ermöglicht. Zudem ist Software juristisch gesehen keine „Sache“. Diese Gebrauchsüberlassung auf Zeit ist nach Ansicht des BGH jedoch derart mit den Regelungen und dem vom Mietrecht verfolgten Zweck vergleichbar, dass Mietrecht den Hauptbestandteil eines SaaS-Vertrages prägt.

Regelmäßig stellt sich die Frage, welcher Vertragsbestandteil Mietrecht, Werkvertragsrecht oder Dienstleistungsvertragsrecht unterfällt. Grundsätzlich sollte dasjenige Recht angewendet werden, welches für die konkreten Leistungsteile gilt, also etwa Werkrecht für eine Datenmigration und Mietrecht für die Bereitstellung der Software. Soweit der Vertrag als Ganzes betroffen ist, beziehungsweise ein Leistungsteil nicht sinnvoll abgetrennt werden kann, wird dagegen einheitlich dasjenige Recht angewendet, welches den Schwerpunkt des Vertrages bildet, regelmäßig Mietrecht. Entsprechend wird etwa bei Leistungsstörungen das spezifische Recht angewendet (z. B. Werkrecht, wenn ein Mangel bei der Datenmigration vorliegt), die Kündigung eines SaaS-Vertrages richtet sich dagegen regelmäßig nach Mietrecht.

Auch Updates und Upgrades sollten rechtlich gut auseinandergehalten werden. Weil die Unterschiede zwischen beiden technisch nicht immer trennscharf sind, lassen sie sich nicht leicht auseinanderhalten. Für die rechtliche Bewertung ist der Unterschied allerdings relevant, da sie verschiedenen Vertragstypen zugeordnet werden.


Das könnte Sie auch interessieren:


Vertragsgestaltung

Wie häufig bei der Vertragsgestaltung, gibt es auch im SaaS-Bereich viele mögliche Fallstricke. Ohne Anspruch auf Vollständigkeit werden im Folgenden einige Themen angesprochen, die einem bei SaaS-Verträgen häufiger begegnen können.

In der Regel werden SaaS-Verträge als vorformulierte Verträge bereitgestellt und fallen damit unter den Regelungsbereich der allgemeinen Geschäftsbedingungen (§§ 305 bis 310 BGB). Dies hat unter anderem zur Folge, dass eine ungültige Klausel durch die gesetzliche Regelung ersetzt wird (keine geltungserhaltende Reduktion). Gerade bei der Nutzung von US-amerikanischen Verträgen als Vorlage für SaaS-Verträge ist deshalb Vorsicht geboten. Oftmals enthalten US-amerikanische SaaS-Verträge beispielsweise drastische Haftungsausschlüsse, die der differenzierten deutschen Rechtslage widersprechen. Wird eine solche Version lediglich übersetzt und dem deutschen Recht unterstellt, dürften diese Haftungsausschlüsse in aller Regel unwirksam sein mit der Folge, dass allein das gesetzliche Haftungsregime gilt. Zulässig sind nach deutscher Rechtslage etwa Beschränkungen bei verschuldensunabhängiger Haftung (§ 536a BGB z. B. unbeabsichtigter Programmierfehler) oder bei einfacher Fahrlässigkeit (Ausnahme: Verletzung von Kardinalspflichten). Vorsätzliches oder grob fahrlässiges Verhalten sowie Verletzungen von Leben, Leib oder Gesundheit können nicht von der Haftung ausgeschlossen werden (§§ 307, 309 BGB). Gleiches gilt, wenn der/die Anbieter:in eine Garantie übernommen oder pauschal die Haftung begrenzt hat.

SaaS-Produkte können sich während der Vertragslaufzeit ändern. Beschreibungen der Funktionen und Dokumentation müssen angepasst werden, wenn sich das Produkt ändert. Häufig finden diese Änderungen plattformweit für eine Vielzahl von Nutzern statt. Damit die Verträge zu diesen Änderungen nicht in Widerspruch stehen, müssen diese Dokumente AGB-konform in die Verträge eingebunden werden. Dies kann beispielsweise durch die dynamische Einbindung und Kennzeichnung von Links geschehen.

Des Weiteren sollte die Leistungsbeschreibung genau geprüft werden. Hier werden die Fähigkeiten und Funktionen der Software beschrieben und somit der geschuldete Leistungsumfang definiert. Eine genaue Leistungsbeschreibung kann somit auch den Haftungsrahmen präzisieren.

Ein weiterer wichtiger Teil eines SaaS-Vertrages ist das Service-Level-Agreement (SLA). Dieses trifft Regelungen unter anderem zu der Verfügbarkeit der Software, der Erreichbarkeit des Supports, den Reaktions- und Problembehebungszeiten, Wartungsfenstern sowie gegebenenfalls Minderungsrechten. Da die Bereitstellung der Software regelmäßig Mietrecht unterliegt, stellt insbesondere die Verfügbarkeitsregelung der Software einen Kernpunkt des SLA dar. Grundsätzlich schuldet der Vermietende im Rahmen eines Mietvertrages die unterbrechungsfreie Zurverfügungstellung der Mietsache. Dies kann bei SaaS-Verträgen selten in genau diesem Umfang gewährleistet werden. Daher sollten die Verfügbarkeit der Software und die Folgen einer eventuellen Nichtverfügbarkeit konkret vereinbart werden.

Sonderproblem: Datenschutz

SaaS-Verträge stellen in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO dar und erfordern daher eine Auftragsverarbeitungsvereinbarung (AVV). Es besteht eine Pflicht zur Gewährleistung technischer und organisatorischer Maßnahmen, um personenbezogene Daten angemessen zu schützen. Zwar werden bei der Nutzung von SaaS-Anwendungen Daten des Nutzenden verarbeitet und dieser ist grundsätzlich für diese Daten verantwortlich. Da die Software jedoch vom Anbietenden betrieben und verwaltet wird, wird dieser als Auftragsverarbeiter für den Nutzenden tätig und übernimmt vertraglich die Gewährleistung bezüglich der Datensicherheit. Darüber hinaus muss bei der Verarbeitung von Daten außerhalb des Europäischen Wirtschaftsraums oder eines Drittlandes, dessen Datenschutzniveau von der Europäischen Kommission als mit dem der EU vergleichbar erklärt wurde ein angemessenes Datenschutzniveau gewährleistet werden. Somit ist auch bei SaaS-Nutzung häufig das “Schrems II”- Urteil des EuGH zu beachten.

SaaS-Produkte setzen oftmals, wie auch andere Online-Dienste, Cookies ein. Dabei besteht im Rahmen von SaaS-Verträgen an sich keine Sonderreglung. Es bleibt bei dem Grundsatz, dass ohne eine Rechtfertigung keine personenbezogenen Daten verarbeitet werden dürfen. Ohne eine Einwilligung dürfen etwa nur unbedingt erforderliche Cookies oder andere Tools, die Informationen im Endgerät des Nutzers speichern oder auf diese zugreifen, eingesetzt werden. In Deutschland wurde diese Anforderung des Art.5 Abs. 3 ePrivacy-Richtlinie zunächst unzureichend umgesetzt und lediglich auf den bestehenden § 15 Abs. 3 TMG verwiesen, was jahrelange Rechtsunsicherheit brachte. Durch den neuen § 25 TTDSG wird die Anforderung aus der ePrivacy-Richtlinie korrekt umgesetzt.

IV. Fazit und Ausblick

SaaS-Lösungen werden beliebter und kommen immer häufiger zum Einsatz. Sie besitzen großes Potential und stellen für die Nutzenden eine bequeme und kostengünstige Lösung dar.

Durch die Umsetzung der Digitale-Inhalte-Richtlinie wird im B2C-Bereich mehr Klarheit geschaffen. Es wird ein Rechtsrahmen für Verträge über digitale Produkte geschaffen, innerhalb dessen auch Punkte wie Aktualisierungspflichten und Bezahlen mit Daten durch Verbraucher geregelt werden.

Dahingegen wird es bei B2B-Verträgen weiterhin erforderlich sein, eine Einzelfallbetrachtung vorzunehmen und viele Details – vom Leistungsinhalt bis zu Haftungs- und Gewährleistungsfragen – genau zu prüfen.

Kontaktieren Sie uns gern bei Fragestellungen rund um Software-as-a-Service und Recht!

umsetzung did RL IT Vertragsrecht

dID-Richtlinie: Auswirkungen der neuen Regelungen im BGB auf das IT-Vertragsrecht

Die dID-Richtlinie und ihre Ziele

Am 01.01.2022 trat das „Gesetz zur Umsetzung der Richtlinie über bestimmte vertragsrechtliche Aspekte der Bereitstellung digitaler Inhalte und digitaler Dienstleistungen“ in Kraft, nachdem es bereits kurz vor der parlamentarischen Sommerpause der letzten Legislaturperiode im Juni 2021 verabschiedet wurde. Das Gesetz stellt die Umsetzung der Digitale-Inhalte-Richtlinie dar. Zentraler Inhalt der Richtlinie war die Regelung von Verträgen über sogenannte digitale Inhalte und digitale Dienstleistungen.

Digitale Inhalte sind dabei Daten, die in digitaler Form erstellt und bereitgestellt werden. Dies sind z.B. Apps für Mobilgeräte, Video- und Audiodateien oder auch elektronische Spiele.

Digitale Dienstleistungen sind zum einen Dienstleistungen, die Verbraucher:innen die Erstellung, Verarbeitung oder Speicherung von Daten in digitaler Form oder den Zugang zu solchen Daten ermöglichen. Dies sind z.B. Cloud-Services oder Software-as-a-Service-Lösungen. Zum anderen fallen auch solche Dienstleistungen unter den Begriff der „Digitalen Dienstleistungen“, die den Austausch von Daten ermöglichen, z.B. soziale Netzwerke, Onlinespiele, Messenger-Dienste oder auch E-Mail-Dienste.

Die Richtlinie sieht bezüglich der Regelungen zu Digitalen Inhalten und Dienstleistungen eine Vollharmonisierung in allen Mitgliedstaaten vor. Die erst kürzliche Umsetzung der Richtlinie in Deutschland bringt zwar immer noch viele Unklarheiten mit sich, gerade deshalb lohnt sich allerdings ein Blick auf die praxisrelevantesten Aspekte und Verpflichtungen, denen sich Unternehmen jetzt ausgesetzt sehen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Umsetzung in Deutschland

Das deutsche Umsetzungsgesetz vom 25. Juni 2021 sieht insbesondere die Einführung der §§ 327 ff. BGB vor, die Regelungen zu allen Verbraucherverträgen über die Bereitstellung von digitalen Produkten treffen. Der Begriff der „digitalen Produkte“ findet sich hierbei so nicht in der dID-Richtlinie, meint aber Verträge über digitale Inhalte und Dienstleistungen. Die genaue Einpassung der Regelungen in das nationale Recht blieb im Rahmen der Richtlinienumsetzung den Mitgliedstaaten vorbehalten: Deutschland zieht hierbei die neuen Bestimmungen „vor die Klammer“ und verortet sie im Allgemeinen Teil des Schuldrechts. Es handelt sich nach deutschem Recht somit nicht um einen gänzlich neuen Vertragstyp. Es können vielmehr etwa Kauf-, Schenkungs- oder auch Mietverträge über digitale Produkte geschlossen werden. Das Umsetzungsgesetz sieht hierfür neben den allgemein geltenden §§ 327 ff. BGB entsprechende Änderungen zur Eingliederung der Verbraucherverträge über die Bereitstellung digitaler Produkte im Besonderen Teil des Schuldrechts vor. Da es sich zudem um Verbraucherverträge handelt, sind auch die allgemeinen Verbraucherschutzvorschriften anwendbar.


Das könnte Sie auch interessieren:


Anwendungsbereich

Die neuen Regelungen gelten zudem gem. § 327 Abs. 5 BGB auch, wenn die Bereitstellung von digitalen Inhalten auf einem körperlichen Datenträger erfolgt. Die Bereitstellungshandlung des körperlichen Gegenstandes als solche ist dann z.B. bei einem Kaufvertrag nach § 433 BGB zu beurteilen, während bei Nicht- oder Schlechtleistung hinsichtlich des digitalen Produktes entsprechend die neuen Vorschriften (§§ 327 ff. BGB) gelten.

Ist eine Ware zwar mit einem digitalen Produkt verbunden, kann ihre Funktionen aber auch ohne das digitale Produkt erfüllen, dann sind die §§ 327 ff. BGB gem. § 327a BGB nur auf die die digitalen Produkte betreffenden Warenbestandteile anzuwenden. Das Vorstehende betrifft etwa den Kauf eines Smartphones ohne ein bestimmtes, vorinstalliertes Betriebssystem und den anschließenden separaten Vertragsschluss über die Bereitstellung des Betriebssystems für dieses Smartphone mit einem Dritten.

Abzugrenzen sind die §§ 327 ff. BGB von der Umsetzung der Warenkauf-Richtlinie und der in diesem Zuge neu eingeführten „Waren mit digitalen Elementen“. Diese sind in den §§ 474 ff. BGB separat geregelt und sind nicht identisch mit digitalen Produkten. Waren mit digitalen Elementen sind körperliche Gegenstände, die digitale Inhalte oder Dienstleistungen enthalten oder mit ihnen in einer Art und Weise so verbunden sind, dass die Sache ohne diese Inhalte keine Funktion hat. Darunter fallen etwa Smartphones, Smartwatches oder auch Computer mit einem vorinstallierten Betriebssystem.

Ausnahmen von der Anwendbarkeit der §§ 327 ff. BGB finden sich in § 327 Abs. 6 BGB. Dies betrifft insbesondere Verträge über Finanzdienstleistungen (relevant v.a. bei Online-Finanzdienstleistungen), Open-Source-Software oder auch Verträge über Telekommunikationsdienste. Für sog. „nummernunabhängige, interpersonelle Telekommunikationsdienste“ i.S.d. § 3 Nr. 40 TKG (z.B. Messenger) findet sich allerdings eine Rückausnahme, sodass die §§ 327 ff. BGB hier doch Anwendung finden.

Die Regelungen des Umsetzungsgesetzes gelten für alle ab dem 01.01.2022 geschlossenen Verbraucherverträge über digitale Produkte. Mit Ausnahme der §§ 327r, 327t und 327u BGB gelten die neuen Regelungen zudem auch bei Vertragsschluss vor dem 01.01.2022, sofern die vertragsgegenständliche Bereitstellung ab dem 01.01.2022 erfolgt.

Im Folgenden sollen einige der praxisrelevantesten Vorschriften näher beleuchtet werden.

Bezahlen mit Daten

Eine der wohl relevantesten Neuerungen findet sich in §§ 312 Abs. 1a, 327 Abs. BGB. Diese Vorschriften ermöglichen bei Verbraucherverträgen über die Bereitstellung digitaler Produkte, dass Verbraucher:innen statt eines Preises personenbezogene Daten bereitstellen oder sich zu deren Bereitstellung verpflichten. Sprich: die Bereitstellung von personenbezogenen Daten entspricht zumindest bei digitalen Produkten der Zahlung eines Geldbetrages.

Nach § 327 Abs. 3 S. 2 BGB i.V.m. § 312 Abs. 2a S. 2 BGB gilt dies nicht, wenn die personenbezogenen Daten ausschließlich zur Erfüllung von an Unternehmer:innen gestellten rechtlichen Anforderungen oder zur Erfüllung derer Leistungspflicht verarbeitet werden. Dies betrifft etwa die Bereitstellung von Daten zur Rechnungslegung oder die Verarbeitung einer E-Mail-Adresse zum Versand eines Angebots. Für ein „Bezahlen mit Daten“ spielt es keine Rolle, ob Verbraucher:innen die Daten aktiv bereitstellt oder die Verarbeitung auch nur zugelassen haben. So kann von einer „Bereitstellung“ von personenbezogenen Daten nach der Gesetzesbegründung auch dann ausgegangen werden, wenn ein „Unternehmer Cookies setzt oder Metadaten wie Informationen zum Gerät der Verbraucher oder zum Browserverlauf erhebt“. Zweifelhaft ist in dieser wohl sehr häufig auftretenden Situation allerdings stets der Rechtsbindungswille der Parteien.

Da auch hier die allgemeinen zivilrechtlichen Informationspflichten gelten, sollte ein eindeutiger Hinweis auf die „Bezahlung mit Daten“ erfolgen. Eine Bezeichnung des Angebots als „umsonst“ oder „kostenlos“ sollte dringend vermieden werden.

§ 327q BGB

§ 327q BGB regelt die vertragsrechtlichen Folgen datenschutzrechtlicher Erklärungen. Der Begriff und der Schutz von „personenbezogenen Daten“ richtet sich dabei unmittelbar nach der DSGVO. Grundsätzlich bleibt die Wirksamkeit des Vertrages gem. § 327q Abs. 1 BGB von datenschutzrechtlichen Erklärungen unberührt. Auch können gem. § 327q Abs. 3 BGB Erklärungen oder die Wahrnehmung von Betroffenenrechten keine Ersatzansprüche von Unternehmer:innen gegen Verbraucher:innen auslösen.

Unternehmen wird allerdings zur Auflösung der Situation ein Sonderkündigungsrecht in § 327q Abs. 2 BGB eingeräumt, wenn die zulässige Datenverarbeitung durch etwaige Erklärungen so eingeschränkt wird, dass die Fortführung des Vertrages nicht wirtschaftlich zumutbar ist. Dies gilt allerdings nicht, wenn der digitale Inhalt nur einmalig bereitgestellt wird, da hierbei aus Sicht des Gesetzgebers nur ein überschaubares Risiko für Unternehmen besteht.

Der § 327q BGB steht im Falle des „Bezahlens mit Daten“ allerdings zum klassischen vertragsrechtlichen Synallagma im Widerspruch: Der Widerruf der Einwilligung (und damit der Wegfall der „Gegenleistung“ für das digitale Produkt) lässt die Wirksamkeit des Vertrags unberührt. Dieser Widerspruch blieb anscheinend auch dem deutschen sowie europäischen Gesetzgeber nicht verborgen: der Begriff der „Gegenleistung“ wurde in den entsprechenden Rechtstexten stets vermieden. Was genau die Abkehr vom klassischen Synallagma hier trotz vorliegender Charakteristika eines gegenseitigen Vertrages für Auswirkungen haben wird, bleibt abzuwarten.

Aktualisierungspflicht, § 327f BGB

Wohl eine der relevantesten Vorschriften der Neuerungen findet sich in § 327f BGB. Danach müssen Verbraucher:innen Updates zur Verfügung gestellt werden, die für den Erhalt der Vertragsmäßigkeit des Produktes erforderlich sind. Maßgeblich sind hierbei sowohl subjektive als auch objektive Anforderungen an das Produkt. Die Nichtbereitstellung von Aktualisierungen führt zu einem Produktmangel i.S.d. § 327e Abs. 2 S. 1 Nr. 3, Abs. 3 S. 1 Nr. 5 BGB.

Die Aktualisierungspflicht gem. § 327f Abs. 1 S. 2. BGB umfasst ganz explizit Sicherheitsupdates. Grundsätzlich ist nach dem Wortlaut der Norm nicht davon auszugehen, dass auch „Upgrades“, also ein Update zur Performancesteigerung geschuldet ist. In der Gesetzesbegründung allerdings findet sich die Ausführung, dass bewusst der Begriff „Aktualisierung“ gewählt wurde, um gerade nicht zwischen Update und Upgrade zu differenzieren.

Neben der Aktualisierungspflicht selbst trifft Unternehmen gem. § 327f Abs. 1 BGB eine entsprechende Informationspflicht hinsichtlich der Aktualisierungen. Diese sollte mögliche Folgen einer fehlenden Installation der Aktualisierung durch Verbraucher:innen enthalten. Der genaue Zeitpunkt, zu dem das Unternehmen den Informationspflichten unterliegt ist nicht eindeutig bestimmbar. In der Gesetzesbegründung wird vielmehr auf einen „angemessenen Zeitraum nach Auftreten der Vertragswidrigkeit“ abgestellt. Es sollte allerdings beachtet werden, dass eine zu frühe Informierung etwa über Sicherheitslücken ein erhebliches Risiko darstellen kann. Unternehmen treffen zudem keine Installationspflichten: vielmehr werden Unternehmer:innen bei Unterlassung der Aktualisierung durch Verbraucher:innen gem. § 327f Abs. 2 BGB aus der Mängelgewährleistung entlassen.

Die dauerhafte Bereitstellung der Updates ist bei Dauerschuldverhältnissen während des Bereitstellungszeitraumes geschuldet. Handelt es sich aber um eine einmalige Bereitstellung, ist die die Aktualisierung für den Zeitraum geschuldet, „den der Verbraucher aufgrund der Art und des Zwecks des digitalen Produkts und unter Berücksichtigung der Umstände und der Art des Vertrages erwarten kann“. Als Anknüpfungspunkt kann hier die Gewährleistungsfrist von 2 Jahren dienen, allerdings kann der Zeitraum für Aktualisierungen diesen Zeitraum laut Gesetzesbegründung überschreiten. Bis zur Klärung durch die Rechtsprechung wird bezüglich der Dauer der Aktualisierungspflicht für Unternehmen allerdings Rechtsunsicherheit herrschen.

Da die Unternehmen, die Verträge mit Verbraucher:innen schließen die Aktualisierungspflichten selbst gar nicht erfüllen können, empfiehlt sich trotz Möglichkeit des Regresses aus §§ 445c, 327u BGB zudem dringend die Aufnahme der Aktualisierungsverpflichtungen auch in B2B-Verträgen zwischen Unternehmen und Herstellern bzw. Vertriebspartnern.

Fazit

Im Ergebnis wurde mit der Umsetzung der Digitale-Inhalte-Richtlinie ein weiterer Schritt in Richtung Stärkung des Verbraucherrechts im digitalen Raum getan. Vieles bleibt allerdings trotz Umsetzung der Digitale-Inhalte-Richtlinie in das deutsche Recht offen – gerade spezifische Anwendungsfragen werden sich erst im Laufe der Zeit genauer beantworten lassen. Gerade hinsichtlich der Dauer der Aktualisierungspflichten bedarf es dringend genauerer Ausgestaltung durch die Rechtsprechung, um mehr Rechtssicherheit zu schaffen. Bereits jetzt können Unternehmen allerdings zumindest dahingehend handeln, dass sie im Verhältnis zu ihren Zulieferern Verträge so umgestalten, dass diesen die tatsächliche Bereitstellung der Aktualisierungen zufällt.

Kontaktieren Sie uns gern, falls Sie tiefergehenden Beratungsbedarf im IT-Vertragsrecht benötigen!

DSFA Podcast Auslegungssache

Ins Gespräch gekommen: Kathrin Schürmann im Podcast zu Bußgeldern und der DSFA

In der neuesten Podcast-Folge des c’t Datenschutz-Podcasts „Auslegungssache“ (Episode 61) kam Kathrin Schürmann, Partnerin bei Schürmann Rosenthal Dreyer Rechtsanwälte, mit Heise-Justiziar Joerg Heidrich und c’t Redakteur Holger Bleich zum Thema Datenschutz-Folgenabschätzung (DSFA) ins Gespräch. 

ct-Datenschutz-Podcast Auslegungssache:

Die DSFA ist für viele Unternehmen, unabhängig von ihrer Größe, eine Herausforderung. Oft sind die genauen Umstände, wie eine DSFA durchgeführt werden soll, nicht ganz klar. Viele Fragen tauchen auch immer wieder dazu auf, wann eine DSFA überhaupt durchgeführt werden muss. Kathrin Schürmann kennt die Skepsis, die der Datenschutz in Unternehmen mit sich zieht und erkennt auch die Problematiken – insbesondere für kleinere Player auf dem Markt – und welche Herausforderungen die Datenschutz-Grundverordnung (DSGVO) an Unternehmen stellt. Im Podcast geht sie auf die wesentlichen Zweifel von Unternehmen ein und zeigt, dass Datenschutz nicht als Damoklesschwert verstanden werden muss, sondern viele Chancen und Perspektiven darin stecken.

Nach kurzer Einschätzung zur Verhängung von Bußgeldern nach der DSGVO anhand eines aktuellen Falles, gab Kathrin Schürmann umfassende Einblicke zum Thema DSFA nach Art. 35 DSGVO. Mit vielen Beispielen und praxisnahen Veranschaulichungen erläuterte Kathrin Schürmann im Podcast den Zweck und das Ziel einer DSFA. Anhand eines plastischen Beispiels wurde im Podcast erörtert, worauf es bei einer DSFA ankommt, wie diese durchzuführen ist und was eine DSFA im Einzelnen ausmacht. 

Eine wesentliche Erkenntnis, die Kathrin Schürmann Hörern auf den Weg mitgeben möchte, ist die DSFA nicht als Fleißaufgabe, sondern vielmehr als agiles Entwicklungsprojekt und begleitende Datenschutz-Prüfung durch die Entwicklung eines Projekts oder Produkts zu sehen. 

Wenn Sie besondere Expertise bei der Durchführung einer DSFA benötigen, unterstützen wir Sie gerne bei ihren Projekten. Treten Sie gerne mit uns in Kontakt!

iot datenschutz herausforderungen

Das Internet of Things – neue Herausforderungen im Datenschutz

Das Internet of Things (IoT) breitet sich immer weiter aus und erobert verschiedenste Arbeits- und Lebensbereiche. Die denkbaren Ausgestaltungsformen und Einsatzmöglichkeiten sind vielfältig; sie alle verbindet aber, dass Geräte des IoT untereinander vernetzt sind und miteinander kommunizieren, indem sie kontinuierlich Daten austauschen und verarbeiten. Das IoT ist per Definition datengetrieben und datenbedürftig. Dies bringt neue rechtliche Herausforderungen, bei deren Lösung es jeweils auf den konkreten Anwendungsfall ankommt. Handelt es sich bei den genutzten Daten allerdings um personenbezogene Daten, gelten natürlich stets die Regelungen der Datenschutz-Grundverordnung (DSGVO). Unabhängig von der Frage des Personenbezugs müssen auch die im Einzelfall bestehenden Anforderungen an die Datensicherheit untersucht und ein sachgerechtes Datensicherheitskonzept entwickelt und implementiert werden.

Wie das genau gelingt, was Entwickler und Anwender beachten sollten und wo typische Stolperfallen lauern können, verrät Ihnen dieser Beitrag.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Was steckt hinter dem IoT?

Kurzum beschreibt IoT den automatisierten Informationsaustausch zwischen physischen und virtuellen Dingen. Grundprinzip ist dabei die Datenübertragung zwischen zahlreichen unterschiedlichen Systemen mit Hilfe von Netzwerktechnologien. Die smarten, vernetzen Geräte können immer mehr Aufgaben automatisiert für ihre Anwender durchführen und Informationen für andere Geräte bereitstellen. Wesentliche Grundlage dafür ist die Kommunikation zwischen den Geräten, die sogenannte Machine-to-Machine-Kommunikation.

Das bringt einen breiten Anwendungsbereich und viele Vorteile: Prozesse können automatisiert, optimiert, wirtschaftlicher und energieeffizienter ausgestaltet werden. Unternehmen können, durch die mit IoT gewonnenen Daten ihre Abläufe verbessern, Reibungsverluste verringern und viele Aufgaben automatisieren. So steigt die Zufriedenheit von Mitarbeiter:innen sowie Kunden und es können Kosten gesenkt werden. Einer der größten Vorteile des IoT ist die Erhebung sehr präziser Daten in großen Mengen und deren Analyse in Echtzeit. In Kombination mit Anwendungen der Künstlichen Intelligenz (KI) sind die genannten Vorteile bereits jetzt vielen Unternehmen auch ohne große IT-Budgets über Dienstleister wie zum Beispiel SAP, Salesforce oder IBM zugänglich.

Dieses Potenzial sorgt dafür, dass viele Branchen und Sektoren IoT-Technologien integrieren; von der Produktion in der Industrie 4.0 über die Digitalisierung des öffentlichen Sektors, neue Mobilitäts- und Logistiklösungen bis hin zu Assistenzsystemen für die Pflege oder der Vernetzung der städtischen Infrastrukturen (Energie, Umwelt, Verkehr).

IoT und die DSGVO

Soweit im Zusammenhang mit den Anwendungen von IoT-Geräten personenbezogene Daten verarbeitet werden, sind die datenschutzrechtlichen Regelwerke auf unionsrechtlicher und teilweise auch nationaler Ebene einschlägig. Dies ist hauptsächlich die DSGVO; daneben sind aber auch die Regelungen zu beachten, die sich aus der RL 2002/58/EG (ePrivacy-RL) ergeben. Die ePrivacy-RL wurde in Deutschland hauptsächlich durch die Datenschutzregelungen des TKG und des TTDSG umgesetzt. Die Anwendbarkeit dieser Regelungen kann für solche IoT-Anwender wichtig werden, die die Übertragungsleitung für ihre IoT-Anwendung nicht von einem Netzbetreiber beziehen, sondern diese selbst erbringen. In der Zukunft könnte auch die geplante ePrivacy-VO neue Regelungen bringen – es bleibt jedoch abzuwarten ob und wann diese Verordnung verabschiedet wird.


Das könnte Sie auch interessieren:


Mit Anwendung der DSGVO gilt die allgemeine Regelung, dass die Erhebung, Verarbeitung und Speicherung personenbezogener Daten grundsätzlich verboten ist, wenn es dafür keine gesetzliche Grundlage gibt bzw. die betroffene Person eingewilligt hat. Dabei kann sich gerade für IoT-Anwendungen das rechtssichere Einholen von Einwilligungen als anspruchsvoll erweisen; auch kann diese vom Betroffenen jederzeit widerrufen werden und ist daher wenig praktikabel. Gerade im Beschäftigungsverhältnis ist eine Einwilligung grundsätzlich schwierig. Daneben gibt es die Möglichkeit der Rechtmäßigkeit der Datenverarbeitung, wenn die Datenverarbeitung für die Durchführung eines Vertragsverhältnisses notwendig ist oder der Verarbeiter ein berechtigtes Interesse an der Nutzung der Sensoren hat. Natürlich sollte das vor der Anwendung von Spezialisten ausführlich geprüft und diese Prüfung dokumentiert werden.

Mit der DSGVO sind auch die in ihr verankerten Grundsätze für die Verarbeitung einzuhalten. Diese finden sich in Art. 5 DSGVO. Namentlich sind dies die Rechtmäßigkeit, die Verarbeitung nach Treu und Glauben und die Transparenz (Abs. 1 lit. a), der Grundsatz der Zweckbindung mit Ausnahme für Forschungszwecke (Abs. 1 lit. b), die Datenminimierung (Abs. 1 lit. c), die Datenrichtigkeit (Abs. 1 lit. d), die Speicherbegrenzung (Abs. 1 lit. e) sowie die Integrität und Vertraulichkeit (Abs. 1 lit. f).

Nach den Prinzipien der Datensparsamkeit und der Zweckbindung ist die Verwendung anonymisierter Daten insbesondere nur dann statthaft, wenn es sich um eine echte Anonymisierung handelt. Häufig werden Daten vorschnell als „anonym“ bezeichnet, sind es aus DSGVO-Sicht aber nicht, da auch unscheinbare Information zu einer Identifizierung führen können. Daten sind erst dann anonym, wenn aus der Kombination verschiedener anonymisierter Datensätze keinerlei Rückschlüsse auf einzelne Personen mehr möglich sind. In der Forschung spricht man deshalb erst von einer Anonymisierung, wenn jegliche mögliche Datenkombination zu mindestens zwei Treffern führt. Je höher die Anzahl der Treffer (Personen, auf die die Daten zutreffen), desto sicherer ist der Datensatz.

Hat eine Verarbeitung von personenbezogenen Daten aufgrund der Art, des Umfangs, der Umstände und dem Zweck der Verarbeitung und „insbesondere bei Verwendung neuer Technologien“ voraussichtlich ein hohes Risiko für die Rechten und Pflichten natürlicher Personen zur Folge, muss der Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchführen, Art. 35 DSGVO. Das ist bei IoT-Anwendungen erfahrungsgemäß zwar nicht immer, aber doch überdurchschnittlich häufig der Fall. Eine DSFA bietet die Möglichkeit, Sicherheitslücken frühzeitig zu erkennen und adäquate Maßnahmen zur Erhöhung der Datensicherheit umzusetzen. Dabei handelt es sich allerdings nicht um ein einmaliges Verfahren, sondern um einen kontinuierlichen Prozess: Ändern sich Details eines entsprechenden Datenverarbeitungsvorganges, kann eine erneute Prüfung erforderlich werden.

Handlungsempfehlungen?

Aufgrund der Diversität möglicher Ausgestaltungen und Einsatzbereichen lassen sich keine generellen Handlungsformulierungen empfehlen; es ist eine individuelle ganzheitliche Beratung geboten.

Grundsätzlich immer müssen aber die (geltenden und zukünftigen) datenschutzrechtlichen und IT-Sicherheitstechnischen Anforderungen frühestmöglich identifiziert und auf Grundlage eines sachgerechten Sicherheits- und Datenschutzkonzepts berücksichtigt werden. Dabei müssen insbesondere bei IoT-Projekten die gesetzlich verankerten Grundsätze des Datenschutzes durch Technikgestaltung (Privacy by Design) und im Fall von nutzer-gerichteten Anwendungen der datenschutzfreundlichen Voreinstellungen (Privacy by Default) beachtet werden. Wir beraten Sie gern zu sämtlichen Fragen rund um um das Internet der Dinge!

Transatlantischer Datenschutzrahmen EU USA

Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

Hinweis: Dieser Beitrag wird sukzessiv durch unsere Autor:innen weitergeschrieben, daher schauen Sie gern in regelmäßigen Abständen, ob neue Updates veröffentlicht wurden.

Update 03.05.2022

In einer Pressemitteilung vom 25.03.2022 gaben die Europäische Kommission gemeinsam mit den Vereinigten Staaten bekannt, dass sie sich nach über einem Jahr intensiver Verhandlungen „grundsätzlich“ auf einen neuen transatlantischen Datenschutzrahmen geeinigt haben. Das neue Abkommen solle den transatlantischen Datenverkehr fördern und die vom EuGH im Schrems-II-Urteil geäußerten Bedenken ausräumen. Das ehemals für Datenübermittlungen zwischen den USA und der Europäischen Union geltende Privacy Shield wurde am 16.07.2020 vom EuGH auf Klage des österreichischen Aktivisten Max Schrems hin in diesem Urteil für unwirksam erklärt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Laut Pressemeldung haben sich die USA dazu bereit erklärt, Maßnahmen zu ergreifen, um die Notwendigkeit und Verhältnismäßigkeit von Nachrichtendienstaktivitäten zu Zielen der nationalen Sicherheit sicherzustellen. Dies soll konkret folgende Maßnahmen umfassen:

  • Die Stärkung der Privatsphäre und der Freiheitsrechte bei Aktivitäten der sog. signalerfassenden Aufklärung (Gewinn von Erkenntnissen aus elektromagnetischen Ausstrahlungen mit und ohne Kommunikationsinhalt, i.d.R. durch Nachrichtendienste)
  • Die Einrichtung eines zweistufigen, unabhängigen Rechtsmittelmechanismus hinsichtlich aus Betroffenensicht unrechtmäßigen Aktivitäten der Nachrichtendienste, durch den Abhilfemaßnahmen verbindlich angeordnet werden können
  • Die signalerfassende Aufklärung soll einer strengen, mehrstufigen Aufsicht unterstellt werden, um die Einhaltung der Beschränkungen der Überwachungsmaßnahmen sicherzustellen

Das könnte Sie auch interessieren:


Bislang handelt es sich bei der gemeinsamen Erklärung der Europäischen Kommission und der US-Regierung lediglich um eine politische. In der Pressemitteilung selbst wird deutlich, dass zunächst in fortzusetzender Zusammenarbeit die Ankündigungen in Rechtstexte umgesetzt werden und anschließend von beiden Seiten angenommen werden müssen, damit der transatlantische Datenschutzrahmen auch wirksam wird. In diesem Zuge sollen die Selbstverpflichtungen der USA in sog. Executive Orders überführt werden, welche wiederum als Grundlage für die Bewertung der Kommission bei Entscheidung über einen Angemessenheitsbeschluss dienen werden. Laut noyb planen die USA allerdings wohl grundsätzlich keine Änderungen ihrer Überwachungsgesetze, vielmehr sollen alle Zusicherungen lediglich mittels Executive Orders der Regierung umgesetzt werden. Problematisch sei dies, da die Orders mitunter keine externe Wirkung hätten und damit nicht eingeklagt werden könnten.

Aber auch bei tatsächlichem Zustandekommen des neuen transatlantischen Datenschutzrahmens bleibt abzuwarten, ob das Abkommen nach den Schrems I- und Schrems II-Urteilen des EuGH einer erneuten rechtlichen Prüfung durch das Gericht standhalten würde. So kündigte Max Schrems in einer ersten Reaktion auf die Ankündigung des Abkommens bereits an, dass bei fehlender EU-Rechtskonformität etwa seine NGO noyb den Rechtsakt vorgehen wird.

Hintergrund des transatlantischen Datenschutzabkommens

Das transatlantische Datenschutzabkommen (Trans-Atlantic Data Privacy Framework) ist eine der Folgen des „Kippens“ des EU-US Privacy Shields. Im Juli 2020 entschied der Europäische Gerichtshof (EuGH), dass die USA kein angemessenes Datenschutzniveau für Datentransfers (Art. 44 ff. DSGVO) bietet (Az. C-311/18, „Schrems II“-Urteil). Das bis dahin bestehende EU-US Privacy Shield, welches als Angemessenheitsbeschluss gem. Art. 45 DSGVO die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und der USA ermöglichte, wurde mit diesem Urteil für nichtig erklärt. Weitere detaillierte Hintergrundinformationen zum Schrems II-Urteil finden Sie hier auf unserem Blog.

Der EuGH erklärte im Schrems II-Urteil ausdrücklich, dass die damals schon vorhandenen Standardvertragsklauseln (Standard Contractual Clauses – SCC) aufrechtzuerhalten und weiterhin wirksam sind. Der Abschluss von SCC gem. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO war und ist eine Möglichkeit, um Datenübermittlungen in Drittländer vorzunehmen, für die kein Angemessenheitsbeschluss oder die Ausnahmen aus Art. 49 DSGVO bestehen. Dabei können datenverarbeitende Unternehmen mit Sitz in der EU als Datenexporteur:innen, die SCC als vorgegebene Musterverträge mit US-Unternehmen als Datenimporteur:innen abschließen. 

Inzwischen hat die Europäische Kommission mit dem Beschluss 2021/914/EU neue SCC veröffentlicht. Hintergrund dafür, war die Adressierung einiger neuer Pflichten an Datenexporteur:innen des EuGH aus dem Schrems II-Urteil. Damit stellte der EuGH neue Anforderungen an den Drittlandtransfer auf, welche auch in den SCC berücksichtigt werden mussten. Mit der Neufassung der SCC im Juni 2021 wurden diese unter anderem an die im Schrems II-Urteil aufgestellten Erfordernisse angepasst. Realisiert hat die Europäische Kommission die vom EuGH adressierten Pflichten insbesondere mit der Pflicht zur Durchführung eines Transfer Impact Assessments (TIA), als eine Art „Transfer-Risiko-Abschätzung“. Im Rahmen dieser Prüfung ist zu bewerten, ob die Gesetzgebung im Land der Datenimporteur:innen den in den SCC festgelegten Regelungen gerecht werden. Das TIA dient vorab einer Kontrolle, ob Datenimporteur:innen überhaupt in der Lage sind, die SCC einzuhalten. Weitere Ausführungen zum TIA finden Sie hier auf unserem Blog.

Außerdem haben Datenimporteur:innen Benachrichtigungspflichten im Falle des Zugriffes auf Daten von Behörden im Drittland gegenüber den Datenexporteur:innen und, wenn möglich, gegenüber der betroffenen Person. Umfassende Informationen zu den neuen SCC finden Sie hier auf unserem Blog.

Der EuGH betonte im Schrems II-Urteil die Verantwortung der Datenexporteur:innen, für jede Datenübermittlung das Schutzniveau im Drittland prüfen zu müssen und geeignete Garantien für den Schutz der in ein Drittland übermittelten Daten vorzusehen. Dabei kann es erforderlich sein, über die SCC hinaus, ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen. Das heißt, die SCC müssen unter Umständen durch weitere Vereinbarungen oder Elemente ergänzt werden, sodass der bloße Abschluss der SCC allein nicht zwingend ausreicht.

Zwar wurden mit den neuen SCC wichtige vom EuGH geforderte Verpflichtungen aufgenommen, jedoch bleiben große Rechtsunsicherheiten bestehen. Gerade für Datenübermittlungen in die USA hat der Verantwortliche erheblichen Aufwand zu betreiben, der womöglich von Behörden als nicht ausreichend angesehen werden kann. Grund dafür ist die Einzelfallbewertung, ob weitere Maßnahmen vorgesehen werden müssen und wie diese auszusehen haben.

Mit den Bestrebungen des transatlantischen Datenschutzabkommens sollen Unternehmen für den Drittlandtransfer in die USA die zum Teil sehr hohen Hürden genommen werden.

Für andere Länder, wie Staaten im arabischen Raum oder China, bleiben die Anforderungen aus den SCC bestehen, soweit nicht die Ausnahmeregelung des Art. 49 DSGVO eingreift.

Zweck und Inhalt des Abkommens

Der Zweck der bisher rein politischen Erklärung zwischen der Europäischen Kommission und der US-Regierung liegt in der Schaffung der Grundlage eines neuen Angemessenheitsbeschlusses. Dieser soll (wieder) die Basis dafür bieten, dass die Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können. Der transatlantische Datenschutzrahmen stellt selbst noch keinen Angemessenheitsbeschluss dar. Dieser ist lediglich die Grundlage dafür, die grundsätzliche Einigung in Rechtsdokumente umsetzen zu wollen. Die USA wollen sich durch Executive Orders verpflichten, die die Grundlage für einen Entwurf eines Angemessenheitsbeschlusses bilden sollen.

Mit dem neuen Regelwerk, das Folge des transatlantischen Datenschutzrahmens sein soll, sollen verbindliche Schutzmaßnahmen den Zugriff der US-Geheimdienste beschränken. Der Zugriff der Geheimdienste war einer der Entscheidungsgründe des EuGH für die Nichtigerklärung des Privacy Shields. Der EuGH rügte in seinem Urteil, dass kein Rechtsschutz gegen die Zugriffe durch die amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügte, bestand. Dafür sollen gemeinsame Verfahren etabliert werden, welche eine effektive Überwachung der Maßnahmen gewährleisten sollen.

Der vorgesehene zweistufige Rechtsmittelmechanismus ist eine direkte Reaktion auf einer der wesentlichen Gründe des „Kippens“ des EU-US Privacy Shields des EuGH. Mit der Einrichtung eines zweistufigen, unabhängigen Rechtsmittelmechanismus sollen verbindliche Abhilfemaßnahmen bei unrechtmäßigen Aktivitäten der US-Nachrichtendienste angeordnet werden können. Im Schrems II-Urteil bemängelte der EuGH unter anderem, dass Datenschutzbeschwerden seitens Unionsbürger von einer Stelle entgegengenommen wurden, die dem US-Außenministerium angehörte. Damit war diese Stelle der Exekutive zuzuordnen, wobei gegen Entscheidungen derselben keine unabhängigen Rechtsmittel zur Verfügung standen. Nun soll ein neuer und unabhängiger „Data Protection Review Court“ eingesetzt werden, der die gerichtliche Prüfung von Beschwerdeentscheidungen ermöglichen soll.

Eine Überwachung seitens der US-Behörden sei nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig sei, heißt es im Trans-Atlantic Data Privacy Framework. 

Weiterhin soll durch eine Selbstzertifizierung der US-Unternehmen beim US-Handelsministerium die Einhaltung des künftigen Abkommens bestätigt werden.

Die weiteren Schritte

Bisher haben sich die Europäische Kommission und die US-Regierung nur darauf verständigt, ein neues Abkommen schließen zu wollen. Die gemeinsame Erklärung ist daher bisher nur dem politischen Bereich zuzuordnen. 

Daher wird es im Weiteren auf eine fortgesetzte Zusammenarbeit ankommen, mit welcher die politische Einigung in eine rechtliche Verpflichtung umgewandelt wird. Zumindest ist die Verständigung auf eine weitere gemeinsame Arbeit im Bereich des Datenschutzes jedoch ein sehr wichtiger Schritt.

Zu erwarten ist nun, dass in der EU ein neuer Angemessenheitsbeschluss von der Europäischen Kommission vor dem Hintergrund der politischen Übereinkunft und der Durchführungsverordnungen (Executive Orders) seitens der USA beschlossen wird. Wann zeitlich damit zu rechnen ist, ist nicht bekannt. Gerade dieser Spagat zwischen politischem Einvernehmen und juristischer Ausarbeitung erscheint nicht einfach, wie durch das Kippen des Safe Harbour Abkommens (2015) und des EU-US Privacy Shields zu sehen ist.

Weiterhin stellt sich die Frage, ob eine neue beschlossene juristische Grundlage auch vor dem EuGH standhalten wird. 

Praxistipp: Was ist jetzt zu tun?

Einige Unternehmen werden sich nun die Frage stellen, ob es sinnvoll ist, die Ergebnisse des geplanten Übereinkommens abzuwarten oder ob sie der Abschluss der SCC noch eine Weile begleiten wird. Aktuell sollte unbedingt auf den Abschluss der SCC zurückgegriffen werden, soweit der Datentransfer in die USA geplant ist. Das Instrument der SCC als mögliche Rechtsgrundlage für den Datentransfer personenbezogener Daten in Drittländer wie die USA hat auch mit dem Kippen des Privacy Shields noch Bestand. Eine Datenübermittlung in die USA kann nur dann über die SCC begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der EU gewährleisten. Dafür ist je nach Umständen des Datentransfers eine Einzelfallbetrachtung anzustellen. Die bloße politische Übereinkunft dient jedenfalls nicht als Grundlage, Daten rechtssicher in die USA zu transferieren. 

Kontaktieren Sie gern unsere Anwält:innen, falls Sie tiefergehenden Beratungsbedarf in Bezug auf den transatlantischen Datenschutzrahmen haben!

faires verbrauchergesetz

Das neue Gesetz für „faire Verbraucherverträge“

Update 02.05.2022

Die Highlights der Neuregelungen bei Verbraucherverträgen

Am 24.06.2021 hat der Bundestag das Gesetz für faire Verbraucherverträge verabschiedet (BT-Drs. 19/26915). Der Bundesrat hat dieses Gesetz in der vom Rechtsausschuss modifizierten Fassung (BT-Drs. 19/30840) am 25.06.2021 angenommen. Die Neuregelungen treten zu unterschiedlichen Zeitpunkten gestaffelt in Kraft:

Das Gesetz für faire Verbraucherverträge tritt gestaffelt in Kraft. Die Änderungen in den §§ 308 Nr. 9, 310 Abs. 1 BGB n. F. und § 7a UWG n. F. traten bereits am 01.10.2021 in Kraft. § 309 Nr. 9 BGB n. F. trat am 01.03.2022 in Kraft. § 312k BGB n. F. („Kündigungsbutton“) wird am 01.07.2022 in Kraft treten.

Die Bundesregierung will die Rechte von Verbrauchern, welche sich in einem chronischen Machtgefälle zu den Unternehmen befinden, stärken. Die neugefassten Regelungen im BGB und im UWG sollen vor fernmündlich aufgeschwatzten Verträgen oder Verträgen mit überlangen Laufzeiten und Kündigungsfristen schützen. Im Zentrum stehen Dauerschuldverhältnisse wie z. B. Verträge für Fitnessstudios, Energielieferverträge oder online abgeschlossene Verträge, wie z. B. Streamingverträge.

Eine wesentliche Neuerung ist nach § 312k n. F. BGB die Einführung eines Kündigungsbuttons („Kündigungsschaltfläche“), der es den Verbrauchern ermöglicht, Verbraucherverträge im elektronischen Geschäftsverkehr schnell und unkompliziert zu kündigen. Die Unternehmen müssen dafür Sorge tragen, dass die Kündigungsschaltfläche gut lesbar und mit den Wörtern „Verträge hier kündigen“ oder mit einer entsprechenden unmissverständlichen Formulierung beschriftet sein muss. Bei dilatorischer Umsetzung dieser Regelung bis zum 01.07.2022 können Verbraucher einen Vertrag jederzeit und ohne Einhaltung einer Kündigungsfrist ordentlich kündigen. § 312k Abs. 4 Satz 2 n. F. BGB fingiert zudem den Zugang der Kündigungserklärung bei den Unternehmen: Das Gesetz vermutet, dass eine durch das Bestätigen der Bestätigungsschaltfläche abgegebene Kündigungserklärung den Unternehmen unmittelbar nach ihrer Abgabe zugegangen ist.

Auswirkungen auf das AGB-Recht: Bislang waren nach § 309 Nr. 9 lit. b) BGB bei einem Vertragsverhältnis, das die regelmäßige Lieferung von Waren oder die regelmäßige Erbringung von Dienst- oder Werkleistungen durch den Verwender zum Gegenstand hat, stillschweigende Vertragsverlängerungen bis zu einem Jahr zulässig. Nach § 309 Nr. 9 lit. b) n. F. BGB ist eine stillschweigende Vertragsverlängerung nur noch dann zulässig, wenn das Vertragsverhältnis auf unbestimmte Zeit verlängert und dem Vertragspartner gleichzeitig das Recht eingeräumt wird, das verlängerte Vertragsverhältnis jederzeit mit einer Frist von einem Monat zu kündigen. Aus den Materialien zu § 309 Nr. 9 BGB-E ergeben sich keine Hinweise für die Berechnung der Frist. Eine taggenaue Berechnung liegt aber aus Verbraucherschutzgesichtspunkten nahe (z. B. Kündigung am 05.03 mit Wirkung zum 05.04.). Der Kündigende soll nach dem Willen des Gesetzgebers keinesfalls länger als einen Monat an den Vertrag gebunden bleiben. Ferner hat der Gesetzgeber die Zulässigkeit der Vereinbarung einer Kündigungsfrist von drei Monaten vor Ablauf der zunächst vorgesehenen Vertragsdauer in § 309 Nr. 9 lit. c) n. F. BGB auf einen Monat herabgesetzt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.


Das Gesetz für faire Verbraucherverträge (19/26915) wurde am 17. August 2021 im Bundesgesetzblatt verkündet und das Gesetzgebungsverfahren damit beendet. Dieses neue Gesetz soll künftig die Position von Verbraucher:innen gegenüber Unternehmen verbessern – sowohl beim Vertragsschluss als auch bei den Vertragsinhalten. Dafür sieht es Änderungen im Bürgerlichen Gesetzbuch (BGB) und im Gesetz gegen den unlauteren Wettbewerb (UWG) vor.

Relevante Änderungen

Um die Position von Verbraucher:innen gegenüber den Unternehmen weiter zu verbessern und zu erreichen, dass nicht nur der Vertragsschluss unter fairen Bedingungen erfolgt, sondern auch die Vertragsinhalte gerechten Regelungen unterliegen, beinhaltet das Gesetz Anpassungen der BGB-Vorschriften zu einschlägigen AGB, die Einführung eines „Kündigungsbuttons“ bei Verbraucherverträgen im elektronischen Geschäftsverkehr und verschärfte bußgeldbewährte Dokumentations- und Aufbewahrungspflichten für die Einwilligung in Telefonwerbung.

Das Gesetz für faire Verbraucherverträge tritt gestaffelt in Kraft. Die Änderungen in den §§ 308 Nr. 9, 310 Abs. 1 BGB n. F. und § 7a UWG n. F. traten bereits am 01.10.2021 in Kraft. § 309 Nr. 9 BGB n. F. trat am 01.03.2022 in Kraft. § 312k BGB n. F. („Kündigungsbutton“) wird am 01.07.2022 in Kraft treten.

(1) Verschärfung des AGB-Rechts

Als Anlass für die Neuregelungen werden insbesondere unfaire Vertragsklauseln in Allgemeinen Geschäftsbedingungen (AGB) angeführt, welche die Nutzung von Marktchancen durch die Verbraucher:innen erschwert haben. Diesem Zustand soll nun durch punktuelle Nachschärfung begegnet werden.

Häufig finden sich in AGB standardisierte Ausschlussklauseln, die Verbrauchern untersagen, eigene auf Geld gerichtete Ansprüche gegen das Unternehmen an Dritte abzutreten. Dies ist durch den in Gänze neu eingeführten § 308 Nr. 9 lit. a BGB nicht mehr möglich. Nach § 308 Nr. 9 lit. a) BGB n. F. ist es dem AGB-Verwender (Unternehmer) verwehrt, in seinen AGB die Abtretbarkeit von auf Geld gerichteten Ansprüchen des Vertragspartners (Verbraucher) gegen ihn auszuschließen.

Das Verbot ist umfassend: erfasst werden nicht nur Vereinbarungen, durch die die Abtretung eines Anspruchs gänzlich ausgeschlossen wird, sondern auch Vereinbarungen, die die Abtretung lediglich beschränken. Der Gesetzgeber will mit der Statuierung des Klauselverbots in § 308 Nr. 9 lit. a) BGB n. F. vor allem sicherstellen, dass Verbraucher für die Zwecke der Rechtsdurchsetzung auf die Dienste registrierter Inkassounternehmen zurückgreifen können, die im Wege der Inkassozession vorwiegend auf Geldleistung gerichtete Ansprüche von Verbrauchern außergerichtlich und gerichtlich geltend machen. Das Verbot des Abtretungsausschlusses gilt auch für andere Rechte, die der Vertragspartner gegen den Verwender hat, wenn dies eine Interessenabwägung gebietet. Gemäß § 308 Nr. 9 BGB n. F. a. E. gelten Ausnahmen für Ansprüche aus Zahlungsdiensterahmenverträgen und Versorgungsleistungen im Rahmen des Betriebsrentengesetzes. Im Umkehrschluss gilt der neue Abtretungsausschluss etwa auch im Arbeitsrecht. Zeigt der Arbeitnehmer dem Arbeitgeber eine Forderungsabtretung an, kann dieser nach neuem Recht schuldbefreiend nur noch an den Neugläubiger (Zessionar) leisten. Sofern der Arbeitgeber den Arbeitslohn dagegen an den Arbeitnehmer entrichtet, bleibt die Forderung unerfüllt.

Nach Art. 229 § 60 S. 1 EGBGB (m. W. v. 1.10.2021) bezieht sich § 308 Nr. 9 BGB n. F. nur auf Neuverträge, die ab dem 1.10.2021 geschlossen wurden. Damit gilt für Altverträge weiterhin die bisherige Rechtslage, nach der in den Vertrag eingeführte Abtretungsverbote für zulässig erachtet wurden.

Nach bisheriger Rechtslage waren stillschweigende Vertragsverlängerungen bis zu einem Jahr bei solchen Verträgen zulässig, die regelmäßige Lieferungen von Waren oder Erbringung von Dienst- oder Werkleistungen durch den Verwender zum Gegenstand hatten. Nach neuem Recht sind stillschweigende Vertragsverlängerungen nur noch dann zulässig, wenn (1) das Vertragsverhältnis auf unbestimmte Zeit verlängert wird und (2) dem Vertragspartner gleichzeitig das Recht eingeräumt wird, das verlängerte Vertragsverhältnis jederzeit mit Frist von höchstens einem Monat zu kündigen, vgl. § 309 Nr. 9 lit. b) BGB n.F.

Aus den Materialien zu § 309 Nr. 9 BGB-E ergeben sich keine Hinweise für die Berechnung der Frist. Eine taggenaue Berechnung liegt aber aus Verbraucherschutzgesichtspunkten nahe (z. B. Kündigung am 05.03 mit Wirkung zum 05.04.). Der Kündigende soll nach dem Willen des Gesetzgebers keinesfalls länger als einen Monat an den Vertrag gebunden bleiben. Eine Kündigung zum Monatsende, das heißt zum letzten Tag des darauffolgenden Monats (z. B. Kündigung am 21.01 mit Wirkung zum 28.02.) greift hier unter keinen Umständen Platz, dies auch schon deshalb, weil man den Zeitraum von 30 Tagen (nach § 191 BGB beträgt ein Monat 30 Tage) überschreiten würde. Der Individualschutz des Verbrauchers wäre dadurch geschwächt. Wesentlicher Schutzgedanke ist es, den Verbraucher vor ungewollt langen Vertragsbindungen zu schützen. Dies ergibt sich auch aus dem Schutzgedanken des § 309 Nr. 9 lit. c) n. F. BGB. Diese Norm stellt klar, dass Kündigungsfristen, die länger als einen Monat währen, durchweg verboten sind. Bisher lag die Frist bei drei Monaten. Die einmonatige Kündigungsfrist gilt damit auch für Verträge, die Apps zum Gegenstand haben und regeln, dass man z.B. 6 Monate vorab zahlt und dann einen Rabatt erhält.

Nach Art. 229 § 60 S. 2 EGBGB (m. W. v. 1.3.2022) ist auf ein Schuldverhältnis, das vor dem 1. März 2022 entstanden ist, § 309 BGB in der bis zu diesem Tag geltenden Fassung anzuwenden. § 309 BGB n. F. bezieht sich damit lediglich auf Neuverträge, die ab diesem Stichtag abgeschlossen wurden. Für Altverträge, die vor dem 1. März 2022 entstanden sind, gilt weiterhin die alte Rechtslage, nach der konkludente Vertragsverlängerungen bis zu einem Jahr und Kündigungsfristen von bis zu drei Monaten möglich waren (bzw. noch sind).

Art. 229 § 60 Satz 2 EGBGB will erkennbar den Interessen der Unternehmer, sinnvoll disponieren und sich auf das neue Recht einstellen zu können, einen tragfähigen Übergang bieten. Der Gesetzgeber hat nämlich mit der neuen Rechtslage – zum Leidwesen einiger Mandanten – , Preisvorteile, die der Unternehmer bei einer längeren Laufzeit seinen Kunden bieten könnte, nicht gewürdigt.

Aus Verbrauchersicht erleichtert die Neuregelung in § 309 Nr. 9 BGB den Wechsel zu anderen Vertragsmodellen und Anbietern. Damit werden für die Verbraucher:innen die Nutzungen von Marktchancen erheblich verbessert.

(2) Verbraucherverträge: Einführung eines „Kündigungsbuttons“, § 312 k BGB n. F.

Die Neuregelung in § 312 k BGB n. F. ermöglicht Verbraucher:innen zukünftig die vereinfachte Kündigung von Verbraucherverträgen im elektronischen Geschäftsverkehr mit nur wenigen Mausklicks. Der Unternehmer muss den Verbraucher:innen die Möglichkeit einräumen, einen Vertrag mittels eines „Kündigungsbuttons“ (das Gesetz spricht von einer „Kündigungsschaltfläche“) zu kündigen, sofern es sich um ein entgeltliches Dauerschuldverhältnis im elektronischen Geschäftsverkehr handelt. Dieser Button muss gut lesbar mit den Worten „Verträge hier kündigen“ oder mit einer entsprechenden anderen eindeutigen Formulierung beschriftet sein. 

Zu beachten ist dabei, dass sich an dieser Pflicht auch nichts ändert, wenn die Website von einem Dritten betrieben wird, wie etwa durch Vermittlungsportale. Alles andere würde Sinn und Zweck der Norm zuwiderlaufen, da die Kündigungsmöglichkeit über den Button ansonsten leicht umgangen werden könnte. 

Das Gesetz sieht ferner vor, dass die Verbraucher:innen nach Betätigung der Kündigungsschaltfläche zu einer Bestätigungsseite gelangen müssen, welche die Verbraucher:innen auffordert und ihnen ermöglicht Angaben zu folgenden Punkten zu machen:

  • Art der Kündigung (ordentlich / außerordentlich) sowie Kündigungsgrund
  • eindeutige Identifizierbarkeit und Bezeichnung des Vertrages
  • Zeitpunkt der Vertragsbeendigung durch Kündigung und elektronische Übermittlung der Kündigungsbestätigung

Auch das Speichern der Kündigungserklärung mit Datum / Uhrzeit auf einem dauerhaften Datenträger (z. B. durch Download) muss ermöglicht werden. Auf der Bestätigungsseite ist zudem eine „Bestätigungsschaltfläche“ mit der Aufschrift „Jetzt kündigen“ oder einer entsprechenden eindeutigen Formulierung anzubringen.

Der Unternehmer muss den Verbraucher:innen Inhalt, Datum und Uhrzeit des Zugangs der Kündigungserklärung sowie den Zeitpunkt, zu dem das Vertragsverhältnis durch Kündigung beendet werden soll, sofort auf elektronischem Wege in Textform bestätigen. Zudem greift eine Zugangsfiktion der Kündigungserklärung beim Unternehmer unmittelbar nach Abgabe der Erklärung, § 312k Abs. 4 BGB n. F. 5 BGB n. F.

Nach Art. 229 § 60 S. 3 EGBGB (m. W. v. 01.7.2022) gelten die neuen Pflichten des § 312k BGB auch für Schuldverhältnisse, die vor dem 01.7.2022 entstanden sind. Damit wird auch für Altverträge eine Art Rückwirkung statuiert.

Setzen Unternehmen die geforderten Kündigungsschaltflächen und Bestätigungsseiten nicht rechtzeitig bis zum Inkrafttreten am 01.07.2022 um, können betroffene Verbraucher:innen zudem entsprechende Verträge gem. § 312k Abs. 6 BGB n.F. jederzeit und ohne Einhaltung einer Kündigungsfrist ordentlich kündigen.

Mit der neuen Regelung reagiert der Gesetzgeber auf das bisher häufig zu beachtende Phänomen, dass Unternehmer alles dafür tun, den Verbraucher:innen den Vertragsschluss online und mit geringstem Aufwand zu ermöglichen, zugleich aber jegliche Möglichkeit der Online-Kündigung zu unterbinden versuchen.

(3) Einwilligung in Telefonwerbung, § 7 a UWG n. F.

§ 7a UWG n. F. modifiziert die bisherige Regelung zur Einwilligung in Telefonwerbungen im Sinne eines verstärkten Verbraucherschutzes neu. Künftig muss die gesamte Einwilligung nach § 7 a Abs. 1 UWG n. F. in angemessener Form dokumentiert werden. 

Eine besondere Form (etwa Textform, vgl. § 126b BGB) wird dabei nicht vorgeschrieben. Dies dürfte zunächst keine praktischen Auswirkungen haben, da schon vor der Neuerung aufgrund der Datenschutz-Grundverordnung (DSGVO) und des UWG die faktische Pflicht bestand, eine Einwilligung nachzuweisen. Neu ist jedoch die Pflicht für Unternehmen nach Absatz 2, die Einwilligung in Telefonwerbung ab Erteilung sowie nach jeder Verwendung für fünf Jahre aufzubewahren. Diese Aufbewahrungsfrist entspricht der vergleichbaren Regelung in § 83 Abs. 8 des Wertpapierhandelsgesetzes (WpHG). Der Regierungsentwurf (S. 10) begründet die Orientierung an § 83 Abs. 8 des WpHG mit folgenden Argumenten: 

„Im Ordnungswidrigkeitenverfahren muss jedoch zunächst die Behörde den Nachweis der Tatbestandsverwirklichung erbringen, zum Beispiel durch Zeugenbefragungen. Dies gestaltet die Verfahren umfangreich und kompliziert. Die werbenden Unternehmen versuchen sich dabei zum Teil zu entlasten, indem sie behaupten, die Einwilligungserklärung habe aus Gründen des Datenschutzes nicht länger aufbewahrt werden dürfen und sei daher vernichtet worden. Durch Einführung einer Dokumentationspflicht für die Einwilligung der Verbraucher:innen, die einen Vorschlag des Schlussberichts aufnimmt, soll die Sanktionierung unerlaubter Telefonwerbung insgesamt effizienter gestaltet und Anreize für einen Verstoß reduziert werden. Die Pflicht zur Dokumentation wird es werbenden Unternehmen außerdem erleichtern, die Wirksamkeit der Einwilligung zu prüfen.”

Problematisch ist aber, dass durch die Neufassung des UWGs nicht eindeutig klargestellt wird, ob die Einwilligung in § 7 Abs. 2 Nr. 2 UWG datenschutzrechtlich mit Blick auf die RL 2002/58/EG oder im Sinne einer vorherigen Einwilligung im Sinne des UWGs zu verstehen ist. Die Bundesregierung jedenfalls geht davon aus, dass es sich bei der Werbe-Einwilligung um eine (wohl zugleich) datenschutzrechtliche Einwilligung handelt. Dies könnte insofern problematisch sein, als in § 7a UWG n. F. spezifische Anforderungen an die Dokumentation der Einwilligung genannt sind, die so in der unmittelbar anwendbaren DSGVO nicht geregelt sind. Aufgrund des Anwendungsvorrangs des Unionsrechts darf eine nationale Regelung, die gegen die höherrangige DSGVO verstößt oder dieser widerspricht, an sich nicht angewendet werden. 

Allerdings geht der Regierungsentwurf zu § 7a UWG n. F. davon aus, dass die Vorschrift nicht gegen die DSGVO verstößt. 

Der Regierungsentwurf hält § 7 UWG n. F. für „eine spezielle Ausfüllung der Beweislastverteilung der in Artikel 7 Absatz 1 DSGVO vorgesehenen Nachweispflicht des Datenverarbeitenden für Einwilligungen zur Datenverarbeitung im Bereich von Telefonwerbung dar“. 

Dies ist sicherlich vertretbar: es wird keine bestimmte Form für die Einwilligung selbst oder den Nachweis vorgegeben. Und auch die DSGVO kennt keine Formanforderungen der Einwilligung. Zweifelhaft ist aber, ob die Pflicht zur Aufbewahrung für 5 Jahre nach § 7a UWG Abs. 2 n. F. so von Art. 7 Abs. 1 DSGVO gedeckt ist.

Die Einwilligung unter der DSGVO ist nicht an eine konkrete Frist gebunden und erlischt grundsätzlich auch nicht nach Ablauf einer festgelegten Zeit. Sie muss daher im Einzelfall bemessen werden. Generell ist die Verarbeitung personenbezogener Daten auf Grundlage der Einwilligung möglich, bis der vorher festgelegte, eindeutige und legitime Zweck erreicht wurde oder bis die betroffene Person ihre Einwilligung widerruft (Art. 7 Abs. 3 Satz 1 DSGVO). Ferner sieht die DSGVO vor, dass die wirksame Einwilligung an sich nachweisbar sein muss, allerdings gerade nicht, dass ein etwaiger Nachweis ab Erteilung „sowie nach jeder Verwendung“ aufbewahrt werden muss. Dazu führt die Bundesregierung aus, dass Artikel 15a der RL (EU) 2002/58/EG die Mitgliedstaaten verpflichtet, Sanktionen für einen Verstoß gegen die innerstaatlichen Vorschriften zur Umsetzung der Richtlinie zu verhängen und die zu deren Durchsetzung erforderlichen Maßnahmen zu treffen. Die Sanktionen müssen wirksam, verhältnismäßig und abschreckend sein. Die bußgeldbewährte Verpflichtung zur Dokumentation und Aufbewahrung sei zur Sicherung effektiver Sanktionen erforderlich, da die Beweislastverteilung im Ordnungswidrigkeitenverfahren anders ist als im zivilrechtlichen Verfahren.

Genaue Ausführungen dazu, was unter einer „angemessenen Form“ der Dokumentation zu verstehen ist, lassen sich weder dem Gesetz selbst noch der amtlichen Begründung entnehmen. Allerdings kann die Bundesnetzagentur als zuständige Behörde Hinweise veröffentlichen, wie sie den unbestimmten Rechtsbegriff der „angemessenen Dokumentation“ auslegen wird.
Auf die ausführliche und sauber vorgehaltene Dokumentation sollte künftig ein besonderes Augenmerk gelegt werden – denn die nicht vollständige oder nicht richtige Dokumentation kann zu einem Bußgeld bis zu 50.000 € führen, vgl. § 20 UWG n. F.

Fazit

Abschließend lässt sich festhalten, dass das Gesetz für faire Verbraucherverträge die Position von Verbraucher:innen gegenüber Unternehmen weiter verbessern möchte und darauf abzielt, den Vertragsschluss und die Vertragsinhalte unter gerechtere Regelungen zu stellen. Um diese beiden Ziele zu erreichen, beinhaltet das Gesetz Anpassungen der BGB-Vorschriften zur Gestaltung einschlägiger AGB, die Einführung eines „Kündigungsbuttons“ bei Verbraucherverträgen im elektronischen Geschäftsverkehr und bußgeldbewährte Dokumentations- und Aufbewahrungspflichten für die Einwilligung in Telefonwerbung. Damit kommt auf Unternehmen im B2C-Bereich ein großer Umsetzungsbedarf zu. Insbesondere die neuen Aufbewahrungs- und Dokumentationspflichten aus § 7a UWG n. F. treffen Unternehmen schon seit einigen Monaten. Entsprechende Umstellungsprozesse sollten bereits eingeleitet worden sein. 

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.