SRD JUVE Datenschutz

Cloud-Service-Modelle und ihre vertragliche Einordnung

Microsoft 365, GoogleDrive, iCloud – in der Welt des Cloud-Computing genießen vor allem die Produkte der Anwendungsebene große Bekanntheit. Die Möglichkeiten bedarfsgerechter Ressourcenbereitstellung via Cloud gehen jedoch weit über die Nutzung virtueller Arbeits- und Speicherplätze hinaus. Um den virtuellen Betrieb der umsatzstarken Applikationen zu ermöglichen, muss zunächst ihr technischer Unterbau „in die Wolke“ gehoben werden. Diese virtuellen Infrastrukturressourcen und Plattformen stellen ihrerseits einsatzfähige und leistungsstarke Cloud-Dienste dar. Am Markt haben sich im Besonderen die Modelle „Infrastructure-as-a-Service“ (IaaS), „Platform-as-a-Service” (PaaS) und “Software-as-a-Service” (SaaS) durchgesetzt. Der folgende Beitrag zielt auf die Unterschiede zwischen den Lösungen und möchte diese grob im vertraglichen Spektrum verorten.

Wie unterscheiden sich die Cloud-Service-Modelle?

Die Verschiedenheit der Modelle lässt sich am besten anhand des strukturellen Aufbaus eines Cloud-Dienstes veranschaulichen. Bildlich kann man sich diesen als Stapel verschiedener Funktionsebenen vorstellen. Die jeweils untere Ebene stellt mit ihrer Schichtung eine eigenständige Cloud-Lösung dar und bildet dadurch das notwendige Fundament der darauffolgenden Schicht. Die oberste Ebene gibt den Funktionstypus der Cloud vor und bestimmt dadurch das Cloud-Service-Modell.

Das Fundament der Cloud-Services – und somit deren Grundmodell – stellt die virtuelle IT-Infrastruktur dar. Dabei handelt es sich in erster Linie um die Bereitstellung virtueller Hardwareressourcen – etwa eines virtuellen Servers. Bei der Inanspruchnahme dieses Modells – etwa zur temporären Performancesteigerung – handelt es sich um die oben angesprochene IaaS. Die nächstmögliche Stufe im Bauplan der Cloud-Services stellt die PaaS dar. Auf der virtuellen Rechnerkapazität baut hierbei ein virtuelles Betriebssystem auf und die Nutzer können zudem auf eine virtuelle Entwicklungsumgebung zugreifen. Von Interesse ist dies beispielsweise für Unternehmen, die eigene cloudbasierte Apps entwerfen und umsetzen wollen. Die letzte und oberste Cloud-Schicht beinhaltet die virtuelle Zurverfügungstellung von Anwendungssoftware. Im Rahmen der SaaS-Modelle sind die Möglichkeiten des Users im Wesentlichen auf die reine Nutzung der bereitgestellten Applikation beschränkt.


Mehr zum Thema:

SaaS-Verträge: Updates & Upgrades – wichtige Unterschiede und Merkmale
Software-as-a-Service (SaaS) Verträge: Einordnung und Möglichkeiten
SaaS: Rechtliche & praktische Tipps – von AVV bis Service Level Agreement


Welcher Vertragstyp bei welchem Modell?

Eine pauschale Beschreibung oder exakte Abgrenzung der Leistungspflichten im Cloud-Computing kann nicht gegeben werden. Der Grund dafür ist, dass es sich bei Cloud-Service-Verträgen zumeist ein höchst individuelles Paket mit exakt beschriebenem Leistungsinhalt handelt. Welche Qualität die Leistung haben und in welchem Umfang sie vorliegen soll, wird heute von den meisten Vertragsparteien in einem sogenannten Service-Level-Agreement (SLA) festgehalten. 

Bei Cloud-Computing-Verträgen handelt es sich darüber hinaus um typengemischte Verträge. 

Charakteristischerweise sind dabei die einzelnen vertraglichen Leistungspflichten je unterschiedlichen gesetzlichen Vertragsgattungen zuzuordnen. Gleichzeitig sind diese derart eng miteinander verschmolzen, dass eine sachgerechte Auftrennung nicht möglich ist. Um einen typengemischten Vertrag im Vertragstypensystem des BGB einordnen zu können, muss deshalb der parteilich gewollte Schwerpunkt bestimmt werden. 

So beliebt Cloud-Computing-Modelle in der Praxis sind – Urteile zu ihrem Vertragstypus gibt es nicht. Für eine grobe Zuordnung bietet allerdings die BGH-Rechtsprechung zur Software-Überlassung bei „Application-Service-Providing“ (ASP)- Verträgen einen guten Referenzrahmen.

Bereits in den frühen 2000er-Jahren gab mit ASP die Möglichkeit, Anwendungssoftware über den Server des jeweiligen Providers abzurufen. Gegenüber dem bis dato üblichen Softwarekauf wurde damit erstmalig ein Modell zur temporären Anwendungsnutzung entwickelt. Ihren Verwendern bieten ASP-Modelle außerdem den Vorteil, die Verantwortung für die Aufrechterhaltung der Rechnerkapazitäten und Programmpflege auf den Provider auszulagern. Der Zugriff auf die Anwendungssoftware des Providers setzt bei ASP allerdings die Einrichtung einer individuellen Kommunikationsmöglichkeit zwischen dem anbietenden Server und dem anwendenden PC voraus. Dafür muss auf dem Rechner eines jeden Verwenders ein Client installiert – gewartet und gepflegt – werden.

Demgegenüber bedarf es bei Cloud-Service-Modellen keiner individuellen Backend-Installation. Die Schlüsseltechnologie stellt der Einsatz sogenannter Virtualisierungssoftware dar. Diese ermöglicht es die IT-Ressourcen des Providers – also beispielsweise die Hardware oder Anwendungssoftware – virtuell nachzubauen. Dadurch kann eine virtuelle Umgebung geschaffen werden, die zwar für ihren Betrieb auf die zugrundeliegenden Ressourcen angewiesen ist, auf die der Verwender selbst aber über (fast) jede Hardware zugreifen kann. Mittels Logins über den Webbrowser wird dem User die gewünschte Ressource virtuell zugewiesen. Der entscheidende Vorteil des Cloud-Computing gegenüber ASP-Modellen ist dementsprechend seine Massentauglichkeit.

Zentraler Vertragszweck beim ASP ist im Regelfall die Softwareüberlassung für den Zeitraum der Vertragslaufzeit. Die Kernleistung besteht somit darin, dem User den Zugriff auf die gewünschte IT-Ressource und ihre Nutzung – in dem vertraglich vereinbarten Umfang – zu gewähren. Als vertraglichen Schwerpunkt hat der BGH deshalb eine zeitlich begrenzte Gebrauchsgewährung erkannt – was inhaltlich einem Mietvertrag nach § 535 BGB entspricht. 

Auch bei Cloud-Service-Modellen stellt die zeitlich begrenzte Nutzung einer bestimmen IT-Ressource den Dreh- und Angelpunkt des Parteiwillens dar.

Den Provider trifft grundsätzlich die Pflicht zur Aufrechterhaltung der virtuellen Infrastruktur durch Betrieb der notwendigen Hardware und Virtualisierungssoftware. IaaS-Verträge beinhalten im Regelfall die Einräumung einer Nutzungsmöglichkeit dieser Infrastruktur – und regeln damit deren Miete. Lediglich in Einzelfällen – etwa bei der Ausführung bestimmter Rechenleistungen – kann auch ein Dienstvertrag in Betracht kommen. Im Rahmen von PaaS- und SaaS-Verträgen stellt die Nutzung der virtuellen Plattform bzw. Anwendungsmöglichkeit den zentralen Vertragszweck dar. Der Provider muss die jeweilige Ebene derart bereitstellen, dass der User im vertraglich vereinbarten Umfang darauf zugreifen kann. Von den Fällen „unentgeltlicher“ Nutzungsmöglichkeit – der Leihe – abgesehen, handelt es sich bei ihnen deshalb ebenfalls um Mietverträge.

Fazit

Cloud-Computing-Verträge sind so vielfältig und verschieden, wie das Angebot an Cloud-Diensten selbst. Im Grundsatz handelt es sich dabei jedoch meist um Mietverträge, die eine detailliert beschriebene Nutzungsmöglichkeit der gewünschten IT-Ressource vorsehen.

Bei Verbraucherverträgen muss insofern außerdem das – schon nicht mehr ganz – neue Gewährleistungsrecht für digitale Produkte beachtet werden. Seit Anfang 2022 stellt dieses den zentralen Rahmen für Mängelrechte bei der Bereitstellung digitaler Produkte im B2C-Bereich dar.

Potenziale nutzen: Künstliche Intelligenz und Datenschutz-Folgenabschätzung

Als selbstlernendes System, das eigenständig Entscheidungen treffen und intelligentes Verhalten imitieren kann, bringt Künstliche Intelligenz (KI) (auch „AI“, von „Artificial Intelligence“) viele Innovationen in unseren Alltag. Bekannte Beispiele sind KI-gesteuerte Sprachassistenten wie Alexa oder Siri. Auch bei der Auswahl, welcher Film oder welche Serie uns auf einer Streaming-Plattform gefallen könnte, ist uns KI behilflich. Sogar erste Zulassungen für autonomes Fahren auf öffentlichen Straßen wurden bereits erteilt. KI-basierte Anwendungen sind vielfältig und scheinen in Anbetracht der KI-nutzenden Technologien grenzenlos. Vor allem auch im unternehmerischen Kontext macht sich KI schon heute bewährt. So können KI-Systeme etwa bei der Auswahl von Bewerber:innen unterstützen. In der Kund:innen-Betreuung übernehmen sie die automatisierte Erkennung und Erstbearbeitung von Kund:innen-E-Mails.

KI muss aber zunächst angelernt werden und das funktioniert in der Regel nur, wenn ihr ausreichende Mengen an Daten zugeführt werden. Weisen diese Daten einen Personenbezug auf, gilt es, die KI mit der Datenschutz-Grundverordnung (DSGVO) in Einklang zu bringen. Nutzen Unternehmen KI, müssen sie dafür sorgen, dass die personenbezogenen Daten, die innerhalb der KI verarbeitet werden, ausreichend geschützt werden. Besteht nach Art, Umfang, Umständen oder Zweck der Datenverarbeitung ein besonders hohes Risiko für die Rechte und Freiheiten von Personen, so muss gem. Art. 35 DSGVO eine Datenschutz-Folgeabschätzung (DSFA) vorgenommen werden. Die Durchführung einer solchen dient der Identifizierung von Risiken bei riskanten Verarbeitungsvorgängen. Mittels einer DSFA können Unternehmen den gesamten Entwicklungsprozess einer KI-Anwendung datenschutzkonform und sicher gestalten und begleiten. Wie eine DSFA bei KI-Systemen effizient durchgeführt werden kann, erläutern wir Ihnen im Folgenden.

Die DSFA als Risikoanalyse

Neben den vielen positiven Aspekten, ergeben sich auch Risiken, die aus dem Einsatz von KI-Systemen resultieren können. Zum Beispiel können einzelne Entscheidungsprozesse einer KI aufgrund ihrer Komplexität undurchsichtig werden (sog. „Blackbox“). Was innerhalb der Blackbox mit den Daten geschieht, ist oft unklar und nimmt somit auch jegliche Möglichkeit bei Bedarf einzuschreiten. Außerdem können der KI zugrundeliegende Daten unvollständig, fehlerhaft, manipuliert oder mit menschlichen Vorurteilen (sog. „Bias“) belastet sein, mit der Konsequenz diskriminierender Entscheidungen. Die Risiken sind noch weitaus vielfältiger. Eine DSFA hilft, diese zu analysieren und durch entsprechende Maßnahmen zu entschärfen.

Die DSFA ist in Art. 35 DSGVO geregelt. Das datenverarbeitende Unternehmen hat unter gewissen Voraussetzungen als Verantwortlicher vorab eine Abschätzung der Risiken und Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Verantwortlicher ist gem. Art. 4 Nr. 7 DSGVO jede Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten zumindest mitentscheidet – also in der Regel das KI-einsetzende Unternehmen. Die DSFA ist darauf gerichtet, ob im Rahmen einer Verarbeitungstätigkeit voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Insbesondere wenn die Verarbeitung unter Verwendung neuer Technologien erfolgt, kann ein voraussichtlich hohes Risiko vorliegen. Ziel der DSFA ist es, dass sich der Verantwortliche in besonders sensiblen Bereichen durch ein strukturiertes Verfahren über die möglichen Risiken und Folgen der Datenverarbeitungsvorgänge bewusst wird und besonders riskante Verarbeitungen unterlässt bzw. der Datenschutzaufsichtsbehörde vorlegt. Unternehmen können mit der DSFA also prüfen, ob bzw. inwiefern eine KI-Anwendung als datenschutzkonform eingesetzt werden kann.

Vorabprüfung einer DSFA

Zunächst muss überprüft werden, ob eine DSFA überhaupt durchgeführt werden muss. In Art. 35 Abs. 3 DSGVO finden sich einige Regelbeispiele, wonach eine DSFA immer notwendig ist. Beim Profiling (vgl. Art. 4 Nr. 4 DSGVO), das häufig mit KI-basierten Tools ausgeführt wird, ist nach Art. 35 Abs. 3 lit. a DSGVO eine DSFA notwendig. Für den Fall, dass eine KI-basierte Anwendung nicht unter eines der Regelbeispiele fällt, bleibt die von der Datenschutzkonferenz (gemeinsames Gremium der deutschen Datenschutzaufsichtsbehörden) gem. Art. 35 Abs. 4 Satz 1 DSGVO veröffentlichte Positivliste zu berücksichtigen. Darin sind Verarbeitungstätigkeiten aufgeführt, für die eine DSFA immer durchzuführen sind. In Nummer 11 heißt es, dass eine DSFA dann vorzunehmen ist, wenn KI eingesetzt wird, um personenbezogene Daten zu verarbeiten, um die Interaktion mit Betroffenen zu steuern oder persönliche Aspekte von ihnen zu bewerten, beispielsweise also, wenn ein Unternehmen KI einsetzt, um mit Kund:innen zu interagieren. In Nummer 13 ist vorgegeben, dass eine DSFA dann erforderlich ist, wenn eine automatisierte Auswertung von Video- oder Audio-Aufnahmen zur Bewertung der Persönlichkeit von Betroffenen erfolgt, etwa die automatisierte Auswertung von Callcenter-Telefonaten.

Es kann also festgehalten werden, dass beim Einsatz von KI in vielen Fällen eine DSFA durchgeführt werden muss.


Das könnte Sie auch interessieren:


Die Durchführung einer DSFA

Die eigentliche DSFA ist in Art. 35 Abs. 7 DSGVO normiert.

1. Systematische Beschreibung der geplanten Verarbeitungsvorgänge

Sie beginnt mit einer systematischen Beschreibung aller Verarbeitungsvorgänge. Hier sollten Art, Umfang, Umstände und vor allem Zwecke der Verarbeitung erfasst werden. Gegebenenfalls können auch die vom Verantwortlichen verfolgten berechtigten Interessen berücksichtigt werden. Unter anderem sollten auch die unterschiedlichen Kategorien an Personen und an Daten, die betroffen sind, systematisch beschrieben werden. Kategorien von Personen können z.B. Beschäftigte oder Kundinnen und Kunden sein. Datenkategorien sind etwa Gesundheits-, Meta- oder Anmeldedaten. Vor dem Hintergrund der o.g. Blackbox-Problematik ist es nicht immer einfach, genaue Beschreibungen der Verarbeitungsvorgänge beim Einsatz einer KI abzugeben. Jedoch genügt es, wenn die geplanten Verarbeitungsvorgänge beschrieben werden.

2. Beurteilung aus rechtlicher Perspektive

Im Anschluss müssen die Verarbeitungsvorgänge aus rechtlicher Perspektive beurteilt werden. Dabei geht es um die Rechtsgrundlagen sowie die Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (vgl. Art. 35 Abs. 7 lit. b DSGVO). In diesem Rahmen muss auch die Vereinbarkeit mit dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO geklärt werden. Demnach muss die Verwendung personenbezogener Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Da KI aufgrund von riesigen Datenmengen-Analysen („Big Data“) funktioniert, ist der Datenminimierungsgrundsatz häufig schwierig einzuhalten. Im Einzelnen ist oft nicht klar, welche Daten nun tatsächlich Gegenstand der Analyse waren und welche anderen Daten für die Entwicklung der KI nicht erheblich gewesen wären. Werden also Daten von einer KI verarbeitet, die für ihre Entwicklung nicht notwendig waren, wären diese Daten eigentlich nicht dem Zweck angemessen und nicht auf das notwendige Maß beschränkt. Diesem Konflikt können Unternehmen entgehen, wenn sie vorab Daten bereits anonymisieren, pseudonymisieren oder entsprechende Löschkonzepte vorsehen. Andernfalls bietet es sich an, zunächst mit einer kleinen Menge an Trainingsdaten zu beginnen und die Menge dann – falls der Trainingserfolg nicht eintritt – sukzessive zu erhöhen.

3. Die Bewertung der Risiken

Hauptbestandteil der DSFA ist dann die eigentliche Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (vgl. Art. 35 Abs. 7 lit. c DSGVO). Dies meint die konkrete Risikoanalyse und setzt sich aus Risikobewertung anhand Eintrittswahrscheinlichkeit und Schwere, der Risikobehandlung und der Ermittlung des Restrisikos zusammen. In diesem Zusammenhang hat sich als Methode unter anderem das Standard-Datenschutzmodell (SDM) der Datenschutzkonferenz etabliert, mit dem die relevanten Datenschutzvorgaben der DSGVO in entsprechende technische und organisatorische Maßnahmen übersetzt werden können. Anhand von Gewährleistungszielen des Datenschutzrechts und der Informationssicherheit sollen die Risiken erfasst und beschrieben werden. Zu ihnen zählen unter anderem die Integrität, Vertraulichkeit und Transparenz der Daten. Dabei ist immer wieder die Blackbox-Problematik relevant. Oftmals scheint auch die nachvollziehbare Darstellung über Art, Zweck und Ausmaß der Datenverarbeitung im Rahmen der Transparenz kaum machbar. In diesem Zusammenhang ist es für Unternehmen eine große Herausforderung, die komplexen Analysevorgänge verständlich abzubilden. Darüber hinaus erschwert die Autonomie einer KI das Erreichen der Gewährleistungsziele, da bestimmte Zwecke und das Ausmaß der Datenverarbeitung nicht vom Verantwortlichen, sondern möglicherweise von der KI selbst bestimmt werden. Auch der Verlust von Daten innerhalb der KI scheint möglich, wenn sie gewisse Schlüsse aus Datensätzen zieht, sich auf dieser Grundlage fortbildet, aber nicht alle Daten vollumfänglich dafür nutzt. Ein äußerst alarmierendes Risiko ist die Diskriminierung durch eine KI. Werden fehlerhafte oder von bias-geprägte Daten zum Training einer KI verwendet, können diskriminierende Entscheidungsprozesse folgen.

Sind die Risiken bestimmt, muss daraufhin eine spezifische Bewertung der Eintrittswahrscheinlichkeit eines Schadens und einer Schadenshöhe erfolgen. Anhand dieser Ergebnisse sind dann die passenden Abhilfemaßnahmen zu bestimmen.

KI Verordnung Whitepaper
Jetzt das Whitepaper zur KI-Verordnung downloaden!

4. Geplante Abhilfemaßnahmen

Schließlich müssen die zur Bewältigung der Risiken vorgesehenen Abhilfemaßnahmen dargelegt werden. Dies soll auch Garantien, Sicherheitsvorkehrungen und Verfahren umfassen, durch die der Schutz personenbezogener Daten sichergestellt wird. In Betracht kommt dabei zunächst die Anonymisierung oder Pseudonymisierung der Trainingsdaten einer KI. Auch die Transport- und Inhaltsverschlüsselung oder umfassende Zugriffs- und Berechtigungskonzepte sind geeignet. KI-Entscheidungen sollten immer kontrollierbar bleiben, sodass es denkbar wäre eine Kontroll-KI zu implementieren. Ein menschlicher Kontrolleur könnte diese Funktion ebenfalls übernehmen. Zusätzlich ist auch die Dokumentation aller Vorgänge sinnvoll. Diese kann dem Verlust von Daten entgegenwirken und dient darüber hinaus der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO. Für die Identifizierung und Beurteilung von Risiken haben sich ebenfalls sog. Threat Modeling Workshops im Kontext von Technologien wie KI bewährt. Dabei werden alle Beteiligten über den gesamten Entwicklungsprozess einer Anwendung dahingehend geschult, Risiken zu erkennen und direkt zu entschärfen. Schließlich, nach der Umsetzung der Abhilfemaßnahmen, folgt eine Risikobewertung des verbleibenden Restrisikos.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Auswirkungen des Entwurfes der KI-Verordnung auf die DSFA

Auch die Europäische Union hat erkannt, dass KI viel Potenzial hat, welches unbedingt rechtssicher ausgeschöpft werden sollte. In einem Vorschlag für eine KI-Verordnung versucht die Kommission, KI als Innovation zu fördern und für den Schutz und das Vertrauen der Bevölkerung zu regulieren. Der Entwurf zielt nicht auf die Regulierung der KI als solche ab, sondern auf den möglichen Einsatz von KI-Systemen. Dabei geht es nicht um die konkrete Funktionsweise der KI und der ihr zugrundeliegenden Technologie, sondern um deren Anwendungsbereiche. Insbesondere Anbieter und Nutzer von KI-Systemen sollten sich mit den Regelungen und Pflichten aus der Verordnung auseinandersetzen. Beispielsweise greift die Verordnung verbotene Praktiken im Bereich der Künstlichen Intelligenz auf, was sehr an die Modellierung der Risiken innerhalb der DSFA anlehnt. Zu den Regelungen für Hochrisiko-KI-Systemen finden sich unter anderem Anforderungen, die diese Systeme erfüllen müssen. Dabei decken sich einige Vorgaben des Entwurfes mit den bei einer DSFA anzustellenden Gedanken, wie etwa die Verwendung diskriminierungsfreier Trainingsdatensätze oder die Resilienz und Robustheit der Systeme, was an das SDM erinnert. Darüber hinaus wird in Art. 9 des Verordnungsentwurfes die Pflicht zur Einrichtung eines Risikomanagementsystems vorgeschrieben, was innerhalb einer DSFA zum Beispiel als Abhilfemaßnahme bereits jetzt schon berücksichtigt werden kann. Die oben erwähnte Abhilfemaßnahme, einen menschlichen Kontrolleur für die Verarbeitungstätigkeiten der KI einzusetzen, schreibt der Entwurf der KI-Verordnung für den Einsatz von Hochrisiko-KI-Systemen in Art. 14 Abs. 1 KI-VO-E sogar vor. Der Entwurf gibt Unternehmen leitende Grundideen mit, die diese bei der Durchführung einer DSFA bereits jetzt mitberücksichtigen können.

Weitere Ausführungen zum Anwendungsbereich und den Pflichten des Entwurfes der KI-Verordnung finden Sie hier auf unserem Blog.

Mit der Anwendbarkeit der KI-Verordnung ist jedoch in Anbetracht der langen Umsetzungsfrist von 36 Monaten nach Inkrafttreten gem. Art. 85 Abs. 2 der Verordnung wohl kaum vor 2026 zu rechnen. Aktuell arbeiten EU-Parlament und Ministerrat ihre Kompromissvorschläge zum Verordnungsentwurf der EU-Kommission aus. Voraussichtlich Anfang 2023 werden sie dann die offiziellen Trilogverhandlungen aufnehmen.

Fazit

Künstliche Intelligenz bringt neben vielen Errungenschaften auch einige Herausforderungen mit sich. Mit einer DSFA können KI-Anwendungen dennoch über ihren gesamten Entwicklungsprozess hinweg datenschutzkonform ausgestaltet werden. Unternehmen sollten sich daher von einer umfassenden Prüfung nicht abschrecken lassen, sondern sie als Chance sehen, neue innovative Technologien zu nutzen und sich damit Wettbewerbsvorteile zu verschaffen.

Gerne sind wir Ihr Ansprechpartner für alle Fragen rund um den Datenschutz – auch wenn es um die rechtssichere Generierung oder Implementierung einer KI in Ihrem Unternehmen geht. Gemeinsam entwickeln wir mit Ihnen gerne eine zielorientierte Strategie für Ihr Unternehmen!

Datenschutzrechtliche Herausforderungen für Unternehmen im Metaverse

KI im Gesundheits­wesen: mit Datenschutz zum Ziel?

Im Rahmen der Digitalisierung hat die Gesundheitsbranche auch die Vorteile von Künstlicher Intelligenz (KI) bereits für sich erkannt – und zwar zu Recht! KI kann unterstützend bei Forschung, Diagnostik und Therapie eingesetzt werden, den Klinikalltag erleichtern und auch die Krankenversicherungen bieten bereits ihren Mitgliedern KI-gesteuerte (digitale) Services über Apps an. KI-basierte Medizinprodukte erobern inzwischen sogar das Metaverse, ein Raum, in dem die digitale mit der realen Welt verschmilzt. Das Metaverse zeichnet sich durch Technologien der erweiterten Realität aus. Patienten wird mittels VR- und AR-Headsets global Zugang zu medizinischen Dienstleistungen in der Medical Extended Reality (MXR) verschafft. Hierdurch sollen u.a. therapeutische und medizinische Lösungen für die Patienten individueller gestaltet werden. Bereits diese wenigen Beispiele verdeutlichen plastisch, dass sich KI als Basistechnologie durchsetzen und die Medizin revolutionieren wird. 

Gleichwohl fremdeln viele Führungskräfte, auch im Gesundheitsbereich, mit KI. Dies mag auf die große Komplexität des Themas zurückzuführen sein. Der nachfolgende Beitrag gibt eine Übersicht über die aktuellen und zukünftig relevant werdenden rechtlichen Herausforderungen für KI im Gesundheitsbereich. Hierdurch sollen die rechtliche Komplexität reduziert und Berührungsängste mit KI genommen werden.

Sowohl bei der Entwicklung als auch beim Einsatz von KI sind potentiell große Mengen an personenbezogenen Daten erforderlich, deren Verarbeitung sich nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) richtet. Die Umsetzung dieser gesetzlichen Regularien wird bei der Anwendung künstlicher Intelligenz im Gesundheitsbereich dadurch erschwert, dass an automatisierte Datenverarbeitungen von Gesundheitsdaten zudem erhöhte Anforderungen gestellt werden. Daher gilt es hier besondere Lösungen für besondere Herausforderungen zu finden – was auch gelingt!

Health Law Forschung Gesundheitsdaten

Der Anwendungsbereich von KI im Gesundheitswesen

Der Anwendungsbereich von KI im Gesundheitswesen lässt sich kurz zusammenfassen: überall! Natürlich ist es ethisch fragwürdig, den Menschen in komplexen Entscheidungen, die das körperliche und seelische Wohlbefinden betreffen, außen vorzulassen, damit stattdessen Algorithmen die Arbeit komplett übernehmen. Aber diese Sichtweise auf KI entspricht auch nicht der Realität! KI wird hauptsächlich nur unterstützend z.B. in Form von Assistenzsystemen eingesetzt. Die Letztentscheidungen über medizinische Fragen können immer noch Menschen (wie z.B. Ärzt:innen) treffen.

So ist es z.B. möglich, dank Deep Learning der Ärztin oder dem Arzt bei der Analyse von Röntgenbildern zu helfen. Auch der Tumorforschung kann KI bereits heute zum Fortschritt verhelfen, indem neuronale Netze komplexe Tumorstrukturen erkennen. Algorithmen können anhand von Auffälligkeiten und Mustern in der Aussprache eines Menschen Anzeichen von Depressionen erkennen oder anhand der Tonaufnahmen von Hustengeräuschen unterschiedliche Lungenkrankheiten differenzieren. Seit geraumer Zeit helfen Operationsroboter, mit automatisierten Kamera- und Messinstrumenten die Präzision und Sicherheit der Bewegungen eines Operateurs zu verbessern. Derartige Systeme ermöglichen auch neue telemedizinische Prozesse, bei denen behandelnde Personen und Patient sich nicht mehr physisch an einem Ort befinden müssen. 

Neben ethischen Gesichtspunkten stehen auch oft die hohen finanziellen Investitionen im Raum, die Krankenhausleitungen davon abhalten, in neue Techniken zu investieren. Allerdings zeigt eine neue Studie, dass durch KI Kosten eingespart werden können. So können beispielsweise in dem für das Gesundheitswesen teuren Bereich der Brustkrebsvorsorge Diagnosen durch KI schneller getroffen werden als bisher, was zu einer enormen Kostenersparnis führt. Dieses Beispiel lässt sich auch auf andere kostspielige Bereiche übertragen.

KI kann nicht nur bei der Behandlung und Diagnose helfen. Die Mitarbeiter:innen von Krankenhäusern leiden heutzutage vor allem unter einem immer höheren Verwaltungsaufwand, der ihnen wertvolle Arbeitszeit für die Patient:innenversorgung wegnimmt. Routineabläufe können an KI-gesteuerte Software abgegeben werden. Hier können Programme helfen, die Arbeitspläne erstellen oder andere organisatorische Aufgaben erfüllen. Ebenso können Krankenakten digital angelegt und von einer Software auf Hinweise untersucht werden, welche auf Erkrankungen hinweist. Sprachassistenzsoftware in Krankenzimmern kann Patient:innen im Krankenhausalltag helfen. So lassen sich z.B. die Rollläden herunterfahren. Dadurch wird dem Pflegepersonal Arbeit abgenommen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Kernfrage: Die Vereinbarkeit von KI und Datenschutz im Gesundheitswesen

Wie bereits ausgeführt, ist KI nur mithilfe von Big Data möglich – und darunter fallen auch personenbezogene Daten. Auf Basis der gesetzlichen Regularien, zu denen nicht nur die DSGVO und das BDSG, sondern auch die Landesdatenschutzgesetze, Landeskrankenhausgesetze, Sozialgesetzbücher und das Gendiagnostikgesetz fallen können, ergeben sich die nachfolgenden Lösungsansätze, die aufzeigen, wie Datenschutz im Gesundheitswesen und KI in Einklang gebracht werden können.

Insbesondere schreibt die DSGVO vor, dass technische und organisatorische Maßnahmen (TOM) ergriffen werden müssen, um die datenschutzrechtlichen Vorgaben umzusetzen und Datensicherheit zu gewährleisten. Ihre Rechtsberater:innen können mit Ihnen diese Maßnahmen entwickeln und sie in eine geeignete innovations- und KI-freundliche Datenstrategie einbinden, die die folgenden Kernpunkte umfassen wird.

Künstliche Intelligenz und Gesundheitsdaten: die passende Rechtsgrundlage finden!

DSGVO und BDSG regeln die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Der Begriff des „Verarbeitens“ ist sehr weit. Darunter fallen u.a. das Erheben, Erfassen, Ordnen und Speichern von personenbezogenen Daten. Die Verarbeitung personenbezogener Daten ist dann erlaubt, wenn es auf Basis einer Rechtsgrundlage geschieht. Dies ist z.B. der Fall, wenn eine Einwilligung zur Verarbeitung personenbezogener Daten eingeholt wurde oder wenn ein anderes Gesetz es erlaubt.

Besondere Vorschriften für das Gesundheitswesen sind jedoch auch in der DSGVO selbst geregelt. Wird im Gesundheitsbereich KI angewandt, werden in vielen Fällen personenbezogene Gesundheitsdaten benötigt. Insbesondere bei der Entwicklung von KI muss letztere mit großen Datenmengen im Rahmen des Deep Learnings trainiert werden.  

Gesundheitsdaten sind als personenbezogene Daten zu verstehen, die sich – ggf. auch nur mittelbar – auf die körperliche oder geistige Gesundheit einer Person (einer Person in Behandlung) beziehen, einschließlich der Erbringung von Gesundheitsdienstleistungen, und aus denen Informationen über deren Gesundheitszustand hervorgehen. Als sog. besondere Kategorien personenbezogener Daten gelten für Gesundheitsdaten besonders strenge datenschutzrechtliche Vorgaben. 

Wesentlich ist, dass im Rahmen von KI teilweise automatisierte Entscheidungsfindungen zur Anwendung kommen, d.h. eine Person wird einer Entscheidung unterworfen, die ausschließlich auf einer automatisierten Datenverarbeitung beruht. Dies könnte z.B. bei einer App der Fall sein, die den Gesundheitszustand misst und sich bei Erreichen von bestimmten Werten automatisch dem jeweiligen Versicherungstarif anpasst. Entscheidungen mit derartigen, u.U. nachteiligen Auswirkungen werden in Art. 22 DSGVO noch gesonderten Anforderungen unterworfen. In Kombination mit den ohnehin schon als besonders schützenswert angesehenen Gesundheitsdaten ergibt sich bei KI im Gesundheitswesen dadurch eine sensible Kombination. Bei der Verarbeitung von Gesundheitsdaten im Rahmen automatisierter Entscheidungen ist daher vorgeschrieben, dass beide Aspekte nur auf Grundlage einer ausdrücklichen Einwilligung oder aufgrund einer Rechtsvorschrift aus Gründen eines erheblichen öffentlichen Interesses zulässig umgesetzt werden können. In der Praxis wird jedoch nur die Einwilligung relevant sein. 

Hinsichtlich Einwilligungen bereitet beim Einsatz von KI-Systemen im Gesundheitswesen insbesondere das Merkmal der „Informiertheit der Einwilligung“ Schwierigkeiten. Mit dem Einsatz von KI-Systemen geht immer auch ein gewisses Maß an Unvorhersehbarkeit, zumindest aber an (technischer) Komplexität einher, was die Erklärbarkeit der Vorgänge und eingesetzten Logik erschwert. Eine allgemeinverständliche, leichte Vermittlung an betroffene Personen – die ggf. unter dem unmittelbaren Eindruck einer Diagnose oder Krankheitssymptomen stehen und eine Einwilligung abgeben – entpuppt sich daher als besondere Herausforderung. Diese Problematik wird regelmäßig unter dem Stichwort „Blackbox“ konnotiert und erschwert neben der Erfüllung der gesetzlichen Pflichtinformationen über Art, Zweck und Ausmaß der Datenverarbeitung u.a. auch die allgemeine Einhaltung des Transparenzgrundsatzes aus der DSGVO. Mögliche Lösungsansätze finden sich z.B. in sog. Blackbox-Tests, bei denen mittels synthetisch erzeugter Testdaten statistische Aussagen über den Einfluss bestimmter Eingabemerkmale gewonnen werden können. Auch die sog. „Counterfactual Explanation“ kann hier weiterhelfen: Der Ansatz versucht die maßgeblichen entscheidungsbegründenden Kriterien für einen Output der KI zu identifizieren und so aufzuzeigen, welche Aspekte aus der Sphäre der betroffenen Person bei geringfügigen Änderungen wahrscheinlich zu einem anderen Ergebnis geführt hätten. 

Auch der Widerruf einer Einwilligung zur Verarbeitung der personenbezogenen Gesundheitsdaten kann problematisch sein, da eine gewisse Fortwirkung des Gehaltes der Daten in einer sich stets weiterentwickelnden KI nie völlig ausgeschlossen werden kann. Die KI als selbstlernendes System funktioniert gerade infolge verschiedener Rückschlüsse auf bereits Gelerntes, welches jedoch durch den Widerruf unzulässig werden würde.

Es empfiehlt sich daher aufgrund der Kombination aus KI und Gesundheitsdatenverarbeitung immer möglichst Anonymisierungskonzepte zu implementieren. Darin wird festgelegt, ob und welche Daten ggf. nur anonym erhoben und verwendet werden. Auf anonyme Daten finden DSGVO und BDSG keine Anwendung, mit der Folge, dass die Daten ohne Einschränkung der soeben genannten Voraussetzungen verarbeitet werden können, was eine erhebliche Erleichterung insbesondere bei der Generierung der KI darstellt, wenn anonyme Trainingsdaten benutzt werden. Anonyme Daten liegen vor, wenn die Informationen die Identifizierung einer Person für jeden unmöglich machen. Die Verwendung anonymer Daten kann im Gesundheitsbereich oft schwierig sein, insbesondere in Anbetracht der Verwendung von Daten aus der Krankenhistorie, da sie sehr individuell sind. In anderen Bereichen ist die Verwendung anonymer Daten jedoch denkbar. Alternativ können auch geeignete synthetische Daten einen Ausweg aus den Datenschutz-Herausforderungen bei der KI-Entwicklung bieten.

Die Datenschutz-Compliance wird zukünftig durch den sog. Europäischen Raum für Gesundheitsdaten (European Health Data Space – EHDS) erleichtert. Am 3.5.2022 wurde der finale Entwurf für den Verordnungsvorschlag der Europäischen Kommission zum Gesundheitsdatenraum veröffentlicht (EHDS-VO-E). Durch den EHDS sollen medizinische Innovation gefördert und der Umgang mit und die Verarbeitung von personenbezogenen Gesundheitsdaten vereinfacht werden. Er soll insbesondere die Möglichkeit bieten, anonymisierte Daten aus dem EHDS herunterzuladen werden, um damit KI-Anwendungen im Gesundheitswesen zu trainieren. 

KI und der Umgang mit Betroffenenrechten

In einer innovations- und KI-freundlichen Datenstrategie können des Weiteren Lösungswege und Anleitungen für den Umgang mit den Betroffenenrechten aus DSGVO und BDSG entwickelt werden. Diese können KI-Anwender:innen, wenn sie personenbezogene Daten bzw. Gesundheitsdaten verwenden, vor einen erheblichen Arbeitsaufwand stellen, wenn sie sachgerechtes Konzept entwickelt haben. Die Pseudonymisierung von Daten als technische Maßnahme sollte hier unbedingt in Betracht gezogen werden. 

Werden Daten nur pseudonymisiert gespeichert, reduziert dies zunächst in erheblichem Maße den potenziellen Schadenseinschlag, der sich aus einer ungewollten Offenlegung oder einem DataLeak dieser Daten ergeben könnte: Ohne den Zuordnungsschlüssel wäre es einem Angreifer nicht möglich, die hinter den Pseudonymen stehenden Personen zu identifizieren. 

In bestimmten Konstellationen kann der Einsatz von Pseudonymisierung der Daten zudem den Umgang mit Betroffenenanfragen vereinfachen: Grundsätzlich wären Daten auf Anfrage zu beauskunften oder ggf. auch zu löschen. Werden Daten jedoch pseudonymisiert zum Training verwendet und wird bei der Pseudonymisierung die Identifikation einer einzelnen Person derart verhindert, dass der Verantwortliche im Fall einer Anfrage die pseudonymisierten Datensätze im Trainingsdatenset nicht mehr auffinden kann, kann gem. Art. 11 Abs. 2 DSGVO eine Einschränkung der Betroffenenrechte in Betracht kommen. Erst wenn die betroffene Person selbst weitere Informationen zur Identifikation nennen kann, wären die Betroffenenrechte umzusetzen. 

Auftragsverarbeitung und KI-Systeme

Soweit kein eigenes KI-System zum Einsatz kommen soll, kann es sachgerecht sein, ein System eines externen Dienstleisters zu verwenden. Die Wahl des passenden Dienstleisters sollte aufgrund verschiedener Aspekte getroffen werden. Insbesondere sollte Wert daraufgelegt werden, ob er geeignete technische und organisatorische Maßnahmen (TOM) gewährleisten kann. Er sollte daher unter anderem ein Datenschutzkonzept aufweisen, das entsprechende TOM zur Sicherheit der Datenverarbeitung einschließt. Sodann muss ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden, wofür die DSGVO einen Mindestkatalog an Verpflichtungen normiert, die vertraglich geregelt sein müssen. Im Gesundheitswesen treten häufig Regelungen im Hinblick auf die Wahrung des Berufsgeheimnisses und der ärztlichen Schweigepflicht hinzu. Zwar gibt es für das Gesundheitswesen darüber hinaus eine Reihe von Übermittlungsbefugnissen, die in § 197a Abs. 3b SGB V niedergelegt sind. Jedoch sind diese im Rahmen einer Auftragsverarbeitung nicht maßgeblich, weil es sich nicht um eine Übermittlung in diesem Sinne handelt. Die KI-einsetzende Stelle bleibt weiterhin Verantwortlicher nach der DSGVO. Beim Einsatz eines externen Dienstleisters im Rahmen der Entwicklung von KI-Systemen sollte immer darauf geachtet werden, ob der Dienstleister sich eigene Nutzungsrechte an Output oder Erkenntnissen sicher möchte. 


Das könnte Sie auch interessieren:


Die KI-VO

Die EU-Kommission hat am 21. April 2021 einen Vorschlag für eine Verordnung zur Festlegung harmonisierter Vorschriften für KI vorgelegt (KI-VO-E). Dieser verfolgt einen horizontalen Ansatz: Die Verordnung soll damit produktartübergreifend für alle Produkte, die unter den Begriff des KI-Systems fallen, Platz greifen. Damit wird die KI-VO auch auf KI-basierte Medizin-Software-Systeme Anwendung finden. 

Die EU-Gesetzgebungsorgane bereiten derzeit den Trilog für die KI-VO vor. Mit einem Inkrafttreten ist nicht vor dem Jahr 2024 zu rechnen, mit der Anwendbarkeit nicht vor 2026. Neben der Schaffung eines die Werte der EU wahrenden, harmonisierten Rechtsrahmens sollen Entwicklung und Nutzung von KI und das Vertrauen in KI-basierte Systeme gefördert werden. Dadurch soll Europa als globales Zentrum für Exzellenz in der KI gestärkt werden, um nicht (noch mehr) gegenüber China und den USA ins Hintertreffen zu geraten.

Die KI-VO wird das Inverkehrbringen, die Inbetriebnahme und die Nutzung von KI-Systemen regeln. Die Regulierung tritt neben die DSGVO und die Medical Device Regulation (MDR) und wird zudem um einen AI Liability Act (KI-Haftungsrichtlinie) ergänzt werden, für den ebenfalls ein erster Entwurf vorliegt (COM(2022) 496 final). 

Der AI Liability Act soll die Lücke des fehlenden Individualschutzes der KI-VO füllen und Personen, die nachteilig von einer KI betroffen werden, ein haftungsrechtliches Instrument an die Hand geben. Dabei stipuliert das neue Haftungsregime eine Kausalitätsvermutung zugunsten der Betroffenen. Wird etwa der von einer KI-Bewerbersoftware abgelehnte Bewerber aufgrund eines diskriminierenden Patterns abgelehnt, so wird der Geschädigte davon befreit, den Ursachenzusammenhang zwischen Schaden und Einsatz bzw. Output der KI darlegen zu müssen – der Anbieter muss folglich den Entlastungsbeweis erbringen, dass die KI compliance-adäquat konzipiert wurde. Dies wird nur anhand lückenloser Dokumentation möglich sein. 

Es stellt sich für Unternehmen der Gesundheitsbranche, die entweder selbst Entwicklungen im KI-Bereich durchführen oder konzipieren, die Frage, wie die vielen Verordnungen miteinander verknüpft sind, sich bedingen und ergänzen – und wie sie in der Compliance sachgerecht umgesetzt werden können. 

Die KI-VO verfolgt – ähnlich wie schon die DSGVO und die MDR – einen risikobasierten Ansatz. Das heißt, dass je nach Gefährdungspotenzial des KI-Systems entsprechende Anforderungen an Nutzung und Entwicklung der Systeme gestellt werden. Dabei wird zwischen vier unterschiedlichen Risikogruppen unterschieden. In KI mit: 

  • inakzeptablem Risiko, 
  • hohem Risiko, 
  • geringem Risiko und 
  • minimalem Risiko. 

KI-Systeme mit einem unannehmbaren Risiko betreffen KI-Anwendungen, die eine klare Bedrohung der Grundrechte darstellen. Diese sind deshalb in Gänze verboten. In der Unternehmenspraxis spielen sie derzeit keine oder eine nur stark untergeordnete Rolle.

Was ein KI-System als Hochrisiko-KI-System qualifiziert, regelt Art. 6 KI-VO: Ein Hochrisiko-KI-System liegt vor, wenn das KI-System als Sicherheitskomponente eines Produktes nach Anhang II KI-VO anzusehen ist (Art. 6 Abs. 1 lit. a KI-VO) oder es handelt sich um eine KI-Anwendung, welche in einem der in Anhang III zur KI-VO genannten Sektorbeispiele zuzuordnen ist (Artikel 6 Abs. 2 KI-VO). Dazu gehören bspw. KI-Systeme, die der biometrischen Identifizierung und Kategorisierung natürlicher Personen dienen, beispielsweise Systeme, die Gesichter erkennen und Personen zuordnen sollen (Anhang III Nr. 1 KI-VO), die über den Zugang zu Leistungen entscheiden (denkbar sind bspw. KI-Systeme, die Empfehlungen über bestimmte Vorsorgemaßnahmen im Gesundheitsbereich ausgeben) oder KI-Anwendungen die Auswahlentscheidungen im Rahmen von Bewerbungsprozessen automatisiert unterstützen oder über Beförderungen (mit-)entscheiden sollen (Anhang III Nr. 4 KI-VO).

KI-Anwendungen im Gesundheitsbereich sind in der KI-VO jedoch derzeit noch nicht generell als KI-Systeme mit inakzeptablem Risiko oder als Hochrisiko-KI-System eingestuft. In der gegenwärtigen Diskussion über die Kompromissvorschläge zur KI-VO zwischen den Gesetzgebungsorganen wird aber überlegt KI-Systeme aus dem medizinischen Bereich als Hochrisikosysteme in die Liste der Sektorenbeispiele aufzunehmen, da ihr Einsatz potentiell mit Gesundheitsrisiken einhergehen könnte. Zu beachten ist ferner, dass die Liste von Hochrisiko-KI-Systemen nicht abschließend ist. So können nach Art. 7 KI-VO weitere Anwendungsfälle in den Anhang III zur KI-VO aufgenommen und damit als Hochrisiko-KI-System klassifiziert werden. 

Fallen KI-Systeme aus dem Health-Bereich in die Hochrisiko-Kategorie, so müssen Anbieter und Hersteller umfassende Pflichten beachten. Diese reichen von der Implementierung eines Qualitäts- und Risikomanagementsystems, einer effizienten Data Governance, der Erstellung einer minutiösen technischen Dokumentation bis hin zur Durchführung einer Konformitätsbewertung bzw. der Sicherstellung und Überwachung der Erfüllung dieser Pflichten.

Zur dritten Risiko-Kategorie, der „KI mit geringem Risiko“, gehören solche Systeme, die mit Menschen interagieren, so etwa Chatbots. Hier schreibt die KI-VO vor allem Transparenzverpflichtungen vor. 

KI mit minimalem Risiko wird von dem Verordnungsentwurf nicht erfasst. Ihre Verwendung und Entwicklung wird durch die KI-VO daher nicht eingeschränkt werden. 

KI-basierte Produkte, die den Begriff des „Medizinproduktes“ i.S.d. Art. 2 Nr. 1 MDR erfüllen, müssen sich in der EU aktuell vor allem an der MDR messen lassen. In diese Produktkategorie fallen beispielsweise regelmäßig Software als Diagnose-Entscheidungshilfe für ärztliches Personal, Gesundheits-Apps, etwa für die Überwachung bestimmter Vitalfunktionen und weitere Software-Systeme im medizinischen Bereich. KI-basierte Medizinprodukte müssen also die Anforderungen der MDR erfüllen. Da zukünftig beide Verordnungen parallel nebeneinanderstehen und unabhängig voneinander Geltung beanspruchen werden, ist es bereits jetzt essenziell, zwischen Medizinprodukt und Nicht-Medizinprodukt möglichst zu Beginn der Entwicklung zu differenzieren, um im späteren Verlauf keine folgenschweren Überraschungen im Hinblick auf den anwendbaren Rechtsrahmen zu erleben. Fehler können zu erheblichen Bußgeldern führen. Werden Pflichten und Vorgaben der KI-VO nicht erfüllt, drohen Sanktionen i.H.v. bis zu EUR 30 Mio. oder 6 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem welcher Betrag höher ist. Die Höhe der angedrohten Sanktionen geht somit über die in der DSGVO vorgesehenen Bußgelder hinaus.

Fazit: KI im Gesundheitswesen – Compliance-Systeme frühzeitig smart erweitern!

KI-Anwendungen haben im Gesundheitsbereich eine große Bedeutung erlangt, die zukünftig stark wachsen wird. Die Verarbeitung sensibler Gesundheitsdaten mit KI-Systemen birgt gleichwohl große Risiken für die Rechte der von der Verarbeitung betroffenen Personen. Deshalb sind die datenschutzrechtlichen Anforderungen für den Einsatz solcher KI-Anwendungen besonders hoch, sodass dieser in der Praxis zumeist nur auf Grundlage einer entsprechenden Einwilligung der betroffenen Personen erfolgen kann. Wenn personenbezogene Daten verarbeitet werden sollen, ist es alternativlos, mit datenschutzrechtlicher Expertise die gesamte KI-Lösung strategisch durchzuplanen.

Die KI-VO hält für den Einsatz und die Entwicklung von KI-Systemen in der Gesundheitsbranche weitere Compliance-Pflichten bereit. Eine zusätzliche Komplexität ergibt sich, sobald die von der Medizinbranche eingesetzten KI-Systeme gleichzeitig als Medizinprodukte klassifiziert werden. Der europäische Gesetzgeber sollte den Wechselwirkungen der unterschiedlichen Regulierungen noch mehr Beachtung schenken. 

Obwohl sich die KI-VO noch in der Entwurfsphase befindet, lohnt sich bereits jetzt eine sorgfältige Anpassung der internen Compliance-Strukturen. So kann verhindert werden, dass für gegenwärtig schon in der Entwicklung befindliche KI-Anwendungen zum späteren Zeitpunkt aufwendige Nach-Dokumentationen erfolgen müssen. Dadurch wird auch das Risiko hoher Bußgelder gesenkt.

Die Umsetzung der KI-VO erfordert ein interdisziplinäres Team. Juristische Fachexpertise im Bereich des Technologierechts ist unentbehrlich.

Elektronische Patientenakte und Datenschutz

Die elektronische Patientenakte (ePA): Datenschutzrechtliche Aspekte und nächste Entwicklungsstufen

Seit dem 01.01.2021 sind die gesetzlichen Krankenkassen verpflichtet, ihren Versicherten die ePA zur Verfügung zu stellen. Ziel der ePA ist es, dass Versicherte den an der Behandlung Beteiligten relevante medizinische Informationen übergeben können, um dadurch deren Informationslage zu verbessern. Zentral ist hierbei, dass die ePA durch die Versicherten geführt wird. Diese sollen jederzeit die „Hoheit über ihre Daten“ behalten und entscheiden selbst über deren Errichtung, Nutzung und Löschung. Die ePA ersetzt dabei weder die Pflicht zur Behandlungsdokumentation durch die behandelnden Ärzt:innen, noch ist sie Weg und Mittel der Kommunikation der Ärzt:innen untereinander. Jede:r Ärzt:in hat im Verhältnis zum:r Patient:in einen eigenständigen Behandlungsvertrag nach § 630a BGB. Weitere Ausbaustufen der ePA sind bereits im SGB V gesetzlich geregelt. Auf die Ausbaustufe ePA 1.1. folgte ab dem 01.01.2022 die ePA 2.0 und ab 01.01.2023 wird die ePA 3.0 eingeführt. Welche (datenschutz-) rechtlichen Aspekte zu beachten sind und was in den künftigen Ausbaustufen der ePA hinzukommt, erfahren Sie in diesem Beitrag.

Health Law Forschung Gesundheitsdaten

Datenschutzrechtliche Verantwortlichkeit

Verantwortlich ist nach Art. 4 Nr. 7 DSGVO „diejenige natürliche oder juristische Person …, die … über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet“ (Alt. 1) oder die vom Unionsrecht oder dem Recht der Mitgliedstaaten dazu bestimmt wird (Alt. 2). Der Gesetzgeber hat für die ePA von dieser sog. Öffnungsklausel Gebrauch gemacht und die Verantwortlichkeit in § 307 SGB V geregelt. Für ein besseres Verständnis der darin getroffenen Regelungen zur datenschutzrechtlichen Verantwortlichkeit ist ein Überblick über den grundlegenden Aufbau der Telematik-Infrastruktur (TI) hilfreich.

Zu unterscheiden sind drei Unterstrukturen: die zentrale Infrastruktur, die dezentrale Infrastruktur sowie die Anwendungsinfrastruktur (§ 306 Abs. 2 SGB V). In der zentralen Infrastruktur liegt der Verzeichnisdienst, in dem die ePA gespeichert ist, sowie weitere zentrale Dienste wie etwa die VPN-Zugangsdienste zur Herstellung einer sicheren Verbindung mit der dezentralen Infrastruktur oder die PKI-Dienste zur zweifelsfreien Zuordnung der Teilnehmer. Die dezentrale Infrastruktur ist der Bereich, in der die Telematik-Infrastruktur über sogenannte Konnektoren (das sind leistungsstarke und sichere Router) mit den einzelnen Leistungserbringern, d. h. insbesondere den Praxisverwaltungssystemen (PVS) der Ärzt:innen bzw. Krankenhausinformationssystemen (KIS) der Krankenhäuser verbunden ist. Und schließlich die Anwendungsinfrastruktur mit den Diensten und Anwendungen wie der ePA oder dem elektronischen Rezept (eRezept), die den Nutzer:innen zur Verfügung gestellt werden. Bei einem Upload oder Download von Daten in bzw. aus der zentralen Infrastruktur werden jeweils Kopien der Daten erstellt.

Verantwortlichkeit der Leistungsträger

Nach § 307 Abs. 4 SGB V ist der Leistungsträger, d. h. die jeweilige gesetzliche Krankenkasse (GKV) als Anbieter der ePA, datenschutzrechtlich verantwortlich für die Datenverarbeitung. Diese Verantwortung besteht trotz fehlender Zugriffsmöglichkeiten auf die Daten umfassend, d.h. für alle Datenverarbeitungen im Zusammenhang mit der ePA, mit Ausnahme von Upload und Download von Dokumenten durch Leistungserbringer, d. h. Ärzte, Apotheken und Krankenhäuser oder sonstige Beteiligte.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Verantwortlichkeit der Leistungserbringer

Die Leistungserbringer sind verantwortlich für die Datenverarbeitung in der dezentralen Infrastruktur. Aus Sicht der Leistungserbringer gibt es zwei Formen der Datenverarbeitungen im Zusammenhang mit der ePA: den Upload von Dokumenten aus den PVS/KIS in die ePA, als „Übermittlung“ von Daten und den Download von Dokumenten aus der ePA in die PVS/KIS, als „Erhebung“ von Daten. Die datenschutzrechtliche Verantwortung besteht im Rahmen der ePA nur für diese beiden Verarbeitungsformen und nur in der dezentralen Infrastruktur.


Das könnte Sie auch interessieren:


Einsatz von Auftragsverarbeitern

An verschiedenen Stellen ist der Einsatz von Auftragsverarbeitern nach Art. 28 DS-GVO denkbar. GKV etwa setzen IT-Dienstleister als Auftragsverarbeiter zum Betrieb der ePA-Systeme ein. Und auch auf der Ebene der Leistungserbringer kommen IT-Dienstleister als Auftragsverarbeiter, etwa für den Betrieb der PVS, Konnektoren und Kartenterminals in Betracht.

Diese Auftragsverarbeiter müssen zahlreiche Anforderungen erfüllen. Wenn die Auftragsverarbeiter „Anbieter von Betriebsleistungen“ der TI sind, wie die Anbieter von ePA-Aktensystemen und zugehörigen Komponenten und Diensten, dann müssen sie zunächst durch die Gematik zugelassen werden (§§ 324, 325 SGB V). Neben den allgemeinen Anforderungen (vgl. Art. 28 DSGVO) müssen alle Auftragsverarbeiter im Zusammenhang mit der ePA die Spezifikationen der Gematik im Hinblick auf die technischen Anforderungen an die Schnittstellen, Komponenten und Dienste erfüllen und Komponenten und Dienste auch regelmäßig updaten. Darüber hinaus müssen Auftragsverarbeiter, sofern sie durch die GKV eingesetzt werden, die Komponenten und Dienste entsprechend den Ausbaustufen der ePA weiterentwickeln. Zu beachten ist weiter, dass Auftragsverarbeiter mit Sitz in Nicht-EU-Staaten ohne Angemessenheitsbeschluss nach § 80 Abs. 2 SGB X von den GKV nicht eingesetzt werden dürfen. Die vielfältigen Anforderungen an die Anbieter der ePA bzw. der PVS/KIS sollten vertraglich sauber umgesetzt werden. Hierfür sollten die vorgenannten Anforderungen in den Pflichtenheften sorgfältig dokumentiert werden.

Rechtmäßigkeit der Datenverarbeitung

Ob die Verarbeitung personenbezogener Daten zulässig ist, bestimmt sich im Dreiecksverhältnis zwischen den Versicherten/Patient:innen, dem Leistungsträger und dem Leistungserbringer. Hierbei sind zwei Phasen der Datenverarbeitung zu unterscheiden: die Einrichtung und die Nutzung der ePA. Im Verhältnis zwischen den Versicherten und den GKV erfolgen die Datenverarbeitungen zur Einrichtung der ePA auf Basis einer Einwilligung der Versicherten. Die Errichtung und Nutzung der ePA ist freiwillig, sie erfolgt nur auf Antrag der Versicherten (§ 341 Abs. 1 SGB V) und diese können auch jederzeit deren Löschung verlangen (§ 344 Abs. 3 SGB V). Seitens der GKV dürfen an eine nicht gewünschte Nutzung der ePA keine Nachteile geknüpft werden. In der Phase der Nutzung ist ein Zugriff auf die ePA durch die GKV nur zulässig, wenn dies zur Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist.

Im Verhältnis zwischen Versicherten und Leistungserbringern kann der Zugriff nur nach freiwilliger Berechtigungsvergabe durch den Versicherten erfolgen (vgl. § 353 SGB V). Als zusätzliche Voraussetzung für die Rechtmäßigkeit der Datenverarbeitung muss der Zugriff im konkreten Behandlungskontext erforderlich sein (vgl. § 352 Nr. 1 SGB V). Die Einwilligung des Patienten ist demnach notwendig, für sich genommen jedoch nicht hinreichend für die Rechtmäßigkeit der Datenverarbeitung. Beispielsweise wird ein:e Zahnärzt:in nicht auf Informationen über psychische Erkrankungen zugreifen dürfen, mangels Erforderlichkeit für die konkrete Behandlung. Die gesetzliche Regelung ist aufgrund dessen unklar, da aus ihr nicht zweifelsfrei hervorgeht, in welchem Verhältnis die beiden angesprochenen Rechtsgrundlagen, Einwilligung und Erfüllung des Behandlungsvertrages hier zueinanderstehen.

Haftungsfragen

Mit der ePA wurden keine neuen zivilrechtlichen Haftungsregeln eingeführt, die Haftungsfragen folgen daher den bekannten Regelungen im BGB. In Zusammenhang mit der Frage, „wann“ Ärzt:innen auf die ePA-Daten zugreifen dürfen, steht die Frage, „ob“ sie zugreifen müssen. Die Kenntnisnahme und Auswertung der Informationen aus der ePA kann haftungsrechtlich relevant werden. Grundsätzlich gilt für die Frage des „Ob“ des Zugriffs, dass Ärzt:innen Informationen aus der ePA nur abrufen und ggf. speichern dürfen, wenn dies für die konkrete Behandlungssituation erforderlich ist (siehe hierzu auch schon oben die Erläuterungen zur Frage der Rechtmäßigkeit). Sofern dies trotz erteilter Zugriffsberechtigung nicht erfolgt, kann dies u. U. als haftungsrelevanter Fehler bei der Anamnese einzustufen sein. Ärzt:innen müssen danach im Rahmen der Anamnese gezielt nach Vorbehandlungen und relevanten Dokumenten fragen. Die erlangten Behandlungsunterlagen müssen sie lesen, wenn es medizinisch-fachlich sachgerecht ist. Während Ärzt:innen in der Regel auf die Richtigkeit fachfremder Informationen vertrauen dürfen, sind solche der eigenen Fachdisziplin kritisch zu würdigen.

Ausblick: Die kommenden Ausbaustufen

IIn § 342 Abs. 2 SGB V sind weitere Ausbaustufen der ePA bereits gesetzlich geregelt. Neuerungen ergeben sich insbesondere im Hinblick auf medizinische Informationsobjekte, Funktionen und Anwendergruppen. Zudem sind über ePA 3.0 hinaus weitere Ausbaustufen geplant, diese wurden bislang aber noch nicht gesetzlich geregelt.

ePA 2.0: feingranulares Zugriffmanagement

Mit der ePA 2.0 ergeben sich seit dem 01.01.2022 im Wesentlichen folgende Neuerungen. Es wird ein sogenannter stationärer Client eingeführt, d.h. die ePA kann nun nicht nur über ein Smartphone/Tablet, sondern auch über einen PC genutzt werden. Darüber hinaus werden weitere Anwendergruppen hinzugenommen, nämlich die Pflegeberufe, Hebammen, Physiotherapeuten, der öffentliche Gesundheitsdienst, die Arbeitsmedizin sowie Reha-Kliniken. Besonders hervorzuheben ist die Einführung einer komplexen Berechtigungsvergabe. Das Berechtigungsmanagement sorgte bereits im Rahmen des Gesetzgebungsverfahrens für das Patienten-Daten-Schutz-Gesetz (PDSG) (welches die gesetzlichen Regelungen zur ePA enthält) für Kritik und mündete nach dessen Inkrafttreten in einer förmlichen Warnung des Bundesbeauftragten für den Datenschutz (BfDI) gegenüber den gesetzlichen Krankenkassen. Bisher konnten Versicherte nur grobgranular Zugriffsrechte, nach dem „Alles oder Nichts-Prinzip“ vergeben. Wurde etwa einem Zahnarzt Zugriff gewährt, so konnte dieser auch die Informationen über die Behandlung beim Psychiater in der ePA einsehen. Dies wurde aus Sicht des BfDI der Patientensouveränität nicht gerecht und stand zudem im Widerspruch mit der DSGVO. Unter anderem war es nicht mit Art. 25 DSGVO vereinbar, weil Datenschutzgrundsätze wie die Datenminimierung nicht wirksam umgesetzt wurden und ein derartiges Zugriffsmanagement nicht dem aktuellen Stand der Technik entspricht. Mit der ePA 2.0 wurde nun ein feingranulares Zugriffsmanagement eingeführt. Versicherte können nun Zugriffsrechte für spezifische Dokumente und Datensätze vergeben.

ePA 3.0: Freigabe von Daten für Forschungszwecke

Mit der ePA 3.0 kommen zahlreiche neue Funktionen hinzu, hervorzuheben ist die automatische Einstellung von Daten aus digitalen Gesundheitsanwendungen (DiGA) und die Freigabe von Daten für Forschungszwecke. DiGAs sind Gesundheits- oder Medizin-Apps oder andere digitale Anwendungen, die Ärzt:innen verordnen oder ein Versicherter direkt bei der Krankenkasse beantragen kann. Derartige Apps und Anwendungen müssen vor einer Anbindung an die ePA von der Gematik zugelassen werden. Zudem können Versicherte mit Einführung der ePA 3.0 ihre Daten auf verschiedene Art und Weise der Forschung zur Verfügung stellen. Die Freigabe erfolgt hierbei auf Basis einer Einwilligung. Es besteht die Option, die ePA-Daten entweder einem Forschungsdatenzentrum nach § 303d SGB V für gesetzlich geregelte Forschungsvorhaben zur Verfügung zu stellen (§ 363 Abs. 1 bis 7 SGB V) oder einem einzelnen Forschungsprojekt (§ 363 Abs. 8 SGB V).

Die Verbände BDI, BIO Deutschland, bitkom, bvitg, BVMed, SVDGV, SPECTARIS, VDGH, vfa und ZVEI forderten am 13.07.2021 in einer gemeinsamen Pressemitteilung leichtere Zugangsmöglichkeiten zu den ePA-Daten zu Forschungszwecken. Sie halten die Freigabe der Daten auf Basis einzelner Einwilligungen für nicht praktikabel und fordern stattdessen die Einführung einer zentralen Einwilligung in die Nutzung von Forschungsdaten, sprich einer einmaligen Einwilligung durch die Versicherten, die an möglichst zentraler Stelle eingeholt wird (etwa beim Öffnen der ePA-App).

Fazit und Handlungsempfehlung

Es ist zu begrüßen, dass die ePA mit der aktuellen Ausbaustufe 2.0 der Patientensouveränität mehr Rechnung trägt. Insbesondere im Hinblick auf das Berechtigungsmanagement ist aber nicht nachvollziehbar, warum nicht bereits mit Version 1.1 Zugriffsrechte auf Ebene einzelner Dokumente erteilt werden konnten. Die Leistungserbringer sehen sich neben den Vorteilen, die die ePA unzweifelhaft bietet, mit neuen Rechtsunsicherheiten und Risiken im Verhältnis zu ihren Patienten konfrontiert. Durch die Stellung der Leistungserbringer als datenschutzrechtlich Verantwortliche für die Datenverarbeitung im Zusammenhang mit der ärztlichen Behandlung werden diesen durch die ePA weitere Pflichten zum Schutz der Patientendaten auferlegt. Sie müssen darauf achten, die Daten aus der ePA nur im Sinne der DSGVO zu verarbeiten. Bei einem Verstoß gegen die Bestimmungen der DSGVO droht beispielsweise eine Schadensersatzpflicht nach Art. 82 DSGVO oder ein Bußgeld nach Art. 83 DSGVO. Im Hinblick auf haftungsrechtliche Fragestellungen sollten Ärzt:innen die ePA unbedingt in ihre Arbeitsabläufe einbinden und als Informationsquelle im Rahmen der Anamnese nutzen. Hinsichtlich Auftragsverarbeitern ist darauf zu achten, dass diese nicht nur die Anforderungen des Art. 28 DSGVO, sondern auch die technischen Voraussetzungen der Gematik erfüllen. Eine datenschutzrechtliche Beratung ist bei Unsicherheiten anzuraten.

Data Act

Der Data Act: Die wichtigsten Ziele und Regelungen

Daten dienen spätestens seit dem Anbruch des Digitalisierungszeitalters als Grundlage und zentraler Bestandteil für die Sicherung des digitalen und ökologischen Wandels. Sie nehmen in unserer zunehmend vernetzten Welt einen sehr hohen Stellenwert ein. Doch trotz der Unmengen an Daten, die täglich generiert werden, wird nur ein Bruchteil des Potentials ausgeschöpft. Bei der Generierung der Daten sind die konkreten Rechte an den Daten oft unklar und es fehlt häufig an einer gerechten Verteilung der Kapazitäten zum Aufbau wichtiger digitaler Fortschritte. Dem soll nun mit einem Vorschlag des Data Act (COM 2022, 68 final) der Europäischen Kommission entgegengewirkt werden. Am 23.2.2022 hat die Kommission den Entwurf dem Europäischen Parlament und dem Europäischen Rat vorgelegt, wo dieser derzeit behandelt wird. Doch was regelt der Vorschlag der Kommission zum Data Act, wer soll von ihm profitieren und was bedeutet er für den Datenschutz und die Unternehmenspraxis? Dies klären wir im folgenden Beitrag für Sie.

Ziel und Zweck des Data Acts

Der Vorschlag zum Data Act (dt. Datengesetz) ist in Form einer EU-Verordnung ausgestaltet. Europäische Verordnungen entfalten – im Gegensatz zu europäischen Richtlinien – unmittelbare Wirkung in den EU-Mitgliedstaaten, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Der Vorschlag der Verordnung harmonisiert Vorschriften für den fairen Zugang zu und der Nutzung von Daten. Damit soll er als „zweite Säule“ der europäischen Datenstrategie gelten, deren Ziel es ist, durch neue Regelungen das wirtschaftliche Potential der wachsenden Datenmenge besser zu nutzen und einen wettbewerbsfähigen Datenmarkt zu fördern. Als „erste Säule“ wird der sog. Data Governance Act verstanden, welcher am 23. Juni 2022 in Kraft getreten ist und nach einer Nachfrist von 15 Monaten ab September 2023 gilt. Dieser umfasst Regelungen zur Datenverwaltung – er dient also der Schaffung von Prozessen und Strukturen, um die Generierung von Daten und deren Verkehr zu ermöglichen, unter anderem durch Einführung des Konzepts von Datenvermittlungsdiensten.

Der Gesetzesentwurf des Data Act sieht Regelungen vor, die klären sollen, wer unter welchen Bedingungen einen Mehrwert aus Daten schaffen kann, wobei Fairness zentraler Faktor ist. Konkret soll es darum gehen, dass unter anderem Nutzende von vernetzten Geräten, Maschinen oder sonstigen Produkten, wie in den Bereichen Internet of Things (IoT), Industrial Internet of Things (IIoT) oder Conneted Cars, darüber entscheiden können, wie mit den gewonnenen Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben. Damit umfasst der Data Act unter anderem Regeln für die Nutzung von Daten, die solche vernetzten Geräte, Maschinen oder Produkte generieren. Nutzende können dabei Unternehmen als auch Verbraucher sein. Der Data Act soll es den Nutzenden ermöglichen, diese Daten auszuwerten und unter bestimmten Bedingungen an Dritte weiterzugeben. Unter Daten werden darunter sowohl personenbezogene als auch nicht personenbezogene Daten verstanden, womit der Anwendungsbereich des Data Act über den der DSGVO klar hinausgeht. Der Zugang zu Daten und deren Nutzung soll zwischen Unternehmen sowie zwischen Unternehmen und Behörden erleichtert werden.

Angestrebt ist zudem ein ausgewogenes Verhältnis zwischen dem Recht auf Zugang zu Daten und Anreizen für Investitionen in Daten. Die Regelung des Zugangs und der Nutzung industrieller Daten, also gerade auch nicht personenbezogener Daten, durch Verbraucher und Unternehmen ist also insofern Kernelement des Entwurfes (sog. „Accessability by Design“). Ebenso soll durch den Entwurf und die entsprechenden Regelungen die Eröffnung eines Wettbewerbsmarktes für Daten geschaffen werden.

Ziel des Data Act ist es also, Fairness in Bezug auf Daten zu schaffen, Rechte der Nutzenden transparent zu machen, ihnen die Ausübung der Rechte zu erleichtern sowie eine Kohärenz zwischen Zugriffsrechten zu gewährleisten – und das sowohl für die Privatwirtschaft als auch den öffentlichen Sektor.


Das könnte Sie auch interessieren:


Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich des Data Act betrifft Regelungen über die Bereitstellung von Daten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugt werden. In Art. 2 Data Act-E findet sich eine Reihe von Begriffsdefinitionen, die die Elemente des sachlichen Anwendungsbereiches definieren und damit auch näher abgrenzen. Der Data Act stellt dabei auch Reglungen für Daten, die insbesondere keine personenbezogenen Daten sind. Daten sind gem. Art. 2 Data Act-E „jede digitale Darstellung von Handlungen, Tatsachen oder Informationen sowie jede Zusammenstellung solcher Handlungen, Tatsachen oder Informationen auch in Form von Ton-, Bild- oder audiovisuellem Material“.

Während IoT- oder IIoT-Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über unter anderem die Umgebung erlangen, erzeugen oder sammeln können, unter die Verordnung fallen sollen, sind beispielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner von ihr ausgeschlossen. Gravierender Unterschied und Grund dafür ist, dass für letztere ein menschlicher Beitrag zur Generierung von Daten notwendig ist, während dies bei den zuerst genannten Geräten vollständig automatisiert möglich ist. Hinsichtlich virtueller Assistenten, die häufig in Smart-Home-Umgebungen mit IoT eng zusammenspielen, aber nicht in direkter Verknüpfung mit einem Produkt stehen, fordert die Verordnung ihre Geltung ein. Hier müssen Unternehmen dann aber genau differenzieren, für welche Daten der Data Act Anwendung finden kann. Dies soll nur für diejenigen Daten gelten, die aus der Interaktion zwischen dem Nutzenden und dem Produkt über den virtuellen Assistenten stammen. Vom virtuellen Assistenten erstellte Daten, die nicht mit der Verwendung eines Produktes zusammenhängen, sind nicht Gegenstand des Data Act. Für Unternehmen ist es daher entscheidend, welche Produkte sie herstellen, anbieten oder gar selbst nutzen, um von den einzelnen Rechten des Data Act profitieren zu können.

Adressaten des Data Act

In Art. 1 Abs. 2 Data Act-E wird festgelegt, für wen die Verordnung gelten soll. Das sind:

  • Hersteller von Produkten und Erbringer verbundener Dienste, die in der Union in Verkehr gebracht werden,
  • Nutzende solcher Produkte oder Dienste,
  • Dateninhaber, die Datenempfängern in der Union Daten bereitstellen,
  • unter bestimmten Voraussetzungen öffentliche Stellen und Organe, Einrichtungen und sonstige Stellen der Union, sowie
  • Anbieter von Datenverarbeitungsdiensten, die Kunden in der Union solche Dienste anbieten.

Unter Nutzenden eines Produktes fallen juristische wie auch natürliche Personen, also zum Beispiel Unternehmen oder Verbraucher, soweit diese das Produkt gekauft, gemietet oder geleast haben. Von einer Nutzung soll nach Maßgabe der Verordnung dann ausgegangen werden, wenn die Risiken und Vorteile der Verwendung des vernetzten Produktes den Nutzenden betreffen.

Für Kleinst- oder Kleinunternehmen (KMU) ist eine Privilegierung in Art. 7 Abs. 1 Data Act-E vorgesehen, wonach die Pflichten des Kapitel II (Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen) diese nicht treffen sollen.

Die wichtigsten Regelungen des Data Act

Für den B2C- und B2B-Bereich hält Kapitel II des Data Act-E wichtige Regelungen bereit, die die Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen betreffen. Dieses Kapitel enthält vor allem Rechte, die Nutzenden eines Produktes oder verbundenen Dienstes zukommen und von ihnen geltend gemacht werden können.

Eine der zentralen Pflichten des Data Act ist die in Art. 3 Data Act-E geregelte Pflicht der Zugänglichmachung von bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten. Insbesondere Art. 3 Abs. 1 Data Act-E nimmt den Gedanken des Access by Design auf. Mit dieser Vorschrift soll insofern dem Ziel der Datenwirtschaft Rechnung getragen werden, weil die Zugänglichmachung von Daten als Grundpfeiler für den freien Verkehr von Daten dient.

Im direkten Anschluss, in Art. 3 Abs. 2 Data Act-E, findet sich eine weitere wichtige Regelung für Verbraucher: die vorvertragliche Informationspflicht vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für z.B. ein IoT-Produkt. Die transparente Darstellung relevanter Informationen soll ebenfalls zum Fairnessfaktor beitragen, bürdet den anbietenden Unternehmen jedoch auch weitere Pflichten auf.

Eine weitere wesentliche Norm stellt Art. 4 Data Act-E dar, der das Recht der Nutzer auf Zugang zu den bei der Nutzung von Produkten oder verbundenen Diensten erzeugten Daten sowie das Recht auf deren Nutzung regelt. Dieses Recht zielt darauf ab, dem Nutzenden transparent seine Zugänglichkeitsrechte zu eröffnen und dabei aber den fairen Wettbewerb nicht aus dem Blick zu verlieren, in dem auch Regelungen zu Geschäftsgeheimnissen oder Entwicklung von Produkten mitbedacht wurden. In Art. 4 Abs. 6 Data Act-E wird außerdem geregelt, dass nicht personenbezogen Daten, die bei der Nutzung eines Produktes oder verbundenen Dienstes erzeugt werden, nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verarbeitet bzw. genutzt werden dürfen.

Auch Art. 5 Data Act-E nimmt den Verkehr der Daten nochmals in den Blick und regelt die Herausgabe der Daten an Dritte, der auf Verlangen eines Nutzenden gefolgt werden muss.

In Kapitel IV, welche Regelungen zu missbräuchlichen Klauseln in Bezug auf den Datenzugang und die Datennutzung zwischen Unternehmen bereithält, ist insbesondere auf Art. 13 Data Act-E hinzuweisen. Dieser regelt den Umgang mit missbräuchlichen Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung, die gegenüber einem Kleinstunternehmen oder einem kleinen oder mittleren Unternehmen (KMU) einseitig auferlegt werden. Es handelt sich insoweit um eine wettbewerbs- bzw. kartellrechtliche Komponente des Data Act. Die vereinbarten Vertragsklauseln sollen für das regelmäßig strukturell unterlegene KMU nicht bindend sein und die Fairness in der Datenwirtschaft und auf dem Markt vorantreiben. In Art. 13 Abs. 2-4 Data Act-E findet sich eine Definition zur Missbräuchlichkeit und AGB-ähnliche Regelbeispiele, wann eine Vertragsklausel als missbräuchlich zu verstehen ist bzw. sein kann. Zur Erleichterung der Umsetzung der Vorschriften aus dem Data Act soll die Europäische Kommission Mustervertragsbedingungen erarbeiten, wie Art. 34 Data Act-E vorsieht.

Eine weitere bedeutende Regelung, um die Ziele des Data Act erreichen zu können, sind die Vorschriften zur Interoperabilität (Kapitel VIII), welche als verbindliche regulatorische Vorgaben zur Festlegung europäischer Standards fungieren. Der Entwurf des Data Act verlangt, dass Dienste mit offenen Standards und Schnittstellen kompatibel sein müssen, um so die Interoperabilität zwischen den Diensten zu erhöhen. Dadurch soll die Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten erreicht werden, wobei der Zugang zu wettbewerbsfähigen und interoperablen Datenverarbeitungsdiensten ein zentrales Anliegen für eine florierende Datenwirtschaft ist.

In diesem Zusammenhang sind auch die Vorschriften zur Erleichterung des Wechsels zwischen Anbietern von Cloud-Diensten zu sehen. Es sollen nach dem Kapitel VI des Data Act-E, das den Wechsel zwischen Datenverarbeitungsdiensten regelt, unter anderem keine Hindernisse beim Anbieterwechsel bestehen. Weiterhin sind beispielsweise auch Höchstgrenzen bei Kündigungsfristen (vgl. Art. 23 Abs. 1 lit. a Data Act-E) vorgesehen.

Der Entwurf des Data Act sieht außerdem Regelungen vor, die den Zugang zu Daten, die im Besitz des Privatsektors sind, durch Behörden zu gewissen Zwecken ermöglichen.

Als Sanktionsmittel, die bei Verstößen gegen den Data Act zum Einsatz kommen können, verweist der Entwurf zum Data Act zum Teil (vgl. zum Beispiel Art. 33 Abs. 3 Data Act-E) auf die Regelungen der DSGVO zu den allgemeinen Bedingungen für die Verhängung von Geldbußen sowie auf die dort genannten Beträge für Geldbußen.

Verhältnis zur DSGVO

Das Verhältnis zur DSGVO nimmt der Data Act in Art. 1 Abs. 3 Data Act-E in den Blick. Hier muss zunächst festgehalten werden, dass die DSGVO die Regulierung personenbezogener Daten vornimmt, wohingegen der Data Act gerade auch nicht personenbezogene Daten mit einbezieht. Zudem liegt der Fokus der DSGVO unter anderem darin, mögliche Rechtsgrundlagen für die Verarbeitung personenbezogener Daten zu schaffen. Auch wenn der Data Act vertragliche Regelungen als Datenverarbeitungsgrundlagen berücksichtigt, ist das Anliegen dieses Entwurfes in erster Linie den Verkehr und die Zugänglichmachung nicht personenbezogener Daten zu ermöglichen und nicht Rechtsgrundlagen für deren Verarbeitung zu erschaffen. Bei der Nutzung eines Produkts oder verbundenen Dienstes können allerdings auch Daten erzeugt werden, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (und damit personenbezogene Daten darstellen). Die Verarbeitung solcher Daten unterliegt weiterhin den Vorschriften der DSGVO, auch wenn personenbezogene und nicht personenbezogene Daten häufig in einem Datensatz untrennbar miteinander verbunden sind. Daraus dürften sich auch eine Menge offener Abgrenzungsfragen zum Anwendungsbereich der jeweiligen Vorschriften ergeben.

Für Unternehmen, die unter den Anwendungsbereich des Data Act fallen, ist von großer Bedeutung, wann eine spezielle Rechtsgrundlage notwendig wird, etwa um das Recht auf Zugang zu gewähren. Fordert ein Nutzender, der zugleich die betroffene Person ist, sein Zugangsrecht ein, so steht ihm dieses ohne weiteres zu. Anders ist dies hingegen, wenn ein Unternehmen die auch personenbezogenen Daten einem Dritten, zum Beispiel einem anderen Unternehmen, zugänglich machen will. Hier muss unbedingt zusätzlich das Erfordernis einer Rechtsgrundlage nach Art. 6 DSGVO beachtet werden. Insofern muss bei Auslegung und Anwendung des Data Act immer auch die DSGVO im Blick behalten werden, was ebenfalls zu komplexen rechtlichen Einordnungsfragen führen dürfte.

Aus Art. 1 Abs. 3 Data Act-E lässt sich zumindest in Bezug auf das Recht der Datenübertragbarkeit nach Art. 20 DSGVO erkennen, dass dieses Recht durch den Data Act erweitert wird. Gemäß der DSGVO gilt das Recht auf Datenportabilität nur für personenbezogene Daten, die auf der Grundlage bestimmter Rechtsgrundlagen mithilfe von automatisierten Verfahren verarbeitet werden. Mit dem Data Act wird dieses Recht auf vernetzte Produkte ausgeweitet, damit Verbraucher Zugriff auf alle von ihrem Produkt erzeugten sowohl personenbezogenen als auch nichtpersonenbezogenen Daten haben und diese weitergeben können. Generell spricht die Kommission davon, dass der Vorschlag zwar im Einklang mit der DSGVO stehen soll, die bestehenden Rechte jedoch ergänzt.

Fazit und Handlungsempfehlungen

Der Data Act hat das grundsätzliche Potential wichtige Ziele im EU-Binnenmarkt zu erreichen, und eine breitere Verwendung von erhobenen Daten zu ermöglichen. Der bisherige Entwurf bildet hierfür eine erste Grundlage. In der Praxis könnten sich jedoch einige gewichtige Herausforderungen bei der Anwendung des Data Act ergeben, etwa die Schwierigkeit von Unternehmen zu beurteilen, ob ihre Produkte vom Anwendungsbereich des Data Act umfasst sind oder aber wie das komplexe Zusammenspiel mit den Vorgaben der DSGVO beachtet werden kann. Deshalb empfiehlt es sich, dass Unternehmen frühzeitig die Vorgaben des Data Acts beachten und die vorgesehenen Regelungen evaluieren.

Der Entwurf wurde im Februar 2022 durch die Europäische Kommission vorgelegt. Das Konsultationsverfahren vor dem Europäischen Wirtschafts- und Sozialausschuss wurde bis Mai 2022 durchgeführt. Derzeit liegt die Verordnung dem Europäischen Parlament und dem Rat vor, wobei der Zeithorizont bis zu einer Entscheidung noch offen ist. Die aktuelle tschechische Ratspräsidentschaft hat im Juli 2022 einen ersten Kompromissvorschlag vorgelegt, der die Grundlage für die Diskussionen im Rat liefern soll. Dabei wurde unter anderem eine Angleichung an die auf der DSGVO basierenden Definitionen, umfassendere Ausnahmeregellungen für mittlere Unternehmen, eine striktere Trennung zwischen den Bestimmungen zur Regelung der Beziehungen zwischen Unternehmen und Kunden sowie zusätzliche Schutzmaßnahmen für Geschäftsgeheimnisse und ein Verbot von „dark patterns“ vorgeschlagen. Ob der Data Act in seiner aktuell vorliegenden Fassung so Geltung erlangen wird, bleibt daher vorerst mit Spannung abzuwarten.

Schadensersatzansprueche Datenschutz Datenschutzkongress

Schadensersatz nach der DSGVO: die wichtigsten Fragen und Antworten

Schadensersatzansprüche im Datenschutz sind seit Geltung der Datenschutz-Grundverordnung (DSGVO) ganz besonders in den Fokus von Unternehmen, aber auch medial in den Fokus der Öffentlichkeit, gerückt. Inzwischen bestehen aufgrund erster Erfahrungswerte sowie einer Vielzahl rechtskräftiger – leider sehr divergierender – Gerichtsentscheidungen wichtige Anhaltspunkte für die Praxis, wie Unternehmen mit Schadensersatzkonstellationen umgehen und wie sie sich gegebenenfalls dagegen verteidigen können. Zunehmend versuchen auch Legal Tech-Unternehmen Geschäftsmodelle zur massenhaften Geltendmachung von DSGVO-Ansprüchen zu etablieren. Einige der Fragestellungen, welche sich im Zusammenhang mit (immateriellen) Schadenersatzforderungen für Unternehmen stellen, greifen wir in diesem Beitrag auf und geben mögliche Anhaltspunkte zu ihrer Beantwortung.

Was sind die häufigsten Auslöser für einen Schadensersatzanspruch?

Viele Schadensersatzansprüche treten im Kontext mit Datenschutzvorfällen auf. Beispielsweise kann das (versehentliche) Versenden von Inhalten und Daten an falsche Adressaten oder das unbefugte Offenlegen von personenbezogenen Daten im Cloud-Kontext dazu führen, dass datenschutzrechtliche Meldepflichten an die betroffenen Personen ausgelöst werden. Auf diesem Weg erfahren Betroffene vom Vorfall und nehmen dies dann zum Anlass, Schadensersatzansprüche nach der DSGVO geltend zu machen. Daneben sind auch nicht selten Fehler bei der Beantwortung von Auskunftsbegehren nach Art. 15 DSGVO Auslöser für die Geltendmachung eines Schadensersatzanspruches.

Den Umfang, die Grenzen und wie die Beantwortung eines Auskunftsbegehrens gelingt, zeigen wir unter anderem hier auf unserem Blog.

Warum ist die massenhafte Geltendmachung von Schadensersatzansprüchen so riskant?

Risiken bergen vor allem die massenhafte Geltendmachung von Schadensersatzansprüchen. Oftmals handelt es sich bei Schadensersatzansprüchen nach der DSGVO um gleichgelagerte Sachverhalte. Über Landingpages ist es dann möglich, ein breites Publikum von Betroffenen aufzurufen, schnell und einfach ihre Rechte geltend zu machen. Rechtliche Bedenken können sich insoweit im Hinblick auf die Frage der Abtretbarkeit von immateriellen Schadensersatzansprüchen ergeben. Hierzu werden verschiedene Ansichten vertreten, wobei vielfach von der Zulässigkeit entsprechender Forderungsabtretungen ausgegangen wird (vgl. zum Beispiel LG Essen, Urt. v. 23.9.2021, Az. 6 O 190/21), während andere diese wegen der ständigen deutschen Rechtsprechung zur Nichtabtretbarkeit von Entschädigungsansprüchen wegen Persönlichkeitsrechtsverletzungen aufgrund des höchstpersönlichen Charakters ablehnen.


Das könnte Sie auch interessieren:


Wo liegt die rechtliche Grundlage für Schadensersatzansprüche nach der DSGVO?

Die rechtliche Grundlage des datenschutzrechtlichen Schadensersatzanspruches ergibt sich aus Art. 82 DSGVO.

Was setzt ein Schadensersatzanspruch nach der DSGVO voraus?

Art. 82 DSGVO stellt einige Voraussetzungen für das Vorliegen eines Schadenersatzanspruchs auf. Insbesondere relevant sind die Folgenden:

  1. Ein Verstoß gegen die Verordnung oder datenschutzrechtliche nationale Vorschriften, etwa das Bundesdatenschutzgesetz
  2. Ein materieller oder immaterieller Schaden einer natürlichen Person
  3. Die Kausalität: Verursachung des Schadens durch den Verstoß
  4. Die Beweislast, Verschulden und Haftungsbefreiung

Warum werden Schadensersatzansprüche zurzeit so intensiv diskutiert?

Bei der Anwendung der Vorschrift in verschiedenen Gerichtsverfahren vor deutschen Gerichten haben sich zu einzelnen Aspekten und Voraussetzungen unterschiedliche Meinungen und Ansichten herauskristallisiert. Während Arbeitsgerichte tendenziell eine großzügigere Linie verfolgen und häufiger Schadenersatzansprüche zusprechen, waren die ersten Entscheidungen von Amts-, Land- und Oberlandesgerichten diesbezüglich eher zurückhaltend. Durch unterschiedliche Rechtsprechung ist viel Rechtsunsicherheit für Unternehmen entstanden.

Wie kann eine unterschiedliche Rechtsprechung überwunden werden?

Um die unterschiedliche Auslegung einiger Tatbestandsmerkmale von Art. 82 DSGVO zu verhindern, wurden dem Europäischen Gerichtshof (EuGH) bereits einige Fragen von verschiedenen Gerichten vorgelegt. Dem EuGH kommt gem. Art. 267 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) die Aufgabe zu, die Rechtsakte der Europäischen Union, worunter auch die DSGVO fällt, auszulegen. Seitens des EuGH werden nun Entscheidungen zu verschiedenen Voraussetzungen des Schadensersatzanspruches und wie diese zu verstehen sind, erwartet. Darunter findet sich beispielsweise eine Vorlagefrage des AG München (Beschluss v. 3.3.2022, Az. 132 C 1263/21) insbesondere zu Fragen nach dem Verständnis des Charakters des Schadensersatzanspruches nach Art. 82 DSGVO. Auch das Bundesarbeitsgericht hat mit einem Beschluss vom 26.8.2021 (Az. 8 AZR 253/20) Fragen vorgelegt, die unter anderem die Streitigkeit um eine Verschuldens- oder Gefährdungshaftung betreffen. Die Entscheidungen stehen aktuell noch aus. Allseits wird eine baldige Klärung durch den EuGH erhofft.

Welche Qualität muss ein Verstoß gegen die DSGVO haben?

Grundsätzlich sollten Unternehmen davon ausgehen, dass jeder Verstoß geeignet ist, eine Schadensersatzpflicht auszulösen. Sehr oft sind Verstöße im Verhältnis zu Beschäftigten und damit im Bereich des Beschäftigtendatenschutzes zu verzeichnen.

Wie können Verstöße aussehen?

Verstöße können vielfältige Gestalt annehmen und beispielsweise in der Verletzung von

  • materiellen Rechtmäßigkeitsanforderungen,
  • formalen Vorschriften,
  • nationalem Recht oder
  • speziellen Anforderungen nur an den Auftragsverarbeiter

liegen.

Wann liegt nach der DSGVO ein immaterieller Schaden vor?

Auch beim Element des Schadens herrscht Uneinigkeit, ob und in welchem Umfang immaterielle Schäden erfasst sein sollen. Dem Meinungsstreit liegen im Wesentlichen zwei Ansätze zugrunde: der weite und der enge Schadensbegriff.

Was versteht sich unter dem weiten Schadensbegriff?

Kernthesen des weiten Schadensbegriffes sind unter anderem, dass prinzipiell jeder Verstoß gegen die DSGVO zu einem Schaden führen kann und auch Bagatellschäden erfasst seien, weil nur so der Präventionsfunktion des Schadensersatzanspruches genügend Rechnung getragen würde. Viele Argumentationen greifen auch auf den Erwägungsgrund 146 der DSGVO zurück.

Was ist in diesem Zusammenhang der enge Schadensbegriff?

Vertreter des engen Schadensbegriffs sehen immaterielle Schäden wegen einer möglichen Ausuferung skeptisch und fordern, sogenannte Bagatellschäden auszunehmen. Es müsse erst eine gewisse Erheblichkeitsschwelle überschritten werden und der Nachteil müsse spürbar sein.

Da für die Ausklammerung von Bagatellschäden im Rahmen von Art. 82 DSGVO keine wirklichen Anhaltspunkte bestehen, wird der EuGH nach unserer Prognose eher zum weiten Schadensbegriff tendieren, seine Entscheidung bleibt aber abzuwarten.

Ist der datenschutzrechtliche Schadensersatzanspruch nach der DSGVO eine Verschuldens- oder Gefährdungshaftung?

Unterschiedliche Ansichten herrschen auch zur Frage, ob Art. 82 DSGVO eine Gefährdungs- oder Verschuldenshaftung normiert. Ausgangspunkt der Diskussionen ist Art. 82 Abs. 3 DSGVO, der eine Exkulpation regelt.

Was wird für das Vorliegen einer Gefährdungshaftung vorgetragen?

Wenn sich ein Unternehmen exkulpieren kann, heißt das, dass es sich von der Haftung befreien kann. Einige Vertreter der Gefährdungshaftung lesen den Art. 82 Abs. 3 DSGVO jedoch so, dass sich dieser gerade nicht auf das Element des Verschuldens, sondern auf die Kausalität beziehen soll. Das hieße in der Praxis, dass der Anspruchssteller nur darlegen müsste, dass ein Verstoß gegen die DSGVO vorgelegen hat. Der Verstoß würde sodann das Vorliegen eines kausalen Schadens indizieren.

Die Tendenz der arbeitsgerichtlichen Rechtsprechung in Deutschland geht zur Annahme einer Gefährdungshaftung (vgl. BAG, Beschluss vom 26.8.2021 – Az. 8 AZR 253/20). Folgt man dieser Ansicht, führt dies zu einer ausufernden Haftung, da bereits die Verletzung der DSGVO als solche für einen Anspruch nach Art. 82 Abs. 1 DSGVO ausreicht.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Was wird gegen die Gefährdungshaftung vorgetragen?

Aus dem Wortlaut und der Systematik von Art. 82 DSGVO wird hingegen durch die Gegner einer Gefährdungshaftung überzeugend entnommen, dass Art. 82 Abs. 3 DSGVO nur hinsichtlich des Verschuldens eine Beweislastumkehr vorsieht und der Anspruchssteller im Übrigen für die haftungsbegründenden Umstände, also zumindest für den Verstoß und den hierdurch eingetretenen Schaden, darlegungs- und beweisbelastet ist. Das folge direkt aus Art. 82 Abs. 1 DSGVO, wonach der Schaden gerade „wegen eines Verstoßes“ eingetreten sein müsse, ein Anspruch auf Schadensersatz nur dann bestehe, wenn „ein materieller oder immaterieller Schaden entstanden ist“ (vgl. OLG Koblenz, Urt. v. 18.05.2022 – 5 U 2141/21; OLG Stuttgart, Urt. vom 31.3.2021 – 9 U 34/21).

Was macht den richten Umgang mit Schadensersatzforderungen aus?

Im ersten Schritt werden die meisten Ansprüche zunächst außergerichtlich gestellt. Anschließend empfiehlt es sich, einige Punkte unternehmensseitig zu beachten und zu prüfen:

  1. Eingangsdatum feststellen und den Vorgang an den Datenschutzkoordinator, den Datenschutzbeauftragten oder an das Legal-Team weiterleiten
  2. Vorprüfung der Anspruchsberechtigung: Gibt es überhaupt ein vorwerfbares Verhalten?
  3. Sachverhalt intern umfassend aufklären
  4. Ggf. Hinzuziehen spezialisierter Rechtsanwälte für eine Stellungnahme
  5. Möglichkeiten der Gegenargumentation ausloten

Wie lassen sich im Unternehmen Schadensersatzrisiken vorbeugend minimieren?

  • Anfragen von betroffenen Personen rechtzeitig und vollständig beantworten
  • Korrekte Umsetzung von Widerruf und Widerspruch sicherstellen
  • Einwilligungen freiwillig einholen, Einwilligungstexte sauber und informiert ausgestalten
  • Datenverarbeitungsvorgänge sicher vor Datenlecks ausgestalten – Datensicherheit umsetzen
  • Besonderheiten des Beschäftigtendatenschutzes beachten
  • Ein Datenschutzmanagement etablieren

Was hat das EU-Verbandsklagerecht mit Schadensersatzansprüchen nach der DSGVO zu tun?

Die EU-Richtlinie 2020/1828 zur Verbandsklage zum Schutze der Kollektivinteressen der Verbraucher vom 25.11.2020, ermöglicht qualifizierten Einrichtung die gebündelte Geltendmachung der Schadensersatzforderungen mehrerer Verbraucher. Die Richtlinie muss bis zum 31.12.2022 umgesetzt werden. Erfolgt eine richtlinienkonforme Umsetzung, müssen sich Unternehmen unter Umständen darauf vorbereiten, in noch größerem Umfang mit Schadensersatzforderungen zu tun zu haben.

Antworten auf Ihre Fragen

Unser Partner und Rechtsanwalt bei Schürmann Rosenthal Dreyer Rechtsanwälte, Philipp Müller-Peltzer, referiert in seinem Vortrag zum Thema „Schadensersatzansprüche im Datenschutz – Worauf Unternehmen in der Praxis achten sollten“ interessante Hintergründe und anwendungsorientierte Practices, worauf es für Unternehmen im Falle eines Schadensersatzanspruches ankommt. Dabei gibt er unter anderem zur Vielgestaltigkeit von Verstößen gegen die DSGVO einen umfassenden Überblick und zeigt die wesentlichen praxisbezogenen Risiken für Unternehmen auf. Einen konkreten Praxisblick wirft SRD-Partner Philipp Müller-Peltzer ebenfalls im Vortrag darauf, wie Unternehmen bei einem Mitarbeiterexzess reagieren können. In seinem Expertenvortrag stellt er weitere wichtige Praxistipps zum richtigen Umgang und der erfolgreichen Prävention von Schadensersatzansprüchen gegen Unternehmen vor.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Fazit

Das steigende Bewusstsein unter Betroffenen, dass bei DSGVO-Verstößen Schadensersatzansprüche gegen Unternehmen bestehen können, ist offenkundig und sollte von Unternehmen unbedingt beachtet werden. In Zukunft ist damit zu rechnen, dass Schadensersatzforderungen noch häufiger gestellt werden. Prävention, um bestenfalls keinen Schadenersatzforderungen ausgesetzt zu werden, ist daher von hoher Bedeutung für Unternehmen. Wenn es dennoch zu Schadenersatzforderungen kommt, gilt es durch richtige Prozesse im Unternehmen möglichst gut vorbereitet zu sein, um klug und planvoll reagieren zu können.

Unser Team aus Rechts- und Fachanwält:innen steht Ihnen bei allen weiteren Fragen jederzeit gerne zur Verfügung. Kontaktieren Sie uns!

SaaS Vertraege Updates Upgrades

SaaS-Verträge: Updates & Upgrades – wichtige Unterschiede und Merkmale

Software-as-a-Service-Anwendungen (SaaS-Anwendungen) sind für die tägliche Arbeit unzähliger Unternehmen ein wichtiger Bestandteil geworden. Die vielen Vorteile von SaaS-Anwendungen machen ihre Nutzung besonders attraktiv. Im Vordergrund stehen dabei häufig monetäre Aspekte, wie ein geringerer Kostenaufwand für Hardware und Software im Unternehmen oder die überschaubare Zahlungspflicht für die tatsächlich erfolgte Nutzung der Software und jeweils nur im benötigten Umfang. Beliebt sind SaaS-Produkte auch deshalb, weil sie den Mitarbeitenden im Unternehmen eine hohe Mobilität erlauben und diese durch einen Client oder über den Browser auf die Softwareinfrastruktur des Unternehmens zugreifen können. Verträge über SaaS-Anwendungen können je nach Software unterschiedlich ausfallen und damit auch verschiedenste rechtliche Verpflichtungen begründen. Regelmäßig fallen unter die vertraglichen Pflichten auch Regelungen über Updates und Upgrades der jeweiligen Software. In diesem Beitrag zeigen wir die wichtigsten Unterschiede und Merkmale von Updates und Upgrades auf und stellen Möglichkeiten vor, wie vertragliche Regelungen gelingen können.

Rechtliche Einordnung von SaaS-Verträgen

Bei einem SaaS-Vertrag treffen Elemente aus unterschiedlichen Vertragstypen zusammen. Damit ist ein SaaS-Vertrag ein sog. typengemischter Vertrag. Zum einen weisen SaaS-Verträge Charakteristika von Werkverträgen gem. §§ 631 ff. BGB auf. Bei Werkverträgen ist die Leistung in einem konkret geschuldeten Erfolg zu sehen. Dies ist bei SaaS-Verträgen der Fall, wenn zum Beispiel eine Datenmigration oder die Implementierung der Software von der Leistungspflicht umfasst ist. Zum anderen können dienstvertragliche Elemente (vgl. §§ 611 ff. BGB) Vertragsgegenstand sein. Im Gegensatz zum Werkvertrag, wird bei einem Dienstvertrag das reine Tätigwerden geschuldet, ohne dass es auf den Erfolg der Tätigkeit ankommt. Im Falle eines SaaS-Vertrages sind beispielsweise Schulungen, die der Anbietende zur Verfügung stellt, als dienstvertragliche Elemente anzusehen. Der Anbietende muss lediglich die Schulung von entsprechend qualifiziertem Personal durchführen lassen, ist aber für keinen Erfolg verantwortlich, wie etwa, dass die Teilnehmenden die Software verstanden haben und mit dieser umgehen können.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die zentrale Pflicht, die ein SaaS-Vertrag dem Anbietenden jedoch auferlegt, ist die Gebrauchsüberlassung auf Zeit und Bereitstellung der entsprechenden Software. Kernelement eines jeden SaaS-Vertrages ist damit die Verschaffung der Möglichkeit zur Nutzung der Software und ist daher dem Mietrecht gem. §§ 535 ff. BGB zuzuordnen (vgl. BGH, Urteil vom 15.11.2006 – XII ZR 120/02).

Weitere Hintergründe und Informationen zum Begriff und zur Rechtsnatur von SaaS-Verträgen finden Sie hier auf unserem Blog.

Je nach Providerleistung regelt ein SaaS-Vertrag daher auch verschiedene vertragliche Pflichten. Eine genaue Einordnung, welches Feature des SaaS-Vertrages welchem Vertragstyp zuzuordnen ist, ist besonders wichtig, um den Umgang im Falle einer Nicht- oder Schlechtleistung oder mit einem sonstigen rechtlichen Problem entsprechend lösen zu können.

Eine Pflicht, die oft Gegenstand eines SaaS-Vertrages ist, betrifft die Auslieferung von Updates und Upgrades. Die beiden Begrifflichkeiten und deren Bedeutung sollten rechtlich gut auseinandergehalten werden. Weil die Unterschiede technisch nicht immer trennscharf sind, lassen sie sich nicht leicht auseinanderhalten. Für die rechtliche Bewertung ist der Unterschied allerdings relevant, da sie verschiedenen Vertragstypen zugeordnet werden.

Zur detaillierten Ausgestaltung einzelner konkreter vertraglicher Vereinbarungen aus dem SaaS-Vertrag, hat es sich etabliert diese in entsprechenden Allgemeinen Geschäftsbedingungen (AGB) und/oder in einem sog. Service-Level-Agreement (SLA) zu regeln – so auch die Pflicht zur Auslieferung von Updates und Upgrades. In einem SLA legen die Parteien die Qualität der Leistung fest und treffen detaillierte Regelungen, wie die Leistung beschaffen sein muss. Das ist wichtig für die Erbringung von Leistungen, denen die gesetzlich vorgesehenen Mängelgewährleistungsregelungen nicht gerecht werden. Die Rechtsnatur der Leistungspflichten ist nicht immer ganz eindeutig, wobei häufig infrage steht, ob es sich um eine Werkleistungspflicht gem. §§ 630 ff. BGB handelt, oder um eine Dienstleistungspflicht gem. §§ 611 ff. BGB, bei der nur das Tätigwerden, aber gerade nicht der konkrete Erfolg des Updates geschuldet wird. Der Bundesgerichtshof sieht Verträge über die „Wartung“ oder „Pflege“ von Software als Werkverträge an, „soweit sie auf die Aufrechterhaltung der Funktionsfähigkeit und die Beseitigung von Störungen (und somit: auf einen Tätigkeitserfolg) gerichtet sind“. Als Dienstverträge seien sie laut BGH dann zu qualifizieren, „wenn es an einer solchen Erfolgsausrichtung fehlt und die laufende Serviceleistung (Tätigkeit) als solche geschuldet ist“ (vgl. BGH, Urteil vom 04.03.2010 – III ZR 79/09, Rn. 23).


Das könnte Sie auch interessieren:


Updates bei SaaS-Verträgen

Updates bringen eine Software auf den neuesten Stand. Sie dienen der Verbesserung und Beschleunigung von bestehenden Funktionen des Programmes und sind sog. Minor-Releases. Updates werden von Anbietenden der Software oder vom zur Pflege Verpflichteten meist kostenlos zur Verfügung gestellt. Es gibt verschiedene Klassifizierungen von Updates, darunter unter anderem die klassischen Softwareupdates oder Sicherheitsupdates. Umfasst werden können von Software-Aktualisierungen zum Beispiel:

  • Fehlerkorrekturen zur Steigerung der Gebrauchstauglichkeit,
  • die Optimierung der Funktionalität, Effizienz und Ergonomie der Software und
  • das Schließen von erkannten Sicherheitslücken im Programm.

Mit der Installation von Updates erhalten Nutzende daher so zu sagen eine Auffrischung der Software, die kleinere Optimierungen enthält. Ausschlaggebendes Abgrenzungsmerkmal zum Upgrade liegt bei einem Update bei der Geringfügigkeit der funktionalen Verbesserungen bzw. Anpassungen der Software.

Updates als Pflicht aus dem SaaS-Vertrag sind als „Wartungsarbeiten“ aufgrund ihrer Funktion, das Programm aktuell und fehlerfrei zu halten, entweder dem Dienst- oder Werkvertrag zuzuordnen. Im Vordergrund steht nämlich der Erfolg oder das Tätigwerden als Reaktion auf einen zu beseitigenden Fehler im System oder ähnliches. Unter Umständen kann es bei der genauen Zuordnung je nach Vereinbarung im Vertrag oder Art des Updates zu unterschiedlichen Zuordnungsergebnissen kommen. Wegen der einzelfallbezogenen Unterschiede bietet es sich für Unternehmen, die SaaS nutzen wollen, an, einzelvertraglich im Vorfeld ausreichend Klarheit über die Pflichten zu verschaffen. Entsprechende AGB oder ein SLA abzuschließen, ist durchaus sinnvoll.

Upgrades bei SaaS-Verträgen

Upgrades betreffen meist die umfassendere Anpassung der Funktionen des Programmes an geänderte Rahmenbedingungen. Die Ressourcen der Software werden häufig erweitert und das Leistungsspektrum wird weiter gefasst. Hierdurch steigert sich in der Regel auch der Nutzen der Software, sodass damit normalerweise eine Erhöhung des Mietzinses verbunden ist. Bei Upgrades handelt es sich im Vergleich zu Updates um mehr als geringfügige funktionale Verbesserungen oder Anpassungen des Programmes.

Upgrades sind in der Regel als mietvertragliches Element den Regelungen aus §§ 535 ff. BGB zuzuordnen. Mittels Upgrades wird der vertragsgemäße Gebrauch der Software während der Mietzeit aufrechterhalten und es wird der Stand der Technik der Software durch die Anpassung an geänderte Rahmenbedingungen, wie etwa neue gesetzliche Vorgaben, garantiert. Diese Pflicht ergibt sich unmittelbar aus der Erhaltungspflicht und aus dem mietvertraglichen Charakter des SaaS-Vertrages.

Praxistipp: SLA Vertragsgestaltung

In einem SLA sollten sich detaillierte Regelungen dazu finden, wie die geschuldete Leistung, hier die Gebrauchsüberlassung auf Zeit, beschaffen sein muss. In das SLA werden dann die Qualitätsanforderungen an die Software im konkreten Fall ausgelagert. Darin sollten sich unter anderem wiederfinden: Regelungen

  • dazu, ob und wann Updates und Upgrades nötig werden,
  • zum Umfang der Verfügbarkeit der Software pro Mietzeitraum (z.B. 99,8 % Verfügbarkeit pro Vertragsjahr),
  • über Wartungsfenster für regelmäßig vorhersehbare Wartungsarbeiten,
  • für Reaktions- und Fehlerbehebungszeiten,
  • zu Support-Verfügbarkeiten,
  • für Vertragsstrafen oder ein teilweiser Wegfall des Vergütungsanspruches (sog. Service Credits) im Falle der Nichteinhaltung der Verfügbarkeit.

Fazit

SaaS-Verträge werden im digitalisierten Arbeitsalltag immer wichtiger und beliebter. Die einzelnen Verpflichtungen sind rechtlich nicht immer einfach einzuordnen und oftmals kommt es auf den konkreten Einzelfall an. SaaS ist in der Regel Massengeschäfte, weshalb Verträge in dieser Form in weiten Teilen den AGB unterfallen. Im B2B-Bereich gilt dies mit Einschränkungen.

Unser Team aus spezialisierten Anwält:innen berät Sie gerne zu Themen und Herausforderungen rund um SaaS. Kontaktieren Sie uns!

Diskussion um die geplante KI-Verordnung

Vor etwas mehr als einem Jahr legte die EU-Kommission einen Vorschlag für eine Verordnung zur Regulierung von künstlicher Intelligenz (KI-VO) vor. Die geplante Verordnung ist ein Prestigeprojekt der EU und soll einen strengen Rechtsrahmen für die Entwicklung und den Einsatz von KI in Europa schaffen. Derzeit befindet sich die KI-VO noch im Entwurfsstadium und insbesondere ihr Anwendungsbereich wird diskutiert. Auch der EU-Ministerrat hat sich bereits mit dem Entwurf der Kommission beschäftigt und eigene Vorschläge in die Diskussion eingebracht.

Seit dem ersten Juli 2022 hat Tschechien die Präsidentschaft im Ministerrat inne. Und schon jetzt hat die tschechische Ratspräsidentschaft ein Diskussionspapier mit den anderen EU-Regierungen geteilt, in dem sie den Weg für die Diskussion um die geplante KI-VO vorgibt. Das Dokument liegt dem paneuropäischen Mediennetzwerk Euractiv vor. In dem Papier werden vier noch zu klärende Fragen aus dem Entwurf zur KI-VO identifiziert und die Regierungen werden gebeten, ihre Ansichten dazu zu teilen. Die Punkte umfassen die Definition von künstlicher Intelligenz, den sachlichen Anwendungsbereich von sog. Hochrisikosystemen, die Durchsetzungsmechanismen der geplanten Verordnung und eventuelle Ausnahmen für Systeme, die der nationalen Sicherheit dienen. Bis zum 20. Juli 2022 will der tschechische Ratsvorsitz einen überarbeiteten Kompromissvorschlag zum KI-VO-Entwurf vorlegen, den die Mitgliedsstaaten bis zum zweiten September kommentieren können. Der letzte Kompromissvorschlag wurde vom vorherigen französischen Ratsvorsitz ausgearbeitet und im Mai 2022 vorgelegt.

KI Verordnung

Definition von KI

Zunächst äußert die tschechische Ratspräsidentschaft ihre Bedenken hinsichtlich der Definition von KI aus Anhang I zur geplanten Verordnung. Viele Mitgliedsstaaten seien der Ansicht, sie sei zu weit und mehrdeutig gefasst, sodass auch einfache Software darunterfallen könnte. Zudem wird der Kommission die Befugnis übertragen, die Definition aus dem Anhang per delegiertem Rechtsakt an Marktentwicklungen und technischen Entwicklungen anzupassen.
Zum einen schlägt die tschechische Ratspräsidentschaft vor, den Kommissionsvorschlag schlicht beizubehalten oder die Formulierung des französischen Ratsvorsitzes zu übernehmen. Danach sollen Elemente zur Präzisierung der Definition hinzugefügt werden und die Kommission ihre Befugnisse behalten. Als andere Möglichkeit wird vorgeschlagen, den Anhang I gänzlich zu streichen und eine engere Definition im Verordnungstext selbst zu formulieren. Die Befugnis der Kommission, die Definition anzupassen, ginge dadurch verloren.

Hochrisikosysteme

Welche KI-Systeme als hochriskant anzusehen sind, wird durch eine Liste in Anhang III zur geplanten Verordnung geregelt. Einige Mitgliedsstaaten sehen den Anwendungsbereich als zu weit. Es wird befürchtet, dass auch Systeme umfasst werden könnten, die an sich unbedenklich seien, da von ihnen keine Grundrechtsverletzungen oder andere schwerwiegende Risiken ausgingen. Der tschechische Ratsvorsitz schlägt unterschiedliche Ansätze vor, mittels derer sich die Anwendungsfälle von hochriskanter KI eingrenzen ließen. Am einfachsten wäre unter diesen, den französischen Kompromissvorschlag beizubehalten. Dieser formuliert Art. 6 KI-VO, in dem Hochrisikosysteme klassifiziert werden, insofern um, als dass die Logik hinter der Einstufung von KI mit hohem Risiko und die Verbindung zu den Anhängen verdeutlicht wird. Zudem möchte der aktuelle Ratsvorsitz auch hier die Befugnisse der Kommission, auch zukünftig Änderungen an dem Anhang III vorzunehmen, diskutieren.

Durchsetzung

Der dritte Punkt, den die tschechische Ratspräsidentschaft anspricht, sind die Durchsetzungsmechanismen im KI-VO-Entwurf. Die Kommission schlägt vor, dass von jedem Mitgliedsstaat nationale Behörden eingerichtet werden, die Anwendung und Durchführung der Verordnung sicherstellen. Daraufhin haben mehrere Mitgliedsstaaten ihre Bedenken zum Ausdruck gebracht, dass diese übermäßige Dezentralisierung Schwierigkeiten für eine wirksame Durchsetzbarkeit der Verordnung bedeuten könnte. Insbesondere wird befürchtet, dass die Staaten nicht über die nötige Kapazität und Fachkenntnis verfügen. Die tschechische Ratspräsidentschaft merkt deshalb an, dass die Verordnung ein gewisses Maß an Flexibilität für nationale Gesetze und Besonderheiten bieten sollte. Auf der anderen Seite erfordere die Übertragung von Durchsetzungsbefugnissen auf eine zentralere Ebene sorgfältige Überlegungen zu praktischen und budgetären Auswirkungen.
Es wird vorgeschlagen, die Mitgliedsstaaten durch Schaffung einer EU-Prüfeinrichtung, eines Expertenpools und eines Notfallmechanismus zu entlasten. Zudem könne ein bereits geplanter KI-Ausschuss gestärkt werden, um die nationalen Behörden zu unterstützen. Auch könnte die Kommission die Befugnis erhalten, unter außergewöhnlichen Umständen direkte Untersuchungen einzuleiten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Ausnahmen für nationale Sicherheit

Zuletzt spricht die tschechische Ratspräsidentschaft in ihrem Papier KI-Systeme an, die der nationalen Sicherheit und militärischen Zwecken dienen sollen. In dem Verordnungsentwurf der EU-Kommission ist bereits vorgesehen, dass Systeme, die ausschließlich für militärische Zwecke entwickelt oder verwendet werden, vom Anwendungsbereich der Verordnung ausgenommen werden sollen. In ihrem Kompromissvorschlag formulierte die französische Ratspräsidentschaft die Ausnahme dann insofern um, dass die Verordnung nicht für solche Systeme gelten solle, die „ausschließlich für militärische oder nationale Sicherheitszwecke entwickelt oder genutzt werden“. Laut der nun tschechischen Ratspräsidentschaft sei dies für viele Mitgliedsstaaten nach wie vor zu unpräzise. Es wird daher vorgeschlagen, das Wort „ausschließlich“ aus dem Text zu streichen. Auch wenn dabei bemerkt wird, dass auch dies zu Unklarheiten führen könnte.
Zudem wird vorgeschlagen, die Ausnahme nicht auf die Entwicklungsphase solcher Systeme zu beziehen.


Das könnte Sie auch interessieren:


Fazit

Es ist ersichtlich, dass die Diskussion zur geplanten KI-VO in vollem Gange ist. Wie der Vorschlag der tschechischen Ratspräsidentschaft zeigt , betreffen die Änderungen, die zwischen den EU-Gesetzgebungsorganen derzeit im Gespräch sind, vorrangig Details. Insbesondere wie weit der genaue sachliche Anwendungsbereich geht, wird noch von entscheidender Bedeutung für die möglicherweise betroffenen Unternehmen sein. Der grundlegende Regelungsansatz und die Struktur des Vorschlags der EU-Kommission werden jedoch wohl auch im kommenden Kompromissvorschlag des EU-Ministerrats unberührt bleiben. Auch wenn Details noch zu klären sind, zeichnet sich bereits jetzt ab, dass Kommission, Rat und Parlament von einem relativ weiten Verständnis von KI ausgehen und künftig nicht nur klassische Tech-Unternehmen von der KI-VO betroffen sein könnten.

Telematikinfrastruktur Pharma

Die Telematikinfrastruktur – der Grundstein für die Digitalisierung im Gesundheitswesen

Kaum ein anderer Sektor kann derart von den Chancen der Digitalisierung profitieren wie der Gesundheitssektor. Neue digitale Technologien steigern die Versorgungsqualität und verbessern damit qualitativ die Behandlungsleistungen von Patient:innen, unter anderem in Krankenhäusern. Doch die Digitalisierung kommt nicht nur Patient:innen zugute – Beschäftigte im Gesundheitswesen profitieren von vereinfachten Arbeitsabläufen und geringerem administrativem Aufwand. Daneben steht auch der monetäre Aspekt, insbesondere mit Blick auf die zusehends steigenden Gesundheitsausgaben. In diesem Zusammenhang lässt die Digitalisierung im Gesundheitswesen laut einer neuen Studie von McKinsey ein Nutzungspotential von ca. 42 Mrd. € verzeichnen. Um all diese Potentiale zu realisieren, gilt derzeit die Aufmerksamkeit dem bisher größten IT-Projekt Europas: dem Aus- und Umbau der Telematikinfrastruktur (TI). Die TI gilt als Schlüssel innovativer Gesundheitsversorgung und zielt darauf ab, ein digitales Gesundheitswesen der Zukunft zu schaffen. In diesem Beitrag geben wir einen Überblick über die Chancen, Herausforderungen und Potentiale der TI für den Gesundheitssektor.

Health Law Forschung Gesundheitsdaten

Die TI als Basis der Digitalisierung im Gesundheitswesen

Was ist die TI?

Die TI ist die zentrale Infrastruktur für Anwendungen im deutschen Gesundheitswesen. In der TI können sich verschiedenste Akteure des Gesundheitssektors wie beispielsweise Kliniken, Arztpraxen, Apotheken und Patient:innen vernetzen, wobei die TI als Plattform für Gesundheitsanwendungen fungiert. Zweck ist es, sensible Gesundheitsdaten über ein standardisiertes System zwischen den Akteuren auszutauschen. Als einheitliche, sektorenübergreifende Plattform ermöglicht sie die elektronische Kommunikation zwischen Krankenhäusern, Apotheken & Co. Zum Teil wird die TI auch als „Datenautobahn des Gesundheitswesens“ bezeichnet und ist somit das Kernelement für die Digitalisierung im Gesundheitswesen. Gem. § 306 Abs. 1 Satz 2 SGB V (Sozialgesetzbuch fünftes Buch) ist die TI „die interoperable und kompatible Informations-, Kommunikations- und Sicherheitsinfrastruktur, die der Vernetzung von Leistungserbringern, Kostenträgern, Versicherten und weiteren Akteuren des Gesundheitswesens sowie der Rehabilitation und der Pflege dient (…).“.

Ein weiteres Gesetz, das die umfassende Digitalisierung im Gesundheitswesen fördern soll, ist das Krankenhauszukunftsgesetz (KHZG). Als Förderprogramm zur Finanzierung von IT-Projekten dient es der hauseigenen Digitalisierung von Krankenhäusern. Unter den förderfähigen Vorhaben finden sich unter anderem einige Anwendungen, die auch in der TI eine große Rolle spielen, wie etwa digitale Patientenportale. Wie das Krankenhauszukunftsgesetz zur Digitalisierung der Krankenhäuser beiträgt, haben wir für Sie hier auf unserem Blog beleuchtet.

Wie wird die TI betrieben?

Die Aufgabe, die TI einzurichten, aus- und umzubauen, wurde der gematik, der Nationalen Agentur für Digitale Medizin, übertragen. Ihr kommt die Aufgabe zu, eine zeitgemäße technische Infrastruktur für das Gesundheitswesen aufzubauen, zu betreiben und weiterzuentwickeln. Die gematik trägt damit die Gesamtverantwortung für die TI. Die konkrete Aufgabenzuweisung und Zusammensetzung der gematik ist im SGB V geregelt.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Um eine entsprechende Usability zu erreichen, werden alle Akteure, die mit der TI arbeiten, in den Prozess der Digitalisierung miteinbezogen. Dafür führt die gematik verschiedene Marktstudien durch und steht im ständigen Dialog mit den Nutzer:innen. Anhand der daraus resultierenden Ergebnisse erarbeitet die gematik Standards, auf Basis derer zugelassene IT-Unternehmen entsprechende Komponenten und Dienste, die in der TI verfügbar sein sollen, erarbeiten und dafür regelmäßig Updates bereitstellen.

Die TI zeichnet sich insbesondere durch

  • Interoperabilität und Kompatibilität,
  • Datensicherheit,
  • Datenschutz und
  • Nutzerfreundlichkeit aus.

Die Ziele der TI

Das Hauptziel, das durch die TI erreicht werden soll, liegt in der Vernetzung der Anwender:innen mit der und durch die TI. Dadurch soll der Informationsaustausch zwischen den Berufsgruppen im Gesundheitswesen und den Patient:innen erleichtert werden.

Außerdem soll ein Wandel des Point of Care stattfinden, der sich weg von Praxen und Kliniken und hin zum Patienten, mit Fokus auf die personalisierte Betreuung und Behandlung von Patient:innen, entwickeln und damit einen ganzheitlichen Ansatz für die Patientenversorgung verwirklichen soll.

Elemente und Anwendungen der TI

  • Die elektronische Gesundheitskarte (eGK)
    Bereits seit 2015 dient die eGK als ausschließlicher Berechtigungsnachweis für die Inanspruchnahme und Abrechnung von Leistungen der gesetzlichen Krankenversicherung. Die eGK kann neben administrativen Daten wie Name, Geburtsdatum und Anschrift, auch Notfalldaten oder Medikationspläne enthalten, auf die bei Bedarf zugegriffen werden kann. Im Zusammenspiel mit der TI sollen mittels der eGK ärztliche Verordnungen übermittelt, der Zugriff auf Notfalldaten gewährt sowie Impfinformationen, Medikationspläne und Befunde bereitgestellt werden können.
  • Die elektronische Patientenakte (ePA)
    In der ePA können Versicherte relevante medizinische Informationen zur Verfügung stellen, um dadurch die Informationslage der an der Behandlung beteiligten Akteure zu verbessern. Die ePA ist damit eine Art zentraler digitaler Speicher aller gesundheitsrelevanten Informationen, die bisher an unterschiedlichen Orten durch Praxen oder Krankenhäuser abgelegt sind und gibt einen Überblick über die Krankengeschichte des jeweiligen Patienten. Sie ist eine patientengeführte Akte und ermöglicht damit Patient:innen selbst zu entscheiden, ob sie diese nutzen und wie sie die Akte verwalten wollen. Davon umfasst ist auch die Entscheidung darüber, welche Dokumente in der ePA abgelegt sind und wann diese gelöscht werden. Seit dem 1. Januar 2021 sind Krankenkassen verpflichtet, eine ePA auf Wunsch des Patienten zur Verfügung zu stellen. Die ePA ist aufgrund ihrer Funktion als zentraler digitaler Speicher die zentrale Anwendung der TI.
    Datenschutzrechtliche Aspekte und weitere Entwicklungsstufen der ePA finden Sie hier auf unserem Blog.
  • Das elektronische Rezept (e-Rezept)
    Hinter dem e-Rezept steht das Konzept, ärztliche Verordnungen digital zu erstellen, zu übermitteln und einlösen zu können. Papiergebundene Prozesse sollen abgelöst werden. Die TI ermöglicht die Digitalisierung von Rezepten und einen einfachen Prozess für Patient:innen, Medikamente zu erhalten. Apotheken sollen durch einfachere Vorgänge bei Medikamentenausgaben profitieren. Ärzt:innen erstellen das Rezept mittels einer Verordnungssoftware und signieren das e-Rezept mittels einer qualifizieren elektronischen Signatur (QES). Das e-Rezept wird dann auf den e-Rezept-Server geladen, auf den durch die e-Rezept-App zugegriffen werden kann. In der Apotheke muss dann nur noch der entsprechende Code gescannt werden und die Medikationsausgabe kann erfolgen. Ohne e-Rezept-App muss das Rezept ausgedruckt werden. In Kombination mit einer Videosprechstunde entfallen durch das e-Rezept auch der Versand oder die Abholung des Rezeptes in der Praxis. Die Einführung der Anwendung des e-Rezepts erfolgt ebenfalls, wie die ePA, in Stufen. Seit dem 1. Januar 2022 müssen Ärzt:innen und Patient:innen das e-Rezept für apothekenpflichtige Arzneimittel verwenden.
  • Die elektronische Arbeitsunfähigkeitsbescheinigung (eAU)
    Eine weitere Anwendung in der TI ist die eAU. Mit der digitalen eAU entfällt der Gang zum Arbeitgeber und zu den Krankenkassen, um über die Arbeitsunfähigkeit zu informieren. Vielmehr kann durch die TI die Übermittlung der eAU an die Adressaten bereits vom Arzt veranlasst werden. Das Praxisverwaltungssystem (PVS) unterstützt Ärzt:innen, die eAU zu versenden. Die Signatur erfolgt ebenfalls als QES. Mit dem PVS können Ärzt:innen die eAU vorbereiten und dann via TI an die Krankenkassen versenden. Letztere leiten die eAU dann an den Arbeitgeber weiter.
  • Das Notfalldatenmanagement (NFDM)
    Das NFDM dient dem schnellen und sicheren Handeln bei einem medizinischen Notfall. Um die richtigen lebensrettenden Maßnahmen einleiten zu können, ist es für Ärzt:innen wesentlich zu wissen, wie es um den Gesundheitszustand des Patienten steht. Der schnelle Zugriff auf Notfalldaten, wie diagnostizierte Krankheiten, Allergien, Medikamenteneinnahmen etc., kann dabei lebensbedrohliche Wechselwirkungen von Arzneimitteln oder ähnliches verhindern. Notfalldaten sind auf der eGK gespeichert, um den schnellen Zugriff auf relevante medizinische Informationen für Ärzt:innen zu gewährleisten. In einer Notfallsituation sind Ärzte, Psychotherapeuten und andere Beschäftigte im Gesundheitswesen dann in der Regel auch ohne Einwilligung der betroffenen Person dazu berechtigt, den Datensatz auszulesen. Zugriffe sollten immer dokumentiert werden.
  • Digitale Gesundheitsanwendungen (DiGA)
    DiGAs sind digitale Medizinprodukte und werden häufig als „App auf Rezept“ bezeichnet. Sie dienen der Diagnose und/oder der Therapie einer Erkrankung. Oft damit verbunden sind Telematik-Lösungen wie die Videosprechstunde. Eine DiGA kann mittels e-Rezept verordnet werden.
  • Der elektronische Medikationsplan (eMP)
    Medikationspläne sind an sich nicht neu, denn seit 2016 haben gesetzlich Versicherte Anspruch auf einen bundeseinheitlichen Medikationsplan (BMP), soweit mindestens drei Medikamente einzunehmen sind. Neu hingegen beim eMP ist die Speicherung des Plans auf der eGK. Durch den Zugriff auf die eGK kann auch der eMP eingesehen werden und zum Zwecke der medizinischen Behandlung herangezogen werden. Die elektronische Form erlaubt eine ausführlichere Dokumentation des Medikamentenplans und kann somit auch vergangene Medikationen, medikationsrelevante Daten wie Allergien, Unverträglichkeiten oder Informationen zur Dosis und zum Einnahmegrund umfassen.
  • Der elektronische Heilberufsausweis (HBA)
    Der Schlüssel zur TI und ihren Anwendungen ist der HBA, mit welchem unter anderem Ärzt:innen ihren Berufsstand nachweisen. Der HBA ist eine personenbezogene Chipkarte für, zum Beispiel, Ärzt:innen und Zahnärzt:innen. Mit dem HBA können beispielsweise TI-Anwendungen wie e-Rezepte, eAU, Befunde oder Arztbriefe rechtssicher elektronisch durch die QES signiert werden. Seit dem 1. Juli 2021 müssen Ärzt:innen über einen HBA verfügen, der auch in Bezug auf die ePA zur Authentifizierung zu verwenden ist.
  • TI-Messenger und Informationstechnische Systeme in Krankenhäusern (ISiK)
    Die schnelle und unkomplizierte Kommunikation zwischen den Leistungserbringer:innen im Gesundheitswesen beispielsweise hinsichtlich der Planung von Behandlungsabläufen und Stationsauslastungen ist essenziell für die Gesundheitsversorgung und wird durch den TI-Messenger ermöglicht. Mit dem TI-Messenger kann in Echtzeit kommuniziert werden, wodurch schnelle und unkomplizierte Lösungen für Rückfragen, zum Beispiel zur Medikation, ermöglicht werden. Daneben können mit dem einheitlichen Standard für die Kommunikation im Medizinwesen (KIM) wichtige Dokumente und Nachrichten per E-Mail versendet werden.
    Weiterhin ermöglicht die TI einheitliche Standards für alle TI-Systeme aller Krankenhäuser (ISiK). Dadurch wird der schnelle und sichere Datenaustausch ohne Medienbrüche und ohne Übermittlungsfehler gewährleistet.
  • Telemedizin-Lösungen
    Zur TI treten auch Telemedizin-Lösungen hinzu, die eng mit der TI verbunden sind. Beispielsweise Online-Interaktionen, wie die Telekonsultation als Videosprechstunde. Auch die Fernüberwachung chronisch Erkrankter kann mittels Telemedizin vereinfacht werden. Das eBooking von Arztterminen auf einer Online-Plattform oder in einer App, wie Doctolib, sowie eÜberweisungen von Ärzt:innen zu speziellen Fachärzten reihen sich in die Telemedizin-Lösungen ein.

Das könnte Sie auch interessieren:


Welche datenschutzrechtlichen Herausforderungen gilt es zu meistern?

Bei der Einbindung und Nutzung der TI, beispielsweise durch Krankenhäuser, muss stets auch der Datenschutz beachtet werden. Insbesondere in Krankenhäusern ist die Verarbeitung von Patient:innendaten Alltag und erfordert einen gelebten Datenschutz. Denn sensible Gesundheitsdaten stehen nach der Datenschutz-Grundverordnung (DSGVO) unter besonderem Schutz. Gem. Art. 9 Abs. 1 DSGVO ist die Verarbeitung von sensiblen Daten untersagt. Ausnahmen von diesem generellen Verarbeitungsverbot finden sich in Art. 9 Abs. 2 DSGVO. Im Gesundheitssektor spielt neben der wirksamen Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO auch die Verarbeitung auf Grundlage eines privatrechtlichen Behandlungsvertrages gem. Art. 9 Abs. 2 lit. h DSGVO und die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gem. Art. 9 Abs. 2 lit. i DSGVO eine wichtige Rolle. Diese Rechtsgrundlagen gilt es im Zusammenspiel mit der TI zu beachten, etwa wenn Krankenhäuser medizinische Informationen in die ePA einstellen oder aus ihr abrufen möchten.

Im Fokus steht außerdem die sichere Gestaltung des Zugriffs auf sensible Gesundheitsdaten. Der Zugriff darf stets nur denjenigen Akteuren gewährt werden, die nach einem im Vorhinein bestimmten Konzept hierfür berechtigt sind. Rollen- und Rechtekonzepte sind dabei standardisierte Lösungen.

Eine weitere datenschutzrechtliche Herausforderung stellt sich bei der Frage nach dem Umgang von Datenspenden, die insbesondere in der Gesundheitsforschung von großer Bedeutung sind. Freiwillige Datenspenden sind zwar bereits möglich, jedoch ist eine gesetzliche Regelung zum Datenschutz wünschenswert, um die Verarbeitung von Datenspenden umfassend rechtssicher auszugestalten. Darüber hinaus sollte dann ein zentrales Verzeichnis für medizinische Forschungsdaten eingerichtet werden, wodurch Forschungseinrichtungen je nach Bedarf Zugriff auf gewisse Datensätze nehmen können.

Fazit

Die TI legt den Grundstein für eine erfolgreiche Digitalisierung des deutschen Gesundheitswesens. Nun gilt es Grundlagen zu schaffen, um den Anstieg von Nutzer:innenzahlen zu bewältigen. Dafür gilt für die TI und die darin Anwendung findenden Komponenten, dass Datenschutz bei der Digitalisierung von Anfang an mitgedacht werden muss. So können Potentiale umfassend genutzt und von ihnen profitiert werden.

Unser Team an Expert:innen berät Sie gerne zu Ihren Fragen zum Thema TI und Datenschutz. Kontaktieren Sie uns gerne!

Unterlassungsanspruch DSGVO

Unterlassungsansprüche nach der DSGVO? – Einblicke in die Rechtsprechung und rechtliche Einschätzung

Die Datenschutz-Grundverordnung (DSGVO) hält für natürliche Personen, deren personenbezogene Daten verarbeitet werden, einige Betroffenenrechte, wie etwa das Widerspruchsrecht, das Recht auf Datenübertragbarkeit, das Auskunftsrecht oder das Recht auf Löschung bereit. Hintergrund der Regelungen in den Art. 12 ff. DSGVO ist die Wahrnehmung von Rechten der betroffenen Personen zu erleichtern und ihre Datensouveränität zu gewährleisten. Überdies sieht die DSGVO auch ein Recht auf Schadensersatz nach Art. 82 DSGVO vor, soweit ein Verstoß gegen datenschutzrechtliche Vorschriften vorliegt und daraus ein Schaden entstanden ist. Neben diesen ausdrücklich formulierten Rechten fällt auf, dass kein expliziter Unterlassungsanspruch in der DSGVO vorgesehen ist. Mit Blick auf die uneinheitliche deutsche Rechtsprechung zur Frage, ob ein datenschutzrechtlicher Unterlassungsanspruch für natürliche Personen angenommen werden kann, zeigen wir in diesem Beitrag die dazu vertretenen Rechtsansichten und Konsequenzen auf.

Unterlassungsansprüche von Verbraucherverbänden

Neben möglichen Unterlassungsansprüchen natürlicher Personen war auch die Frage, ob Verbraucherschutzverbände klagebefugt sind, Verbandsklagen zu erheben, um Betroffenenrechte geltend zu machen, lange Zeit umstritten. Mit Urteil vom 28. April 2022 (Az. C-319/20) hat der Europäische Gerichtshof (EuGH) nun entschieden, dass eine Klagebefugnis für Verbraucherschutzverbände für Verbandsklagen ohne konkrete Rechtsverletzung und ohne Beauftragung einer betroffenen Person anzunehmen ist. Im Rechtsstreit standen sich Facebook (inzwischen Meta Platforms) und der Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband e.V. (im Folgenden: Bundesverband) gegenüber. Der Bundesverband klagte gegen Facebook auf Unterlassung wegen unlauteren Praktiken – unter anderem wegen nicht wirksam eingeholten Einwilligungen für Datenverarbeitungen von Drittanbietern. Facebook stellte in einem App-Zentrum kostenlose Spiele von Drittanbietern bereit, wobei die Nutzung der entsprechenden Anwendung es dem Drittanbieter ermöglichte, eine Reihe personenbezogener Daten zu erheben und ihn berechtigte, im Namen des Nutzenden Informationen wie etwa den Punktestand zu veröffentlichen. Mit der Nutzung eines Spiels selbst stimmte der Nutzende den Allgemeinen Geschäftsbedingungen für die Anwendung und der Datenpolitik des jeweiligen Spieleanbieters zu. Darin sah der Bundesverband eine unlautere Praktik, unter anderem weil keine DSGVO-konformen Einwilligungen in die Datenverarbeitung seitens der Nutzenden vorlagen und klagte daher auf Unterlassung auf Grundlage des deutschen Gesetzes gegen den unlauteren Wettbewerb (UWG und des Unterlassungsklagengesetzes (UKlaG).

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Dem EuGH wurde in diesem Verfahren die Frage vorgelegt (vgl. Art. 267 Vertrag über die Arbeitsweise der Europäischen Union – AEUV), ob der Bundesverband überhaupt klagebefugt ist. Die Klagebefugnis liegt vor, wenn ein Kläger die Verletzung eines eigenen Rechtes geltend machen kann. Es stellte sich die Frage, ob der Bundesverband seit in Krafttreten der DSGVO unabhängig von der konkreten Verletzung von Rechten einzelner betroffener Personen und ohne deren Auftrag im Wege einer Zivilklage vorgehen kann oder ob die DSGVO das Vorgehen auf Grundlage nationaler Regelungen sperrt. Der EuGH beantwortete die Vorlagefrage dahingehend, dass Art. 80 Abs. 2 DSGVO dahin auszulegen sei, dass er einer nationalen Regelung, nach der ein Verband zur Wahrung von Verbraucherinteressen gegen den mutmaßlichen Verletzer des Schutzes personenbezogener Daten ohne entsprechenden Auftrag und unabhängig von der Verletzung konkreter Rechte betroffener Personen Klage […] erheben kann, […], nicht entgegenstehe, „sofern die betreffende Datenverarbeitung die Rechte identifizierter oder identifizierbarer natürlicher Personen aus dieser Verordnung beeinträchtigen kann.“

Da der EuGH nun in diesem Fall die Klagebefugnis nach Art. 80 DSGVO angenommen hat, hat er implizit auch das Recht auf Unterlassung – zumindest für Verbände – anerkannt.

Nicht beantwortet wurde hingegen die Frage, ob auch natürlichen Personen ein datenschutzrechtlicher Unterlassungsanspruch zukommt und falls ja, worauf dieser rechtlich gestützt werden kann.

Unterlassungsansprüche von natürlichen Personen

Anknüpfungspunkte für einen datenschutzrechtlichen Unterlassungsanspruch

Aus der DSGVO ergibt sich ausdrücklich, im Gegensatz zum Schadensersatzanspruch nach Art. 82 DSGVO, kein Unterlassungsanspruch.

Die Herausforderungen und Risiken von Schadensersatzansprüchen im Datenschutz haben wir für Sie hier auf unserem Blog näher beleuchtet.

Die Ansichten der Gerichte, ob ein datenschutzrechtlicher Unterlassungsanspruch besteht und falls ja, welche Anspruchsgrundlage hierbei heranzuziehen ist, gehen auseinander.

In den bisherigen Urteilen werden je nach Fall unterschiedliche Ansichten vertreten:

  • Ein Unterlassungsanspruch folge direkt aus Art. 17 DSGVO,
  • Ein entsprechender Anspruch könne auf nationale Normen wie §§ 1004 Abs. 1 Satz 2 BGB (analog) i.V.m. § 823 Abs. 1 Bürgerliches Gesetzbuch (BGB) gestützt werden,
  • Es bestehe kein Anspruch, da Art. 79 Abs. 1 DSGVO Sperrwirkung für nationale Normen im Rahmen eines Unterlassungsersuchens entfalte,
  • Es bestehe grundsätzlich kein Unterlassungsanspruch im Kontext der DSGVO.

Deutsche Rechtsprechung zum datenschutzrechtlichen Unterlassungsanspruch

Das Oberlandesgericht (OLG) Frankfurt hat mit Urteil vom 06. September 2018 (Az. 16 U 193/17) einen Unterlassungsanspruch für natürliche Personen direkt aus Art. 17 DSGVO anerkannt. Zwar regele Art. 17 DSGVO primär das Recht auf Löschung und damit nicht ein Recht auf Unterlassung, jedoch könne Art. 17 DSGVO so verstanden werden, dass darin ein qualitatives „mehr“ enthalten sei, wovon das schwächere Recht auf Unterlassung mit umfasst sei. Gegenstand der Entscheidung des OLG Frankfurt war das Begehren einer natürlichen Person, die Anzeige von sie betreffenden Suchergebnissen in einer Suchmaschine zu unterlassen und damit das „Recht auf Vergessenwerden“ geltend zu machen. Das OLG argumentierte, dass das Begehren auf Unterlassung von der Rechtsfolge (die Löschung) des Art. 17 DSGVO erfasst sei. Dabei könne es offenbleiben, ob es sich bei Art. 17 DSGVO um eine abschließende Spezialnorm gegenüber den nationalen Vorschriften handelt. Notwendig sei aber, dass eine Abwägung zwischen dem Recht auf Informationsfreiheit der Allgemeinheit und dem Recht auf informationelle Selbstbestimmung des Klägers zugunsten des Klägers ausgehe. In dem vom OLG entschiedenen Fall ging die Abwägung zugunsten des Interesses der Öffentlichkeit aus, sodass dem Kläger im Ergebnis kein Unterlassungsanspruch wegen unerlaubter Beeinträchtigung seines Persönlichkeitsrechts im Sinne von veröffentlichter personenbezogener Daten zugesprochen wurde.

In einem anderen Fall, der mit Urteil vom 10. Oktober 2019 durch das OLG Köln (Az. I-15 U 39/19) entschieden wurde, begehrte eine natürliche Person die Unterlassung der Veröffentlichung eines Bildnisses und Verwendung ihres Namens. Das OLG Köln nahm zu Recht an, dass es sich bei dem Bildnis um personenbezogene Daten handelte und stütze den Anspruch des Klägers auf einen Unterlassungsanspruch aus nationalen Vorschriften gemäß § 1004 Abs. 1 Satz 2 BGB analog, § 823 Abs. 2 BGB i.V.m. Art. 6 Abs. 1 DSGVO. § 1004 BGB schützt ausdrücklich nur das Eigentum. Dennoch könne die Norm in analoger Anwendung für die unberechtigte Verarbeitung personenbezogener Daten herangezogen werden, so das OLG Köln. Es bedürfe hierbei einer umfassenden Abwägung der widerstreitenden Interessen und grundrechtlich geschützter Güter zwischen Informationsinteresse der Öffentlichkeit und dem Recht am eigenen Bild des Klägers. Diese Abwägung könne, so das OLG Köln, auch im Rahmen des Art. 6 DSGVO vorgenommen werden.


Das könnte Sie auch interessieren:


Einzelne Gerichte lehnen hingegen einen Anspruch aus § 1004 Abs. 1 Satz 2 BGB analog mit der Begründung ab, dass das Recht an eigenen Daten kein absolutes Recht darstelle (vgl. unter anderem Landgericht (LG) Wiesbaden, Urt. v. 20. Januar 2022, Az. 10 O 14/21). Als Begründung wird hierbei angeführt, dass § 1004 Abs. 1 Satz 2 BGB nur auf absolute Rechte sinngemäß angewendet werden kann. Dies sind solche Rechte, die erga omnes, also gegenüber allen gelten und dem Rechtsinhaber gewährt, andere von der Nutzung auszuschließen. In der Literatur wird darum viel diskutiert, ob es eine Art „Dateneigentum“ überhaupt geben soll oder nicht, da Daten grundsätzlich darauf ausgerichtet sind im Verkehr zu sein. Vorliegend muss aber erkannt werden, dass es bei der analogen Anwendung des § 1004 Abs. 1 Satz 2 BGB, nicht um ein „Dateneigentum“, sondern um Rechtsschutzmöglichkeiten bei einer unberechtigten Verarbeitung personenbezogener Daten geht.

Der wissenschaftliche Dienst des deutschen Bundestages erkennt in seiner Ausarbeitung zu Abmahnungen im Datenschutzrecht (Az. WD 7 – 3000 – 116/18) vom 13. Juni 2018 ebenfalls einen nationalen Unterlassungsanspruch aus § 1004 Abs. 1 Satz 2 BGB analog an.

Das Landgericht (LG) Wiesbaden sprach sich mit Urteil vom 20. Januar 2022 (Az. 10 O 14/21) hingegen jüngst für eine Sperrwirkung der DSGVO von Unterlassungsansprüchen aus nationalem Recht aus. Diese ergebe sich aus Art. 79 Abs. 1 DSGVO, der das Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter regelt. Das LG Wiesbaden begründet die Sperrwirkung damit, dass die DSGVO einen mit § 1004 Abs. 1 Satz 2 BGB vergleichbaren Unterlassungsanspruch gerade nicht vorsehe. Bei der DSGVO handele es sich um vollharmonisiertes Gemeinschaftsrecht mit einem eigenen, abschließenden Sanktionssystem. Nach Art. 79 Abs. 1 DSGVO blieben ausschließlich verwaltungsgerichtliche oder außergerichtliche Rechtsbehelfe unbeschadet. Die Inanspruchnahme von Zivilgerichten gehöre aber gerade nicht dazu. Es gebe gerade keine Öffnungsklausel, die den Rückgriff auf nationales Zivilrecht in diesem Falle zulässt, die die Erweiterung der Betroffenenrechte durch den nationalen Gesetzgeber oder Gerichte erlauben würde. Auch der Wortlaut des Art. 79 Abs. 1 DSGVO sei eindeutig, indem die DSGVO von zustehenden Rechten „aufgrund dieser Verordnung“ spreche. Damit sei ausschließlich der Verweis auf die Rechte in Kapitel 3 der DSGVO, die Betroffenenrechte, gemeint. Daher ergebe sich aus Art. 79 Abs. 1 DSGVO eine Sperrwirkung. Effektiven Rechtsschutz könnten natürliche Personen immer noch dadurch erlangen, dass sie eine Beschwerde gem. Art. 77 DSGVO an die Aufsichtsbehörden richten.

Andere Stimmen, wie etwa das LG Darmstadt (Urt. v. 26. Mai 2020, Az. 13 O 244/19), sehen keine Sperrwirkung in Art. 79 DSGVO für Unterlassungsansprüche aus nationalem Recht. Das LG ist der Ansicht, dass der Rückgriff auf nationales Recht im Falle eines Unterlassungsanspruches wegen rechtswidriger Datenverarbeitung zwingend notwendig sei, da nur so lückenloser Rechtsschutz gewährt werden könne. Andernfalls würde kein ausreichender Individualrechtsschutz bestehen und die betroffene Person wäre erheblich schlechter gestellt, weil dieser dann ausschließlich ein Anspruch auf Schadensersatz aus Art. 82 DSGVO zustünde und das sei nicht hinnehmbar.

Das Verwaltungsgericht (VG) Regensburg (Gerichtsbescheid v. 06. August 2020, Az. RN 9 K 19.1061) erkennt hingegen bereits generell keinen datenschutzrechtlichen Unterlassungsanspruch an – weder aus nationalen Normen noch aus der DSGVO selbst. Art. 17 DSGVO könne nicht angewendet werden, da es sich um einen Löschungsanspruch und nicht um einen Unterlassungsanspruch handelt. Ein Unterlassen sei auch nicht in der Norm als qualitatives „weniger“ enthalten. Der Anwendung von nationalen Vorschriften, wie dem § 1004 Abs. 1 Satz 2 BGB stünde entgegen, dass keine Öffnungsklausel für den Rückgriff auf nationale Regelungen existiere. Generell gebe es daher keinen datenschutzrechtlichen Unterlassungsanspruch.

Die besseren Argumente sprechen für einen Unterlassungsanspruch aus nationalen Normen

Für den Rückgriff auf nationale Normen spricht, dass andernfalls subjektive Rechte verletzt werden könnten, ohne dass Betroffenen ein entsprechender Rechtsbehelf zustünde. Der Verweis auf ein Vorgehen durch Datenschutzaufsichtsbehörden (nach Art. 77 DSGVO) vermag nicht zu überzeugen und wird dem anerkannten Grundrecht auf effektiven Rechtsschutz nicht gerecht. Es kommt hinzu, dass Art. 79 Abs. 1 DSGVO gerade ausdrücklich parallele Rechtsdurchsetzungsmöglichkeiten vorsieht und nicht den alleinigen Verweis an die Aufsichtsbehörden bei Rechtsverletzungen genügen lässt. Darüber hinaus hat der EuGH mit seinem Urteil zur Frage nach der Klagebefugnis des Bundesverbandes implizit einen Unterlassungsanspruch von Verbänden anerkannt. Es spricht einiges dafür, dass nichts anderes auch für natürliche Personen gelten muss.

Fazit

Die uneinheitliche Rechtsprechung der deutschen Gerichte im Bereich datenschutzrechtlicher Unterlassungsansprüche bringt Rechtsunsicherheit mit sich. Zwar hat der EuGH mit seinem Urteil v. 28. April 2022 einen Unterlassungsanspruch von Verbänden auf Grundlage von nationalen Vorschriften anerkannt, die Frage, ob auch natürlichen Personen ein Unterlassungsanspruch – etwa auf Grundlage nationaler Vorschriften wie § 1004 Abs. 1 Satz 2 BGB analog, § 823 Abs. 2 BGB i.V.m. DSGVO-Vorschriften – zusteht, wurde hierbei jedoch nicht beantwortet. Viele Argumente sprechen dafür, dass entsprechende Unterlassungsansprüche auch durch natürliche Personen geltend gemacht werden können. Eine höchstrichterliche Klärung wird jedoch erst durch weitere EuGH-Rechtsprechung erfolgen können. Bis dahin bleibt die weitere nationale Rechtsprechung abzuwarten.

Wir sind Ihre Experten für Datenschutz. Kontaktieren Sie uns gerne, wenn Sie Beratungsbedarf oder weitergehende Fragen rund um das Thema Datenschutz haben.

SCRUM Vertragsgestaltung

Scrum-Verträge: Herausforderungen und Lösungsansätze für die Vertragsgestaltung

Was ist SCRUM?

Es gibt verschiedene Modelle für agile Softwareentwicklung aber vor allem SCRUM etabliert sich immer mehr neben den traditionellen linearen Entwicklungsmethoden wie dem Wasserfallmodell. SCRUM bietet sowohl für die Auftraggeber als auch die Entwickler:innen viele Vorteile, vor allem, was Kosten und Erfolgsquote angeht. In der Vertragsgestaltung stellt sich der Umgang mit SCRUM aber eher als schwierig dar. Der Beitrag soll einige der Probleme bei SCRUM sowie Lösungsansätze und -ideen aufzeigen.

Um jedoch die Vorteile und die Probleme bei SCRUM zu verstehen, muss zunächst geklärt werden, was SCRUM überhaupt ist. Dem SCRUM-Modell liegt das Verständnis zugrunde, dass die Softwareentwicklung ein kompliziertes Unterfangen ist, dessen Umfang, mögliche Probleme und Störungen sich anfangs nicht absehen und planen lassen. SCRUM folgt einem iterativen und inkrementellen Ablauf. In jeder Iteration wird ein weiterer Ausbau des zuvor entwickelten Produkts vorgenommen. Diese Schleifen wiederholen sich so lange, bis das Projekt endgültig abgeschlossen und ein fertiges und funktionsfähiges Produkt entwickelt ist. Durch den iterativen Ablauf können innerhalb recht kurzer Zeit Probleme und Störungen identifiziert und darauf reagiert werden. Während die klassischen Entwicklungsmethoden (wie z.B. das Wasserfallmodell) aufgrund ihres sequenziellen und phasenbasierten Ablaufs unter langwierigen Prozessen und Entwicklungszyklen leiden, führt die iterative Arbeitsweise bei SCRUM zu kürzeren Entwicklungszyklen und früher zur Codeerstellung.

Wie funktioniert SCRUM?

Zu Beginn eines SCRUM-Projektes werden die vom Auftraggeber gewünschten Anforderungen an das Produkt in das Product Backlog (verwaltet durch den Product Owner) aufgenommen und nach Priorität sortiert. Im Rahmen der Sprint Planung, entscheidet das Entwicklungsteam in Rücksprache mit dem Product Owner, welche Anforderungen in einem zeitlich begrenzten Entwicklungsschritt, dem Sprint, umgesetzt werden. Diese Anforderungen werden sodann in das Sprint Backlog aufgenommen und der Sprint zeitnah gestartet. Während des Sprints arbeitet das Entwicklungsteam an der Umsetzung der Anforderungen und überprüft in täglichen Besprechungen, den Daily Scrums, die bisherigen Arbeitsergebnisse und bespricht das weitere Vorgehen der nächsten 24 Stunden. Nach Abschluss des Sprints stellt das Entwicklungsteam dem Product Owner die Arbeitsergebnisse des Sprints vor. Im Anschluss haben die Beteiligten in der Sprint Retrospektive die Möglichkeit, die eigene Arbeitsweise zu evaluieren und Verbesserungen auszuarbeiten. Die Sprint Retrospektive findet zeitlich zwischen der Sprint Review und der nächsten Sprint Planung statt. Mit den gewonnenen Erkenntnissen aus dem vorangegangenen Sprint beginnt der Prozess erneut und die nächsten Anforderungen aus dem Product Backlog werden im Rahmen der Sprint Planung in das Sprint Backlog aufgenommen und im Sprint umgesetzt. Dieser Zyklus wiederholt sich so lange bis das Projekt abgeschlossen ist.

Für das weitere Verständnis von SCRUM ist es wichtig, sich neben dem Prozessablauf auch mit den Rollen und Artefakten im SCRUM-Prozess vertraut zu machen, die benutzt werden, um den Entwicklungsprozess zu strukturieren. Dazu dient folgende kurze Übersicht zu den Begrifflichkeit bei SCRUM:

Rollen bei SCRUMSCRUM ArtefakteSCRUM Events
Product Owner: verwaltet das Product Backlog und ist verantwortlich für die fachlichen Anforderungen und die Priorisierung.Product Backlog: ist eine Liste mit den gewünschten Anforderungen des Auftraggebers (veränderlich und unverbindlich)Sprint: ist ein Zeitraum (i.d.R. 2-4 Wochen) innerhalb dessen ein fertiges, nutzbares und potenziell auslieferbares Produkt hergestellt wird.
Sprint: ist ein Zeitraum (i.d.R. 2-4 Wochen) innerhalb dessen ein fertiges, nutzbares und potenziell auslieferbares Produkt hergestellt wird.Sprint Backlog: enthält die im jeweiligen Sprint umzusetzenden Anforderungen. Das Entwicklungsteam schätzt ein, welche Anforderungen im Sprint bewältigt werden können.Sprint Planung: Planung und Festlegung dessen, welche Anforderungen im nächsten Sprint umgesetzt werden sollen.
Entwicklungsteam: ist ein Team aus Expert:innen, die dafür verantwortlich sind, das definierte Produkt zu entwickeln und auszuliefern.User Story und Epics: eine User Story ist eine in Alltagssprache formulierte Softwareanwendung. Eine zusammenhängende Gruppe von User Stories werden Epic genannt.Daily Scrum: kurzes, tägliches Meeting um die Arbeit der nächsten 24h zu besprechen und bisherige Arbeitsergebnisse zu überprüfen.
Sprint Review: Präsentation der implementierten Funktionen gegenüber dem Product Owner.
Sprint Retrospektive: bietet den Beteiligten die Möglichkeit sich selbst zu überprüfen. Findet zwischen dem Sprint Review und der Sprint Planung statt.
Definition of Done: definierte Feststellungskriterien, um ein einheitliches Verständnis herzustellen, wann ein Arbeitsergebnis als fertig anzusehen ist.

Rechtsnatur von SCRUM-Verträgen

Das erste Problem bei der Vertragsgestaltung von SCRUM-Verträgen stellt sich bereits bei der Suche nach dem „richtigen“ Vertragstyp. In der Regel werden Softwareentwicklungsverträge, insbesondere solche die einer klassischen Entwicklungsmethode folgen, dem Werkvertragsrecht zugeordnet. Eine solch starre Einordnung eines agilen Softwareprojekts läuft jedoch der angestrebten Agilität entgegen. Zunächst entspricht die Risikoverteilung bei SCRUM-Projekten regelmäßig nicht der dem Werkvertragsrecht zugrundeliegenden Risikoverteilung. Bei klassischer Beauftragung trägt der Auftragnehmer allein das Fertigstellungsrisiko. Diese Verteilung wird der SCRUM-Methode nicht gerecht, denn dabei ist der Auftragnehmer auf die Mitwirkung des Auftraggebers angewiesen.

Im Rahmen eines SCRUM-Projektes ist das Erfolgs- und Fertigstellungsrisiko häufig auf beide Parteien aufgeteilt. Regelmäßig wird der Product Owner vom Auftraggeber bestellt, womit der Auftraggeber auch Kontrolle über das Product Backlog erhält. Über diese Rolle hat der Auftraggeber immensen Einfluss auf den konkreten Ablauf und die Durchführung des Projekts. Ob ein SCRUM-Projekt erfolgreich ist, liegt in den Händen beider Parteien. Ein weiterer Unterschied zu den klassischen Entwicklungsmethoden und deren Einteilung besteht darin, dass das Lasten- und Pflichtenheft der klassischen Entwicklungsmethoden nicht mit dem Product Backlog oder dem Sprint Backlog bei SCRUM vergleichbar ist. Diese Backlogs stellen im Gegensatz zu einem Lasten- und Pflichtenheft nur unverbindliche, jederzeit abänderbare Anforderungen dar. Sie sind nicht dazu geeignet – und auch nicht dazu gedacht – verbindliche Zielvereinbarungen für den Entwicklungsprozess zu enthalten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Neben der Rollenverteilung spielt zudem der Umfang, die Tiefe und die Spezifikationen des Projekts eine große Rolle. Je detaillierter das Projekt und die einzelnen Anforderungen verbindlich spezifiziert sind, desto eher hat das Projekt werkvertraglichen Charakter. Demgegenüber spricht es eher für einen dienstvertraglichen Charakter, je geringer die Projektdetails konkretisiert wurden. Für den Auftragnehmer ist es in diesem Fall nur bedingt ersichtlich, welche Funktionen die Software haben soll und wie diese Funktionen ausgestaltet werden sollen. Die konkrete Ausgestaltung wird dann im Rahmen der Entwicklungstätigkeit in den Sprints herausgearbeitet.

Es sollte jedoch vermieden werden, bei SCRUM-Verträgen eine strikte Kategorisierung in Werk- oder Dienstvertrag vorzunehmen. SCRUM-Projekte enthalten Elemente, die beiden Vertragstypen zugeordnet werden können. Auf jeden Fall ist es nicht ratsam, das SCRUM-Projekt vorab, um einen gewählten Vertragstypus herum zu gestalten. Vielmehr sollte ausgehend vom Zweck des Projekts und der Projektdetails eine vertragliche Grundlage erstellt werden.

Aufgrund der diversen Faktoren, die Einfluss auf die Gestaltung und Ablauf des Projektes haben, ist es vorzugswürdig, sich nicht für einen Vertragstyp zu entscheiden, sondern die Vertragstypen zu kombinieren. Der Vertrag würde typischerweise sowohl dienstvertragliche als auch werkvertragliche Regelungen enthalten. Beispielsweise die Projektplanung, die Sprint Planung und weitere Punkte könnten dabei dienstvertraglicher Natur sein, während die konkrete Durchführung des Sprints sowie die Prüfung und Bewertung der Arbeitsergebnisse dem Werkvertragsrecht unterworfen werden. Der Vorteil dabei würde darin bestehen, dass die angestrebte Agilität über dienstvertragliche Regelungen umgesetzt werden kann, gleichzeitig jedoch mit einem (verbindlichem) Ziel verbunden ist, ein funktionsfähiges Werk zu erstellen und abzuliefern.

Abnahme der Arbeitsergebnisse

Die Abnahme des Werks hat auch bei IT-Projekten eine erhebliche Bedeutung und stellt regelmäßig einen Streitpunkt unter den Parteien dar. Denn die Abnahme kann, sofern das Werk nicht unter wesentlichen Mängeln leidet, nicht verweigert werden. Um Unstimmigkeiten darüber zu vermeiden, wann die Abnahme erklärt werden muss, sollten die Parteien Kriterien für Abnahme vereinbaren. Es besteht auch die Möglichkeit, Teilabnahmen für einzelne Produktinkremente zu vereinbaren. Aus rechtlicher Sicht wäre dies für beide Parteien zunächst von Vorteil. Sowohl Auftraggeber als auch Auftragnehmer würden Gewissheit darüber erlangen, ob die Produktinkremente funktionsfähig und den Erwartungen des Auftraggebers entsprechen. Faktisch besteht dabei jedoch insbesondere für den Auftraggeber das Problem, dass nicht jedes Produktinkrement oder Arbeitsergebnis am Ende eines Sprints abnahmefähig ist. Insbesondere bei den ersten Sprints des Projektes ist fraglich, ob die Ergebnisse abgenommen werden können. So lässt sich zum Beispiel zu Anfang eines Projekts, nicht bzw. nur erschwert beurteilen, wie und ob ein erzieltes Teilergebnis mit anderen Arbeitsabschnitten und dem Endergebnis zusammenspielen und funktionieren.

Man vollzieht hier eine Gratwanderung zwischen der für die Parteien nachvollziehbaren und durchaus wichtigen gewünschten Rechtssicherheit und der faktischen Ausgestaltung der Softwareentwicklung als agiles Projekt. Macht man zu sehr von der Möglichkeit von Teilabnahmen Gebrauch, droht man die Agilität des Projekts zu ersticken. Um die Spannung aus dieser Situation zu nehmen, bietet es sich an, Teilabnahmen zumindest für User Stories und Epics zu vereinbaren, sowie für weitere Produktinkremente, die der Auftraggeber zeitnah produktiv schalten möchte. Für die übrigen Sprints sollte (lediglich) geprüft werden, ob die erzielten Ergebnisse den festgelegte Akzeptanzkriterien entsprechen. Bestandteil des iterativen Prozesses kann sein, die Funktionsfähigkeit der Software zu testen. Der Auftraggeber bekommt so die Gelegenheit frühzeitig Fehlentwicklungen zu erkennen und zu intervenieren, indem er auf die Gestaltung des nächsten Sprints Einfluss nimmt.


Das könnte Sie auch interessieren:


Wenn alle Anforderungen aus dem Product Backlog abgearbeitet und umgesetzt sind sowie den Akzeptanzkriterien entsprechen, gilt es das Projekt als Ganzes abzunehmen. Hierbei kommt es einerseits auf die Funktionsfähigkeit und Interoperabilität der einzelnen Produktinkremente zueinander und andererseits auf die Gesamtfunktionalität der Software an. Auch bei der Gesamtabnahme sollten die Parteien Kriterien für Abnahme vereinbaren sowie die Übereinstimmung der vereinbarten Zieldefinition der Definition of Done prüfen.

Gewährleistungsrechte

Ähnliche Überlegungen sind bei der Inanspruchnahme von Gewährleistungsrechten anzustellen. Bei SCRUM-Projekten ist es dabei wichtig im Kopf zu behalten, dass nicht jeder Fehler bei der Umsetzung der Anforderungen unweigerlich auch einen Mangel darstellt. Vielmehr gilt bei SCRUM, dass nicht oder fehlerhaft umgesetzte Anforderungen zurück in das Sprint Backlog aufgenommen und in einem späteren Sprint erneut bearbeitet werden. Nicht jeder Fehler bedarf daher der Anwendung der Gewährleistungsrechte. Mit SCRUM geht ein für Gewährleistungsrechte unpassendes Verständnis von Fehlern einher. Eine fehlerhaft umgesetzte Anforderung aus dem Sprint Backlog, kann in einem der nächsten Sprints umgesetzt werden oder das Lernergebnis aus dem ersten Fehler führt dazu, dass die Anforderung gar nicht umgesetzt wird. Diese Arbeitsweise ist dem SCRUM-Prozess immanent und sollte nicht durch das Ausüben von Gewährleistungsrechten torpediert werden. Der Auftraggeber kann seinen Interessen an fehlerarmen Entwicklungsprozessen dadurch gerecht werden, dass er sich aktiv in den Entwicklungsprozess einbringt.

Davon zu unterscheiden ist das Vorliegen tatsächlicher Mängel, also Programmier- und Entwicklungsfehler, die sich nach Abschluss des Entwicklungsprozesses auf die Funktionsweise der Software auswirken. Für diese Art von Fehlern ist die Ausübung von Gewährleistungsrechten sinnvoll.

Vergütung und Exit

Bei der Vergütung muss ebenfalls mitgedacht werden, dass sich ein agiles Projekt in der Rollen- und Risikoverteilung von klassisch linearer Vorgehensweise unterscheidet. Die Vereinbarung eines Festpreises oder Vergütung anhand von Milestones ist zwar grundsätzlich möglich, birgt aber das Risiko des „agile washing“. Entsprechende Vergütungsvereinbarungen können nur schwer die Realität des Entwicklungsprojektes abbilden. Bei einem SCRUM-Projekt wird man zu Beginn keine vernünftigen Milestones definieren können oder zumindest den Aufwand bis zu deren Erreichen nicht vernünftig abschätzen können. Und auch ein Festpreis führt tendenziell dazu, dass der im SCRUM-Projekt tatsächlich anfallende Aufwand nicht angemessen in der Vergütung abgebildet werden kann, denn zu Beginn des Projekts ist der Aufwand noch gar nicht wirklich absehbar.

Das Ergebnis eines Entwicklungsvorgangs nach SCRUM kann auch sein, dass das Projekt abgebrochen werden muss. Gründe dafür können vielfältig sein; von mangelnder Kooperationsfähigkeit des Teams bis zu der Erkenntnis, dass sich die Anforderungen des Backlogs nicht umsetzen lassen. Vertragsregelungen zum Exit-Management müssen dies widerspiegeln und es den Vertragsparteien erlauben, das Projekt an geeigneter Stelle abzubrechen – oder gegebenenfalls den Zwischenstand an ein anderes Projektteam zu geben, damit weiterentwickelt werden kann.

Fazit

SCRUM-Verträge sind in der Vertragsgestaltung ein schwieriges Thema. Wer ein Entwicklungsprojekt mit SCRUM umsetzen möchte, beabsichtigt die Vorteile der damit einhergehenden Agilität in Kosten und Erfolgschancen zu nutzen. Damit die angestrebte Agilität auf vertraglicher Ebene gebührend berücksichtigt und umgesetzt wird, ist es erforderlich, dass ein starres Schubladendenken vermieden wird. Die Vertragsgestaltung muss die Struktur des SCRUM-Projektes abbilden, ohne die Agilität zu ersticken. Das ist nur möglich, wenn sich das ganze Projektteam auf das Konzept SCRUM einlässt, und jeder beteiligte sich aktiv und kooperativ einbringt. Es bedarf Zugeständnissen auf rechtlicher und faktischer Ebene von beiden Parteien, um auch wirklich ein Projekt agil durchzuführen und nicht nur ein Projekt durchzuführen, das man „agil“ nennt. Damit all das im Vertrag sinnvoll abgebildet werden kann, braucht es Fingerspitzengefühl und ein Verständnis für das konkrete Entwicklungsprojekt.

DSGVO-Schadensersatzverfahren: SRD erzielt Erfolg im Abwehren eines Schadensersatzanspruchs

Schadensersatzansprüche gemäß Art. 82 DSVGO gewinnen nach wie vor an Relevanz und beschäftigen Unternehmen zunehmend. Die Norm ermöglicht Betroffenen die Geltendmachung von Schadensersatzansprüchen direkt gegenüber den Verantwortlichen, wenn diese gegen datenschutzrechtliche Bestimmungen verstoßen.

In einer Klage auf Zahlung von Schadensersatz aus Art. 82 DSGVO konnten Schürmann Rosenthal Dreyer Rechtsanwälte kürzlich vor dem Kammergericht (im Folgenden: KG) einen beachtlichen Erfolg für unsere Mandantin erzielen und einen durch den Kläger zu Unrecht geltend gemachten Anspruch abwehren.

Hintergrund

Der Kläger hatte am 25.09.2019 mit anwaltlichem Schreiben verlangt, dass ihm sämtliche bei unserer Mandantin vorhandenen Unterlagen, die einen Vertrag mit ihm begründen würden, vorgelegt werden. Hintergrund des Informationsbegehrens hinsichtlich der Vertragsbegründung war, dass der Kläger laut anwaltlichem Schreiben einer nicht nachvollziehbaren Forderung ausgesetzt gewesen sei. Auf das entsprechende Schreiben wurde von unserer Mandantin am 7.10.2019 mitgeteilt, dass ein Vertrag mit dem Kläger nicht wirksam zustande gekommen sei und die Forderung entsprechend storniert würde.

Am 17.11.2020 folgte ein datenschutzrechtliches Auskunftsbegehren des Klägers nach Art. 15 DSGVO, welches durch unsere Mandantin binnen zwei Tagen und damit innerhalb der gesetzlich vorgesehenen Frist am 19.11.2020 erfüllt wurde.

Urteil des Landgerichts Berlin

In der anschließenden Klage vor dem erstinstanzlichen Landgericht Berlin (im Folgenden: LG) machte der Kläger geltend, bereits das erste Schreiben vom 25.09.2019 sei als Auskunftsersuchen nach Art. 15 DSGVO zu verstehen gewesen. Wegen des damals angeblich nicht vollständig erfüllten Auskunftsanspruches sei durch unsere Mandantin gegen Art. 15 DSGVO verstoßen worden, weshalb dem Kläger ein Schadensersatzanspruch nach Art. 82 DSGVO zustehen würde.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Das LG allerdings entschied mit Urteil vom 26.11.2021, dass unsere Mandantin das Auskunftsersuchen des Klägers vollumfänglich erfüllt habe. In dem Schreiben vom 25.09.2019 habe der Kläger die Beklagte lediglich zur Vorlage der einen Vertrag begründen Unterlagen aufgefordert. Das in dem Schreiben zum Ausdruck gekommene Informationsinteresse des Klägers beziehe sich gerade auf den „angeblichen Vertragsschluss“ und nicht auf die von unserer Mandantin vorgehaltenen Daten des Klägers, nach dem objektiven Empfängerhorizont musste dieses Schreiben von unserer Mandantin gerade nicht als Auskunftsbegehren nach Art. 15 DSGVO verstanden werden.

Dem am 17.11.2020 geltend gemachten Auskunftsanspruch sei mit dem Schreiben unserer Mandantin vom 19.11.2020 vollständig und fristgerecht entsprochen worden. Hinsichtlich der ebenfalls durch den Kläger behaupteten Unvollständigkeit dieser Auskunft trüge dieser die Darlegungs- und Beweislast, welcher hier nicht ausreichend entsprochen worden sei. Folgerichtig entschied das LG, dass mangels Verstoßes gegen die DSGVO kein Anspruch aus Art. 82 DSGVO bejaht werden könne.


Das könnte Sie auch interessieren:


Beschluss des Kammergerichts

Das KG schloss sich im Rahmen der Berufung der Argumentation des LGs an. Dem Schreiben des Klägers vom 25.09.2019 ließe sich gerade entnehmen, dass er sich vor der Entscheidung über weitere Schritte zunächst einmal informieren wollte. Dies sei von der Auskunft über die Verarbeitung personenbezogener Daten (Art. 15 Abs. 1 S. 1 DSGVO) zu unterscheiden. Das in dem Schreiben zum Ausdruck gekommene Informationsinteresse des Klägers beziehe sich gerade auf den „angeblichen Vertragsschluss“ und nicht auf die von unserer Mandantin vorgehaltenen Daten des Klägers.

Das KG kündigte an, die gegen das Urteil des LG eingelegte Berufung nach § 522 Abs. 2 ZPO zurückweisen zu wollen, da die Berufung nach Aussage des KG offensichtlich keine Aussicht auf Erfolg gehabt hätte und auch kein sonstiger Berufungsgrund einschlägig gewesen sei. Daraufhin erklärte die Klägerseite die Rücknahme der Berufung.

So konnte sich unsere Mandantin mit der Unterstützung von Schürmann Rosenthal Dreyer schlussendlich auch in der zweiten Instanz gegen die ungerechtfertigte Inanspruchnahme aus Art 82 DSGVO verteidigen.

Gerade wenn (vermeintlich) Betroffene ungerechtfertigt Schadensersatz gem. Art. 82 DSGVO geltend machen, ist wegen der mittlerweile immer ausdifferenzierteren und vor allem sich ständig verändernden Rechtsprechung die Zusammenarbeit mit einer spezialisierten Kanzlei dringend zu empfehlen.
Gerne unterstützen wir auch Sie mit unserer Expertise und Erfahrung, wenn ihr Unternehmen mit der Geltendmachung entsprechender Ansprüche konfrontiert ist.

Kontakt

office@srd-rechtsanwaelte.de

Berlin

+49 (0)30 21 30 028-0

Düsseldorf

+49 (0)211 41 55 868-0

München

+49 (0)89 61 42 412-70

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.