Leitfaden Tracking und Cookies – Überblick über datenschutzrechtliche Aspekte nach TTDSG und DSGVO 

Tracking und die in diesem Kontext zulässigen Tools sind nach wie vor für Werbetreibende von großem Interesse. Nicht nur die EuGH- und BGH-Urteile zu „Planet49“ sowie das EuGH-Urteil zu „Schrems II“ definierten neue Anforderungen und Herausforderungen für den Zugriff auf oder die Speicherung von Informationen im Endgerät wie bei Tracking von Nutzer:innen und dem Einsatz von Cookies. Seit Dezember 2021 gilt in Deutschland zudem die Umsetzung des Art. 5 Abs. 3 der ePrivacy-Richtlinie in Form des § 25 TTDSG. Dieser regelt, wann der Zugriff auf oder die Speicherung von Informationen im Endgerät der Nutzer:innen zulässig ist. Die ePrivacy-Verordnung, welche das Thema zukünftig unmittelbar EU-weit regeln soll, befindet sich aktuell noch im Trilog-Verfahren und wird frühestens 2025 Anwendung finden, sodass eine vertiefte Auseinandersetzung mit den aktuellen Rahmenbedingungen, insbesondere durch das TTDSG, weiterhin lohnenswert und unerlässlich ist. Wie können Tracking von Nutzer:innen und der Einsatz von Cookies aktuell datenschutzkonform realisiert werden? Welche Empfehlungen gibt es zu Einwilligungen und Cookie-Banner? Was bedeutet § 25 TTDSG für den Einsatz von Tools auf einer Website? 

Welche Normen sind für Cookies und Co. wichtig? 

§ 25 TTDSG und ePrivacy-Richtlinie: Einwilligungspflicht und Datenübermittlung in Drittländer

Die relevanteste Norm ist aktuell § 25 TTDSG, welcher Art. 5 Abs. 3 der ePrivacy-Richtlinie (2009) in deutsches Recht umsetzt. Die Norm schreibt in Absatz 1 eine grundsätzliche Einwilligungspflicht in die Speicherung von oder den Zugriff auf Informationen im Endgerät vor. Damit sind nicht nur Cookies gemeint, sondern auch ähnliche Technologien wie der im Endgerät gespeicherte Web Storage (Local / Session Storage) sowie Fingerprints, Tags oder Pixel, soweit sie auf Informationen im Endgerät zugreifen. Eine Ausnahme von dieser Pflicht besteht nach Absatz 2 nur, wenn die Speicherung oder der Zugriff zum alleinigen Zweck der Übertragung eine Nachricht über ein öffentliches Telekommunikationsnetz erfolgt (Nr. 1) oder wenn sie unbedingt erforderlich ist, um einen von Nutzer:innen ausdrücklich gewünschten Telemediendienst zur Verfügung zu stellen (Nr. 2). Besonders die zweite Ausnahme ist praxisrelevant und hinsichtlich der Anforderungen für den ausdrücklich gewünschten Dienst und die unbedingt erforderlichen Speicherungen und Zugriffe umstritten. 

§ 25 TTDSG findet nicht nur auf die Verarbeitung personenbezogener Daten Anwendung. Auch wenn lediglich nicht-personenbezogene Informationen verarbeitet werden, muss eine Einwilligung im Sinne des § 25 TTDSG eingeholt werden, sofern der Anwendungsbereich eröffnet ist und keine Ausnahme greift. Werden personenbezogene Daten verarbeitet, ist neben den Vorgaben des § 25 TTDSG ebenso die DSGVO zu beachten. Sie müssen insbesondere auf einer Rechtsgrundlage gemäß Art. 6 DSGVO basieren. Darüber hinaus enthält die DSGVO den Maßstab für die Anforderungen an eine informierte Einwilligung, der auch für die ePrivacy-Richtlinie und somit auch § 25 TTDSG gilt. 

DSGVO Art. 44 ff.: Voraussetzungen und Anforderungen für Datenübermittlung in Drittländer und den EU-US Datenschutzrahmen

Werden beim Einsatz eines Tools auch Daten in Länder außerhalb des Europäischen Wirtschaftsraums (sogenannte Drittländer im Sinne der DSGVO) übermittelt, müssen zudem die Anforderungen der Art. 44 ff. DSGVO beachtet werden. Relevant ist hier bei vielen Dienstleistern insbesondere, dass seit dem 10. Juli 2023 für die USA wieder ein Angemessenheitsbeschluss der Europäischen Kommission im Sinne des Art. 45 DSGVO vorliegt. Nach diesem dürfen Daten in die USA übermittelt werden, wenn sich die betreffenden US-Unternehmen für den sogenannten EU-US Datenschutzrahmen (EU-US Data Privacy Framework) zertifiziert haben. Liegt für den Drittstaat, in den personenbezogene Daten übermittelt werden sollen, kein Angemessenheitsbeschluss vor, müssen sonstige geeignete Garantien im Sinne von Art. 46 DSGVO vorliegen. Insbesondere kommt hier etwa der Abschluss von Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften in Betracht. Liegen auch solche nicht vor, muss die Datenübermittlung auf sonstige in Art. 49 DSGVO normierte Ausnahmen gestützt werden. Insbesondere sind hier die ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO sowie die Erforderlichkeit der Verarbeitung für einen Vertrag oder die Durchführung vorvertraglicher Maßnahmen nach Art. 49 Abs. 1 lit. b DSGVO in den Blick zu nehmen. 

Einwilligungspflicht und Ausnahmen nach § 25 TTDSG: Abgrenzung und Rechtsgrundlagen gemäß Art. 6 DSGVO

Eine Einwilligung nach § 25 Abs. 1 TTDSG ist immer dann für die Speicherung von oder den Zugriff auf Informationen im Endgerät nötig, wenn die oben dargestellten Ausnahmen des § 25 Abs. 2 TTDSG nicht greifen. Rechtsgrundlage bei einer Einwilligung im Falle einer Datenverarbeitung ist in diesem Fall dann Art. 6 Abs. 1 lit. a DSGVO. 

Demgegenüber ist eine Einwilligung nicht nötig, wenn die Speicherung von oder der Zugriff auf Informationen im Endgerät unbedingt zur Verfügungstellung des ausdrücklich gewünschten Dienstes erforderlich ist. Rechtsgrundlage im Falle einer Datenverarbeitung ist in diesem Fall etwa die Erforderlichkeit für den Vertrag oder zur Durchführung vorvertraglicher Maßnahmen nach Art. 6 Abs. 1 lit. b DSGVO oder die berechtigten Interessen nach Art. 6 Abs. 1 lit. f DSGVO. 

Welche Tools „unbedingt erforderlich“ sind, um einen ausdrücklich gewünschten Dienst zur Verfügung zu stellen, ist nicht genau abgegrenzt. Deshalb müssen Tools einzeln bewertet und eingeordnet werden. Es handelt sich um eine Abwägungsfrage und eine Risikobeurteilung. Insgesamt kann man jedoch sagen, dass eine Nutzung ohne Einwilligung insgesamt nur in engem Rahmen möglich ist. Dies zeigt sich insbesondere an der engen Auslegung der Ausnahmen durch die Aufsichtsbehörden in ihren Stellungnahmen und Orientierungshilfen. 

Welche Tools können ohne Einwilligung eingesetzt werden?

Manche Tools oder Funktionen auf einer Website oder App benötigen zwingend den Einsatz von Cookies und ähnlichen Technologien. Eine Einwilligung ist somit etwa in den meisten Fällen nicht erforderlich für die grundlegenden Funktionen eines Webshops, für die Speicherung des Warenkorbs, für Bestell- und Zahlungsabwicklungen, für Login, Registrierung und Authentifizierung, für die Bereitstellung einer Plattform, den Lastenausgleich und das Anlegen von Logfiles beim Websitebesuch sowie für die Speicherung einer Spracheinstellung. 

Einwilligungspflicht, Ausnahmen und Bußgeldrisiken im Lichte des EuGH-Urteils

Auch die Gewährleistung von Sicherheit und die Verhinderung von Missbrauch kann unbedingt erforderlich sein, hier muss jedoch das jeweilige Tool genau betrachtet werden. Aus datenschutzrechtlicher Sicht ist hier auch ein Urteil des EuGH im Vorabentscheidungsverfahren eines Streits zwischen dem Bundeskartellamt und Meta zu beachten (EuGH, Urt. v. 4. Juli 2023 – C-252/21). Das Urteil betont, dass im Falle des berechtigten Interesses i.S.d. Art. 6 Abs. 1 lit. f DSGVO die Netzwerksicherheit des Verantwortlichen ein solches Interesse nur dann darstellt, wenn die betreffende Verarbeitung erforderlich ist, „um zu gewährleisten, dass die innere Sicherheit [des] Netzwerks nicht beeinträchtigt wird“ (Rn. 120). Auch bei Chatbots ist die Annahme einer unbedingten Erforderlichkeit umstritten, insbesondere dann, wenn andere Kommunikationsmöglichkeiten offenstehen oder die Chatbots etwa Nutzungsanalyse betreiben. 

Eine Einwilligung ist grundsätzlich erforderlich für eine Nutzungsanalyse durch Drittanbieter, seiten- und geräteübergreifende Analysen, personalisierte Werbung, Tracking mit Profilbildung oder zur Erstellung von Bewegungsprofilen. Wer Tools für solche Zwecke ohne Einwilligung einsetzt, geht ein Bußgeldrisiko seitens der Aufsichtsbehörden ein.

Das könnte Sie auch interessieren:

• Update zum TTDSG: Neues Datenschutzrecht für Tele­kommunikation & Telemedien
• Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
• Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

Webtools, Datenschutz und EuGH-Entscheidungen: Neuer Angemessenheitsbeschluss, YouTube & Google Analytics im Fokus

Besonders die Tools US-amerikanischer Dienstleister wie Google Analytics, Google Maps oder YouTube sind und waren jahrelang besonders im Fokus der Aufsichtsbehörden und Gerichte. Dies war insbesondere relevant, nachdem der EuGH in der Schrems II-Entscheidung den ehemals geltenden Angemessenheitsbeschluss für die Datenübermittlung zwischen der EU und den USA auf Grundlage des EU-US Privacy Shield gekippt hatte. Seit dem 10. Juli 2023 ist nun aber, wie bereits oben erwähnt, ein neuer durch die Europäische Kommission erlassener Angemessenheitsbeschluss in Kraft. Somit können Übermittlungen in die USA nun wieder auf Art. 45 DSGVO gestützt werden, solange sich die betreffenden US-Unternehmen für das EU-US Data Privacy Framework zertifiziert haben. In diesem Fall braucht die Übermittlung auch nicht mehr im Falle mangelnder Garantien nach Art. 45 und 46 DSGVO auf eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO gestützt werden, die von den Aufsichtsbehörden in der Vergangenheit kritisch gesehen wurde.  

Unabhängig davon gilt ein etwaiges Einwilligungserfordernis, welches sich aus § 25 TTDSG oder mangels sonstiger Rechtsgrundlagen auch aus Art. 6 DSGVO ergeben kann. Während der Einsatz etwa von Google Analytics trotz der vielfältigen Einstellungsmöglichkeiten ohne Einholung einer Einwilligung wohl weiterhin ein großes Risiko mit sich bringt, können Kartendienste wie Google Maps etwa durch einwilligungsfreie Alternativen wie statische Karten (Bilder) oder gegebenenfalls bei richtiger Konfiguration durch OpenStreetMap ersetzt werden. 

YouTube hat einen sogenannten „erweiterten Datenschutzmodus“. Dieser verhindert zwar das Setzen von Cookies, reduziert die Nutzungsanalyse und verhindert die Personalisierung etwa der Videoempfehlungen. Es werden jedoch weiterhin Informationen im Web Storage des Endgeräts gespeichert, Verbindungsdaten und Videoeinstellungen an Google übermittelt und eine Datenverarbeitung zu Werbezwecken kann nicht ausgeschlossen werden. Sowohl mit Blick auf § 25 TTDSG als auch auf die Vorschriften der DSGVO ist hier sodann wohl eine Einwilligung nötig. Als einwilligungsfreie Alternative kommen etwa selbst gehostete Videos in Betracht, die im Rahmen von HTML5 einfach einzubinden sind. Zudem könnte man schlicht auf das Video auf YouTube verlinken, ohne es direkt einzubinden. 

Auch das Urteil des Europäischen Gerichtshofs (EuGH) vom Juli 2023 im Rechtsstreit zwischen Meta Platforms und dem Bundeskartellamt hat Auswirkungen auf das Webtracking, insbesondere durch große Online-Plattformen (EuGH, Urt. v. 04.07.2023 – C-252/21). Das Gericht stellte klar, dass die mittels Webtracking erfassten und kombinierten Daten in der Regel nicht auf Art. 6 Abs. 1 S. 1 lit. b DSGVO gestützt werden können, wenn sie für die Personalisierung von Inhalten und Werbung verwendet werden sollen. Das Gericht betonte, dass eine Verarbeitung i.R.d. Art. 6 Abs. 1 S. 1 lit. b DSGVO „objektiv unverzichtbar“ und ein „notwendiger Bestandteil“ der Vertragserfüllung sein müsse, ohne den der Hauptzweck des Vertrags nicht erreicht werden könne. Gleichzeitig unterstrich der EuGH die strengen Anforderungen, die mit den berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verbunden sind. Diese Anforderungen umfassen insbesondere die Prüfung zumutbarer anderer Mittel, die den Schutz personenbezogener Daten weniger stark beeinträchtigen, sowie eine konkrete Abwägung im Einzelfall mit den Interessen der betroffenen Person. 

Wann ist ein Cookie-Banner erforderlich?

Ein Cookie-Banner bzw. Einwilligungsbanner ist aufgrund der Notwendigkeit zur Einholung einer informierten Einwilligung nach Art. 6 Abs. 1 lit. a, Art. 7 DSGVO und § 25 TTDSG erforderlich. Das bedeutet im Umkehrschluss, dass ein Banner nicht notwendig ist, sofern nur unbedingt für den Website- oder Appbetrieb notwendige Tools verwendet werden. In diesem Fall würde eine Information in der Datenschutzerklärung ausreichen. 

Welche Alternativen gibt es zum Cookie-Banner?

Statt eines Banners, welches sich vor allem für permanent aktive Tools etwa zur Analyse, zum Tracking oder für Marketing eignet, kann etwa für die Einbindung von Videos und Karten externer Anbieter, für Social- und Login-Plugins oder für Chatbots ein sogenanntes Overlay verwendet werden. Dies ist ein Banner nur über den betreffenden Bereich, der freigeschaltet/aktiviert werden soll. Dort wird darüber informiert, welches Tool an dieser Stelle eingebunden werden soll, und es werden alle nach der DSGVO notwendigen Informationen im Rahmen einer Einwilligung gegeben. Ein Overlay ist deshalb praktisch, weil es Nutzer:innen ermöglicht, gezielt in bestimmte Tools einzuwilligen, wenn sie diese gerade brauchen. 

Empfehlungen und Vorgaben für die Gestaltung von Einwilligungsbannern

Die Aufsichtsbehörden aktualisieren fortlaufend ihre konkretisierten Vorstellungen zur Gestaltung von Einwilligungsbannern. Dazu zählen die Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien der Datenschutzkonferenz (DSK), der Bericht über die aktuellen Standpunkte der verschiedenen Aufsichtsbehörden in den EU-Mitgliedstaaten der Task Force des Europäischen Datenschutzausschusses (EDSA) und die Bewertung von Pur-Abo-Modellen auf Websites der DSK. Aktuelle Neuerungen zu den Anforderungen an datenschutzkonforme Einwilligungsabfragen, insbesondere Cookie-Banner, im Überblick: 

Welche aktuellen Urteile weisen die Richtung bei der Gestaltung von Cookie Bannern?

Insbesondere zwei deutsche Urteile der LG München und LG Köln zeigten in der jüngsten Vergangenheit, dass die Ausgestaltung der Verweigerungsmöglichkeit im Einwilligungsbanner stets einer individuellen Bewertung bedarf. Dabei müssen sowohl die Informationen zur Verweigerung der Einwilligung als auch das Design des Banners angemessen berücksichtigt werden. 

DSGVO-konforme Cookie-Banner – welche Informationen sollen enthalten sein?

Im Banner auf erster Ebene oder im Overlay sollten folgende Informationen enthalten sein:

• Vorgänge nach § 25 TTDSG und DSGVO (= Zugriff auf und Speicherung von Informationen auf dem Endgerät sowie Datenverarbeitung)
• Zwecke der Datenverarbeitung der verwendeten Tools (Beschreibung der einzelnen Kategorien) 
• Möglichkeit der Ablehnung der Tools 
• Nennung der Weitergabe an Dritte 
• ggf. Informationen über Drittlandübermittlung und Risiken im Drittland 
• Klarstellung der Freiwilligkeit und Widerrufbarkeit der Einwilligung
• Links zu weiteren Informationen, insbesondere zur Speicherdauer (z.B. Datenschutzerklärung oder Cookie-Richtlinie)

Technische Voraussetzungen für Banner und Datenschutzeinwilligung

Das Banner darf nicht die Links zum Impressum und zur Datenschutzerklärung überdecken. Außerdem dürfen nicht notwendige Tools erst aktiviert bzw. Cookies gesetzt oder Informationen im Web Storage ausgelesen/geschrieben werden, nachdem die Nutzer:innen eingewilligt haben. Diese Einwilligung sollte grundsätzlich mindestens 1 Jahr gespeichert werden. Idealerweise befindet sich im Footer und in der Datenschutzerklärung ein Button bzw. Link, mit dem das Banner erneut aufgerufen bzw. der Widerruf erteilt werden kann. 

Wir empfehlen, einen Testlauf durchzuführen, um die Funktionalität von Ablehnen und Widerruf zu überprüfen. Dies ist enorm wichtig, um festzustellen, ob alle Anforderungen eingehalten werden. 

Wie viele Buttons müssen im Cookie-Banner enthalten sein?

Es ist empfehlenswert, drei Buttons einzusetzen, welche die Zustimmung zu allen optionalen Tools, der individuellen Auswahl von Tools oder die Ablehnung aller optionalen Tools ermöglichen. Dabei kann statt eines Buttons, etwa für die Ablehnung, im Einzelfall auch ein deutlich erkennbarer Link innerhalb des Bannertextes (z.B. dick geschrieben, blau gefärbt und unterstrichen) verwendet werden. Wichtig ist dabei jedoch, dass alle drei Möglichkeiten als gleichwertig erkennbar sind. Diese sogenannte 3-Button-Lösung ist Alternativen ohne Ablehnen-Möglichkeit auf erster Ebene insgesamt vorzuziehen. 

Wie unauffällig kann der Ablehnen-Button sein und wie unterscheidet man gutes Design von irreführenden „Dark Patterns“?

Zwar sind Hervorhebungen und Designentscheidungen grundsätzlich möglich, jedoch sollte es nicht zu einem sogenannten „Dark Pattern“ kommen. Das läge beispielsweise vor, wenn weiße Schrift auf hellgrauem Grund verwendet wird, die Einwilligung ständig abgefragt wird oder eine Einwilligung durch den Klick auf X (schließen) erteilt wird. Aus einem objektiven Blickwinkel müssen die Nutzer:innen die Möglichkeit gehabt haben, nach dem Lesen der Einwilligungserklärung und dem Blick auf die Buttons/Links eine informierte Entscheidung für oder gegen den Einsatz von Cookies und ähnlichen Technologien zu treffen, ohne dass dabei das Ablehnen in besonderer Weise erschwert wird. 

Wie gelten DSGVO-Regelungen für Apps?

Die zuvor dargestellten Regelungen gelten auch für Apps, beziehen sich dort jedoch insbesondere auf den Zugriff auf Identifikatoren wie Geräte-ID und Werbe-ID oder die Speicherung von Daten im Endgerät. Zu berücksichtigen ist auch, dass die technischen Zugriffsberechtigungen, die während der Installation der App erteilt werden, keine informierte Einwilligung im Sinne der DSGVO darstellen. Deshalb ist beim ersten Start der App die Abfrage nach der Einwilligung für optionale Tools nötig. Manche Consent-Management-Tools bieten bereits entsprechende Implementierungen für Apps hat.  

Hinweis: Auch für Apps gelten die datenschutzrechtlichen Informationspflichten der Art. 13 und 14 DSGVO. Aus diesem Grund muss auch im Rahmen einer App eine Datenschutzerklärung bereitgestellt werden. 

Aktueller Entwurf zur ePrivacy-Verordnung – Veränderung für die Nutzung von Cookies und Technologien in der EU?

Bereits am 10.02.2021 hat sich der Rat der Europäischen Union auf den portugiesischen Entwurf zur ePrivacy-Verordnung geeinigt, welche die Privatsphäre bei der Nutzung elektronischer Kommunikationsdienste unmittelbar EU-einheitlich regeln soll. Die ePrivacy-Verordnung würde die ePrivacy-Richtlinie und auch Regelungen des TTDSG ablösen und wäre für die künftige Nutzung von Cookies und ähnlichen Technologien sehr relevant. 

Der aktuelle Entwurf enthält ausdrücklich die Möglichkeit ein „Tracking oder Bezahl-Abo“ als Entscheidungsmodell anzubieten. Außerdem enthält der Entwurf vielfältige Ausnahmen für die Verarbeitung von Kommunikationsdaten sowie für den Zugriff auf bzw. die Speicherung von Informationen im Endgerät ohne Einwilligung. Hierzu zählen etwa Tools für Sicherheitszwecke, für Netzwerkoptimierung, zur Erfüllung eines Vertrags, zu statistischen Zwecken, zur Zielgruppen-Messung und – am weitreichendsten – unter Zugrundlegung einer zulässigen Zweckänderung. 

Der Entwurf des Rats befindet sich aktuell immer noch im Trilog-Verfahren. Welche Regelungen und Ausnahmen es also am Ende in den finalen Entwurf schaffen, ist noch offen. 

Im dynamischen Rechtsgebiet von Cookies und Technologien bleiben Unternehmen mit unserer Beratung auf dem neuesten Stand

Die Rechtslage bei Cookies und Co. ist weiterhin dynamisch, weshalb aktuelle Entwicklungen im Blick behalten werden sollten. Insbesondere § 25 TTDSG und die sich diesbezüglich immer weiter entwickelnden Standpunkte der Behörden sowie die Rechtsprechung der Gerichte haben für alle durch § 25 TTDSG Verpflichteten und datenschutzrechtlich Verantwortlichen hohe Relevanz. Wie lange die Verhandlungen bei der ePrivacy-Verordnung und damit die Einführung einer noch weitergehenden europäischen Harmonisierung noch dauern werden, ist hingegen offen.  

Sofern Cookies und ähnliche Technologien auf Websites und in Apps eingesetzt werden, ist eine kooperative Zusammenarbeit aller relevanten Abteilungen/Bereiche eines Unternehmens, also der IT, dem Marketing und Legal, essenziell. Da sich jede Branche, jedes Unternehmen und jede Website unterscheiden, ist dabei vor allem auch eine einzelfallbasierte Prüfung der Tools sowie eine individuelle Risikoabwägung nötig. 

Gerne unterstützen Sie unsere erfahrenen Anwält:innen beim rechtskonformen Einsatz von Tools auf Websites und in Apps. Wir beraten Sie individuell und prüfen mit Ihnen gemeinsam die Notwendigkeit einer Einwilligung für bestimmte Tools. Außerdem entwickeln wir mit Ihnen die zugehörige Datenschutzerklärung, die über den Einsatz der Tools aufklärt. Sprechen Sie uns an und profitieren Sie von unserer Expertise bei Tracking von Nutzer:innen und dem Einsatz von Cookies!

AI & Data Regulation: datengetriebene Use Cases und KI-Projekte mithilfe von MLOps strategisch planen und umsetzen

Datengetriebene KI-Projekte bieten Unternehmen Möglichkeiten zur Arbeits- und Prozessoptimierung und können einen erheblichen Mehrwert schaffen. Dabei sind jedoch stets technische und regulatorische Anforderungen zu beachten. Um diese Herausforderungen erfolgreich zu meistern, lohnt sich eine vertiefte Auseinandersetzung mit den notwendigen Projektphasen sowie den gesetzlichen Anforderungen. Je nach Use Case und spezifischen Gegebenheiten unterscheiden sich die konkreten Challenges. Um den diversen Herausforderungen zu begegnen, ist das sogenannte Machine Learning Operations (MLOps) ein geeignetes Prozesstool. Die folgenden Ausführungen sollen einen Einblick in den Aufbau und die Durchführung entsprechender datengetriebener Use Cases und KI-Projekte geben und insbesondere darstellen, wie gesetzliche Anforderungen mittels MLOps nachhaltig und innovationsfreundlich umgesetzt werden können.

KI in Unternehmen – Automatisierung und Innovationsförderung

Die Entwicklung und die Nutzung von KI ist vor allem für solche Unternehmen attraktiv, die in Bereichen mit besonders hohem Datenaufkommen tätig sind. Dazu zählen beispielsweise Versicherungen, Banken, Unternehmen aus der Energiewirtschaft oder dem Gesundheitswesen. Vornehmlich das sogenannte Deep Learning, das eine Methode des Machine Learnings ist, kann in Unternehmen gewinnbringend eingesetzt werden. Es kann als die Fähigkeit eines KI-Systems beschrieben werden, datengetriebene Entscheidungen zu treffen oder Outputs zu generieren, indem sie Muster in großen Datensätzen erkennen und extrahieren.

Die Anwendungsbereiche für KI sind dabei sehr groß. Vor allem repetitive Aufgaben können die Algorithmen übernehmen. Die Fähigkeit, große Mengen von Daten zu analysieren und zu verarbeiten, ermöglicht es KI-Systemen außerdem, etwa bei Entscheidungsfindungen zu unterstützen, Prozesse zu automatisieren und bestehende Unternehmensprodukte und -dienste innovativer zu gestalten.

Im Rahmen der Einschätzung, ob und wo im Unternehmen KI sinnvoll eingesetzt werden kann, empfiehlt sich ein KI-Reifegrad Assessment. Dieses kann als Bestandsaufnahme im Hinblick auf das „AI Maturity Level“ eines Unternehmens gesehen werden. Es gibt Aufschluss über den Status Quo in Bezug auf KI in einem Unternehmen und ermöglicht die gesamtheitliche Auseinandersetzung mit dem Thema. So kann dadurch etwa ermittelt werden, wo technische Synergien genutzt werden können und unter Umständen Ressourcen fehlen und benötigt werden.

Herausforderungen bei der Implementierung von KI

Die erfolgreiche Entwicklung und Inbetriebnahme von KI stellt Unternehmen vor eine Reihe von Herausforderungen technisch-organisatorischer und rechtlicher Natur. Als Folge wird ein großer Teil der KI-Systeme, die in Unternehmen entwickelt werden, nie in den Produktivbetrieb überführt. Dies liegt an Komplexitäten, die dem gesamten Lebenszyklus eines Machine Learning KI-Systems innewohnen, der aus vielen verschiedenen Phasen besteht, in die unterschiedliche Stakeholder eingebunden sind. Zu den Phasen zählen etwa die der Datenerfassung, der Datenaufarbeitung, der Modellierung und des Trainings, der Validierung, der Optimierung, der Überwachung, etc. Involvierte Akteure sind beispielsweise Data Scientists, Data Engineers oder Machine Learning Engineers. All diese Prozesse und Beteiligten zu koordinieren und synchronisieren ist eine Aufgabe, an der der Erfolg eines KI-Systems scheitern kann.

Hinzu kommen vielfältige rechtliche Anforderungen, die bei der Entwicklung und im Betrieb eines KI-Systems beachtet werden müssen. Soweit im Rahmen eines KI-Projektes personenbezogene Daten verarbeitet werden, zählen dazu die Vorgaben aus der DSGVO. Unter anderem müssen betroffene Personen bei einer Datenerhebung gem. Art. 13 Abs. 2 lit. f bzw. Art. 14 Abs. 2 lit. g DSGVO über die involvierte Logik einer automatisierten Entscheidungsfindung sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung informiert werden.

Zusätzlich wird im Rahmen der Compliance-konformen KI-Entwicklung zukünftig auch die kommende KI-Verordnung (KI-VO) zu berücksichtigen sein. Die Verordnung wird derzeit von den gesetzgebenden Organen der EU ausgearbeitet und soll einen harmonisierten Rechtsrahmen für die Entwicklung und den Einsatz von KI in der gesamten Union schaffen. Sektorenübergreifend sieht das Gesetz Regelungen vor, die den gesamten Lebenszyklus eines KI-Systems betreffen. Der Umfang der Anforderungen hängt dabei von dem Risiko ab, das von einer KI ausgeht. Beispielsweise sieht der Entwurf zur KI-VO vor, dass Entwickler von KI mit hohem Risiko (Hochrisiko-KI), eine technische Dokumentation erstellen, aus der, ähnlich wie es die DSGVO vorsieht, hervorgeht, wie das System entwickelt wurde und wie es während seines Lebenszyklus funktioniert. Erforderlich ist also, allgemeine Merkmale, Fähigkeiten und Grenzen eines Systems, die verwendeten Algorithmen, Daten, Trainings-, Test- und Validierungsverfahren zu dokumentieren. Außerdem zählen zu den Anforderungen, die die KI-VO an Entwickler von Hochrisiko-KI stellen wird, das Einrichten eines Risikomanagement-Systems, Datengovernance-Verfahren und Vorgaben für die Qualität von Trainings-, Validierungs- und Testdatensätze, Aufzeichnungspflichten, Transparenzpflichten, die Pflicht zur menschlichen Aufsicht, sowie Bestimmungen hinsichtlich Genauigkeit, Robustheit und Cybersicherheit der KI-Systeme. Zu beachten ist dabei, dass der Begriff der Hochrisiko-KI recht weit zu verstehen ist. Beispielsweise zählen nach derzeitigem Stand KI-Systeme dazu, die als Sicherheitskomponenten in der Wasser-, Gas- und Stromversorgung verwendet werden, KI, die in der Personalverwaltung bei der Auswahl, Einstellung, Beförderung oder Kündigung von Mitarbeiter:innen genutzt wird und KI die bei der Entscheidung, ob eine Kranken- oder Lebensversicherung zustande kommt, involviert ist. Auch wenn sich die KI-VO noch in der Verhandlung befindet, sind die kommenden Regelungen in ihren Grundzügen bereits abzusehen und Unternehmen sollten sich aufgrund deren Komplexität und Vielschichtigkeit bereits jetzt darauf vorbereiten.

Abhängig von den Use Cases können zudem verschiedene andere, oftmals branchenspezifische, Gesetze zu berücksichtigen sein. Um Redundanzen zu vermeiden und rechtliche Vorgaben effizient umzusetzen, sollten möglichst Synergieeffekte identifiziert und genutzt werden.

KI-Lebenszyklusverwaltung durch MachineLearningOperations

Die vielfältigen Hürden, die es für die erfolgreiche Implementierung von KI zu bewältigen gilt, lassen sich effektiv mithilfe von MachineLearningOperations abbilden und bewältigen. Es handelt sich dabei um ein technisch-organisatorisches Tool, welches in einem interdisziplinären Ansatz unterschiedliche Stakeholder zusammenbringt, um Machine-Learning-KI effizienter zu entwickeln und ihre Implementierung zu überwachen. Dabei wird auf Prinzipien des Development and Operations (DevOps) zurückgegriffen und diese auf die Besonderheiten des Machine Learning Lifecycles übertragen, um so die Entwicklung, Bereitstellung und Wartung von KI-Modellen zu optimieren. Im Vordergrund steht dabei die Automatisierung von Prozessen, um eine schnellere Markteinführung zu ermöglichen und zu verhindern, dass es nie zum Produktivbetrieb einer KI kommt. Zudem fördern cross-funktionale Teams die Synergie und Effizienz der KI-Projekte. Durch konstantes Monitoring und Feedback-Schleifen können Probleme schnell identifiziert und behoben werden. Zudem können die gesetzlichen Anforderungen durch integrierte Compliance-Prozesse in den verschiedenen Projektphasen allen Beteiligten kommuniziert werden.

Aufgrund der großen Vielfalt an möglichen Use Cases und den variierenden KI-Reifegraden von Unternehmen, lässt sich die Realisierung von KI-Projekten auch mithilfe von MLOps nicht pauschalisieren. Grundsätzlich muss jedes Projekt individuell und den jeweiligen Umständen entsprechend geplant werden. Dabei durchläuft es in der Regel eine Vielzahl von Phasen, die unterschiedlich gewichtet werden. Dennoch lassen sich MLOps-Prozesse in einen iterativen MLOps-Kreislauf einteilen, der im Wesentlichen vier immer wiederkehrende Prozessschritte umfasst. Die Phasen der Entwicklung, der Validierung, des Deployments und des Monitorings von KI-Anwendungen. Die folgenden Ausführungen sollen einen Überblick über die Herausforderungen in den jeweiligen Projektphasen geben. Der Fokus liegt dabei auf der Entwicklungsphase und insbesondere auf den Anforderungen bezüglich der verwendeten Daten.

Entwicklung

Stakeholder in der KI-Entwicklung

Am Anfang der erfolgreichen KI-Entwicklung sollten die Rollen der involvierten Stakeholder definiert und Schlüsselfunktionen festgelegt werden. Data Engineers übernehmen die Datenbeschaffung und -bereinigung, zudem schaffen sie die Dateninfrastruktur, mit der im Anschluss gearbeitet wird. Mithilfe dessen erschaffen Data Scientists statistische Modelle, die Unternehmen helfen, aus ihren Daten Erkenntnisse zu gewinnen und Vorhersagen zu treffen und die KI-Modelle zu trainieren. Software-Engineers unterstützen dabei, die Machine-Learning-Pipelines zu optimieren. DevOps-Teams garantieren mittels Continous Integration und Deployment einen störungsfreien KI-Betrieb und sind für das Monitoring der Systeme zuständig. In jeder Projektphase sollten zudem juristische Consultants involviert sein, da in allen Schritten variierende gesetzliche Anforderungen zu beachten sind. Außerdem sieht der Entwurf zur KI-VO vor, dass ein Hochrisiko-KI-System während der gesamten Dauer seiner Verwendung menschlich beaufsichtigt werden kann. Es gilt daher entsprechenden Personen diese Aufsicht zu übertragen und unter anderem sicherzustellen, dass sie die Funktionsweise des Systems gänzlich verstehen, die Arbeitsergebnisse richtig interpretieren können und stets in der Lage sind, den Betrieb der KI mittels einer „Stopptaste“ zu unterbrechen.

Inventur und nutzerzentrierte Planung

Zu Beginn der Entwicklungsphase erfolgt zudem das Design eines KI-Modells. Im Rahmen dessen sollte zunächst eine Inventur der analogen und digitalen Verhältnisse eines Unternehmens angefertigt werden. So können Schlüsselpotenziale, Entwicklungs-Assets und auch etwaige projekthindernde Missstände identifiziert werden. Zudem sollte eine KI-Reifegradmessung mittels Data Flow Mapping vorgenommen werden, um die bestehende Datenlandschaft des Unternehmens realitätsgetreu abzubilden und zukünftige Chancen daraus korrekt ableiten zu können. Um hieraus Use Cases zu konzipieren, empfiehlt sich die Anfertigung einer „Analytical Roadmap“ aus den im Rahmen des vorstehenden Prozesses erhobenen Informationen, sowie das nachgelagerte Erstellen von Checklisten, um die notwendigen Aufgaben zur Zielerreichung zu definieren. Zudem sollte bereits in dieser Planungsphase ein iteratives, nutzerzentriertes Vorgehen vereinbart werden, da nur durch die stetige Beteiligung und den damit einhergehenden Meinungsinput der Anwender:innen praxistaugliche KI-Lösungen gefunden werden können. Strikt zu vermeiden sind finale Releases, d. h. die Auslieferung eines vermeintlich finalen Produkts zur Freigabe ohne Beteiligung der finalen Nutzer:innen oder anderer Stakeholder, wodurch entweder die Anwender:innen die KI-Lösung aufgrund mangelnden Wissens oder Überforderung nur schlecht oder gar nicht nutzen können oder es zu Compliance-Verstößen kommt, die in Mehraufwand durch die notwendige Überarbeitung des bisherigen Produkts resultieren.

Trainingsdaten und technische Hürden

Eine besonders wichtige Rolle spielen in der Entwicklungsphase die Trainingsdaten eines KI-Systems. In gewisser Weise können sie als das Fundament oder der Werkstoff des jeweiligen KI-Systems bezeichnet werden. Ihre Verarbeitung geht jedoch mit vielfältigen technischen wie auch rechtlichen Faktoren einher, die es zu berücksichtigen gilt. Auf technischer Seite stellt sich zunächst das Problem, dass viele Unternehmen gar nicht in der Lage sind, den Datenschatz zu heben, der oftmals fragmentarisch über mehrere Systeme und Server verteilt liegt. Derartige Datensilos gilt es in unternehmensweiten Datenplattformen zu konsolidieren und die Daten damit verfügbar zu machen. Etwa ein Data Lake als Single Source of Truth ermöglicht ein regelmäßiges Neu- und Nachtrainieren von KI-Modellen. Wichtig ist es, Release-Kriterien zu definieren, um im entsprechenden Zeitpunkt auf die erforderlichen Datensätze zugreifen zu können. Beim Training des KI-Systems ist zudem darauf zu achten sowohl Datenhypertrophie als auch Overfitting zu vermeiden. Das bedeutet, dass die Trainingsdatensätze weder zu groß noch zu klein sein sollten, da es andernfalls zur Funktionsunfähigkeit der KI oder zu inadäquaten Ergebnissen kommen kann.

Das könnte Sie auch interessieren:

• EU-Datenregulierung für Unternehmen: Ein umfassender Überblick
• Aktuelles zur KI-VO: Logbuch zur geplanten Verordnung
• Künstliche Intelligenz: Überblick und Ausblick auf die KI-Verordnung
• Whitepaper: Die KI-Verordnung kommt

Rechtliche Vorgaben für Trainingsdaten

Die rechtlichen Vorgaben, die im Zusammenhang mit KI-Trainingsdaten zu berücksichtigen sind, lassen sich im Rahmen eines „Regulatory Mappings“ identifizieren und zusammenfassen. Eine entscheidende Rolle bei der Umsetzung von KI-Projekten spielt fast immer die DSGVO. Denn sofern für die KI personenbezogene Daten verarbeitet werden, sind die Anforderungen der DSGVO einzuhalten. Allein durch die notwendigen Schritte der Datenbeschaffung und des Trainings der KI besteht dabei das Risiko, dass personenbezogene Daten ohne ausreichende datenschutzrechtliche Grundlage verarbeitet werden. Dies wird dadurch verschärft, dass eine Extraktion und Löschung von einmal in die KI eintrainierten Daten bislang nur schwer bis gar nicht möglich ist. Insbesondere vor dem Hintergrund der Umsetzung der Betroffenenrechte aus Art. 15 ff. DSGVO kann sich dies als problematisch erweisen. Daher sollten personenbezogene Daten, soweit möglich, bereits während der Aufbereitung der Trainingsdaten anonymisiert werden. Eine solche Aufbereitung wird im Regelfall notwendig, um die Qualität der Syntax und Semantik der Daten bezüglich ihrer Richtigkeit zu gewährleisten. Auch auf die Einhaltung der Grundsätze der Zweckbindung, Integrität und Vertraulichkeit, Datenminimierung und Richtigkeit bezüglich personenbezogener Daten aus Art. 5 DSGVO ist zu achten. Weiter empfiehlt es sich bereits während des Designs der KI automatisierte Prozesse zur Dokumentation zu schaffen und dem Privacy-by-Design-Grundsatz aus Art. 25 Abs. 1 DSGVO von Anfang an ausreichende Beachtung zu schenken. So sollten unter Zugrundelegung der späteren Anwendungsgebiete der KI im Betrieb bereits bei der Konzeption angemessene Zugriffsberechtigungen und Möglichkeiten zur Umsetzung von Betroffenenrechten geschaffen werden.

Der Entwurf zur KI-VO (KI-VO-E) sieht dezidierte Regelungen für Trainings-, sowie Test und Validierungsdatensätze vor. Nach Art. 10 Abs. 2 KI-VO-E sollten für diese geeignete Daten-Governance- und Datenverwaltungsverfahren implementiert werden. Diese Verfahren betreffen beispielsweise einschlägige konzeptionelle Entscheidungen oder die Überprüfung auf mögliche Verzerrungen. In Art. 10 Abs. 3 und 4 KI-VO werden konkrete Qualitätsanforderungen für die umfassten Datensätze vorgegeben. Danach müssen diese beispielsweise relevant, repräsentativ, fehlerfrei und vollständig sein. Da derartig absolute Kriterien in der Praxis nahezu unmöglich umzusetzen sind, wird sich im derzeit stattfindenden Trilog wahrscheinlich die flexiblere Parlamentsversion durchsetzen, nach der die Datensätze relevant, hinreichend repräsentativ und angemessen auf Fehler überprüft und im Hinblick auf den beabsichtigten Zweck so vollständig wie möglich sein müssen. Dennoch wird die Umsetzung der Regelung in der Praxis durchaus anspruchsvoll sein.

Validierung

In der Validierungsphase wird ein KI-System darauf überprüft, ob es Arbeitsergebnisse erzielt, die zum Erreichen der gesetzten Ziele geeignet sind. Es wird also sichergestellt, dass ein Modell so funktioniert wie es soll. Dabei kommen Validierungsdaten zum Einsatz, für die im Wesentlichen die gleichen Anforderungen gelten wie für Trainingsdaten.

Deployment

Im Anschluss an die Validierung wird das KI-System in den Produktivbetrieb überführt. Die KI wird also in einer realen Umgebung oder Anwendung implementiert, für die sie bestimmt wurde. Im Rahmen der Transparenzpflichten aus dem KI-VO-E ist dabei zu beachten, dass für ein Hochrisiko-System stets eine digitale Gebrauchsanleitung zur Verfügung gestellt werden muss, die präzise, vollständige, korrekte und eindeutige Informationen in einer für die Nutzer relevanten, barrierefrei zugänglichen und verständlichen Form enthält.

Monitoring

Nach der Produktivstellung gilt es ein KI-Modell in einem iterativen Prozess kontinuierlich zu überwachen. Im Rahmen dessen gilt es auch während des Betriebes eines KI-Systems zukünftig eine Reihe an Anforderungen aus der kommenden KI-VO zu beachten. Beispielsweise gilt es für Hochrisiko-KI ein Risikomanagementsystem einzurichten und während des gesamten Lebenszyklus der KI aufrechtzuerhalten. Für Systeme mit geringerem Risiko gelten beispielsweise gewisse Transparenzpflichten. Arbeitet die KI mit personenbezogenen Daten, sind auch hier die Vorgaben aus der DSGVO zu beachten.

Fazit

Die Planung und Durchführung komplexer datengetriebener KI-Projekte ist auf vielen Ebenen eine Herausforderung. Um den Projekterfolg sicherzustellen und nachhaltige Erfolge zu erzielen, sollten Unternehmen daher planvoll vorgehen und frühzeitig eine klare Projektstruktur festlegen. Dabei sollten die regulatorischen Anforderungen stets im Blick behalten werden. MLOps kann in diesem Rahmen als Management-Tool für den gesamten Lebenszyklus eines KI-Modells eine große Hilfe darstellen. Die MLOps-Methode ermöglicht die interdisziplinäre Kommunikation und Koordination im Umgang mit den vielfältigen Hürden bei der KI-Entwicklung und Inbetriebnahme. Zudem lassen sich die Systeme damit effizient skalieren und es kann sichergestellt werden, dass die erwarteten Ergebnisse geliefert werden.

Profitieren Sie von unserer Erfahrung bei der Realisierung von KI-Projekten. Gemeinsam verwandeln wir technische und regulatorische Herausforderungen in zukunftsweisende Chancen für Ihr Unternehmen. Unsere Expertinnen und Experten verhelfen Ihrem KI-Projekt zu einem langfristigen Erfolg.

Influencer Marketing: rechtliche Heraus­forderungen und To-dos

Längst ist das Influencer-Marketing zu einer bewährten Form der digitalen Werbung für Unternehmen geworden. Waren und Dienstleistungen werden auf Online-Plattformen wie Instagram, YouTube und Co. mithilfe von einflussreichen Influencern beworben. Viele Follower, hoher Absatz, das ist die Devise. Doch so etabliert das Influencer-Marketing mittlerweile ist – noch immer stellen seine rechtlichen Risiken die Influencer und werbende Unternehmen vor Herausforderungen. Dabei geht es im Kern um die Frage, wann Werbeposts zulässig und wo die Grenze zur Schleichwerbung überschritten wird. Insofern müssen sich Unternehmen, die mit Influencern zusammenarbeiten, auch ausreichend vertraglich absichern. In den vergangenen Jahren ist das Influencer-Marketing mehrfach bis zum BGH vorgedrungen, der hierzu sukzessive Grundsatzentscheidungen getroffen hat. Wir geben einen Überblick über die derzeitigen Rechtsprechungen, skizzieren, wann und wie werbende Beiträge danach kennzeichnen sind und worauf Unternehmen achten müssen, um Haftungsrisiken zu vermeiden.

Influencer-Marketing und Schleichwerbung: Herausforderungen bei werbenden Posts und ihre Auswirkungen auf das Kaufverhalten

Ob Posts über Himbeer-Marmelade, Ohrringe oder E-Books. Ihren Ausgang nahmen alle Entscheidungen des BGH auf den Instagram-Kanälen von Influencerinnen mit großer Reichweite. In allen Fällen hatten die Beklagten auf Bildern Produkte oder Dienstleistungen präsentiert, oftmals mit kurzen Begleittexten und sog. „Tap-Tags“ versehen. Mithilfe von „Tap-Tags“ erscheinen auf den Bildern die entsprechenden Firmen oder Marken der Produkthersteller bzw. -anbieter. Klicken die Nutzer:innen den entsprechenden „Tap-Tag“ an, werden sie direkt auf die Instagram-Profile der jeweiligen Unternehmen weitergeleitet. In verschieden Verfahren warfen klagebefugte Verbände den Beklagten Schleichwerbung vor und machten Unterlassungs- bzw. Kostenerstattungsansprüche geltend.

Die Macht der Influencer: Wie Werbeposts das Kaufverhalten beeinflussen und die Gefahr der Schleichwerbung

Hintergrund: Mit ihrer Reichweite sind Influencer:innen in der Lage, das Kaufverhalten bzw. persönliche Kaufentscheidungen ganzer Nutzergruppen entscheidend zu beeinflussen. Das gilt besonders für Minderjährige bzw. junge Menschen, die die sozialen Medien intensiv nutzen und die Aktivitäten der Influencer:innen in den sozialen Medien tagtäglich verfolgen. Bei werbenden Posts kann jedoch mitunter fälschlicherweise der Eindruck entstehen, dass es sich um persönliche Empfehlung des Influencers basierend auf seiner eigenen Überzeugung von dem Produkt handelt. Das kann Follower:innen bei der Kaufentscheidung in die Irre führen. Die Rede ist dann von unzulässiger Schleichwerbung.

Transparenz und rechtliche Vorgaben: Die Bedeutung von UWG, MStV und TMG im Influencer-Marketing

Den rechtlichen Rahmen bilden hierbei das UWG (Gesetz gegen den unlauteren Wettbewerb), der MStV (Medienstaatsvertrag) und das TMG (Telemediengesetz). Um größere Transparenz für die Verbraucher:innen zu gewährleisten, ist der Gesetzgeber durch Schaffung eines neuen Unlauterkeitstatbestands tätig geworden. Ausgangspunkt ist die im Mai 2022 in Kraft getretene Neufassung von § 5a Abs. 4 UWG, der die Irreführung durch Unterlassen regelt. Unlauter handelt demnach, wer den kommerziellen Zweck einer geschäftlichen Handlung nicht kenntlich macht, sofern sich dieser nicht unmittelbar ergibt, und das Nichtkenntlichmachen geeignet ist, den Verbraucher zu einer geschäftlichen Handlung zu veranlassen, die er andernfalls nicht getroffen hätte. Ziel der Regelung ist vor allem das Verbot der Vermischung von redaktionellen und werbenden Inhalten (sog. Trennungsgrundsatz). Derselbe Rechtsgedanke liegt auch anderen rechtlichen Regelungen zugrunde. So ist in § 8 Abs. 3 MStV niedergelegt, dass Werbung als solche leicht erkennbar und vom redaktionellen Inhalt unterscheidbar sein muss. Ebenso schreibt § 6 Abs. 1 Nr. 1 TMG fest, dass kommerzielle Kommunikation klar erkennbar sein muss.

Wann ist Influencer-Marketing als Werbung zu kennzeichnen? Klarheit und Transparenz im Hinblick auf kommerzielle Zwecke

Schon beim ersten Lesen der Regelungen wird klar: Werden im Rahmen von Postings keine kommerziellen Zwecke verfolgt – weder zugunsten des eigenen noch eines fremden Unternehmens –, spielt die Kennzeichnungspflicht keine Rolle. Doch wann kommerzielle Zwecke verfolgt werden und wann nicht, ist gerade im Bereich Influencer-Marketing nicht immer vollständig klar. Ruft man sich in Erinnerung, dass der Schwerpunkt der Vorwerfbarkeit in § 5a Abs. 4 UWG ein Unterlassen ist – das Unterlassen des Kenntlichmachens des werbenden Charakters – so wird deutlich, womit Influencer und Unternehmen dem Tatbestand der Schleichwerbung im Zweifel wirksam aus dem Weg gehen können: Mit einer Kennzeichnung ihrer Produktplatzierung als Werbung.

Kennzeichnungspflicht im Influencer-Marketing: Wann besteht eine Ausnahme und wann gilt der kommerzielle Zweck als unmittelbar erkennbar?

Gleichwohl gibt es Fälle, in denen eine solche Kennzeichnungspflicht erst gar nicht besteht – das hat auch der BGH im Rahmen seiner Rechtsprechung der letzten Jahre bestätigt. Aus dem Wortlaut von § 5a Abs. 4 UWG geht hervor, dass eine Kennzeichnungspflicht dann nicht gegeben ist, wenn der kommerzielle Zweck sich bereits unmittelbar aus den Umständen ergibt. Was bedeutet das? In einer der erwähnten höchstrichterlichen Entscheidungen aus dem Jahr 2021 befasste sich der BGH mit Social-Media-Beiträgen der Bloggerin Leonie Hanne (BGH, Urt. v. 9.9.2021 – I ZR 125/20 – Influencer II). Ihr Instagram-Konto war verifiziert und mit einem blauen Häkchen gekennzeichnet. In ihren Beiträgen verwendete sie „Tap Tags“, die nach der Bewertung der Richter zwar geschäftliche Handlungen darstellten. Den kommerziellen Zweck der „Tap Tags“ sah der BGH hier jedoch unmittelbar aus den Umständen gegeben. Hierbei legten die Richter z.B. die überwiegend kommerzielle Nutzung des Accounts oder die Anzahl der Follower:innen zugrunde. Der BGH nahm an, dass bei 1,7 Millionen Follower:innen für jeden erkennbar von einem kommerziellen Kontext auszugehen sei. Allgemeingültige Angaben, ab welcher Größe ein Kanal gemeinhin als werblich gilt, ließen sich die Bundesrichter jedoch nicht entlocken. Damit kommt es immer auf die Umstände des Einzelfalls an.

Kennzeichnungspflicht bei entgeltlichen Werbeposts: Ein Fallbeispiel und die Bedeutung der erkennbaren kommerziellen Zwecke

Doch Vorsicht: In dem soeben geschilderten Fall gab es keine Gegenleistung von dem entsprechenden Unternehmen. Sobald der Influencer/die Influencerin für den Post jedoch ein Entgelt oder eine andere Gegenleistung erhält, muss der Beitrag als Werbung gekennzeichnet werden. So verhielt es sich im Fall von Luisa-Maxima-Huss (BGH, Urt. v. 9.9.2021 – I ZR 90/20 – Influencer I). Die Fitness-Influencerin hatte mittels „Tap Tags“ für eine „Raspberry Jam“ geworben und hierfür ein Entgelt erhalten. Nach den Würdigungen des BGH sowie der Vorinstanzen komme es insoweit nicht darauf an, ob die Verbraucher erkennen, dass die Beklagte mit der Veröffentlichung von Beiträgen auf ihrem Instagram-Profil zugunsten ihres eigenen Unternehmens handelt. Vielmehr müsse für die Verbraucher erkennbar sein, dass der Zweck des Beitrags in der Förderung eines fremden Unternehmens bestehe. Denn das Nichtkenntlichmachen des kommerziellen Zwecks eines solchen mit „Tap Tags“ und Verlinkungen versehenen Beitrags sei regelmäßig geeignet, den Verbraucher zu einer geschäftlichen Entscheidung (dem Anklicken des auf das Instagram-Profil des Herstellers führenden Links) zu veranlassen, die er andernfalls nicht getroffen hätte.

Gesetzliche Anpassungen im Influencer-Marketing: Klarstellung des kommerziellen Zwecks und die Definition von Entgelt und Gegenleistung gemäß UWG-Novelle

Die zunehmende gerichtliche Relevanz des Influencer-Marketings hat schließlich auch den Bundestag und Bundesrat veranlasst, die gesetzlichen Rahmenbedingungen entsprechend anzupassen. Mit der Novelle des UWG wurde weiter konkretisiert, wann bei einer Handlung zugunsten eines fremden Unternehmens ein kommerzieller Zweck vorliegt. Nach dem neuen § 5a Abs. 4 S. 2 UWG ist dies der Fall, wenn der Handelnde, also der Influencer, ein Entgelt oder eine ähnliche Gegenleistung für die Handlung von dem fremden Unternehmer erhält oder sich versprechen lässt. Die Gesetzesbegründung geht in den folgenden Fällen von einem Entgelt oder einer Gegenleistung aus (s. Gesetzesbegründung, S. 35):

• Entgelt in Form einer unmittelbaren Vergütung (=Geldzahlungen)
• Provisionen
• Produkte, die vom fremden Unternehmen zugesandt wurden und der Handelnde nutzen oder behalten darf
• Pressereisen
• Zurverfügungstellung von Ausrüstung (z.B. Fotografie- und Video-Aufnahme-Technik)
• Kostenübernahmen für Reisen oder den Erwerb von Ausrüstung.

Gegenleistung im Influencer-Marketing: Klarstellung und Abgrenzung von bloßer Bekanntheitssteigerung und veranlasster Gegenleistung gemäß gesetzlichen Vorgaben

Nicht als Gegenleistung gewertet werden kann hingegen die bloße Steigerung der eigenen Bekanntheit der Influencer:innen durch solche Handlungen. Der Gesetzgeber führt zur Gegenleistung weiter aus, dass sie auch vorübergehender Natur sein kann und nicht in unmittelbarem zeitlichem Zusammenhang erfolgen muss. Allein die Hoffnung auf Erhalt einer Gegenleistung reicht jedoch nicht aus. Weiter muss die Gegenleistung von dem Unternehmer veranlasst worden sein, zugunsten dessen die Handlung erfolgt. Sollte die Gegenleistung über beauftragte Dritte wie zum Beispiel eine Agentur gewährt werden, ist dies dem Unternehmer nach allgemeinen Grundsätzen zuzurechnen. Eine nicht durch den Unternehmer veranlasste Gegenleistung durch unabhängige Dritte wird dagegen nicht erfasst.

Empfehlungen ohne finanziellen Gewinn: Ausnahmen vom Unlauterkeitstatbestand im Influencer-Marketing gemäß neuer gesetzlicher Regelung

Deutlich wird aus der neuen Vorschrift und der entsprechenden Begründung schließlich auch: Handlungen, die ausschließlich zur Förderung von fremden Unternehmen führen, unterfallen dem neuen Unlauterkeitstatbestand nicht. Die neue Regelung soll, so der Gesetzgeber, insbesondere einen sicheren Rechtsrahmen für Handlungen von Influencerinnen und Influencer:innen bieten, wenn diese Waren und Dienstleistungen anderer Unternehmen empfehlen, ohne davon selbst unmittelbar finanziell zu profitieren. Für solche Handlungen erscheint es nach den Wertungen des Gesetzgebers unangemessen, eine Kennzeichnung als „kommerziell“ zu verlangen.

Befreiung von der Kennzeichnungspflicht: Glaubhaftmachung fehlender Gegenleistung im Influencer-Marketing gemäß § 5 Abs. 4 S. 3 UWG

Doch was, wenn tatsächlich keine Gegenleistung vorliegt? Auch wenn das in vielen Fällen nicht zutreffen mag, wird von Gesetzes wegen vermutet, dass die Handelnden bzw. Influencer:innen bei einem werbenden Post eine Gegenleistung erhalten oder versprochen bekommen haben (vgl. § 5 Abs. 4 S. 3 UWG). Im Streitfall, z.B. im Falle einer gegen die Influencer gerichteten Abmahnung, müssen diese also glaubhaft machen, dass sie für den Werbepost nichts erhalten oder versprochen bekommen haben. Eine solche Glaubhaftmachung kann zum Beispiel durch Quittung über den Kauf des erwähnten Produkts oder eine Bestätigung des Unternehmers erbracht werden, dass keine Gegenleistung für die Äußerung erfolgt ist. Als Mittel der Glaubhaftmachung kommt daneben eine eidesstattliche Versicherung in Betracht. Wer also beweisen kann, dass keine Gegenleistung für einen Post oder einen Beitrag für ein fremdes Unternehmen erbracht wurde, ist von der Kennzeichnungspflicht als Werbung befreit.

BGH-Entscheidung zum Influencer-Marketing: Kennzeichnungspflicht bei erhaltener Gratisware?

Im Januar 2022 hat der BGH seine Rechtsprechung zum Influencer-Marketing und speziell zur Frage erhaltener Gegenleistungen fortentwickelt. Worum konkret ging es? Diana zur Löwen, eine Mode- und Lifestyle-Influencern, postete auf ihrem Instagram-Kanal 2019 unter anderem Bilder von Ohrringen und Kleidung. Der Ohrschmuck wurde ihr von dem Hersteller geschenkt, die Kleidung hingegen hatte sie selbst erworben, ein Entgelt erhielt sie nicht. Auch sie nutzte sog. „Tap Tags“, kennzeichnete den Post allerdings nicht als Werbung. Bereits 2018 war sie wegen eines solchen Posts abgemahnt worden und hatte auch eine entsprechende Unterlassungserklärung abgegeben. Nun klagte der klagebefugte Verband nicht nur auf Unterlassung, sondern auch die Zahlung einer Vertragsstrafe in Höhe von rund 10.000 Euro. Es ging vor dem ersten Zivilsenat also um die Frage, ob ein werbender Post auch dann kennzeichnungspflichtig ist, wenn die Ware kostenlos zur Verfügung gestellt wird.

BGH-Entscheidung bestätigt: Kostenlose Produktüberlassung erfordert Kennzeichnungspflicht

Laut BGH sind entsprechende Beiträge kennzeichnungspflichtig (BGH, Urt. v. 13.1.2022 – I ZR 35/21 – Influencer III). Zumindest mit Blick auf die Ohrringe hätte die Influencerin den Beitrag als Werbung ausweisen müssen. Konkret führt die Richter in ihrer Entscheidung aus, dass unter einem Entgelt oder einer ähnlichen Gegenleistung gemäß § 2 Abs. 2 Nr. 7 MStV neben Geld- oder Sachleistungen jede geldwerte Gegenleistung zu verstehen sei – und eine solche liege auch dann vor, wenn zwar keine Geldzahlung geleistet, aber das beworbene Produkt von dem Unternehmen zur Verfügung gestellt bzw. geschenkt wurde. Die Präsentation der selbst erworbenen Kleidung hingegen stelle weder eine kommerzielle Kommunikation im Sinne des TMG noch Werbung im Sinne des Rundfunkstaatsvertrags dar. Die entsprechenden spezialgesetzlichen Vorschriften bestimmen laut BGH auch die Einordnung, ob ein Verhalten „unlauter“ im Sinne des § 5a Abs. 6 UWG ist.
Diese Rechtsprechung wurde jüngst vom OLG Frankfurt am Main aufgegriffen (Urt. v. 19.05.2022, Az. 6 U 56/21). In dieser Entscheidung zum Influencer-Marketing ging es um werbende Posts für kostenlos überlassene E-Books. Auch hier kamen die Richter zu dem Schluss, dass es sich um eine Gegenleistung handelte und ein Verstoß gegen § 5a Abs. 6 (a.F.) UWG vorlag.

BGH und OLG Frankfurt: Überschwänglich werbliche Beiträge erfordern Kennzeichnungspflicht

Eine geschäftliche Handlung zugunsten eines fremden Unternehmens kann – abgesehen von dem hier bereits ausführlich behandelten Fall, dass die Influencerin/der Influencer dafür eine Gegenleistung erhält – übrigens auch dann vorliegen, wenn der Beitrag nach seinem Gesamteindruck übertrieben werblich ist. Der BGH geht von einem sog. werblichen Überschuss aus, wenn der Beitrag „ohne jede kritische Distanz allein die Vorzüge eines Produkts dieses Unternehmens in einer Weise lobend hervorhebt, dass die Darstellung den Rahmen einer sachlich veranlassten Information verlässt.“ Einen solchen „geradezu prototypische[n] Fall des werblichen Überschusses“ nahm das OLG Frankfurt beispielsweise auch in dem zuvor erwähnten Fall der Influencerin an, die auf Instagram E-Books präsentierte. Obwohl sie sich mit dem Inhalt der E-Books identifiziere, finde weder eine Einordnung noch eine inhaltliche Auseinandersetzung oder Bewertung der beworbenen E-Books statt. Stattdessen wurde lediglich der außergewöhnlich hohen Rabattpreis der E-Books herausgestellt. Eine solche Förderung des Absatzes von Drittunternehmen sei gemäß § 5 a Abs. 6 (a.F.) UWG unlauter, so das OLG Frankfurt.

Eigenwerbung und Kennzeichnungspflicht: Der Zusammenhang zwischen Posts und dem Absatz von Produkten

Auch wenn der Fokus der Gerichte bisher vor allem auf der Förderung eines fremden Unternehmens lag, darf nicht übersehen werden, dass eine Kennzeichnungspflicht auch in Betracht kommt, wenn der Zweck allein in der Förderung des eigenen Unternehmens liegt.

Denn auch Eigenwerbung ist grundsätzlich kennzeichnungspflichtig, wenn sie anders nicht erkennbar ist. Die Frage, ob eine Handlung zugunsten des eigenen Unternehmens vorliegt, hängt deswegen nicht allein von dem Erhalt eines Entgelts ab. Der Begründung zur Reform des UWG zufolge muss demnach berücksichtigt werden, ob ein unmittelbarer Zusammenhang zwischen dem Post und dem Absatz von Produkten und Dienstleistungen vorliegt. Der Gesetzgeber geht dabei davon aus, dass Influencerinnen und Influencer insofern einzuschätzen sein könnten wie Medienunternehmen, die sich regelmäßig auch über Werbeeinnahmen finanzieren und für ihre Auftraggeber auch dann besonders attraktiv sind, wenn sie viele Menschen erreichen.

Gewusst wie: rechtssichere Kennzeichnungspflichten für Posts

Nach alldem stellt sich schließlich die Frage, wie kennzeichnungspflichte Posts so ausgestaltet werden, dass sie rechtssicher sind und einer gerichtlichen Überprüfung im Zweifel standhalten. Das oberste Gebot lautet dabei – der kommerzielle Zweck muss klar und eindeutig auf den ersten Blick erkennbar sein. Die Gerichte haben im Zuge ihrer Befassung hierzu Hinweise gegeben, die sich folgendermaßen zusammenfassen lassen:

Die Form der Kennzeichnung hängt von der Form des Beitrags ab. Die häufigste Form des Posts ist das Teilen von Fotos und Bildern. Eine generelle Kennzeichnung im Profil reicht nicht aus, um eine Kennzeichnungspflicht des Posts zu umgehen. Empfehlenswert ist die Verwendung von Begriffen wie „Werbung“ und „Anzeige“ zu Beginn des Posts mit Sternchen oder durch eine Hervorhebung des restlichen Textes. Der Hinweis sollte nicht in einer Fremdsprache oder zwischen anderen Wort- bzw. Textpassagen stehen, da dies eine leichte Erkennbarkeit verhindert. Hashtags „#ad“ und „#sponsererdby“ wurden von den Gerichten bisher als unzureichend erachtet, auch wenn die englische Sprache aus den sozialen Medien nicht wegzudenken ist. Eine Kennzeichnung im Bild ist theoretisch möglich. Jedoch müsste die Kennzeichnung von der Farbe und Größe hervorstechen und schnell erkennbar im Bild positioniert werden. Die Verwendung von Branded Content Tools ersetzen eine selbstständige Prüfung oder Kennzeichnung nicht. Auch dort muss auf die leichte sprachliche Verständlichkeit abgestellt werden. Sie können hilfestellend genutzt werden, aber sie ersetzen eine selbstständige Prüfung nicht. Hilfreich kann auch der Leitfaden „Werbekennzeichnung bei Online-Medien“ der Landesmedienanstalten sein, der die jüngsten Entscheidungen des BGH berücksichtigt.

Kennzeichnungspflicht in Videos und Livestreams: Dauerhafte und eindeutige Kennzeichnung

Bei Videos und Livestreams, z.B. bei YouTube, ist zu empfehlen, dass der Hinweis durch ein Wasserzeichen dauerhaft während des ganzen Videos erkennbar ist. Auch hier ist ein allgemeiner Hinweis im Profil nicht ausreichend. Denn die mündliche Erwähnung im Video gewährleistet bei Stummschaltung des Endgeräts oder Autoplay ohne Ton nicht mit absoluter Sicherheit die Erkennbarkeit als geschäftliche Handlung. Dies kann durch Tools der jeweiligen Anbieter erfolgen oder mit Hilfe von Videobearbeitungsprogrammen. Vor allem beim Livestream ist dies zu empfehlen. Denn es kann nicht sicher festgestellt werden, zu welchem Zeitpunkt der Follower/die Followerin dazustößt. Im Rahmen von Livestreams muss auch darauf geachtet werden, dass ggf. eine Rundfunklizenz von den zuständigen Landesmedienanstalten beantragt und erteilt wurde. Dies richtet sich nach dem TMG und dem RStV. Bei Storys und ähnlichen Medien, bei denen Videos nach einer gewissen Zeit verschwinden, unterscheidet sich die Kennzeichnung nicht von den zuvor erwähnten Videos und Livestreams. Sollten jedoch mehrere Storys hintereinander als „Kette“ verbreitet werden, sollte darauf geachtet werden, dass jedes einzelne Element eine eigene Kennzeichnung enthält.

Rechtliche Konsequenzen und Vertragsgestaltung im Influencer-Marketing: Kennzeichnungspflicht und Haftungsrisiken

Fehlende oder fehlerhafte Ausweisung von werbenden Postings können nicht nur Unterlassungs- und Kostenerstattungsansprüche, sondern auch Bußgelder nach sich ziehen. Im November 2022 hatte die Landesanstalt für Kommunikation Baden-Württemberg (LFK) im Rahmen eines Ordnungswidrigkeitenverfahrens erstinstanzlich erwirkt, dass eine Influencerin wegen Verstößen gegen die Pflicht zur Werbekennzeichnung nach dem Medienstaatsvertrag ein Bußgeld in Höhe von 9500 Euro zahlen muss. Vor diesem Hintergrund ist das Thema mit erhöhter Aufmerksamkeit zu behandeln. Mit der Rechtsprechung des BGH und der Novelle des UWG zeichnet sich nach und nach eine klarere Linie zur Kennzeichnungspflicht im Influencer-Marketing ab. Eine vollständige Rechtssicherheit ist Influencer:innen und kooperierenden Unternehmen allerdings nicht garantiert, da jedenfalls die Bewertung bestimmter Fragen von Kriterien abhängt, die sich nach den Umständen im Einzelfall richten.

Kennzeichnungspflicht für Influencer:innen bei entgeltlicher und kostenloser Zusammenarbeit

Influencer:innen können von einer Kennzeichnungspflicht nach dem derzeitigen Stand aber immer dann ausgehen, wenn sie dafür von einem kooperierenden Unternehmen ein Entgelt erhalten. Auch wenn die zu bewerbenden Produkte oder Dienstleistung kostenlos zur Verfügung gestellt werden, ist unbedingt an die klar erkennbare Kennzeichnung zu denken. Ist dies nicht der Fall (etwa, weil das Produkt selbst gekauft wurde), sollte ein entsprechender Nachweis zu Beweiszwecken unbedingt aufbewahrt werden. Auf eine Kennzeichnung kann nur verzichtet werden, wenn kein sog. werblicher Überschuss vorliegt und sich der kommerzielle Zweck aus den Umständen ergibt. Followerstarke Influencer:innen mit großer Reichweite sollten davon im Zweifelsfall allerdings nicht ausgehen.

Das könnte Sie auch interessieren:

• Unsere Beratungskompetenz im Marketing-, Vertriebs-, und Wettbewerbsrecht
• E-Mail-Marketing ohne Einwilligung – was ist erlaubt?
• Wir beraten im Urheber- und Medienrecht

Haftungsrisiken bei Verstößen gegen die Kennzeichnungspflicht: Influencer:innen, Unternehmen und Agenturen im Fokus

Bei Verstößen gegen die Kennzeichnungspflicht oder sonstigen Wettbewerbsverstößen werden häufig zuerst die handelnden Influencer:innen zur Verantwortung gezogen. Es ist aber auch ein Vorgehen gegen die kooperierenden Unternehmen oder die den Influencer betreuenden Agenturen denkbar. Für diese besteht daher ebenfalls ein nicht unerhebliches Haftungsrisiko. Dieses kann sich z.B. aus der Teilnehmerhaftung ergeben. Dafür müsste das Unternehmen oder die Agentur Anstifter oder Gehilfe sein und vorsätzlich gehandelt haben. Des Weiteren kommt selbst ohne Wissen und Wollen hinsichtlich der Handlungen der Influencer eine Inanspruchnahme nach den Grundsätzen der Beauftragtenhaftung nach § 8 Abs. 2 UWG in Betracht.

Rechtssichere Verträge mit Influencer:innen: Minimierung von Konflikten und Haftungsrisiken

Verträge mit Influencer:innen sollten daher rechtssicher und transparent ausgestaltet werden, um die Gefahr potenzieller Konflikte und Haftungsrisiken zu minimieren. Insbesondere ist im Rahmen der Leistungspflichten eine konkrete Vereinbarung über die Kennzeichnungspflicht aufzunehmen. Zudem sollte die Haftung des Influencers/der Influencerin bei Verstoß gegen die Kennzeichnungspflicht geregelt und eine entsprechende Freistellungsvereinbarung implementiert werden.

Unsere Beratung für Ihr rechtssicheres Influencer Marketing: Vereinbaren Sie jetzt ein Beratungsgespräch!

In der schnelllebigen Welt des Influencer Marketings sind eine klare Strategie und rechtliche Sicherheit von großer Bedeutung. Dieses komplexe Gebiet umfasst nicht nur die Erstellung von rechtssicheren Internetauftritten und die Implementierung neuer Werbetechnologien, sondern erfordert auch klare Regelungen im Umgang mit Influencer:innen.

Wir sind hier, um Ihnen bei allen rechtlichen Angelegenheiten wie Vertragsabschlüssen, Kennzeichnungspflichten oder Haftungsfragen zu helfen. Unsere Beratung ist genau auf Ihre Bedürfnisse zugeschnitten. In einer Zeit, in der die Online-Präsenz die Reputation eines Unternehmens bestimmt, ist es unser Ziel, für fairen Wettbewerb zu sorgen und Ihre Markenidentität zu schützen. Kontaktieren Sie uns heute, um Ihre Fragen zu besprechen und gemeinsam die besten Lösungen zu finden.

Aktuelles zu DSGVO-Bußgeldern: Was ändert sich für Unternehmen?

Die Datenschutz-Grundverordnung (DSGVO) sieht nicht nur eine Vielzahl von Pflichten für Auftragsverarbeiter:innen und Verantwortliche vor, sondern auch die Möglichkeit, Pflichtverstöße mit Bußgeldern zu sanktionieren. In diesem Zusammenhang gewinnt das laufende Vorabentscheidungsverfahren „Deutsche Wohnen“ vor dem Gerichtshof der Europäischen Union (EuGH) besondere Bedeutung. Denn die Luxemburger Richter:innen müssen klären, ob Unternehmen unmittelbar – und gegebenenfalls verschuldensunabhängig – bebußt werden können. Je nachdem, wie der EuGH entscheidet, könnten Datenschutzverstöße in Zukunft leichter zugerechnet werden. Das Risiko für Bußgelder könnte weiter steigen. Unser Beitrag setzt sich mit dem genannten Verfahren auseinander, zeigt auf, welche Konsequenzen die Entscheidung haben wird, und beleuchtet, was Unternehmen schon heute tun können, um DSGVO-Bußgelder zu vermeiden. 

DSGVO-Bußgelder: Unterscheidung, Anforderungen und mögliche Sanktionen

Die rechtlichen Vorgaben für DSGVO-Bußgelder finden sich in Art. 83 und in Art. 58 Abs. 2 lit. i) DSGVO. Danach hat jede Aufsichtsbehörde die Befugnis, unter Berücksichtigung der Umstände des Einzelfalls ein wirksames, verhältnismäßiges und abschreckendes Bußgeld zu verhängen. In der DSGVO wird zwischen zwei Bußgeldrahmen unterschieden. Ein Bußgeld bis zu 10 Millionen Euro oder – je nachdem, was höher ist – 2% des gesamten weltweiten Jahresumsatzes eines Unternehmens kann bei Verstößen gegen Art. 8, 11, 25 bis 39, 42 und 43 DSGVO verhängt werden. Ein solches Bußgeld kommt also beispielsweise in Betracht, wenn ein Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten getroffen hat. Bei Verstößen gegen Art. 5, 6, 7, 9, 12 bis 22, 44 bis 49 und 58 DSGVO kann die Behörde ein Bußgeld bis zu 20 Millionen Euro oder 4% des gesamten weltweiten Jahresumsatzes verhängen. Ein solches Bußgeld kommt insbesondere dann in Betracht, wenn Unternehmen personenbezogene Daten nicht rechtmäßig verarbeiten, kein ordnungsgemäßes Aufbewahrungs- und Löschkonzept implementiert haben oder Betroffenenanfragen nicht oder nicht rechtzeitig nachkommen.

Das DSGVO-Bußgeldverfahren: Von der Einleitung zur Entscheidung

Einem DSGVO-Bußgeldverfahren geht regelmäßig ein Verwaltungsverfahren voraus. Bereits im Rahmen dieses Verfahrens prüft die zuständige Aufsichtsbehörde, ob ein Verstoß gegen die DSGVO vorliegt. Stellt die Fachabteilung der Aufsichtsbehörde einen Verstoß fest, gibt sie das Verfahren an die Bußgeldstelle ab, die ihrerseits prüft ob ein sogenannter Anfangsverdacht vorliegt, ob also tatsächliche Anhaltspunkte für das Vorliegen einer Ordnungswidrigkeit bestehen. Anschließend ermittelt die Behörde den Sachverhalt. Sie sammelt die relevanten Informationen und prüft etwaige Verstöße gegen die DSGVO. Auf Grundlage dieser Prüfung kann das Verfahren dann entweder eingestellt oder ein Bußgeld verhängt werden.  

Die Festsetzung der DSGVO Bußgelder erfolgt unter Berücksichtigung der individuellen Umstände des Verstoßes, der Art und Schwere der Verletzung sowie unter Berücksichtigung der Abschreckungsfunktion. Im Jahr 2022 hat der Europäische Datenschutzausschuss neue Leitlinien für die Bemessung von Bußgeldern verabschiedet. Für die Adressat:innen eines Bußgelds besteht dann die Möglichkeit, Einspruch gegen das verhängte Bußgeld einzulegen. Wird Einspruch erhoben, prüft die Behörde, die den Bescheid erlassen hat, erneut die Sachlage. In manchen Fällen kann die Behörde dem Einspruch abhelfen, den Bescheid angepasst erlassen oder aufheben. Andernfalls wird das Verfahren an die Staatsanwaltschaft und das zuständige Gericht abgegeben. 

Das Verfahren „Deutsche Wohnen“: Wann sind Unternehmen bußgeldpflichtig?

Im Jahr 2017 führte die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) eine Vor-Ort-Kontrolle bei dem Immobilienkonzern „Deutschen Wohnen“ durch. Dabei stellte sich heraus, dass das Unternehmen mehr Daten speicherte, als die Berliner Behörde für erforderlich hielt. Die BlnBDI forderte die „Deutsche Wohnen“ daraufhin zum Löschen der Daten auf. Im Rahmen einer Stichprobenkontrolle wurde dann festgestellt, dass die Daten weiter gespeichert worden waren, obwohl sie nach Auffassung der Behörde hätten gelöscht werden müssen. Infolge dieses Verstoßes verhängte die Behörde ein Bußgeld in Höhe von 15 Millionen Euro gegen „Deutsche Wohnen“. Das Unternehmen legte daraufhin Beschwerde beim Landgericht Berlin (LG Berlin) ein. Da der Bußgeldbescheid aber an die „Deutsche Wohnen“ als juristische Person gerichtet war (und keine Angaben zu einer natürlichen Person (Leitungsperson) enthielt), stellte das LG Berlin das Verfahren ein. Nach Auffassung der Berliner Richter:innen konnte nur eine Führungskraft oder ein Mitarbeiter Adressat eines Bußgeldbescheids sein, nicht aber ein Unternehmen. Die Staatsanwaltschaft legte gegen den Einstellungsbeschluss des LG Berlin Beschwerde beim Kammergericht (KG) ein. Das KG sah in dem Verfahren wesentliche Fragen des Unionsrechts berührt und legte dem EuGH dahingehend Fragen zur Vorabentscheidung vor. Das KG möchte von den Luxemburger Richter:innen wissen, ob 

1. eine juristische Person als unmittelbarer Adressat eines Bußgeldverfahrens in Betracht kommt und, falls ja, ob 
2. ob ein objektiver Pflichtverstoß verschuldensunabhängig zu einem Bußgeld führen kann. 

Der Ausgang des Verfahrens hat eine erhebliche Bedeutung für die Auslegung der DSGVO und die zukünftige Handhabung von DSGVO-Bußgeldern gegen Unternehmen. 

Exkurs: Rechtsträgerprinzip vs. Funktionsträgerprinzip

Den rechtlichen Aufhänger des Verfahrens bildet die Frage, unter welchen Voraussetzungen juristische Personen Adressat:innen eines Bußgeldverfahrens sein können. Die DSGVO macht hierzu keine klaren Vorgaben, enthält aber – in Art. 83 Abs. 8 DSGVO – eine zwingende Öffnungsklausel. Diese Öffnungsklausel schreibt den Mitgliedstaaten vor, angemessene Verfahrensgarantien, wirksame gerichtliche Rechtsbehelfe und ordnungsgemäße Verfahren einzurichten. In Deutschland wurde von dieser Klausel mit § 41 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Dieser Paragraf regelt, dass die Grundsätze des deutschen Ordnungswidrigkeitenrechts bei der Verhängung von Bußgeldern nach der DSGVO sinngemäß Anwendung finden sollen. 

Problematisch ist in diesem Fall die Anwendung von § 30 OWiG. Dieser normiert das sogenannte Rechtsträgerprinzip. Danach setzt die Verhängung einer Geldbuße die Feststellung eines Rechtsverstoßes durch eine Person in leitender Stellung voraus. Im Fall „Deutsche Wohnen“ wird deshalb die Frage diskutiert, ob ein Verstoß gegen Datenschutzvorschriften durch sonstige Beschäftigte des Unternehmens ausreicht, um ein Bußgeldverfahren einzuleiten. Hierbei steht das deutsche Konzept im Gegensatz zum sogenannten Funktionsträgerprinzip, das beispielsweise im Kartellrecht Anwendung findet. Letzteres besagt, dass ein Bußgeldverfahren unabhängig von der Identifizierung einer spezifischen Person direkt gegen das Unternehmen gerichtet werden kann. Es genügt, wenn der Verstoß durch eine:n beliebige:n Mitarbeiter:in des Unternehmens begangen wurde. 

In „Deutsche Wohnen“ geht es also vor allem um die Frage, ob bei der Verhängung von Bußgeldern bei Datenschutzverstößen das deutsche Rechtsträgerprinzip oder das europäische Funktionsträgerprinzip angewendet werden soll. Diese Auseinandersetzung berührt den grundlegenden Aspekt, ob die individuelle Identifizierung von Tätern notwendig ist oder ob Unternehmen unmittelbar für Verstöße verantwortlich gemacht werden können. 

Stellungnahme des Generalanwalts zum Verfahren „Deutsche Wohnen“

Die Stellungnahme des Generalanwalts spielt in Vorabentscheidungsverfahren eine besondere Rolle. Der EuGH ist zwar nicht dazu verpflichtet, die Empfehlungen des Generalanwalts zu berücksichtigen, folgt diesen aber häufig. 

In Bezug auf die erste Vorlagefrage sprach sich der Generalanwalt dafür aus, dass es im Unionsrecht keine Hindernisse gäbe, Unternehmen zu bebußen. Die relevanten Art. 4, 58 und 83 DSGVO sehen juristische Personen explizit als mögliche Sanktionsadressat:innen vor. Das Konzept der Täter:inneneigenschaft sei eng mit der datenschutzrechtlichen Verantwortlichkeit verknüpft und ermögliche die unmittelbare Sanktionierung von Unternehmen.

In Bezug auf die zweite Vorlagefrage äußerte der Generalanwalt, dass der Wortlaut von Art. 83 DSGVO gegen die Annahme einer verschuldensunabhängigen Haftung spreche. Die in Art. 82 Abs. 2 lit. b DSGVO festgeschrieben Kriterien („Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes“) seien bei der Verhängung von Bußgeldern von entscheidender Bedeutung. Auch Art. 83 Abs. 3 DSGVO setze Verschulden ausdrücklich voraus. 

Das könnte Sie auch interessieren:

• Unsere Kompetenz im Datenschutzrecht
• Im Fokus: DSGVO und Schadensersatz
• Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
• DSGVO-Verwarnung durch die Datenschutzbehörde – Was ist zu tun?
• Abmahnfähigkeit von DSGVO-Verstößen

Ausblick: Verantwortlichkeit von Unternehmen bei Datenschutzverstößen?

Folgt der EuGH den Schlussanträgen des Generalanwalts, könnten Unternehmen direkt für Verstöße gegen die DSGVO zur Verantwortung gezogen werden. Erteilt er der verschuldensunabhängigen Haftung eine Absage, stellt sich weiter die Frage, auf wessen Verschulden abzustellen und welcher Verschuldensgrad künftig erforderlich ist. Man wird sehen, ob der EuGH hier der Einschätzung der Berliner Behörde folgt oder zumindest eine Aufsichtspflichtverletzung der Leistungsebene fordert. In jedem Fall wird die Entscheidung des EuGH über die Verantwortlichkeit von Unternehmen und die Zurechnung von Verstößen gegen die DSGVO erhebliche Auswirkungen auf die Datenschutzlandschaft und die Ausgestaltung von Compliance-Systemen haben. Unternehmen werden zukünft möglicherweise verstärkt in die Pflicht genommen, Verstöße gegen Datenschutzbestimmungen zu verhindern und angemessene Kontroll- und Überwachungssysteme einzuführen, 

Proaktives Datenschutzmanagement: Vorbereitung und Strategie zur Vermeidung von DSGVO Bußgeldern

Unternehmen sollte die Zeit bis zur EuGH-Entscheidung nicht ungenutzt lassen, sondern bereits jetzt Maßnahmen ergreifen, um Risiken zu minimieren. Ein effektives Datenschutzmanagement und die kontinuierliche Sensibilisierung der Beschäftigten für Datenschutzfragen sind von entscheidender Bedeutung. Zudem sollten Unternehmen Fristen im Auge behalten und sicherstellen, dass Compliance-Pflichten, bestmöglich erfüllt werden. Die unverzügliche Bearbeitung von Betroffenenanfragen, die rechtzeitige Meldung von Datenschutzverstößen und die pflichtgemäße Information von Betroffenen sind weitere Schlüsselelemente, um etwaigen Bußgeldern vorzubeugen. Unternehmen sollten sich der Tragweite ihrer Kooperation mit den Datenschutzbehörden bewusst sein und diese wohlüberlegt gestalten, um ihre Position zu stärken und möglichen Sanktionen erfolgreich zu begegnen. 

In Anbetracht der komplexen und sich ständig entwickelnden rechtlichen Rahmenbedingungen ist proaktives Handeln der Schlüssel – professionelle Unterstützung kann den entscheidenden Unterschied machen. Unsere Expert:innen stellen sicher, dass Ihr Unternehmen ideal aufgestellt ist, um Datenschutzverstöße zu vermeiden und bei Krisen schnell handlungsfähig zu sein. Sprechen Sie uns an, wenn gegen Ihr Unternehmen ein Bußgelddroht, ein entsprechendes Verfahren eingeleitet wurde oder Sie bereits Adressat:in eines Bußgeldbescheids geworden sind. Unsere erfahrenen Anwält:innen helfen Ihnen gerne dabei, sich in allen Verfahrensstadien optimal zu verteidigen.

Rechtsfragen im Metaverse – Eine neue virtuelle Welt aus Sicht des Datenschutzes

Wenn es ums Metaverse geht, ist sich die deutsche Wirtschaft gänzlich uneins. Skeptiker:innen und Befürworter:innen halten sich die Waage, hat eine Umfrage des Branchenverbands Bitkom aus dem Jahr 2022 ergeben. Während demnach 26% der Unternehmen aufgeschlossen auf die neue virtuelle Welt schauen, stehen ihr 29% ablehnend gegenüber. Doch handelt es sich bei der Vision für die Integration der realen in die virtuelle Welt längst nicht mehr nur um Zukunftsmusik. Große Tech-Unternehmen wie der Facebook-Konzern – mittlerweile in „Meta Platforms“ umfirmiert – haben bereits begonnen, entsprechende Plattformen zu erschaffen. Jüngst hat sich auch die EU-Kommission auf eine Strategie für das Web 4.0 und virtuelle Welten verständigt und beansprucht damit eine Führungsrolle, um den zukünftigen technologischen Wandel zu steuern. Zwar sind in der Entwicklung des Metaverse bisher nur erste Schritte getan, in der Laien- und Fachwelt ist die Diskussion über die rechtlichen Folgen aber schon jetzt in vollem Gange. Werden die bereits bestehenden Gesetze dem dezentralen autonomen Metaverse als neuer Online-Realität gerecht? Wie muss gegebenenfalls nachgesteuert werden? Und welche Erfordernisse ergeben sich für den Schutz personenbezogener Daten? Als führende IT-Kanzlei nehmen wir im Folgenden einige rechtliche Einordnungen vor.

Was ist das Metaverse?

Das Metaverse (dt. Metaversum) ist das Konstrukt einer digitalen Welt, in die man mittels Virtual Reality (VR) und Augmented Reality (AR) eintauchen und so eine Art „zweites Leben“ führen kann. Die virtuelle Welt kann durch einen Avatar erlebt werden und bietet die Möglichkeit, mit allen anderen Teilnehmern und Teilnehmerinnen in dieser Welt zu interagieren. Innerhalb des Metaverse gibt es separate virtuelle Räume, die zahlreiche Möglichkeiten bieten sollen. Ein virtuelles Einkaufszentrum besuchen und im Raum nebenan Online-Spielen nachgehen, all das soll möglich sein. Auch virtuelle Diskotheken könnte es dort geben. Das Metaverse kann mit der dezentralen Blockchain-Technologie umgesetzt werden, zu der wir als Technologie-Experten umfassend beraten und rechtliche Lösungen anbieten.

Das Besondere am Metaverse ist, dass es grenzenlos verläuft. Anwendungen wie Käufe in Shops wären dann nicht auf eine einzelne Plattform beschränkt, sondern könnte über das ganze Metaverse in jedem Kontext und in jedem anderen virtuellen Raum genutzt werden. Das ist der wesentliche Unterschied zu den aktuellen Möglichkeiten im Internet. Beispielsweise ist im Moment die Nutzung von Tokens (Kryptowährung bzw. Krypto-Vermögenswerte) in einem Spiel grundsätzlich auf dieses beschränkt. Sie können in der Regel nicht zum Bezahlen auf einer anderen Plattform genutzt werden. Im Metaverse soll gerade das möglich sein. Das Metaverse ist also eine kollektive virtuelle Welt mit einer Vielzahl an Räumen, die unbeschränkt und übergreifend funktionieren. Über das wirkliche Potential und die tatsächlichen Möglichkeiten im Metaverse lässt sich aktuell nur spekulieren. Denkbar ist auch im Metaverse per VR, mit seinem Avatar in einen Büroraum zu gehen, um dort zu arbeiten, oder aber digitale Hologramme in die eigenen vier Wände zu projektieren. Ein bereits seit Jahren existierender Metaverse-Prototyp ist „Second Life“ von Linden Lab, das zeitweise bis zu 57 Millionen registrierte Accounts hatte, jedoch nach mehrjährigem Hype bei vielen inzwischen in Vergessenheit geraten ist. Auch Meta Platforms hat inzwischen mit „Horizon Worlds“ schon den Schritt in Richtung virtuelle Welt getan. Dies zeigt, dass auch die Existenz mehrerer Metaverse-Plattformen nebeneinander denkbar ist. Dennoch scheint das Ziel der Unternehmen eher auf ein marktbeherrschendes Metaverse ausgerichtet zu sein. Die dahinterstehende Vision wird immer konkreter und scheint in naher Zukunft immer greifbarer. Neben vielen Potentialen stellen sich aber auch rechtliche Fragen.

Die Frage nach dem geltenden Rechtsregime scheint besonders herausfordernd. Zunächst muss berücksichtigt werden, dass das Metaverse nationenübergreifend zugänglich sein soll. Bestenfalls, so die Vision, soll jedermann Zugang dazu haben. Der wesentliche Unterschied zu einer herkömmlichen international zugänglichen Web-Plattform liegt in der Dezentralität und der umfassenden Interoperabilität. Innerhalb einer virtuellen Welt alle Rechtssysteme zu vereinen, dürfte sich als ein komplexes Unterfangen entpuppen. Zumal die wenigsten Gesetze bereits auf ein Metaverse vorbereitet sind. Es ergibt sich also weiter die Frage, ob die aktuell bestehenden Regelungen überhaupt geeignet sind, eine virtuelle Welt angemessen zu regeln.

Vom aktuellen rechtlichen Ist-Zustand aus betrachtet können

• eventuell bestehende internationale Vereinbarungen, wie völkerrechtliche Verträge oder Abkommen,
• das Internationale Privatrecht (IPR),
• das Recht des Herkunftslandes des Betroffenen oder
• das Recht des Plattformbetreibers

als mögliche Anknüpfungspunkte gesehen werden.

Anknüpfungspunkt: Völkerrechtliche Abkommen und „Metaverse-Recht“

Denkbar wäre es, eine Art neue internationale Organisation als Staatenzusammenschluss aller Länder zu schaffen, die den Zugang zum Metaverse ermöglichen wollen. Als dezentrale autonome Organisationen könnten die teilnehmenden Staaten mittels völkerrechtlicher Verträge ein separates Rechtskonstrukt zur Regulierung des Metaverse erschaffen – eine Art „Metaverse-Recht“. Diese könnte vor dem Hintergrund einer digitalen alternativen Echtzeit-Existenz Rechtssicherheit schaffen. Es erscheint utopisch, alle Interessen eines jeden Staates in einem einheitlichen Vertragstext zu vereinen. Ein eigenes Rechtsregime für das Metaverse würde hingegen die Handhabung erleichtern, übersichtlicher und benutzerfreundlicher machen.

Völkerrechtliche Verträge sind aber insofern eher weniger geeignet, da sie nur die Vertragsstaaten und selten die im Land ansässigen Unternehmen oder Privatpersonen direkt verpflichten. Um innerstaatlich ebenfalls die Berücksichtigung eines solchen Vertrages zu erreichen, bedarf es je nach nationalem Recht eines Staates weiterer Zwischenschritte. Zudem sind die rechtlichen Möglichkeiten bei der Nichteinhaltung eines Völkervertrages eingeschränkt und wenig effektiv. Ob dieses Ziel erreicht werden kann, ist vor diesem Hintergrund sehr fraglich. Völlig ausgeschlossen ist diese Möglichkeit trotzdem nicht, wie am Funktionieren der World Trade Organization (WTO) zu verzeichnen ist. Die der WTO zugrundeliegenden Abkommen schaffen einen effektiven und einheitlichen Rechtsrahmen für den weltweiten Handel. Besonders bemerkenswert ist, dass die in den Abkommen festgelegten Sanktionen bei Nichteinhalten der Verträge sehr effektiv sind. Zumindest dieser Staatenzusammenschluss hat Vorbildfunktion für ein funktionierendes globales Rechtssystem.

Anknüpfungspunkt: IPR

Auch das IPR (Internationales Privatrecht) könnte als Anknüpfungspunkt dienen. Es beantwortet als Kollisionsrecht die Frage, welche Rechtsordnung bei Fällen mit Bezügen zu Rechtssystemen verschiedener Staaten gilt. So sind die Ausgangspunkte, wie etwa der gewöhnliche Aufenthalt des Verkäufers/der Verkäuferin bei Kaufverträgen, grundsätzlich auf das Metaverse übertragbar. Das IPR deckt dabei die zivilrechtlichen Konstellationen ab. Für strafrechtliche Sachverhalte müsste das internationale Strafrecht beachtet werden. Rechtsfragen im Metaverse über das IPR zu lösen, erscheint möglich.

Anknüpfungspunkt: Herkunftsland von Betroffenen

Bei dieser Option stell sich bereits vorab die Frage, wer Betroffener wäre. Ist es der Avatar, der im Metaverse „lebt“? Oder ist es die Person, die den Avatar steuert und aus der realen Welt heraus agiert? Da der Avatar nur eine digitale Verkörperung des dahinterstehenden realen Menschen ist, spricht vieles für die Herkunft des Steuernden.

Konkret für den Datenschutz im Metaverse würde hierbei zu beantworten sein: Wann käme die Datenschutz-Grundverordnung (DSGVO) zur Anwendung? Zwar knüpft der räumliche Anwendungsbereich der DSGVO in Art. 3 DSGVO primär an den Sitz des Unternehmens, das Daten verarbeitet, an. Sollte man aber zur Ermittlung des geltenden Rechts auf das Herkunftsland des Betroffenen abstellen, wäre allein dessen dauernder Aufenthalt maßgeblich. Sollte dieser in der Union liegen, könnte man das Unionsrecht und damit auch die DSGVO anwenden.

Anknüpfungspunkt: Recht der Plattformbetreibenden

Möglicherweise könnte man auch die einzelnen Plattformen im Sinne der „virtuellen Räume“, die man im Metaverse betreten kann, als Anknüpfungspunkte für das anzuwendende Rechtssystem ansehen. Dabei würde sich ebenfalls zunächst die Frage stellen, ob es auf den realen Unternehmenssitz ankommt, oder auf den Sitz im Metaverse.

Sollte der Unternehmenssitz in der realen Welt Ausgangspunkt sein, wäre die Rechtlage übersichtlich. Dann würde beispielsweise in einem virtuellen Einkaufszentrum, das von einem in den USA ansässigen Unternehmen betrieben wird, das US-Recht gelten. Für einen virtuellen Co-Working-Space, dessen „Raum“-Betreiber seinen Sitz in der Union hat, könnte dann Unionsrecht angewendet werden und damit auch die DSGVO, soweit es um die Verarbeitung personenbezogener Daten geht. Diesem Gedanken folgend würde aber zumindest das Marktortprinzip aus Art. 3 Abs. 2 DSGVO leerlaufen. Danach müssen nicht in der Union ansässige Unternehmen die DSGVO beachten, wenn sie Waren oder Dienstleistungen in der Union anbieten oder das Verhalten von betroffenen Personen in der Union beobachten. Die Feststellung der geltenden Rechtsordnung wäre bei Abstellen auf das Recht des Plattformbetreibers aber gerade unabhängig von der betroffenen Person, sondern allein vom Unternehmensstandort abhängig. Ob sich dann im Laufe der Zeit eine Art „Landflucht“ der Unternehmen in das Land mit den lockersten Rechtsregelungen entwickeln würde, wäre zumindest nicht ausgeschlossen. Rechtsvorhaben wie der Digital Services Act (DSA) der Europäischen Union könnten dies durchkreuzen. Der DSA möchte eine Plattformregulierung für alle Anbieter schaffen, die ihre Dienstleistungen innerhalb der Europäischen Union anbieten, und zwar unabhängig vom tatsächlichen Sitz des Unternehmens.

Geht man davon aus, dass es auf den Sitz des Unternehmens im Metaverse ankommt, wird das Marktortprinzip hinken. Es ist wohl nicht zu erwarten, dass innerhalb der virtuellen Welt auch staatliche Territorien zu finden sind. Daher wird es schwierig, das Marktortprinzip im Metaverse anzuwenden. Die Union als territoriales Gebiet wäre kein Anknüpfungspunkt. Darüber hinaus wäre es auch denkbar, dass neue Unternehmen im Metaverse selbst gegründet werden, wodurch eine territoriale Zuordnung schon von vorneherein nicht mehr möglich wäre. Es gäbe dann keinen Unternehmenssitz in der realen Welt mehr. Die Übertragung der für die analoge Welt geltenden Regeln würden hier nicht mehr weiterführen.

Was sind personenbezogene Daten im Metaverse?

Ist schon die Errichtung des Metaverse mit einer erheblichen Datenmaximierung verbunden, eröffnet es im weiteren Verlauf das Potential, Daten in erheblichem Umfang über seine Nutzer und Nutzerinnen zu sammeln. Sobald eine ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten vorliegt, ist der sachliche Anwendungsbereich der DSGVO (vgl. Art. 2 Abs. 1 DSGVO) eröffnet und damit der erste Schritt für die Anwendung ihrer Regelungen auf das Metaverse erfüllt.

Abgesehen von einer Registrierung (mit Klarnamen, ggf. aber auch unter Pseudonym), die in der Regel für den Zugang und die Nutzung aller Funktionen notwendig sein wird, ist die Verarbeitung personenbezogener Daten auch auf anderen Wegen zu bedenken. So gibt schon der jeweilige Avatar als digitale Verkörperung des Nutzers/der Nutzerin in der virtuellen Welt preis, wo sich der Nutzer/die Nutzerin gerade aufhält, welche Spiele er/sie spielt oder welche Käufe er/sie tätigt. Zudem werden Nutzer/Nutzerinnen regelmäßig mittels VR- und AR-Technologien (z.B. VR-Brillen oder Headsets) in das Metaverse eintauchen. Zwar ist die Entwicklung dieser beiden Technologien aktuell für ein immersives Metaverse noch nicht reif genug. Dennoch hat es die IT-Branche bereits geschafft sog. „Smartcams“ auf den Markt zu bringen. Diese können nicht nur Videos aufzeichnen, sondern auch weitere Informationen aus ihnen gewinnen. Durch integrierte Sensoren in der Kamera oder im Computer können auch körperliche Aktionen erfasst und verwertet werden (sog. „Ubiquiotous Computing“). Daher stellt sich die Frage, ob unter anderem Mimik, Gestik und Körpersprache als Daten zu qualifizieren sind, und ob dies mit der DSGVO, soweit im Metaverse anwendbar, vereinbar wäre. Von Relevanz wäre das insbesondere, wenn anhand der Mimik die Gefühlslage oder das Interesse an einem bestimmten Objekt, etwa einer Werbeanzeige im Metaverse, ermittelt werden könnte. Im Folgenden könnte dann via AdTech (Online-Marketing in der Werbebranche) personalisierte Werbung geschaltet werden.

Daten sind grundsätzlich kodierte Informationen. Hinsichtlich des Personenbezugs hilft die DSGVO weiter. Ausgehend von der Definition in Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Beispielhaft nennt das Gesetz unter anderem „mehrere besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, […] Identität“ der natürlichen Person sind. Da Mimik, Gestik und Körpersprache sichtbare Bewegungen des Körpers sind, fallen diese Merkmale unter den physischen Ausdruck. Die Zuordnung des körperlichen Ausdrucks kann in der Regel dann auch einer natürlichen Person zugeordnet werden, sodass sie ein personenbezogenes Datum im Sinne der DSGVO ist. Damit kämen die Regelungen der DSGVO zur Anwendung.

Hinzu treten ethische Erwägungen, ob mittels Mimik ermittelt werden darf, wie es um die Persönlichkeit, die Motivation, die Ehrlichkeit etc. des Nutzers/der Nutzerin steht. Solche Analysen würden tiefgreifend in die Persönlichkeitsrechte der Nutzer und Nutzerinnen eingreifen. Unabhängig vom Vorliegen einer möglichen Rechtsgrundlage rechtmäßigen Verarbeitung (vgl. Art. 6 DSGVO), ist zu fragen, ob dies überhaupt zulässig sein soll. Eventuell könnten solche Mimik-Daten als besonders sensible Daten nach Art. 9 DSGVO eingeordnet werden. Diese dürfen nur unter engen Voraussetzungen verarbeitet werden.

Das könnte Sie auch interessieren:

• Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht
• Unsere Beratungskompetenz: IT-Recht und Digitales Business
• EU-Datenregulierung für Unternehmen: Ein umfassender Überblick

Wer ist datenschutzrechtlich verantwortlich im Metaverse?

In einer Art Kodex für das Metaverse wurden bereits sieben Attribute zu seiner näheren Bestimmung aufgestellt:

1. Regel: Es gibt nur ein Metaverse.
2. Regel: Das Metaverse ist jedermann zugänglich.
3. Regel: Niemand kontrolliert das Metaverse.
4. Regel: Das Metaverse ist offen.
5. Regel: Das Metaverse ist unabhängig von einer Hardware.
6. Regel: Das Metaverse ist ein Netzwerk.
7. Regel: Das Metaverse ist das Internet.

Für die datenschutzrechtliche Verantwortlichkeit könnte vor allem Regel Nr. 3 Probleme bereiten. Wenn niemand das Metaverse kontrolliert, kann dann überhaupt jemand für die datenschutzrechtlichen Vorgänge innerhalb der virtuellen Welt verantwortlich sein? Die Regel impliziert nahezu eine Anarchie, die im Metaverse herrschen solle. Das kann aber nicht das Ziel sein. Vor allem nicht vor dem Hintergrund, dass das Metaverse eine Art „zweites Leben“ ermöglichen soll. Auch in einem virtuellen Leben müssen zwischenmenschliche Begegnungen rechtlichen Rahmenbedingungen gerecht werden, ob dies nun die Achtung der Grundrechte oder eben der Datenschutz sei.

Anknüpfend an die Frage nach dem Rechtsregime im Metaverse, kann die DSGVO unter Umständen angewendet werden. Für die Adressierung der entsprechenden Rechte und Pflichten ist die Klärung der Verantwortlichkeit zentral. Datenschutzrechtlicher Verantwortlicher ist das DSGVO diejenige Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet (vgl. Art. 4 Nr. 7 DSGVO).

Single-oranization ecosystem-Verantwortlichkeit

In Betracht kommt zunächst eine „Raum“-bezogene Verantwortlichkeit, vergleichbar mit den aktuell bestehenden einzelnen Webseiten und Plattformen. Demnach trifft denjenigen die Verantwortlichkeit, in dessen Raum sich eine Person mittel ihres Avatars gerade aufhält. Würde ein virtuelles Einkaufszentrum betreten, wäre der Einkaufzentrumsbetreiber in diesem Falle Verantwortlicher. Dann bliebe aber die Frage offen, wer auf den „Straßen“, die die virtuellen Räume verbinden, als Verantwortlicher gilt. Denn auch auf den virtuellen Straßen könnte es vorkommen, dass personenbezogene Daten verarbeitet werden. Beispielsweise könnten dort durch AdTech aufgestellte, personalisierte Werbeplakate aufgestellt werden oder andere Werbeaktionen stattfinden.

Zentrale Metaverse-Verantwortlichkeit

Zur Vereinfachung des sonst entstehenden Geflechts von Verantwortlichkeiten könnte daher einiges dafürsprechen, eine zentrale Plattformverantwortlichkeit für das gesamte Metaverse zu etablieren. Dann wäre in einem weiteren Schritt zu klären, wer diese Verantwortlichkeit zu tragen hätte. Sollte es einen einzigen Verantwortlichen für das gesamte Metaverse geben? Oder wäre eine Art gemeinschaftliche Verantwortlichkeit aller agierenden Unternehmen im Metaverse interessengerechter? Hier wäre schon problematisch, ob über alle möglichen Potentiale des Metaverse hinweg die gemeinsame Festlegung der Zwecke und Mittel zur Verarbeitung (vgl. Art. 26 Abs. 1 Satz 1 DSGVO) realisierbar wäre. Außerdem würde so jeder Verantwortliche im Rahmen der Gesamthaftung für jeden Fehltritt eines anderen Verantwortlichen mithaften. Die daraus resultierenden Ungerechtigkeiten könnten wohl auch nur bedingt durch Regressansprüche gelöst werden.

Access-Point-Verantwortlichkeit

Denkbar wäre es zuletzt, die Verantwortlichkeit über Access-Points zu bestimmen. Access-Points sind Einwahlprovider, also zum Beispiel Internetanbieter im Sinne von DSL-Anbietern. Als Access-Point-Provider zum Metaverse gelten dann diejenigen Dienstleister, die den Zugang zum Metaverse durch einen Internetanschluss ermöglichen. Hierbei stellt sich allerdingt die Frage, ob dies dann nicht zu einer enormen untragbaren Providerhaftung im Sinne einer Generalhaftung ausgedehnt würde. Zwar wäre es für Betroffene übersichtlich und einfach herauszufinden, an wen sie sich im Einzelfall wenden müssten. Jedoch wäre die Lösung insoweit unzureichend, als der Access-Point-Provider nur den Eintritt ins Metaverse ermöglicht. Gerade innerhalb des Metaverse agieren jedoch andere Anbieter, sodass es unbillig wäre eine reine Access-Point-Verantwortlichkeit zu konstruieren.

Datenschutzrechtliche Pflichten im Web 3.0

Geht man davon aus, dass die DSGVO im Metaverse anwendbar ist, sind die darin festgehaltenen Rechte der Betroffenen zu berücksichtigen und der weitreichende datenschutzrechtliche Pflichtenkatalog mit Dokumentations-, Auskunfts- und Meldepflichten zu befolgen. Die Umsetzung so mancher DSGVO-Regelung wird Unternehmen, anders als im Web 2.0, vor größere Herausforderungen stellen und kreative Lösungen erfordern. So stellt sich beispielsweise die Frage, wie dem Betroffenen Datenschutzinformationen (z.B. Benennung des Verantwortlichen, Aufklärung über Betroffenenrechte) mitgeteilt werden können. Nach Art. 12 Abs. 1 DSGVO müssen den Betroffenen die Datenschutzinformationen „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ übermittelt werden. Finden sich Datenschutzhinweise beispielsweise derzeit einfach im Footer der meisten regulären Websites, gestaltet sich dies im grenzenlosen Metaverse deutlich komplizierter. Eine Bereitstellung bei Registrierung allein wird nicht ausreichen, vielmehr wird es erforderlich sein, die Betroffenen kontinuierlich bei der Nutzung zu informieren, so z.B., wenn sie eine virtuelle Bankfiliale besuchen oder Online-Einkäufe tätigen. Der Nutzer muss stets vorab informiert sein, welche seiner personenbezogenen Informationen verarbeitet werden. Als Lösung für das Web 3.0 könnte sich beispielsweise ein virtueller Aushang anbieten, der je nach individueller Aktivität des Nutzers/der Nutzerin aktualisiert wird. Analog ist zu überlegen, wie eine Verwendung personenbezogener Daten zu Werbezwecken vor dem Hintergrund der besonderen Gegebenheiten des Metaverse rechtskonform ausgestaltet werden kann.

Datenaustausch

Wie bereits erwähnt, soll den zukünftigen Nutzern des Metaverse die Möglichkeit gegeben sein, mühelos von einem Raum zum anderen bzw. von einer Plattform zu anderen zu wechseln und hierbei ihre Besitztümer und Tokens mitzunehmen. Die sog. Interoperabilität der Daten als besonderer Trumpf des Metaverse verlangt, dass die Daten reibungslos transferiert werden können. Das setzt nicht nur die Schaffung entsprechender technischer Bedingungen voraus, sondern macht auch Vorkehrungen datenschutzrechtlicher Art erforderlich. Letzteres verpflichtet vor allem Unternehmen, die entsprechende Plattformen betreiben. Sie müssen untereinander DSGVO-konforme Vereinbarungen über den Austausch relevanter Daten (wie z.B. Registrierungsdaten und Daten über Eigentumsrechte) treffen. Dabei ist auch zu berücksichtigen, dass die Verarbeitung bestimmter Daten die Einwilligung des/der Betroffenen voraussetzt.

Da das Metaverse als eine nationenübergreifende virtuelle Welt gedacht wird, sollte auch ein internationaler Datenaustausch gewährleistet sein. Hierbei müssen Unternehmen die besonderen datenschutzrechtlichen Anforderungen an den Datentransfer in Staaten außerhalb der EU mitdenken. Gemäß Art. 45 DSGVO bedarf es für die Datenübermittlung in ein Drittland eines Angemessenheitsbeschlusses (mit dem die EU-Kommission feststellen kann, dass ein Drittstaat ein der EU vergleichbares Datenschutzniveau bietet) bzw. der Einhaltung der in Art. 46 DSGVO festgelegten Garantien. Infolge der sog. Schrems-II-Entscheidung, mit dem der Europäische Gerichtshof den Angemessenheitsbeschluss für die USA (Privacy-Shield-Abkommen) für ungültig erklärt hat, wurden die Anforderungen an rechtsfonforme Datenübermittlungen in Drittstaaten noch einmal deutlich angezogen. Die neuen Vorgaben, die bereits jetzt viel Unsicherheit hervorrufen, werden Unternehmen auch bei der weiteren Entwicklung des Metaverse begleiten.

Ausblick: Weitere relevante europäische Rechtsakte

Nicht nur die Vorgaben aus der DSGVO werfen in Hinblick auf das Metaverse eine Vielzahl von Fragen auf, sondern auch weitere europäische Rechtsakte werden auf die virtuelle Welt Anwendung finden. Gerade im Rahmen der umfangreichen EU-Datenregulierung bzw. -gesetzgebung ergeben sich einige Schnittstellen. Da künstliche Intelligenz im Rahmen des Metaverse eine Vielzahl menschlicher Interaktionen möglich machen könnte, werden beispielweise ggf. die Vorgaben aus dem Artificial Intelligence Act (AIA) Anwendung finden. Der AIA, der noch nicht verabschiedet ist, stellt in seiner Entwurfsfassung unter anderem Verpflichtungen an die Nutzung bestimmter KI-Systeme mit hohem Risiko auf und beinhaltet auch eine Kennzeichnungsplicht von Deep Fakes und Social Bots. Relevant kann daneben auch der Digital Services Act (DSA) sein, dessen Ziel die Schaffung eines einheitlichen Rechtsrahmens für Online-Plattformen mit Melde- und Rechenschaftspflichten ist. Die vorgesehenen einheitlichen Vorschriften zu Haftung und Sicherheitsvorkehrung auf Online-Plattformen würde auch das Metaverse betreffen. Zuletzt sollten auch die Regelungen des Digital Markets Act (DMA) nicht vergessen werden. Für den Fall, dass sich Metaverse-Plattformen zu sog. Gatekeepern entwickeln, also große Online-Plattformen, die die digitalen Märkte kontrollieren, finden auch die Vorgaben des DMA Anwendung. Der kürzlich in Kraft getretene Rechtsakt stellt über 20 Verhaltensvorgaben (Do’s and Don’ts) auf, die bei regelwidrigem Verhalten bußgeldbewehrt sind.

Fazit

Die Rechtsfragen um das Metaverse sind komplex. Vieles wird davon abhängen, welche Rechtsordnung innerhalb des Metaverse gelten wird. Über die Fragen zum Datenschutz hinaus, werden sich auch viele andere Rechtsgebiete, wie das Strafrecht oder das Zivilrecht, auf das Web 3.0 vorbereiten müssen. Bei der Entwicklung sind daneben auch grundlegende rechtspolitische und grundrechtliche Überlegungen anzustellen. Werte, die in unserer physischen Welt gelten, darunter auch die Werteordnungen der Rechtssysteme, müssen auch in der neuen virtuellen Welt etabliert werden.

Allzu lange wird es auf jeden Fall nicht mehr dauern, bis das Metaverse an den Start gehen wird. Die darin verborgenen Potentiale sollten unbedingt genutzt werden. Unsere Kanzlei bietet unter anderem zu neuen Technologien wie Blockchain und Metaverse umfassende Beratungsleistungen an – ob zu datenschutzrechtlichen, IT- oder wettbewerbsrechtlichen Aspekten. Gemeinsam mit Ihnen finden wir die passenden Lösungen für die Realisierung komplexer datengetriebener Projekte oder Plattformen. Sprechen Sie uns an!

Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht

Um angemessen auf aktuelle Entwicklungen im Datenschutzrecht reagieren zu können, ist es essenziell, die relevante Rechtsprechung des Europäischen Gerichtshofs (EuGH) im Auge zu behalten. Diese bietet wichtige Einblicke und Orientierung für den Umgang mit Datenschutzfragen und entwickelt sich kontinuierlich weiter. Gerade bei der Auslegung von autonomen Begriffen nach der Datenschutz-Grundverordnung (DSGVO) betont der EuGH auch stets, dass diese in allen Mitgliedstaaten einheitlich entsprechend den Vorgaben des EuGH ausgelegt werden müssen. Der EuGH hat insoweit über die letzten Jahre bereits eine Reihe wegweisender Urteile gefällt, die die Auslegung und Anwendung der DSGVO in den Mitgliedsstaaten maßgeblich beeinflusst haben.

Im Folgenden werden die aktuell bedeutendsten aktuellen Entscheidungen des EuGH im Bereich des Datenschutzrechts vorgestellt, wobei der neueste Beitrag stets oben angeführt wird.

Diese Entscheidungen betreffen verschiedenste Aspekte des Datenschutzes, wie beispielsweise die Übermittlung personenbezogener Daten in Drittländer, die Rechte betroffener Personen und die Verantwortlichkeiten von Unternehmen im Umgang mit personenbezogenen Daten. Es ist für Unternehmen und Organisationen ratsam, über die aktuellen Entwicklungen in der EuGH-Rechtsprechung informiert zu sein, um Prozesse und Praktiken entsprechend anzupassen und mögliche rechtliche Risiken minimieren zu können.

Sie haben Fragen zu aktuellen EuGH-Entscheidungen und benötigen datenschutzrechtliche Unterstützung? Zögern Sie nicht, uns zu kontaktieren.

Künstliche Intelligenz (KI) – wer haftet, wenn ein Roboter versagt?

Stellen Sie sich vor, ein KI-basierter Roboter unterstützt Ärzt:innen bei einer OP und trifft die falsche Entscheidung. Die OP geht deshalb schief und der/die Patient:in kann Schadenersatz oder Schmerzensgeld geltend machen. Ein autonom fahrendes Auto entscheidet sich für ein Ausweichen auf den Fußweg anstatt in die Hecke und verletzt dabei Menschen. Auch hier muss der daraus entstandene Schaden ersetzt werden. Aber durch wen? Wer haftet hier? Ärzt:in oder Fahrer:in, die als Systemanwendende die künstliche Intelligenz für ihre Zwecke benutzen? Hersteller:innen? Oder kann sogar die künstliche Intelligenz selbst haften? 

Haftungslücke bei KI-basierten Maschinen: Wer trägt die Verantwortung?

Diese Fragen sind rechtlich schwer zu beantworten. Grundlage des deutschen Haftungssystems ist immer ein Fehlverhalten, das zu einem Schaden führt. Ein Fehlverhalten, das rechtliche Konsequenzen nach sich zieht, kann aber nicht von jedem begangen werden. Nach deutschem Recht kann nur derjenige haften, dem per Gesetz eine Rechtspersönlichkeit zugesprochen wird. Dies ist bei Robotern und Maschinen bisher noch nicht der Fall, weshalb auf das Fehlverhalten eines Menschen hinter der künstlichen Intelligenz abzustellen ist. Kann jedoch diesem Menschen überhaupt ein Fehlverhalten vorgeworfen werden, wenn die KI-basierte Maschine verselbstständigt Entscheidungen trifft? Oder stehen wir einer großen Haftungslücke gegenüber, die rechtlich gesehen die Anwendung und Entwicklung von Robotern und künstlicher Intelligenz blockiert? 

Rechtliche Herausforderungen bei der Anwendung von Robotern und künstlicher Intelligenz: Lösungen und Chancen für Unternehmen

Angesichets dieser anspruchsvollen Fragen kann die Anwendung von Robotern und künstlicher Intelligenz für Unternehmen eine Vielzahl von Herausforderungen und Problemen mit sich bringen. Dazu gehören Fragen zur Datenverarbeitung und zum Datenschutz, zur Sicherheit und Zuverlässigkeit von Systemen sowie zur Einhaltung von ethischen Grundsätzen. In diesem Beitrag gehen wir auf die mögliche Lösung dieser Probleme ein und zeigen auf, wie Sie die Vorteile von Robotern und künstlicher Intelligenz voll ausschöpfen können, ohne dabei rechtliche Risiken einzugehen. 

Haftung der Hersteller:innen bei KI-Robotern: Eine nähere Betrachtung 

Zunächst bietet es sich an, die Haftung der Hersteller:innen des KI-basierten Roboters unter die Lupe zu nehmen. Es liegt nahe, dass diese bei einem Fehlverhalten der Maschine haften könnten. Schließlich sind es die Hersteller:innen, die durch Entwicklung, Programmierung und Training der künstlichen Intelligenz ihrer Entscheidungsfindung noch am nächsten steht. Das deutsche Recht hat genau diesen Grundgedanken, dass Hersteller:innen „nah am Produkt“ sind, schon längst aufgegriffen, und zwar unabhängig von der Art des Produkts. Es mag zunächst verwirrend klingen, aber die Haftung der Hersteller:innen für Fehler des Produkts ist immer nach den gleichen Regelungen zu beurteilen, egal, ob das Produkt eine Wasserflasche oder ein hochkomplexes selbst fahrendes Auto ist. 

Produkthaftungsgesetz (ProdHaftG): Haftungsgrundlagen und Voraussetzungen für Hersteller:innen

Einerseits kann sich eine Haftung der Hersteller:innen aus den Regelungen über die Produkthaftung nach dem Produkthaftungsgesetz (ProdHaftG) ergeben. Dazu müssen folgende Voraussetzungen vorliegen (§ 1 Abs. 1 ProdHaftG): 

1. Verletzung eines geschützten Rechtsguts (Tötung einer Person, Verletzung von Körper oder Gesundheit, Beschädigung einer Sache) 

2. durch ein fehlerhaftes Produkt 

3. mit daraus resultierendem (finanziellen) Schaden 

4. sowie kein Vorliegen einer gesetzlichen Ausnahme aus § 1 Abs. 2, Abs. 3 ProdHaftG. 

Haftung der Hersteller:innen bei KI-Produkten: Schwierigkeiten bei der Fehlerfeststellung und Produkthaftung 

Wenn man sich diese Voraussetzungen anschaut, dann dürften die Hersteller:innen bei Rechtsgutsverletzungen, die durch die entwickelte künstliche Intelligenz hervorgerufen wurden, eigentlich immer haften. Dieser Anspruch ergibt sich vor allem aus dem Prinzip der sogenannten Gefährdungshaftung.. Bei der Gefährdungshaftung kommt es nicht darauf an, ob der Schädiger oder die Schädigende die Rechtsgutsverletzung zu verschulden hat. Das bedeutet konkret, dass es egal ist, ob er oder sie fahrlässig oder vorsätzlich gehandelt hat. Entscheidend für die Haftung ist einzig, dass er oder sie eine Gefahrenquelle geschaffen hat, indem er oder sie dieses fehlerhafte Produkt auf den Markt gebracht hat. Des Weiteren müssen Rechtsgutsverletzung und Schaden auf den Produktfehler zurückzuführen sein (Kausalität).

Haftung bei künstlicher Intelligenz: Schwierigkeiten bei der Fehlerfeststellung und Beweisführung

Verzwickt wird es jedoch in Hinblick auf das Vorliegen eines Fehlers, da die Vorgänge innerhalb der Entscheidungsfindung einer künstlichen Intelligenz schwer nachzuvollziehen sind (Stichwort: Blackbox) und daher auch ein Fehler in der Programmierung nicht immer leicht nachgewiesen werden kann.  Schwierig wird es insbesondere deshalb, weil der oder die Geschädigte den Fehler nachweisen muss. Im Zweifel sind es Laien, die von künstlicher Intelligenz und der dahinterstehenden Technik gar keine Ahnung haben und die auch nicht in den Produktionsprozess involviert waren. Meistens wird eine Haftung der Hersteller:innen über die Produkthaftung an dieser Voraussetzung scheitern. 

Produzentenhaftung nach § 823 BGB: Unterschiede, Beweislastumkehr und KI-Entwicklungsstand

Von der Produkthaftung unterschieden werden muss jedoch die sog. Produzentenhaftung. Diese richtet sich nicht nach dem ProdHaftG, sondern nach dem allgemeinen Schadenersatzanspruch des § 823 Abs. 1 BGB. Dieser Schadenersatzanspruch ist nicht speziell auf Produzent:innen eines Produkts zugeschnitten, sondern kann jeden treffen, der ein dort aufgezähltes Rechtsgut verletzt. Handelt es sich allerdings um einen oder eine Produzent:in, werden spezielle Kriterien innerhalb dieses Anspruchs angewendet. 

Verschuldenshaftung vs. Produkthaftung: Anforderungen an Hersteller:innen bei fehlerhaften Produkten

Hierbei handelt es sich um einen Anspruch, der auf der sogenannten Verschuldenshaftung beruht. Das bedeutet im Unterschied zur Produkthaftung, die zur Gefährdungshaftung zählt, dass der oder die Hersteller:in schuldhaft ein fehlerhaftes Produkt in den Verkehr gebracht haben muss, d.h. fahrlässig oder vorsätzlich. Fahrlässigkeit setzt voraus, dass die im Verkehr erforderliche Sorgfalt nicht beachtet wurde. Vorsätzlich handelt, wer wissentlich und willentlich ein fehlerhaftes Produkt in den Verkehr gebracht hat. 

Besonderheiten der Produzentenhaftung: Beweislastumkehr und Herausforderungen bei KI-Entwicklungsständen

Hier kommt eine Besonderheit der Produzentenhaftung ins Spiel: Normalerweise müsste der oder die Geschädigte nachweisen, dass der oder die Hersteller:in schuldhaft ein fehlerhaftes Produkt in den Verkehr gebracht hat. Anders als bei der Produkthaftung wird an dieser Stelle eine Beweislastumkehr vorgenommen: Die Hersteller:innen müssen sich entlasten, also beweisen, dass sie gerade kein fehlerhaftes Produkt in den Verkehr gebracht haben. Dies liegt darin begründet, dass der oder die Geschädigte nur selten Einblicke in den Produktionsprozess hat und aus diesem Grund auch selten schon einen Anspruch nach dem ProdHaftG gelten machen kann. Irgendwie muss er oder sie jedoch eine Chance haben, die Hersteller:innen für den Schaden aufkommen zu lassen. 

Die Frage ist jedoch, ab welchem Entwicklungsstand der Künstlichen Intelligenz die Hersteller:innen sagen können, dass der Fehler nicht mehr in ihrer Sphäre liegt, sondern sich erst viel später durch die selbstlernende Eigenschaft der Künstlichen Intelligenz entwickelt hat. Hier wird es sehr stark auf die Argumente im Einzelfall ankommen. 

Haftung des Anwendernden bei KI-Technologie: Verschuldensfrage und Herausforderungen in der Praxis

Beim Anwendenden bzw. Betreibenden der KI-gestützten Technik fallen Produkt- und Produzentenhaftung weg. Allerdings könnte eine Haftung aus § 823 Abs. 1 BGB in Betracht kommen – nur dieses Mal ohne die besonderen Voraussetzungen, die für Produzent:innen gelten. Stattdessen haftet der Anwendende, wenn durch das Betreiben der KI fahrlässig oder vorsätzlich eine Rechtsgutsverletzung (Leben, Körper, Gesundheit, Eigentum, sonstiges Recht) eingetreten ist, die zu einem Schaden geführt hat. 

Haftung bei KI-Einsatz in der medizinischen Diagnose: Schwierigkeiten bei der Beurteilung des Verschuldens

Der Knackpunkt wird hier häufig das Verschulden sein. Wie kann man beurteilen, ob beispielsweise ein/eine Ärzt:in, der/die sich bei der Diagnose hauptsächlich auf ein KI-gestütztes Diagnosesystem stützt, die im Verkehr erforderliche Sorgfalt beachtet hat? Schließlich kann auch der/die Ärzt:in nicht in den Entscheidungsprozess der KI-Einblick nehmen und beurteilen, ob und wo da etwas schiefgelaufen ist und ob er oder sie sich deshalb nicht auf die Entscheidung hätte verlassen können. Deshalb wird man meistens davon ausgehen können, dass in dem Fall, in dem der Betreibende den Roboter bzw. die Maschine richtig bedient hat, ihm/ihr auch kein Fehlerhalten zur Last gelegt werden darf. Insbesondere greifen hier nicht die Regeln der Produzentenhaftung. Die geschädigte Person müsste daher nachweisen, dass der KI-Betreibende die im Verkehr erforderliche Sorgfalt nicht beachtet hat. Das stellt sich in der Praxis meistens als schwierig heraus. 

Haftungsfragen beim autonomen Fahren: Besonderheiten im Straßenverkehrsgesetz (StVG)

Das wohl bekannteste Beispiel, wenn es um die Thematik Künstliche Intelligenz und Haftung geht, stellt vermutlich das autonome Fahren dar. Das liegt vor allem daran, dass stetig immer mehr automatische Systeme die Steuerung im Auto übernehmen und es nur noch eine Frage der Zeit ist, bis KI das Auto komplett übernehmen kann – zumindest technisch gesehen. Rechtlich stellen sich auch dann dieselben Haftungsfragen, wie bei allen anderen selbstständig handelnden auch. Eine Besonderheit liegt allerdings darin, dass die Haftung im Straßenverkehr spezialgesetzlich im Straßenverkehrsgesetz (StVG) geregelt ist. 

Haftung im autonomen Fahren: Unterschiede zwischen der Haftung des Führers und des Halters

Der Gesetzgeber hat sich 2017 daran gesetzt, das StVG auf die Zukunft des autonomen Fahrens anzupassen. Das Haftungsregime des StVG unterscheidet einmal die Haftung des Führers oder der Führerin des Kfz und die des Halters oder der Halterin. Der(die Führer:in haftet gem. § 18 StVG verschuldensabhängig. Der/die Halter:in jedoch haftet verschuldensunabhängig (§ 7 Abs. 1 StVG), also im Zweifel immer, wenn bei Betrieb eines Kfz ein Mensch getötet, der Körper oder die Gesundheit eines Menschen verletzt oder eine Sache beschädigt wird. 

Haftungsregelungen im autonomen Fahren: Wer gilt rechtlich als Fahrzeugführer:in?

Die Gesetzesänderung 2017 hat dazu geführt, dass zunächst einmal die hoch- oder vollautomatisierte Fahrfunktion als ausdrücklich zulässig erklärt wurde (§ 1a Abs. 1 StVG). Die für Haftungsfragen relevante Änderung besteht jedoch darin, dass klargestellt wird, dass ein/e Fahrzeugführer:in im Sinne des StVG auch der- oder diejenige ist, der/die die autonome Fahrfunktion aktiviert und verwendet. Insbesondere ist er oder sie auch dann als Fahrzeugführer:in anzusehen, wenn er/sie das Fahrzeug gerade nicht eigenhändig steuert.

Das könnte Sie auch interessieren:

• KI-Whitepaper für Unternehmen
• Unsere Kompetenzen im Bereich der Künstlichen Intelligenz
• Die Regulierung von KI in der Versicherungsbranche – ein Überblick
• Aktuelles zur KI-VO: Logbuch zur geplanten Verordnung
• AI & Data Regulation: datengetriebene Use Cases und KI-Projekte strategisch planen und umsetzen

Haftungsfolgen für Halter, Fahrer und Hersteller beim autonomen Fahren

Welche Folge hat diese Klarstellung nun für die Haftung? Zunächst einmal ist die Struktur der Halter- und Fahrerhaftung bestehen geblieben. Des Weiteren hat die Änderung zur Folge, dass auch der- oder diejenige, der/die sein/ihr Auto „fahren lässt“ als Führer:in im Sinne des § 7 Abs. 1 StVG anzusehen ist. Das heißt, er/sie haftet auch wie ein/e Fahrzeugführer:in, der/die kein autonomes Auto fährt. Hat er/sie den Unfall also zu verschulden, dann haftet er/sie. Im Umkehrschluss bedeutet das aber auch, dass der/die Halter:in des autonomen Autos verschuldensabhängig weiterhin immer haftet. Zudem ist auch der Herstellende des autonomen Autos nicht befreit. Er oder sie haftet zwar nicht über das StVG, aber neben dem StVG kommen das ProdHaftG sowie das BGB zur Anwendung. 

Die Änderung hat folglich klargestellt, dass der/die Fahrzeugführer:in unabhängig vom Automatisierungsgrad haftet, wenn ihn/sie ein Verschulden trifft. Die Frage ist jedoch, wann ihn/ihr wirklich ein Verschulden treffen kann. Fährt er/sie nicht selbst und beruht der Unfall auf einem Fehler der KI, dann wird er/sie von der Haftung befreit sein. Die Regel wird daher lauten, dass, wenn die KI das Auto steuert, die Haftung beim Herstellenden und dem/der Halter:in liegen wird. 

Reformierung des KI-Haftungsrechts: das plant die EU

In absehbarer Zukunft wird es im Haftungsrecht rund um KI einige Neuerungen geben. Denn auf EU-Ebene gibt es derzeit mehrere Gesetzgebungsbestrebungen, die die Regulierung von KI zum Gegenstand haben. Zum einen die KI-Verordnung, die der Grundstein für KI-Regulierung in der EU werden wird. Die Verordnung wird zwar ein haftungsbegründendes Schutzgesetz darstellen, sodass ein Verstoß dagegen einen Schadensersatzanspruch nach § 823 Abs. 2 BGB begründen kann, selbst enthält sie jedoch keine haftungsrechtlichen Regelungen. Daneben arbeitet die EU jedoch auch an zwei Richtlinien, die sich mit Haftungsfragen in Bezug auf KI beschäftigen. Damit sollen vor allem die bereits dargestellten Probleme adressiert werden. Zudem soll damit die Entwicklung und Verbreitung von KI gefördert werden, indem Rechtssicherheit geschaffen wird. Insbesondere auch, da Unternehmen ihr Haftungsrisiko so besser  einschätzen und versichern werden können. 

Anpassung der EU-Produkthaftungsrichtlinie an Künstliche Intelligenz

Zum einen soll die europäische Produkthaftungsrichtlinie überarbeitet und ersetzt werden, die auch die Grundlage für das deutsche Produkthaftungsgesetz bildet. Mit der Richtlinie, die schon 1985 in Kraft trat, soll im Rahmen der voranschreitenden Digitalisierung die Gefährdungshaftung umfassend modernisiert werden. Die neue Richtlinie wird etwa die Haftungstatbestände mit Blick auf Künstliche Intelligenz ausweiten. Zudem wird durch den Gesetzesvorschlag die Beweiserbringung für Geschädigte erleichtert. Zwar gibt wird es keine sogenannte Beweislastumkehr geben, sodass nach wie vor die geschädigte Person den Fehler in der Software und die Kausalität nachweisen muss, dieses soll jedoch wesentlich erleichtert werden. Beispielsweise soll dafür eine Kausalitätsvermutung eingeführt werden. Können Opfer nachweisen, dass jemand für die Nichteinhaltung einer schadensrelevanten Verpflichtung verantwortlich war und ist ein Zusammenhang zwischen Schaden und Nichteinhaltung nach vernünftigem Ermessen wahrscheinlich, so soll zukünftig die Kausalität zwischen beiden widerlegbar vermutet werden. Außerdem soll Opfern der Zugang zu relevanten Beweismitteln erleichtert werden, indem Beklagten eine Offenlegungspflicht auferlegt wird. Auf Antrag werden Gerichte danach die Offenlegung von bestimmten Informationen anordnen können. Betreffen diese Informationen Geschäftsgeheimnisse von Unternehmen, muss das Gericht Maßnahmen zur Vertraulichkeit treffen. Voraussetzung für die Offenlegung ist jedoch, dass die Klagenden genügend Tatsachen und Beweismittel vorgelegt haben, die einen Schadensersatzanspruch wahrscheinlich erscheinen lassen. Dies könnte sich im Einzelfall als schwierig erweisen, unter anderem da die Anforderungen an ein solches nicht klar formuliert sind. 

Die neue Richtlinie über KI-Haftung 

Zudem soll eine gänzliche neue Richtlinie geben, die die KI-spezifische Haftung regulieren soll. Anders als die Produkthaftungsrichtlinie soll diese jedoch keine verschuldensunabhängige Haftung zum Gegenstand haben, sondern Fälle regeln, in denen es aufgrund von Vorsatz oder Fahrlässigkeit zu Schäden durch KI kommt. Sie soll eine Vielzahl von Schäden umfasst sein, auch etwa Verletzungen von Privatsphäre durch Sicherheitsprobleme in KI. Ähnlich wie die neue Produkthaftungsrichtlinie wird auch sein eine Kausalitätsvermutung und eine Offenlegungspflicht beinhalten, um Geschädigten die Geltendmachung ihrer Ansprüche zu erleichtern. Sie nimmt dabei Bezug auf sogenannte Hochrisiko-KI, die von der KI-Verordnung reguliert wird. In gewisser Weise kann sie damit als Sanktionsregime für Schäden aufgrund der Nichteinhaltung der Vorgaben aus der Verordnung gesehen werden. 

Diskussionen um Rechtspersönlichkeit von KI: Hindernisse und praktische Herausforderungen 

Als nächstes stellt sich die Frage nach den praktischen Herausforderungen, die sich aus dieser Regulierung ergeben. 

Eine Künstliche Intelligenz verfügt zunächst weder über ein Bankkonto noch über eine Versicherung, was bei Verursachung eines Schadens problematisch ist. Die Einführung einer Art E-Person könnte dieses Problem lösen. Eine solche E-Person würde jedoch auch Grundrechte wie eine natürliche Person haben, was im Widerspruch zur EMRK und der EU-Grundrechtecharta stehen würde. Bisher besteht ein Haftungsregime durch Rückgriff auf die hinter der KI stehenden Personen. Daher wäre die Einführung einer E-Person unnötig. 

Künstliche Intelligenz und Haftung: Ein theoretisch lückenloses Haftungssystem

Theoretisch ist das deutsche Haftungssystem lückenlos. Es werden auch bei den neuen Herausforderungen, die Künstliche Intelligenz und Roboter mit sich bringen, immer passende Rechtsgrundlagen vorhanden sein. Hier die wichtigsten Fakten auf einen Blick: 

1. Herstellerhaftung: Der/die Hersteller:in kann über Produkt- oder Produzentenhaftung zur Haftung herangezogen werden. In der Praxis wird der Anspruch aus Produkthaftung keine Chance haben, aus Produzentenhaftung allerdings schon. 

2. Systembetreiberhaftung: Der Systembetreibende wird nur haften müssen, wenn ihn/sie ein Fehlverhalten zur Last gelegt werden kann. Hat er/sie den Roboter richtig bedient, dann wird er/sie auch nicht haften müssen. 

3. Kfz-Halterhaftung: Im Sonderfall des autonomen Kfz kommt durch das StVG die verschuldensunabhängige Halterhaftung hinzu. Der/die Halter:in wird daher meistens haften müssen. 

Reformierung der Haftung auf EU-Ebene: Lösungen für rechtliche Fragen und Probleme im Zusammenhang mit KI und Robotik

Zwar gibt es mehrere Möglichkeiten, an verschiedene Personen heranzutreten und den entstandenen materiellen oder immateriellen Schaden ersetzt zu bekommen. In der Praxis schwer zu beantwortende Fragen wie die Abgrenzung eines fahrlässigen zu einem nicht fahrlässigen Verhalten lassen das Haftungssystem allerdings lückenhaft erscheinen. Etwaige Unklarheiten und Regelungslücken werden jedoch in absehbarer Zeit voraussichtlich durch eine Reformierung auf EU-Ebene ausgeräumt. Diese wird es für Geschädigte leichter machen, ihre Ansprüche geltend zu machen und Unternehmen eine bessere Einschätzung und Versicherbarkeit von Haftungsrisiken ermöglichen.  

Wir stehen Ihnen bei der Lösung der rechtlichen Fragen und Probleme im Zusammenhang mit künstlicher Intelligenz und Robotik zur Seite und helfen Ihnen dabei, die Haftungsrisiken bei der Anwendung von KI-basierten Systemen zu minimieren sowie die rechtlichen Rahmenbedingungen für Ihre Produkte und Dienstleistungen zu schaffen.  

Unsere Anwältinnen und Anwälte verfügen über langjährige Erfahrung im Technologierecht und sind stets auf dem neuesten Stand der Entwicklungen im Bereich Künstliche Intelligenz. Wir bieten Ihnen eine individuelle und praxisorientierte Beratung, die auf Ihre speziellen Bedürfnisse und Anforderungen zugeschnitten ist. Wir sind gerne für Sie da! 

Legal Hold und DSGVO – Beweissicherung oder Datenschutz?

Europäische Unternehmen, die transatlantische Geschäftsbeziehungen unterhalten, laufen nicht selten Gefahr, in vorprozessuale Beweisverfahren – sogenannte Pre-Trial Discoveries – verwickelt zu werden. Nach amerikanischem Zivilrecht sind sie dann verpflichtet, Informationen, die für den Rechtsstreit relevant sein können, einzufrieren und bis zum Abschluss des Verfahrens – unter Umständen über viele Jahre – aufzubewahren. Handelt es sich bei diesen Informationen um personenbezogene Daten nach der Datenschutz-Grundverordnung (DSGVO), kann es theoretisch zu einer Pflichtenkollision kommen: Der amerikanische Zivilprozess verlangt, dass die Daten in ein Drittland übermittelt und dort auf unbestimmte Zeit gespeichert werden. Der europäische Datenschutz hingegen verlangt, dass die Speicherdauer begrenzt ist, personenbezogene Daten nur unter bestimmten Voraussetzungen exportiert werden dürfen und Betroffene ihre Rechte geltend machen können. Es stellt sich daher die Frage, ob die Anforderungen der amerikanischen Beweismittelsicherung nur unter Verletzung des europäischen Datenschutzes erfüllt werden können und ob die Einhaltung der DSGVO automatisch einen Verstoß gegen amerikanisches Recht bedeuten würde. Wir bringen Licht ins Dunkel und geben einen Überblick über die wichtigsten Probleme und mögliche Lösungsansätze.

Legal Holds und ihre Bedeutung im US-amerikanischen Zivilprozess – ein Fallbeispiel

Der Legal oder Litigation Hold stammt aus dem amerikanischen Zivilprozessrecht. Das Konzept existiert bereits seit längerer Zeit, wurde aber erst 2005 entscheidend geprägt. In dem entscheidenden Fall Zubulake v UBS Warburg vor einem New Yorker Bezirksgericht ging es vor allem um die Vorlage von Beweismitteln. Laura Zubulake hatte wegen Diskriminierung am Arbeitsplatz geklagt und behauptet, dass entsprechende Beweise aus der E-Mail-Korrespondenz der Mitarbeitenden der Beklagten entnommen werden könnten. Die Klägerin konnte zwar nicht beweisen, dass sie von der Beklagten diskriminiert worden war, aber sie konnte nachweisen, dass die von der Beklagten im Rahmen der Beweisaufnahme vorgelegten E-Mails unvollständig waren. Die Beklagte hatte offenbar E-Mails gelöscht, nachdem bereits absehbar war, dass es zu einem Rechtsstreit kommen würde. Vor diesem Hintergrund entschied das Gericht, dass eine Partei, die vernünftigerweise mit einer Pre-Trial Discovery rechnen muss, ihre Löschroutine aussetzen und sicherstellen muss, dass alle relevanten Informationen sicher und unverändert aufbewahrt werden, um später als Beweismittel verwendet werden zu können.

Datenschutzrechtliche Aspekte bei Pre-Trial Discoveries: Verarbeitung von personenbezogenen Daten gemäß DSGVO

Wird ein Unternehmen in eine Pre-Trial Discovery involviert (und nicht völlig überrascht), wird es die betroffenen Daten schnellstmöglich identifizieren und vom operativen Geschäft trennen. Sind personenbezogene Daten betroffen, handelt es sich datenschutzrechtlich um Verarbeitungsvorgänge, die entsprechende Bedingungen erfüllen müssen. Handelt es sich um ein formloses Beweisersuchen, also noch kein Gericht beteiligt ist, kommt regelmäßig nur eine Verarbeitung zur Wahrung berechtigter Interessen in Betracht. Handelt es sich hingegen um ein förmliches Ersuchen eines Gerichts, das zudem die Bundesrepublik Deutschland um Rechtshilfe ersucht hat, kann die Verarbeitung auch zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein. Denn eine Pre-Trial Discovery kann unter bestimmten Voraussetzungen im Wege der Rechtshilfe erzwungen werden. Zu diesen Voraussetzungen gehört insbesondere, dass das Herausgabeverlangen nicht gegen wesentliche Grundsätze des deutschen Rechts verstößt und weitere Voraussetzungen erfüllt sind.

Drittlandübermittlung von personenbezogenen Daten: Voraussetzungen und rechtliche Rahmenbedingungen gemäß DSGVO

Die Übermittlung von Daten in ein sogenanntes Drittland wie die USA ist nur unter bestimmten Voraussetzungen möglich. Danach setzt die Übermittlung einen Angemessenheitsbeschluss, geeignete Garantien oder eine Ausnahme voraus. Dieser Angemessenheitsbeschluss wurde zwischenzeitlich auf der Grundlage des transatlantischen Datenschutzrahmens gefasst. Eine Datenübermittlung im Rahmen der Pre-Trial Discovery war jedoch auch vor Erlass des Angemessenheitsbeschlusses möglich, wenn das US-Gericht den Weg eines förmlichen Rechtshilfeersuchens beschritt oder die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich war.

Das könnte Sie auch interessieren:

• Wir beraten Sie im Datenrecht!
• Transfer Impact Assessment (TIA) – praktische Durchführung vorgeschriebener Risikoabschätzung
• Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

Betroffenenrechte bei einem Legal Hold: Auskunft, Kopie und Löschung gemäß DSGVO

Der deutsche Gesetzgeber hat von der Möglichkeit, die Rechte der Betroffenen bei einem Legal Hold einzuschränken, z. B. zum Schutz von Gerichtsverfahren oder zur Durchsetzung zivilrechtlicher Ansprüche, keinen Gebrauch gemacht. Verantwortliche, die Daten im Rahmen eines Legal Holds verarbeiten, müssen Auskunftsersuchen von Betroffenen daher grundsätzlich nachkommen und den von der Verarbeitung betroffenen Personen Auskunft erteilen. Darüber hinaus können Betroffene von den Verantwortlichen verlangen, dass ihnen eine originalgetreue Kopie der verarbeiteten Daten zur Verfügung gestellt wird und dass diese Daten gelöscht werden. Allerdings kann dem Verlangen nach einer Kopie entgegengehalten werden, dass eine Kopie die Rechte und Freiheiten anderer Personen beeinträchtigen würde. Personenbezogene Daten müssen auch dann nicht gelöscht werden, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

Erfüllung der Anforderungen im vorgerichtlichen Beweisverfahren: Strategien und Maßnahmen für Unternehmen

Vorprozessuale Beweisverfahren wie die US-amerikanische Pre-Trial Discovery und ein damit möglicherweise verbundener Legal Hold stellen Unternehmen vor erhebliche Herausforderungen. Die Anforderungen des US-amerikanischen Zivilprozesses können jedoch erfüllt werden, ohne gegen deutsches oder europäisches Datenschutzrecht zu verstoßen. Voraussetzung ist allerdings, dass sich die Verantwortlichen umfassend mit den Anforderungen vertraut gemacht und einen entsprechenden Prozess aufgesetzt haben. Sind Unternehmen vorbereitet (und bleiben auch im Ernstfall handlungsfähig), können Haftungsfallen vermieden werden – etwa durch eine gezielte Identifikation der relevanten Informationen, eine sorgfältige Abwägung und Dokumentation, die Anonymisierung und schrittweise Übermittlung sensibler Daten, den Abschluss einer Discovery-Vereinbarung mit der Gegenseite oder die Erwirkung einer entsprechenden Protective Order beim zuständigen Gericht.

Erfahrene Unterstützung bei Pre-Trial Discoveries und Legal Hold – Sichern Sie sich fundierte Lösungen von unserer Kanzlei!

Sie sind ein europäisches Unternehmen mit transatlantischen Geschäftsbeziehungen? Dann sind Sie möglicherweise auch mit den Herausforderungen von vorgerichtlichen Beweisverfahren konfrontiert. Wir unterstützen Sie gerne in diesem Bereich in allen Fragen rund um Legal Holds und die DSGVO. Unser erfahrenes Team hat sich intensiv mit den Anforderungen vorgerichtlicher Beweisverfahren auseinandergesetzt und steht Ihnen mit fundiertem Wissen und maßgeschneiderten Lösungen zur Seite. Wir helfen Ihnen, sich optimal auf Legal Holds vorzubereiten und handlungsfähig zu bleiben, um Haftungsfallen zu vermeiden. Kontaktieren Sie uns noch heute und lassen Sie sich von unseren Rechtsexpertinnen und -experten beraten.

Der transatlantische Datenschutzrahmen zwischen EU und USA: Aktuelles

In einer Pressemitteilung vom 10.07.2023 gab die Europäische Kommission bekannt, dass sie ihren Angemessenheitsbeschluss für den transatlantischen Datenschutzrahmen EU-USA angenommen hat. Dabei handelt es sich nun um den dritten Anlauf, die USA als sicheres Drittland für die Übertragung von personenbezogenen Daten von EU-Bürger:innen einzustufen.

Der vormals für Datenübermittlungen zwischen den USA und der Europäischen Union geltende Angemessenheitsbeschluss auf Basis des Privacy Shield wurde am 16.07.2020 vom Europäischen Gerichtshof (EuGH) durch das prominente Schrems II-Urteil für ungültig erklärt. Der neue transatlantische Datenschutzrahmen gewährleiste laut Ansicht der EU-Kommission die nötige Sicherheit des Datenverkehrs von EU-Bürger:innen und Unternehmen. Hierfür setzt der Angemessenheitsbeschluss auch auf Selbstverpflichtungen der USA zur Einschränkung des Datenzugriffs durch die US-Geheimdienste, die in der im Oktober 2022 erlassenen Executive Order festgelegt wurden.

Ob das Abkommen nach den Schrems I- und Schrems II-Urteilen des EuGH einer erneuten rechtlichen Prüfung durch den EuGH standhalten würde, bleibt jedoch abzuwarten. So hat Max Schrems mit seiner NGO noyb bereits angekündigt, gegen den Angemessenheitsbeschluss vorzugehen. In diesem Artikel geben wir Antworten auf wichtige Fragen zur sicheren Datenübertragung zwischen der EU und den USA und was sich in Zukunft für die Datenübertragung ändern wird. Unsere Anwält:innen unterstützen Sie bei der Erfüllung der notwendigen Verpflichtungen, um den neuen Anforderungen gerecht zu werden. Bitte zögern Sie nicht, uns zu kontaktieren, wenn Sie weitere Fragen haben.

Hintergrund des transatlantischen Datenschutzrahmens – Nichtigkeit des EU-US Privacy Shield

Der transatlantische Datenschutzrahmen (Trans-Atlantic Data Privacy Framework) ist eine der Folgen des Wegfalls des EU-US Privacy Shields. Im Juli 2020 entschied der Europäische Gerichtshof, dass die USA kein angemessenes Datenschutzniveau für Datentransfers nach Art. 45 DSGVO bieten würden (Az. C-311/18, „Schrems II“-Urteil). Der bis dahin bestehende Angemessenheitsbeschluss gem. Art. 45 DSGVO, der auf Basis des Privacy Shield die Übermittlung von personenbezogenen Daten zwischen der Europäischen Union (EU) und den USA ermöglichte, wurde mit diesem Urteil für ungültig erklärt.

Der EuGH erklärte im Schrems II-Urteil ausdrücklich, dass die damals schon vorhandenen Standardvertragsklauseln (Standard Contractual Clauses – SCC) aufrechtzuerhalten und weiterhin wirksam sind. Der Abschluss von SCC gem. Art. 46 Abs. 1, Abs. 2 lit. c DSGVO war und ist eine Möglichkeit, um Datenübermittlungen in Drittländer vorzunehmen, für die beispielsweise kein Angemessenheitsbeschluss oder die Ausnahmen aus Art. 49 DSGVO bestehen. Dabei können datenverarbeitende Unternehmen mit Sitz in der EU als Datenexporteur:innen die SCC als vorgegebene Musterverträge mit US-Unternehmen als Datenimporteur:innen abschließen.

Etablierung neuer SCC

Der EuGH betonte darüber hinaus auch, dass es die Verantwortung der Datenexporteur:innen sei, für jede Datenübermittlung das Schutzniveau im Drittland zu prüfen und geeignete Garantien für den Schutz der, in ein Drittland übermittelten, Daten vorzusehen. Dabei kann es erforderlich sein, über die SCC hinaus, ergänzende Garantien durch zusätzliche Maßnahmen vorzusehen. Das heißt, die SCC müssen unter Umständen durch weitere organisatorische oder technische Maßnahmen ergänzt werden, sodass der bloße Abschluss der SCC allein nicht zwingend ausreicht.

Daraufhin hat die Europäische Kommission mit dem Beschluss 2021/914/EU neue SCC veröffentlicht. Mit der Neufassung der SCC im Juni 2021 wurden diese unter anderem an die im Schrems II-Urteil aufgestellten Erfordernisse angepasst. Realisiert hat die Europäische Kommission die vom EuGH adressierten Pflichten insbesondere mit der Pflicht zur Durchführung eines Transfer Impact Assessments (TIA), als eine Art „Transfer-Risiko-Abschätzung“. Im Rahmen dieser Prüfung ist zu bewerten, ob die Gesetzgebung im Land der Datenimporteur:innen den in den SCC festgelegten Regelungen gerecht werden. Das TIA dient vorab einer Kontrolle, ob Datenimporteur:innen überhaupt in der Lage sind, die SCC einzuhalten.

Zusätzlich treffen Datenimporteur:innen, im Falle des Zugriffs auf Daten von Behörden im Drittland, Benachrichtigungspflichten gegenüber den Datenexporteur:innen und, wenn möglich, gegenüber der betroffenen Person.

Zwar wurden mit den neuen SCC wichtige vom EuGH geforderte Verpflichtungen aufgenommen, jedoch bleiben große Rechtsunsicherheiten bestehen. Gerade für Datenübermittlungen in die USA hat der Verantwortliche erheblichen Aufwand zu betreiben, der womöglich von Behörden als nicht ausreichend angesehen werden kann. Grund dafür ist die Einzelfallbewertung, ob weitere Maßnahmen vorgesehen werden müssen und wie diese auszusehen haben.

Mit dem neuen transatlantischen Datenschutzrahmens sollen Unternehmen für den Drittlandtransfer in die USA die zum Teil sehr hohen Hürden genommen werden.

Für andere Länder, wie Staaten im arabischen Raum oder China, bleiben die Anforderungen aus den SCC bestehen, soweit nicht daneben die Ausnahmeregelungen des Art. 49 DSGVO eingreifen.

Das könnte Sie auch interessieren:

• Die neuen Standardvertragsklauseln (SCC) nach dem „Schrems II“-Urteil
• Wir beraten Sie im Datenschutzrecht
• Transfer Impact Assessment (TIA) – praktische Durchführung vorgeschriebener Risikoabschätzung
• EuGH kippt Privacy Shield: US-Dienste weiterhin nutzen – FAQ zu Schrems II
• Beratung zu Datenrecht

Zweck und Inhalt des transatlantischen Datenschutzrahmens

Der Zweck des transatlantischen Datenschutzrahmens lag in der Schaffung der Grundlage eines neuen Angemessenheitsbeschlusses. Dieser soll (wieder) die Basis dafür bieten, dass die Daten frei und sicher zwischen der EU und den teilnehmenden US-Unternehmen fließen können – ohne zusätzliche Prüfpflichten für die europäischen Unternehmen. Der transatlantische Datenschutzrahmen stellt selbst noch keinen Angemessenheitsbeschluss dar. Erst durch den Beschluss vom 10.07.2023 wurde er zum Ausgangspunkt für die Übermittlungen nach Art. 45 DSGVO.

Daneben sollen durch die Executive Order 14086 verbindliche Schutzmaßnahmen den Zugriff der US-Geheimdienste beschränken. Der Zugriff der Geheimdienste war einer der Entscheidungsgründe des EuGH für die Ungültigkeit des auf dem Privacy Shield basierenden Angemessenheitsbeschlusses. Der EuGH rügte in seinem Urteil, dass kein Rechtsschutz gegen die Zugriffe durch die US-amerikanischen Sicherheitsbehörden, der den Anforderungen des Art. 47 der EU-Grundrechtecharta genügte, bestünde. Zudem sollten Verfahren für eine effektive Überwachung der Maßnahmen etabliert werden.

Etablierung eines zweistufigen Rechtsbehelfsmechanismus

Der vorgesehene zweistufige Rechtsbehelfsmechanismus ist eine direkte Reaktion auf einen der wesentlichen Entscheidungsgründe des EuGH in der Entscheidung „Schrems II“. Mit der Einrichtung eines zweistufigen, unabhängigen Rechtsbehelfslmechanismus sollen verbindliche Abhilfemaßnahmen bei unrechtmäßigen Aktivitäten der US-Geheimdienste angeordnet werden können. Im Schrems II-Urteil bemängelte der EuGH unter anderem, dass Datenschutzbeschwerden seitens EU-Bürger:innen von einer Stelle entgegengenommen wurden, die dem US-Außenministerium angehörte. Damit war diese Stelle der Exekutive zuzuordnen, wobei gegen Entscheidungen derselben keine unabhängigen Rechtsbehelfezur Verfügung standen. Nun soll ein neuer und unabhängiger „Data Protection Review Court“ eingesetzt werden, der eine zweitinstanzliche Prüfung von Beschwerdeentscheidungen ermöglichen soll.

Einschränkung der Überwachung durch die US-Geheimdienste

Eine Überwachung seitens der US-Behörden ist nur noch möglich, wenn sie aufgrund nationaler Sicherheitsinteressen notwendig und verhältnismäßig sei, heißt es in der Executive Order vom Oktober 2022, die zum 03.07.2023 umgesetzt wurde.

Überwachung von US-Unternehmen hinsichtlich der Einhaltung der Pflichten aus dem transatlantischen Datenschutzrahmen

Weiterhin soll durch eine Selbstzertifizierung der US-Unternehmen beim US-Handelsministerium die Einhaltung der Pflichten aus dem Abkommen bestätigt werden, wozu insbesondere der DSGVO ähnliche Datenschutzpflichten gehören.

Angemessenheitsbeschluss der Europäischen Kommission

Was ist ein Angemessenheitsbeschluss?

Ein Angemessenheitsbeschluss ist eines der Instrumente, die die DSGVO für die Übermittlung personenbezogener Daten aus dem Europäischen Wirtschaftsraum (EWR) in Länder außerhalb des EWR (sogenannte Drittländer) vorsieht, die nach Auffassung der Kommission ein Datenschutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist.

Bedeutung des Angemessenheitsbeschlusses für Datenexporteur:innen

Nach dem Angemessenheitsbeschluss können personenbezogene Daten auf Grund dieses Beschlusses aus dem EWR, der die 27 EU-Mitgliedstaaten sowie Norwegen, Island und Liechtenstein umfasst, in ein Drittland übermittelt werden, ohne SCC nutzen zu müssen. Mit anderen Worten: Datenübermittlungen in ein Drittland aufgrund eines Angemessenheitsbeschlusses können genauso behandelt werden wie Datenübermittlungen innerhalb des EWR.

Der Angemessenheitsbeschluss für den EU-US Datenschutzrahmen gilt für Datenübermittlungen von jeder öffentlichen oder privaten Stelle im EWR an US-Unternehmen, die am EU-US Datenschutzrahmen teilnehmen. Voraussetzung hierfür ist, dass sich die US-Unternehmen, nach dem transatlantischen Datenschutzrahmen zertifiziert haben.

Kritik an dem neuen transatlantischen Datenschutzrahmen

Insgesamt stellt sich die Frage, ob eine neue beschlossene juristische Grundlage auch vor dem EuGH standhalten würde.
Max Schrems kritisierte mit seiner NGO noyb bereits, dass die „Verhältnismäßigkeit“ vom EUGH und den USA unterschiedlich ausgelegt werden könnte und die neue Executive Order sowie der etablierte Rechtsbehelfsmechanismus keinen hinreichenden Schutz biete für EU-Bürger:innen, deren Daten von US-Geheimdiensten verarbeitet werden.

Was ist jetzt zu tun?

Die Erfüllung der Anforderungen des neuen transatlantischen Datenschutzrahmens kann sich als komplex erweisen, insbesondere angesichts der unsicheren Rechtslage und der laufenden rechtlichen Herausforderungen. Einige Unternehmen werden sich nun die Frage stellen, ob es sinnvoll ist, zukünftig Daten an zertifizierte US-Unternehmen aufgrund des Angemessenheitsbeschlusses zu übermitteln und welche Vorteile es gegenüber anderen Übermittlungsmechanismen hat. Hinzu kommt, welche Risiken hierdurch entstehen und was Datenexporteur:innen hierbei zu beachten haben.

Die Regulierung von KI in der Versicherungsbranche – ein Überblick

Im Versicherungswesen sind die Einsatzmöglichkeiten von KI-basierten Systemen besonders vielseitig. Versicherungsunternehmen setzen schon seit Jahrzehnten auf sogenannte Expertensysteme, die als ein Vorläufer heutiger KI-Systeme gesehen werden können. Mit dem stetig voranschreitenden digitalen Wandel steigt nun aber immer mehr die Bedeutung von modernen KI-Algorithmen für Versicherungen. Unternehmen in der Versicherungsbranche können von diesen enorm profitieren. Es wachsen jedoch auch die juristischen Herausforderungen, die es zu bewältigen gilt. Dabei sind verschiedene rechtliche Teilbereiche betroffen, darunter etwa Zivil-, Datenschutz– und Aufsichtsrecht. Zudem arbeitet der europäische Gesetzgeber zurzeit an der unionsrechtlichen KI-Verordnung, die Entwicklung und Einsatz von KI in der EU regulieren soll und die voraussichtlich Versicherungen dezidiert adressieren wird. Der vorliegende Beitrag soll zunächst einen kurzen Überblick über die Vorzüge von KI-Systemen für Versicherungen geben. Schwerpunktmäßig werden dann der bestehende Rechtsrahmen und kommende Regulierungsvorhaben vorgestellt, die für Versicherungsunternehmen im Hinblick auf den Einsatz von KI-Systemen zu beachten sind.

Versicherungen können vielseitig von KI profitieren

Die Einsatzmöglichkeiten für KI in der Versicherungsbranche sind mannigfaltig. Insbesondere da Versicherungen mit enormen Mengen an Daten arbeiten, können mittels KI und maschinellem Lernen viele Prozesse automatisiert und effizienter gestaltet werden. Zudem können dadurch Versicherungsprodukte maßgeschneidert und den individuellen Umständen von Versicherungsnehmenden angepasst werden. In Zukunft wird der Einsatz von KI in Versicherungen vermutlich unverzichtbar sein.

Automatisiertes Underwriting

Beispielsweise ermöglicht der Einsatz von KI das vereinfachte Underwriting. Das Underwriting bezeichnet den Vorgang, in dem Anträge geprüft, Risiken eingeschätzt und Verträge zum Abschluss gebracht werden. Laut dem Beratungsunternehmen Accenture verbringen Underwriter:innen fast die Hälfte ihrer Zeit mit administrativen Aufgaben, manuellen Prozessen sowie Dateieingaben. KI kann derartige Tätigkeiten übernehmen und damit das Underwriting wesentlich schneller und wirtschaftlicher machen.

Versicherungsbetrug mit KI aufdecken

Darüber hinaus können KI-Systeme bei der Erkennung von Versicherungsbetrug unterstützen. Etwa jeder zehnte Versicherungsfall ist laut Expert:innenmeinungen ein Betrugsfall. Für Versicherungen und als Konsequenz auch für die Versicherten stellt dies eine beachtliche finanzielle Belastung dar. Es können etwa Versicherungsnehmende als auch Leistungserbringende betrügerisches Handeln an den Tag legen, beispielsweise indem Schäden fingiert, oder nicht erbrachte Leistungen abgerechnet werden. KI bietet bei der Betrugserkennung gänzlich neue Möglichkeiten. Die KI wird dafür mit riesigen Datenmengen angelernt und kann darauf basierend Betrugsmuster automatisiert und effizient erkennen. Versicherungen können so immense Kosten einsparen und Kapazitäten von Mitarbeitenden freigeben.

Effiziente Kommunikation mit Versicherten mittels KI

Auch in der Betreuung von Versicherten können KI-gestützte Anwendungen erhebliche Vorteile mit sich bringen. Durch den Einsatz von KI kann die Kommunikation mit Kund:innen automatisiert und damit wesentlich effizienter gestaltet werden. Durch den Einsatz von Chatbots können etwa Anfragen von Versicherten rund um die Uhr bearbeitet werden. KI unterstützt zudem im Umgang mit den immer größer werdenden Anfragevolumen. Zum einen kann dadurch die Qualität des Kund:innenservices verbessert werden, zum anderen wird Beschäftigten viel Arbeit abgenommen.

Regulierung von KI im Versicherungsbereich

Die genannten Vorteile bilden nur beispielhaft ab, wie KI in Versicherungen gewinnbringend eingesetzt werden kann. Die Nutzen von KI sind dabei aber kein Geheimnis mehr und KI-Systeme finden bereits großflächig Anwendung. Ebenso bekannt wie die Vorteile sind jedoch auch die Risiken, die mit dem Einsatz von KI verbunden sind. Beispielsweise weil die KI häufig immense Mengen an, oft personenbezogenen, Daten verarbeitet, ergeben sich insbesondere aus Sicht des Datenschutzes umfassende rechtliche Bedenken. Zudem können KI-Systeme unter Umständen Vorurteile zum Ausdruck bringen oder Diskriminierungen enthalten. Denn die KI-Systeme spiegeln in ihren Antworten bzw. ihrer Anwendung im Wesentlichen lediglich die Muster wider, die sie aus ihren Trainingsdaten gelernt haben. Sind die Trainingsdatensätze also unvollständig oder enthalten Verzerrungen, wirkt sich dies entsprechend auf den Output der KI aus. Als Konsequenz besteht daher die Gefahr, dass unkontrollierte KI diskriminierende Entscheidungen trifft und sich damit insgesamt gesellschaftlich negativ auswirken könnte. Die beschriebenen Risiken von KI sind daher bereits Gegenstand kritischer gesellschaftlicher und juristischer Auseinandersetzungen. Zudem haben sie bereits die Gesetzgeber auf den Plan gerufen, sowohl auf europäischer also auch auf nationaler Ebene. Die Folge sind teilweise strenge regulatorische Anforderungen, insbesondere auch im Versicherungsbereich.

Im Folgenden soll daher ein Überblick über den bereits bestehenden Rechtsrahmen sowie ein Ausblick über künftige relevante Regulierungen gegeben werde.

KI, Versicherungen und Datenschutzrecht

Der Umgang von KI mit personenbezogenen Daten wird auch im Versicherungswesen hauptsächlich von der DSGVO reguliert.

Für den Einsatz der KI gelten insoweit grundsätzlich alle Anforderungen aus der DSGVO, soweit durch die KI personenbezogene Daten verarbeitet werden. So müssen – für den gesamten Lebenszyklus der KI – für die Verarbeitung von personenbezogenen Daten insbesondere die Anforderungen an die Rechtmäßigkeit der Verarbeitung aus Art. 6 und Art. 9 DSGVO, an die Erfüllung der Informationspflichten aus Art. 13 und Art. 14 DSGVO sowie an die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO eingehalten werden. Darüber hinaus spielt im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems vor allem noch der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO.

Eine wichtige Norm im Zusammenhang mit dem Einsatz von KI ist zudem Art. 22 DSGVO. Die Vorschrift bestimmt, dass Personen keinen vollständig automatisierten Entscheidungen unterworfen werden dürfen, sofern sie dadurch rechtlich oder in anderer Weise erheblich beeinträchtigt werden. Absatz 2 der Norm sieht dafür zwar Ausnahmen vor, diese sind nach Absatz 4 jedoch in den meisten Fällen dann ausgeschlossen, wenn es sich um besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO handelt. Bei den Daten, die von Versicherungen verarbeitet werden, wird dies mitunter zu beachten sein, etwa im Fall von Gesundheitsdaten. Zudem findet sich eine Ausnahme von dem Verbot automatisierter Entscheidungen in § 37 Bundesdatenschutzgesetz (BDSG). Die Regelung sieht vor, dass das Verbot dann nicht gilt, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht. Diese Ausnahme selbst soll jedoch dann ausgeschlossen sein, wenn dem Begehren der betroffenen Person nicht stattgegeben wurde. Das bedeutet, dass die Ablehnung von Versicherungsleistungen grundsätzlich nicht KI-basiert und vollautomatisiert erfolgen darf und insgesamt für den Einsatz von KI zur Entscheidungsfindung ein ausdifferenzierter Ansatz gefunden werden muss.

Zu beachten ist ferner, dass aus datenschutzrechtlicher Sicht personenbezogene Daten nur so lange verarbeitet werden dürfen, wie es dafür eine Rechtsgrundlage gibt. Fällt die Rechtsgrundlage im Nachhinein weg, etwa wenn eine Einwilligung widerrufen wird, dürfen die betroffenen Daten nicht mehr weiterverarbeitet werden. Aus diesem Grund muss die Versicherung stets einen Überblick über die betroffenen Daten haben und beispielsweise in der Lage sein, sie bei Wegfall der Rechtsgrundlage auch zu löschen. Im Fall von KI-Systemen erweist sich dies jedoch als schwierig, wenn die KI-Systeme mit personenbezogenen Daten trainiert worden sind und diese Daten nun gelöscht werden müssen. Da eine KI eine Blackbox darstellen kann, bei der nicht mehr im Einzelnen nachvollzogen werden kann, was im „Inneren“ des Systems geschieht, kann auch die Löschung von Daten Probleme mit sich bringen.

Für Versicherungen, die sich die Vorteile von Künstlicher Intelligenz nutzen wollen, gilt es daher die Herausforderungen aus der DSGVO stets im Blick zu behalten und ein Konzept zu entwerfen, um eine datenschutzrechtlich zulässige Nutzung des KI-Systems zu gewährleisten.

Aufsichtsbehörden und KI in Versicherungen

Auch die Aufsichtsbehörden haben die Potenziale wie auch die Risiken für KI in der Versicherungswirtschaft erkannt. Sowohl die europäische Versicherungsaufsicht EIOPA als auch die in Deutschland zuständige BaFin haben daher bereits Stellung bezogen.

Die europäische Aufsichtsbehörde EIOPA zu KI in Versicherungen

Die EIOPA veröffentlichte am 17. Juni 2021 Leitlinien, die von einer Expert:innengruppe, bestehend aus Vertreter:innen aus Versicherungen, Beratung, Wissenschaft und Verbraucherschutzverbänden, ausgearbeitet wurden. Dabei handelt es sich um rechtlich nicht bindende Handlungsempfehlungen, die einen ethischen und vertrauenswürdigen Umgang mit KI-Anwendungen in Versicherungen zum Ziel haben. Im Wesentlichen sind sechs Prinzipien von dem Leitfaden umfasst: Verhältnismäßigkeit, Fairness und Nicht-Diskriminierung, Transparenz und Erklärbarkeit, menschliche Aufsicht über KI, die Beachtung des Datenschutzrechtes und das Prinzip der Belastbarkeit und Leistungsfähigkeit von KI-Systemen. Die Handlungsempfehlungen sollen dazu dienen, einen Ausgangspunkt für die Grenzen von KI in der Versicherungsbranche zu setzten. Versicherern sollen sie zur Orientierung, um KI verantwortungsvoll einzusetzen, dienen. Zudem können die aufgestellten Prinzipien als Vorbote künftiger Regulierungsvorhaben zu sehen sein. Laut EIOPA sollen etwa die Handlungsempfehlungen möglicherweise als Vorlage für aufsichtsrechtliche Vorgaben dienen.

Prinzipien der BaFin zu KI in Versicherungen

Ebenso hat sich die deutsche Versicherungsaufsichtsbehörde BaFin mit den Möglichkeiten und Grenzen von KI in Versicherungsunternehmen auseinandergesetzt. Am 15. Juni 2021 veröffentlichte sie ihre Prinzipien für den Einsatz von Algorithmen in Entscheidungsprozessen. Diese sind in erster Linie an Finanzunternehmen gerichtet, enthalten jedoch auch Use Cases und Orientierungen für Versicherungen. Zunächst stellt das Papier klar, dass die BaFin algorithmusbasierte Entscheidungsprozesse nicht grundsätzlich billigt. Vielmehr sollen derartige Prozesse risikoorientiert und anlassbezogen durch die Aufsicht geprüft werden, etwa im Erlaubnisverfahren, in der laufenden Aufsicht oder in der Missstandsaufsicht. Dabei soll, wie auch sonst in der Beaufsichtigung, ein risikoorientierter, proportionaler und technologieneutraler Ansatz verfolgt werden. Die dann aufgestellten Prinzipien sollen aufsichtsrechtliche Mindestanforderungen darstellen und Unternehmen, die von der BaFin beaufsichtigt werden, zur Orientierung dienen. Die Behörde unterscheidet dabei zwischen übergeordneten Prinzipien und spezifischen Prinzipien für die Entwicklungsphase und Anwendung von KI.

Die übergeordneten Prinzipien beinhalten die klare Verantwortung der Geschäftsführung, auch für algorithmusbasierte Entscheidungen, die Implementierung eines adäquaten Risiko- und Auslagerungsmanagements, die Vermeidung von systematisch verzerrten Ergebnissen (Biases) und den Ausschluss bestimmter gesetzlich festgelegter Merkmale von der Risiko- und Preiskalkulation. Zudem hat die BaFin spezifische Prinzipien für die Entwicklungsphase von KI formuliert. Diese umfassen bestimmte Anforderungen an Datenstrategien und Datengovernance, die Beachtung des Datenschutzrechts, sowie die Sicherstellung von korrekten, robusten und reproduzierbaren Ergebnissen. Dadurch sollen Genauigkeit und Sorgfalt bei der Auswahl der Algorithmen, der Kalibrierung und der Dokumentation garantiert werden. Zudem soll so sichergestellt werden, dass Ergebnisse unternehmensintern und -extern nachvollzogen werden können. Diesem Ziel dient auch das aufgestellte Prinzip der Dokumentation zur internen und externen Nachvollziehbarkeit. Die Dokumentation soll sich auf Modellauswahl, Kalibrierung und Modellvalidierung beziehen. Eine angemessene Validierung ist selbst ebenfalls ein Prinzip der Entwicklungsphase von KI. Schließlich wird das Prinzip festgelegt, dass die Daten, die für Validierung und Kalibrierung genutzt werden, relevant und repräsentativ sind. Für die Anwendung von KI formuliert die BaFin das Prinzip der Einbindung von Beschäftigten in die Interpretation und Verwertung von Ergebnissen, der intensiven Freigabe- und Feedbackprozesse, der Etablierung von Notmaßnahmen, falls Probleme mit algorithmusbasierten Entscheidungsprozessen kommt und der laufenden Validierung, übergeordneten Evaluation und entsprechenden Anpassung während der gesamten praktischen Anwendung.

Die vorgestellten Prinzipien stellen laut BaFin noch vorläufige Überlegungen dar, die als Diskussionsgrundlage für aufsichtsrechtliche Mindestanforderungen dienen sollen. Künftige Aufsichtspraxis und ausdrückliche Regulierungen werden dann weitere Klarheit für Versicherungen bringen.

Das könnte Sie auch interessieren:

• Künstliche Intelligenz (KI) und Medizinprodukte: Regulatorische Anforderungen und Herausforderungen im Überblick
• AI & Data Regulation: datengetriebene Use Cases und KI-Projekte strategisch planen und umsetzen
• EU-Datenregulierung für Unternehmen: Ein umfassender Überblick
• ChatGPT und seine Regulierung nach der KI-VO

Haftungsrechtliche Fragen rund um KI

Darüber hinaus bringt der Einsatz von KI eine Reihe von haftungsrechtlichen Fragestellungen mit sich, die für Versicherungen relevant sind.

Oftmals diskutiert ist beispielsweise, wer für Schäden haftet, die durch KI-Systeme verursacht werden. Grundsätzlich lässt sich sagen, dass unverändert das allgemeine Haftungsrecht gilt, teilweise ergeben sich durch den Einsatz von KI jedoch Besonderheiten. Für Schäden durch fehlerhafte Produkte können etwa Hersteller:innen verschuldensunabhängig nach dem Produkthaftungsgesetz haftbar gemacht werden. Problematisch ist dabei jedoch in Hinblick auf KI, dass der/die Geschädigte nachweisen muss, dass das betroffene Produkt fehlerhaft war. Die Entscheidungsfindung durch KI ist jedoch in vielen Fällen kaum bis gar nicht im Einzelnen nachzuvollziehen, da die KI-Systeme autonom arbeiten und sich selbstlernend weiterentwickeln. Eine Herstellerhaftung nach dem Produkthaftungsgesetz scheitert daher in vielen Fällen. Zudem besteht darüber hinaus die Möglichkeit der Produzentenhaftung nach dem Bürgerlichen Gesetzbuch (BGB), für die der/die Hersteller:in schuldhaft ein fehlerhaftes Produkt auf den Markt gebracht haben muss. Anders als bei der Produkthaftung wird hier eine Beweislastumkehr vorgenommen, sodass die Hersteller:innen nachweisen müssen, dass ihr Produkt fehlerhaft war. Für Schäden, die durch KI verursacht wurden, ist die Produzentenhaftung daher häufig relevanter.

Für Versicherungen von besonders großer Relevanz sind Schäden, die im Zusammenhang mit autonomen Fahrzeugen entstehen. In der Schadensregulierung ist hier vor allem fraglich, ob die Haftung für einen Schaden, der durch ein solches verursacht wird, unter Umständen von der/dem Fahrzeughalter:in auf die/den Entwickler:in der KI übergeht. Nach bisherigem Stand ist dieses jedoch nicht der Fall. Die/der Halter:in zieht den Nutzen aus dem Fahrzeug und hat deshalb auch nach wie vor das damit verbundene Risiko zu tragen.

Zu erwähnen ist darüber hinaus der Ansatz, dass KI selbst mit einer Rechtspersönlichkeit ausgestattet sei und als solche eigenständig haften müsse. Da KI-Systeme jedoch nicht mit einer Haftungsmasse ausgestattet sind, erscheinen derartige Überlegungen bisher nicht sehr praxistauglich, zumal mit dem gegebenen Haftungsregime bereits anwendbare Regelungen existieren.

Geplante Regulierungen der EU

Zusätzlich zu den schon bestehenden Regelungen, befinden sich jedoch derzeit mehrere Regulierungsvorhaben in Arbeit, die KI zum Gegenstand haben – vor allem auf europäischer Ebene.

Der Entwurf zur KI-Verordnung

Am prominentesten darunter ist wohl die geplante KI-Verordnung der EU (KI-VO). Der erste Entwurf für die KI-VO wurde am 21. April 2021 von der EU-Kommission vorgestellt. Seitdem haben die beiden Ko-Gesetzgeber, das EU-Parlament und der Ministerrat, jeweils Kompromissvorschläge ausgearbeitet. Auf dieser Grundlage wird voraussichtlich im Sommer 2023 der offizielle Trilog zwischen Parlament, Kommission und Ministerrat starten. In diesem wird dann das endgültige Gesetz ausgearbeitet, das als Verordnung unmittelbare Wirkung in allen EU-Mitgliedsstaaten entfalten wird. Wie lange der Trilog andauern wird, lässt sich nicht sagen. Ein Inkrafttreten des Gesetzes ist jedoch schon für Ende 2023 denkbar und kann für das Jahr 2024 sogar als wahrscheinlich angesehen werden. Anschließend wird es eine Umsetzungsfrist von zwei bis drei Jahren geben, sodass Versicherungsunternehmen spätestens zu diesem Zeitpunkt sämtliche Anforderungen aus der KI-VO umgesetzt haben müssen.

Der Entwurf zur KI-VO verfolgt einen risikobasierten Ansatz. Je nachdem, welcher Risikoklasse eine KI zugeordnet wird, entscheiden sich die regulatorischen Anforderungen an das KI-System. Dabei wird zwischen vier Risikoklassen unterschieden: inakzeptablem Risiko, hohem Risiko, begrenztem Risiko und minimalem Risiko. Die Gruppe der Hochrisiko-KI ist das Herzstück der geplanten Verordnung, fast alle der enthaltenen Anforderungen und Verpflichtungen beziehen sich auf diese Risikogruppe. Dazu zählen z.B. das Einrichten eines Risikomanagement-Systems, gewisse Anforderungen an verwendete Trainingsdaten und bestimmte Transparenzverpflichtungen. Welche KI-Systeme unter die Hochrisiko-KI fallen, ist über die Anhänge II und III zum Verordnungsentwurf geregelt. Danach ist das Vorliegen von einem hohen Risiko einerseits dann anzunehmen, wenn die KI Sicherheitskomponente eines Produktes ist, das bereits einer der in Anhang II aufgelisteten Vorschriften unterfällt, beispielsweise Spielzeug, Aufzüge oder Medizinprodukte. Andererseits soll ein hohes Risiko dann gegeben sein, wenn das betreffende KI-System einem der in Anhang III genannten Bereiche unterfällt und dort für einen der jeweils aufgelisteten Anwendungsfälle vorgesehen ist. Für Versicherungen könnte insbesondere letzteres relevant sein, da etwa im bereits vorliegenden Entwurf des EU-Ministerrats KI zur Risikobeurteilung für Lebens- und Krankenversicherung explizit mit genannt ist. Zudem ist auch aufgrund anderer genannter Anwendungsfälle das Vorliegen von Hochrisiko-KI bei Versicherungen denkbar.

Versicherungsunternehmen sollten deshalb bereits jetzt damit beginnen, sich auf die kommende Verordnung vorzubereiten. Die Herausforderungen sind teils komplex und weitreichend. Mit der entsprechenden Vorarbeit kann die Umsetzung jedoch gut gelingen, insbesondere indem auf bestehende Compliance-Mechanismen und Know-how zurückgegriffen wird. Unsere Expert:innen sind erfahren mit der Umsetzung der kommenden KI-Verordnung in Versicherungsunternehmen. Auch Sie beraten wir gerne in dem Themenfeld.

Reformierung des Haftungsrechts

Neben der kommenden KI-Verordnung soll auf EU-Ebene zudem das Haftungsrecht rund um den Einsatz von KI erneuert werden. Für das deutsche Recht wird dies direkte Auswirkungen haben. Beispielsweise das Produkthaftungsgesetz dient zur Umsetzung der europäischen Produkthaftungsrichtlinie, die nun modernisiert und an die Herausforderungen der KI angepasst werden soll. Diese soll insbesondere die Haftungstatbestände erweitern und die Beweiserbringung für Geschädigte erleichtern, unter anderem durch eine Kausalitätsvermutung und eine Offenlegungspflicht für Beklagte. Zudem soll eine gänzliche neue Richtlinie eingeführt werden, die die KI-spezifische Haftung regulieren soll. Anders als die Produkthaftungsrichtlinie soll diese jedoch keine verschuldensunabhängige Haftung zum Gegenstand haben, sondern Fälle regeln, in denen es aufgrund von Vorsatz oder Fahrlässigkeit zu Schäden durch KI kommt. Auch sie soll jedoch eine Kausalitätsvermutung und eine Offenlegungspflicht beinhalten, um Geschädigten die Geltendmachung ihrer Ansprüche zu erleichtern. Sie nimmt dabei Bezug auf die Hochrisiko-KI, die von der KI-Verordnung reguliert wird. Sie kann damit als Sanktionsregime für Schäden aufgrund der Nichteinhaltung der Vorgaben aus der Verordnung gesehen werden.

Fazit

Die Vorteile, die KI für Versicherungen bringen kann, sind enorm. Unternehmen aus der Versicherungsbranche sollten sich daher unbedingt mit dem Thema auseinandersetzen. Dabei sind die rechtlichen Anforderungen zwar vielschichtig und teilweise sehr komplex. Mit einer e entsprechenden Planung und rechtlicher Expertise kann die Umsetzung jedoch gelingen und die rechtlichen Herausforderungen können gut gemeistert werden.

Unsere Expert:innen können auf eine umfangreiche Praxiserfahrung in der Beratung von Versicherungsunternehmen und die Regulierung von KI zurückgreifen. Auch Sie beraten wir gerne bei Ihren KI-Projekten. Kontaktieren Sie uns mit Ihren Fragen.

Der Europäische Gesundheitsdatenraum (EHDS): Ziele und Inhalte des Kommissionsentwurfs

In der Digitalisierung des deutschen Gesundheitswesens gibt es großen Entwicklungsbedarf. Erste Schritte wurden zuletzt mit der Einführung der elektronischen Patientenakte (ePA) und der elektronischen Arzneimittelverordnung (eRezept) getan. Doch nach wie vor ist der erschwerte Zugang zu elektronischen Gesundheitsdaten ein echter Hemmschuh bei der gesundheitlichen Versorgung der Versicherten. Dabei ist die barrierearme Nutzung von elektronischen Gesundheitsdaten nicht nur für den oder die Einzelnen unmittelbar von essenzieller Bedeutung, sondern auch für die Förderung der gesundheitsbezogenen Forschung und damit für die Weiterentwicklung von Diagnostik und Behandlung. Um Hindernisse abzubauen und die Potenziale digitaler Gesundheitsdaten voll auszuschöpfen, wurde im Mai 2022 auf europäischer Ebene der Entwurf einer Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten – der European Health Data Space (EHDS) – vorgelegt. Dieser soll den Austausch von Gesundheitsdaten innerhalb der Union vereinheitlichen und damit den Zugang zu diesen Daten und ihre Nutzung vereinfachen. Wegen der Sensibilität von Gesundheitsdaten stellen sich jedoch gerade in Bezug auf datenschutzrechtliche Vorgaben besondere Anforderungen an die Schaffung eines solchen Gesundheitsdatenraums und dessen Umsetzung. Was sind die zentralen Regelungsinhalte, wer ist von den Neuerungen betroffen und was ist bei der datenschutzkonformen Umsetzung zu beachten? Das erfahren Sie in diesem Beitrag.

Der EHDS im Gefüge der europäischen Datenstrategie

Beim EHDS handelt es sich nicht um ein singuläres EU-Vorhaben, sondern um eine Initiative, die eingebettet ist in die sog. europäische Digitalstrategie. Erklärtes Ziel der EU ist es demnach, die wissenschaftlichen, politischen und wirtschaftlichen Potenziale europäischer Daten besser zu nutzen und so als europäischer Wirtschaftsraum im Wettbewerb mit anderen Staaten konkurrenzfähiger zu werden. Um diesen Zielen näher zu kommen, besteht die zentrale Maßnahme in der Schaffung eines europäischen Binnenmarkts für Daten innerhalb der EU unter gleichzeitiger Einhaltung der bisherigen Standards im europäischen Daten- und Verbraucherschutz und im Wettbewerbsrecht. Ein einheitlicher Rechtsrahmen hierfür soll durch europäische Gesetzgebungsakte zum erleichterten Datenzugang und -Austausch, zur verbesserten Datensicherung und zur effiziente Plattformregulierung geschaffen werden. Aus dieser sog. Datenstrategie sind beispielsweise der Data Governance Act und der Data Act hervorgegangen. Der zukünftige europäische Daten-Binnenmarkt soll zudem gemäß der Digitalstrategie in Datenräume für verschiedene Sektoren aufgegliedert werden, so zum Beispiel in Datenräume für den Gesundheits-, den Mobilitäts- und den Energiesektor. Neben den allgemein bzw. übergeordnet geltenden Gestaltungsprinzipien der Digitalstrategie sind für die sektorspezifischen Datenräume spezielle Verordnungen vorgesehen, die konkrete Rahmenbedingungen für die jeweilige Verwaltung und Infrastruktur beinhalten sollen. Für den Gesundheitssektor ist dies die EU-Verordnung über den europäischen Raum für Gesundheitsdaten.

Das könnte Sie auch interessieren:

• Künstliche Intelligenz (KI) und Medizinprodukte: Regulatorische Anforderungen und Herausforderungen im Überblick
• Aktuelle Entwicklungen im Digitalen Gesundheitswesen: Rechtliche Herausforderungen und News aus dem eHealth-Sektor
• Herausforderungen und Anforderungen an Softwarelösungen im Gesundheitswesen: Datenschutz im Fokus

Status quo: Uneinheitliche Rechtslage bei Zugang und Nutzung von Gesundheitsdaten

Bislang wird der Austausch von Gesundheitsdaten innerhalb der Union vor allem durch die uneinheitliche Rechtslage gehemmt. Nach den geltenden Vorschriften der DSGVO sind den Mitgliedstaaten im Bereich der Gesundheitsdaten einige Spielräume gegeben, so insbesondere die Öffnungsklausel in Art. 9 Abs. 4 DSGVO für die Verarbeitung von sensiblen Daten, von der sie in unterschiedlichem Umfang Gebrauch gemacht haben. Aus diesem Grund werden innerhalb der Union derzeit voneinander abweichende Anforderungen an die Verarbeitung von Gesundheitsdaten gestellt, die einen schnellen Datenaustausch deutlich erschweren oder sogar unmöglich machen.

Die Folgen der mangelnden Interoperabilität informationstechnischer Systeme sind schnell beschrieben: EU-Bürger und Bürgerinnen können in anderen Mitgliedstaaten oftmals nicht auf ihre Patientenakte zugreifen oder medizinische Dienstleistungen in Anspruch nehmen. Derzeit ist es EU-Bürgern und Bürgerinnen in vielen EU-Staaten noch verwehrt, Rezepte aus einem anderen Mitgliedstaat einzulösen. Darüber hinaus zeitigt der begrenzte Zugang zu Gesundheitsdaten auch negative Folgen für die medizinische und psychologische Forschung. Innovative Behandlungsmethoden für seltene oder auch häufiger auftretende Krankheiten mit erhöhten Chancen zur Besserung oder Heilung lassen so trotz des allgemeinen technischen Fortschritts auf sich warten. Ärzte und Ärztinnen sowie Patienten und Patientinnen müssen im Zweifel auf Lösungen zurückgreifen, die andernorts – d.h. außerhalb der EU – schon durch bessere Verfahren ersetzt wurden. Qualität und Verfügbarkeit der medizinischen Versorgung leiden zuletzt auch daran, dass Europa als Wirtschaftsstandort für Dienstleister/ Hersteller im Gesundheitssektor, beispielsweise für medizinische Startups, wegen des eingeschränkten Zugangs zu sensiblen Daten weniger attraktiv ist. So kommt es im schlimmsten Fall zu Lücken in der Versorgung mit Medizinprodukten und Dienstleistungen.

Wesentliche Neuerungen

Um die Qualität und Verfügbarkeit medizinischer Versorgung in der EU auf einem hohen Niveau zu halten, lautet die Devise der Europäischen Kommission nun also: Hindernisse im Gesundheitsdatenaustausch abbauen. Gerade im Gesundheitssektor bestehe ein dringender Bedarf nach Rechtsvereinheitlichung auf übergeordneter europäischer Ebene, der die Kommission gerade auch wegen der Erfahrungen aus der Coronavirus-Pandemie nochmals besondere Priorität eingeräumt hat. Der EHDS wird deswegen aller Voraussicht nach der erste sektorspezifische europäische Datenraum sein. Der Verordnungsvorschlag der Europäischen Kommission zum Gesundheitsdatenraum (EHDS-VO-E) umfasst verschiedene Gegenstandbereiche, regelt aber vor allem unterschiedliche Aspekte der Datennutzung. Charakteristisch an dem EHDS-VO-E ist hierbei die Unterscheidung von zwei Infrastrukturebenen, der Primär- und der Sekundärnutzung elektronischer Gesundheitsdaten. In der Folge richtet sich die Verordnung auch an unterschiedliche Adressatengruppen, so insbesondere EU-Bürger und Bürgerinnen, Dateninhaber, Primär- und Sekundärnutzer.

Primärnutzung, Art. 3 ff. EHDS-VO-E

Die Primärnutzung im Rahmen des EHDS bezeichnet die Verarbeitung personenbezogener Gesundheitsdaten für die Erbringung von Gesundheitsdiensten zur Beurteilung, Erhaltung oder Wiederherstellung des Gesundheitszustands von natürlichen Personen, auf die sich die Daten beziehen, Art. 2 Abs. 2 lit. d EHDS-VO-E. Ziel der Verordnung ist es in diesem Rahmen, die Rechte natürlicher Personen im Hinblick auf ihre Gesundheitsdaten zu stärken, indem auf der einen Seite der Datenzugang verbessert wird und auf der anderen Seite eine verstärkte individuelle Datenkontrolle möglich ist. Hierfür werden natürlichen Personen nach den Plänen der Europäischen Kommission mehr Rechte in Bezug auf ihre Gesundheitsdaten verliehen. Anders als derzeit soll es dann möglich sein, dass jeder EU-Bürger und Bürgerinnen von jedem Standort innerhalb der europäischen Union auf seine Patientenakte zugreifen und Daten hinzufügen oder berichtigen lassen sowie den Zugriff darauf beschränken kann. Dies ist bislang nur in den Mitgliedstaaten möglich, die eigene Patientenportale eingerichtet haben. Die Primärnutzung betrifft daneben auch die Angehörigen der Gesundheitsberufe. Denn sie sind zwingend an der Verarbeitung personenbezogener Daten für die Erbringung von Gesundheitsdiensten beteiligt. So adressiert der zweite Abschnitt des Verordnungsentwurfs auch diese sog. Primärnutzer, regelt, unter welchen Voraussetzungen sie Zugang zu personenbezogenen Gesundheitsdaten haben und statuiert weitreichende Dokumentations- und Aktualisierungspflichten (vgl. Art. 4 EHDS-VO).

Sekundärnutzung, Art. 33ff. EHDS-VO-E

Der vereinfache Zugang zu elektronischen Gesundheitsdaten soll zugleich auch zur Verbesserung der Forschung und Innovation und weiteren Zwecken genutzt werden. Diese sog. Sekundärnutzung der elektronischen Gesundheitsdaten ist in Kapitel IV des Verordnungsentwurfs geregelt. Bei den hierfür zu verwendenden Daten handelt es sich entweder um personenbezogene elektronische Gesundheitsdaten, die bereits im Zuge der Primärnutzung verwendet wurden oder um solche ohne Personenbezug, die einzig zum Zwecke der Sekundärnutzung erhoben worden sind. Der Verordnungsentwurf normiert die zulässigen Zwecke der Sekundärnutzung in Abgrenzung zu den unerlaubten Zwecken der Sekundärnutzung (Art. 34, 35 EHDS-VO-E). Zulässig ist die Verarbeitung, wenn mit den elektronischen Gesundheitsdaten beispielsweise folgende Zwecke verfolgt werden:

• Tätigkeiten aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit und der Gesundheit am Arbeitsplatz, z. B. Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren, Überwachung der öffentlichen Gesundheit oder Gewährleistung hoher Qualitäts- und Sicherheitsstandards für die Gesundheitsversorgung, Arzneimittel oder Medizinprodukte;
• Erstellung amtlicher Statistiken über den Gesundheits- oder Pflegesektor auf nationaler, multinationaler und Unionsebene;
• wissenschaftliche Forschung im Bereich des Gesundheits- oder Pflegesektors.

Dagegen ist die Sekundärnutzung elektronischer Gesundheitsdaten nicht erlaubt, wenn die Daten zu kommerziellen Zwecken oder beispielsweise zum Ausschluss von Versicherungsleistungen genutzt werden sollen.

Sekundärnutzer:innen

Im Bereich der Sekundärnutzung richtet sich der Verordnungsentwurf zunächst an die sog. Sekundärnutzer. Dies sind natürliche oder juristische Personen, die rechtmäßig Zugang zu den elektronischen Gesundheitsdaten zur Verarbeitung im Rahmen vom Art. 34 Abs. 1 EHDS-VO-E erlangen. Entsprechend der darin festgehaltenen Zwecke kann es sich dabei beispielsweise um Forschungseinrichtungen, aber auch um sämtliche Unternehmen im Gesundheitssektor handeln, denen der EHDS die Möglichkeit bietet, mithilfe der umfangreichen Datenbestände neue innovative Gesundheitsdienste und -produkte zu entwickeln. Der Zugang zu den elektronischen Gesundheitsdaten setzt beachtliche Potenziale im Rahmen der medizinisch-psychologischen Forschung frei, ist zugleich jedoch an Bedingungen geknüpft.

Potenzielle Sekundärnutzer müssen den Datenzugang beantragen und im Rahmen dieses Antrags die beabsichtigte Verwendung, die Gründe und den Zweck des Zugangs darlegen sowie die getroffenen Sicherheitsmaßnahmen beschreiben, Art. 45 EHDS-VO-E. Bei Vorliegen der Zugangsvoraussetzungen und der Erteilung einer entsprechenden Genehmigung fordert die Zugangsstelle für Gesundheitsdaten die elektronischen Gesundheitsdaten unverzüglich beim Dateninhaber an, Art. 46 Abs. 4 EHDS-VO-E. Die Zugangsstellen gewähren den Zugang zu elektronischen Gesundheitsdaten dabei nur über eine sichere Verarbeitungsumgebung mit technischen und organisatorischen Maßnahmen sowie Sicherheits- und Interoperabilitätsanforderungen.

Dateninhaber:innen

Wird der Antrag auf Datennutzung durch die entsprechende Zugangsstelle genehmigt, so muss ihr der Dateninhaber die Daten grundsätzlich innerhalb von zwei Monaten bereitstellen, Art. 41 Abs. 4 EHDS-VO-E. Als Dateninhaber gilt dabei jede natürliche oder juristische Person, die nach der Verordnung, dem geltenden Unionsrecht oder den nationalen Rechtsvorschriften dazu berechtigt oder verpflichtet ist, bestimmte Daten zur Verfügung zu stellen, sie zu registrieren, sie bereitzustellen, den Zugang zu ihnen einschränken oder sie auszutauschen, Art. 2 Abs. 2 lit. y EHDS-VO-E. Als juristische Personen kommen hierfür z.B. Organisationen oder Einrichtungen im Gesundheits- und Pflegesektor in Frage oder auch solche, die Forschungstätigkeiten durchführen. Das bedeutet, dass Sekundärnutzer zugleich auch als Dateninhaber gelten können. Den Dateninhaber treffen im Rahmen der Verordnung umfangreiche Bereitstellungs- und Gewährungspflichten. So ist er verpflichtet, der Zugangsstelle beispielsweise eine allgemeine Beschreibung des Datensatzes, über den er verfügt, zu übermitteln und hat loyal mit ihr zusammenzuarbeiten (Art. 41 Abs. 1 und 2 EHDS-VO-E). Im Rahmen der Primärnutzung sind speziell Dateninhaber aus dem Gesundheits- oder Sozialversicherungssektor zudem verpflichtet, natürlichen Personen auf deren Wunsch Zugang zu ihren elektronischen Gesundheitsdaten zu gewähren oder auf Aufforderung, deren Daten an Datenempfänger:innen ihrer Wahl aus dem Gesundheits- oder Sozialversicherungssektor zu übermitteln, und zwar unverzüglich, kostenlos und ungehindert durch den Dateninhaber oder die Hersteller der von diesem Dateninhaber genutzten Systeme, Art. 3 Abs. 8 S. 1 EHDS-VO-E.

Institutionelle Vorkehrungen

Um die Primär- und Sekundärnutzung elektronischer Gesundheitsdaten zu ermöglichen, enthält der Verordnungsentwurf zudem auch Vorschriften zur Schaffung entsprechender Rahmenbedingungen.

Primärnutzung: Nationale Kontaktstellen und zentrale Plattform für digitale Gesundheit

Im Hinblick auf die Primärnutzung elektronischer Gesundheitsdaten sind gleich zwei institutionelle Neuerungen vorgesehen. Auf europäischer Ebene richtet die Kommission eine zentrale Plattform für digitale Gesundheit ein, die den Austausch von Gesundheitsdaten zwischen den Mitgliedstaaten unterstützen und erleichtern soll, Art. 12 Abs. 1 EHDS-VO-E. Die Mitgliedstaaten ihrerseits sind verpflichtet, jeweils eine sog. nationale Kontaktstelle für digitale Gesundheit einzurichten, Art. 12 Abs. 2 S. 1 EHDS-VO-E. Über sie sollen die personenbezogenen elektronischen Gesundheitsdaten von Gesundheitsdienstleistern in den jeweiligen Mitgliedstaaten an die zentrale Plattform für digitale Gesundheit gelangen. Die Mitgliedstaaten sollen dafür Sorge tragen, dass alle Gesundheitsdienstleister mit ihrer Kontaktstelle verbunden sind, um den Austausch der elektronischen Gesundheitsdaten zu gewährleisten, Art. 12 Abs. 5 EHDS-VO-E. Dieser Austausch soll über ein europäisches Austauschformat für elektronische Patientenakten vereinheitlicht sein. Die entstehende grenzüberschreitende Infrastruktur bestehend aus nationalen Kontaktstellen und zentraler Plattform für digitale Gesundheit nennt sich „MyHealth@EU“. Nach erfolgter Authentifizierung haben EU-Bürger und Bürgerinnen Zugriff auf die dort von sich hinterlegten elektronischen Gesundheitsdaten.

Sekundärnutzung: Zugangsstellen für elektronische Gesundheitsdaten

Für die Sekundärnutzung von elektronischen Gesundheitsdaten werden in den Mitgliedstaaten Zugangsstellen für Gesundheitsdaten eingerichtet. Bei diesen muss die Sekundärnutzung der elektronischen Gesundheitsdaten beantragt werden. Da auch eine grenzübergreifende Sekundärnutzung möglich ist, sieht der Entwurf der EHDS-Verordnung hierfür eine dezentrale europäische Infrastruktur zur Vernetzung der nationalen Kontaktstellen für Sekundärnutzung mit der zentralen Plattform vor. Diese nennt sich „HealthData@EU“.

Digitale Gesundheitsbehörden

Zuletzt muss jeder Mitgliedstaat für die Umsetzung der Vorgaben aus dem EHDS eine digitale Gesundheitsbehörde benennen, Art. 10 Abs. 1 S. 1 EDHS-VO-E. Ihre Betätigungsfelder liegen in der Umsetzung technischer Lösungen, der Festlegung entsprechender Vorschriften und der Einführung bzw. Entwicklung des europäischen Austauschformats. Ob hierfür eine neue Behörde eingerichtet oder einer bereits bestehenden Behörde diese Funktion zugewiesen wird, liegt im Ermessen der Mitgliedstaaten. Für natürliche und juristische Personen haben sie daneben die Aufgabe, als Beschwerdestelle zu wirken, Art. 11 Abs. 1 S. 1 EHDS-VO-E. Sofern bei der Beschwerde Rechte natürlicher Personen betroffen sind, ist dies den datenschutzrechtlichen Aufsichtsbehörden zu melden, Art. 11 Abs. 1 S. 2 EHDS-VO-E.

Verhältnis zur DSGVO und Nachbesserungsbedarfe

Im europäischen Gesundheitsdatenraum werden in Zukunft beachtliche Mengen gesundheitsbezogener Daten verarbeitet werden. Die Einhaltung datenschutzrechtlicher Standards stellt dabei mit Blick auf die personenbezogenen Daten eine besondere Herausforderung dar. Dass Gesundheitsdaten besonders sensibel sind und eines besonderen Schutzes bedürfen, statuiert die DSGVO in Art. 9 Abs. 1 DSGVO, der Gesundheitsdaten als besondere Kategorien personenbezogener Daten definiert. Nach der Vorstellung der EU-Kommission sollen der EHDS und die DSGVO nebeneinanderstehen. Dabei soll der EHDS ausweislich seiner Erwägungsgründe auf der DSGVO aufbauen und einen hohen Sicherheitsstandard in der EU sicherstellen. In ihrer gemeinsamen Stellungnahme zum Verordnungsentwurf der Kommission begrüßten der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) zwar die Idee, die Kontrolle des Einzelnen über seine personenbezogenen Gesundheitsdaten zu stärken, gleichwohl machten sie eine Reihe übergreifender Bedenken geltend.

Kritik an den bisherigen Plänen

Die Beschreibung der Rechte im Verordnungsentwurf stehe demnach nicht im Einklang mit der DSGVO und es bestehe das Risiko, dass die darin enthaltenen Vorgaben zum Schutz personenbezogener Daten unterlaufen würden. Gerade mit Blick auf die Zwecke der Sekundärnutzung vermissen EDSA und EDSB eine angemessene Begrenzung und Präzisierung. Dies sei notwendig, um eine ausgewogene Abwägung zu erreichen zwischen den Zielen der Verordnung und dem Schutz personenbezogener Daten. Insbesondere sollten Wellness-Apps und andere digitale Gesundheitsanwendungen nach Auffassung der europäischen Datenschutzbehörden von der Bereitstellung für die Sekundärnutzung ausgeschlossen sein. Denn sie generieren eine große Menge an Daten, die mehr noch als andere Gesundheitsdaten Rückschlüsse auf hochsensible Informationen wie die religiöse Orientierung oder Ernährungsgewohnheiten zuließen. Zudem, so EDSB und EDSA, werde durch den Verordnungsvorschlag den ohnehin komplexen Bestimmungen über die Verarbeitung von Gesundheitsdaten nur eine weitere Ebene solcher Bestimmungen hinzugefügt. Dem vorliegenden Verordnungsentwurf fehle eine Klarstellung zum Zusammenspiel der Vorschriften aus der EHDS-VO mit der DSGVO sowie mit laufenden europäischen Initiativen und mit nationalstaatlichen Regularien, die die Verarbeitung von besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 4 DSGVO regeln. In Bezug auf Deutschland betreffe dies insbesondere die Regelungen zum Sozialdatenschutz, §§ 67-85a SGB X, oder die Datenschutzregelungen in den Landeskrankhausgesetzen. Was andere Vorhaben im Rahmen der europäischen Strategie betrifft, wiesen EDSA und EDSB darauf hin, dass beispielsweise entscheidende Rechtsbegriffe wie der des Dateninhabers im Data Act und auch im Data Governance Act anders definiert würden, was zu Rechtsunsicherheiten im persönlichen und sachlichen Anwendungsbereich führen könne.

Fazit

Derzeit berät das EU-Parlament über den Verordnungsvorschlag der EU-Kommission. Nachdem neben anderen Organisationen zuletzt die Deutsche Datenschutzkonferenz von Bund und Ländern insbesondere Kritik an einer fehlenden Widerspruchsmöglichkeit der Patienten und Patientinnen für die Sekundärnutzung geübt haben, verhandelt das EU-Parlament aktuell, ob die Betroffenen künftig aktiv widersprechen müssen (Opt-out) oder ob sie explizit einwilligen müssen (Opt-in). Vieles ist derzeit noch im Ungewissen, insbesondere wann und in welcher Gestalt die Vorschriften zum EHDS in Kraft treten werden und welche Fristen für ihre Umsetzung in den Mitgliedstaaten gelten. Unabhängig von möglichen Nachbesserungen sollten sich die von den Regelungen Betroffenen schon jetzt mit den Plänen über einen europäischen Gesundheitsdatenraum auseinandersetzten. Denn die Potenziale, die ein solcher Binnenmarkt für Gesundheitsdaten nach dem Vorschlag der EU-Kommission für die medizinische Forschung, die Entwicklung neuer Gesundheitsprodukte und – dienste, ja für den europäischen Wirtschaftsraum insgesamt bietet, sind enorm und sollten genutzt werden. Dies ist nur dann möglich, wenn den damit verbundenen Herausforderungen frühzeitig begegnet wird. So sollten Dateninhaber sich mit den vielfältigen Bereitstellungs-, Dokumentations- und Gewährleistungspflichten beschäftigen. Datennutzer wie Forschungseinrichtungen und Unternehmen sowie Start-Ups aus dem Gesundheitssektor sollten sich den zu stellenden Anträgen für die Sekundärnutzung und den entsprechenden Voraussetzungen vertraut machen. Insgesamt können die Potenziale des EHDS nur ausgeschöpft werden, wenn branchenspezifisches Know-how mit technischer und rechtlicher Expertise verknüpft wird. Hierbei unterstützen wir Sie gerne. Sprechen Sie uns an.

TKG-Novelle: Wen trifft die Meldepflicht nach § 5 TKG?

Telekommunikationsdienste und -netze wandeln sich in ihrer Bereitstellung stetig, insbesondere in einer digitalen Welt müssen sich auch die regulatorischen Rahmenbedingungen kontinuierlich anpassen. Zuletzt wurde hierbei in Deutschland das Telekommunikationsgesetz (TKG) im Rahmen der Umsetzung des Europäischen Kodex für die elektronische Kommunikation (EU-Richtlinie 2018/1972) reformiert. Dieser Beitrag soll zunächst einen groben Überblick über die entsprechenden Neuerungen im Telekommunikationsrecht geben. 

Sodann nimmt dieser Beitrag die dargestellte Reform zum Anlass, den konkreten Anwendungsbereich der nun in § 5 TKG (zuvor: § 6 TKG a.F.) geregelten Meldepflicht des gewerblichen Betriebs öffentlicher Telekommunikationsnetze und -dienste zu betrachten. Regelmäßig erbringen Unternehmen neben ihrem eigentlichen Kerngeschäft einen gewerblichen Telekommunikationsdienst, sind sich der daraus erwachsenden rechtlichen Folgen allerdings gar nicht bewusst. Um klarzumachen, wer genau in den Anwendungsbereich des § 5 TKG fällt, braucht es neben der Definierung der verschiedenen Telekommunikationsanbieter im Sinne des TKG einer klarstellenden Auslegung der Begriffe „gewerblich“ und „öffentlich“. Relevanz erlangte das Tatbestandsmerkmal des öffentlichen Telekommunikationsnetzes bzw. des öffentlich zugänglichen Telekommunikationsdienstes zuletzt durch ein BGH-Urteil aus dem Jahre 2021 (BGH, Urt. v. 18.11.2021, Az. I ZR 106/20), welches das Tatbestandsmerkmal für manche unerwartet recht weit auslegte. Aus diesem Grund lohnt sich auch hier eine vertiefte Betrachtung.  

Das könnte Sie auch interessieren:

• dID-Richtlinie: Auswirkungen der neuen Regelungen im BGB auf das IT-Vertragsrecht
• Orientierungshilfe zum TTDSG – Was gibt uns die Datenschutzkonferenz mit auf den Weg?
• Update zum TTDSG: Neues Datenschutzrecht für Tele­kommunikation & Telemedien

Das Telekommunikationsmodernisierungsgesetz: Neuregelungen für Kommunikationsdienste und OTT-Anbieter:innen 

Bereits vor über einem Jahr, genauer am 1. Dezember 2021 ist das Telekommunikationsmodernisierungsgesetz in Kraft getreten, dessen Schwerpunkt auf Genehmigungsverfahren, Frequenzpolitik und Verbraucherschutz lag. Mit der TKG-Novelle wurde die Richtlinie (EU) 2018/1972 vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation in nationales Recht umgesetzt. Mit der Richtlinie sollte die Vereinheitlichung des Rechtsrahmens für Telekommunikationsdienste in der EU vorangebracht werden. Dabei ist das Modernisierungsgesetz nicht mehr länger nur für die Anbietenden „klassischer“ Kommunikationsdienste von Bedeutung. Auch sogenannte „Over-the-Top“-Dienste (auch: OTT-Dienste) werden künftig durch das Telekommunikationsrecht stärker reguliert. 

Das Telekommunikationsmodernisierungsgesetz: Auswirkungen auf Internetzugang und Verbraucherrechte

Bürger:innen haben nunmehr einen Anspruch auf einen Internetzugang, um ihnen eine angemessene soziale und wirtschaftliche Teilhabe zu ermöglichen. Insbesondere soll so der Zugang zu mittlerweile essenziell gewordenen Diensten wie dem Online-Banking, Online-Handel oder auch die Möglichkeit des Homeoffice gewährleistet werden. Die Mindestvertragslaufzeiten im Mobilfunk und im Festnetz werden zudem zugunsten von Verbraucher:innen angepasst. Auch wird Mieter:innen nach einer Übergangsfrist die Möglichkeit gegeben, einen über ihre Betriebskosten abgerechneten TV-Kabelanschluss zu kündigen; damit wird das sogenannte Nebenkostenprivileg abgeschafft. Schließlich soll die Umlagefähigkeit für die Kosten einer modernen gebäudeinternen Glasfaser-Infrastruktur vorangetrieben werden. Weiterer essenzieller Bestandteil der Reform ist die Neuausrichtung der Regulierung von OTT-Diensten, die als sogenannte „interpersonelle Kommunikationsdienste“ nun dem TKG unterworfen sind. Dazu zählen insbesondere Instant-Messenger oder auch Webmail-Dienste. Sie unterfallen nun auch ganz explizit dem TKG. 

Das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG): Datenschutzregelungen für Online-Dienste und Cookies

Im Zuge des gleichen Gesetzesvorhaben ist auch das neue Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) entstanden. Hierbei fasste der Gesetzgeber die den Datenschutz betreffenden Regelungen aus dem Telemedien- und dem Telekommunikationsnetz zusammen, die etwa Online-Dienste betreffen. Insbesondere wurden hier schließlich die unionsrechtlichen Vorgaben zu Cookies und anderen Tools aus der Richtlinie 2002/58/EG zum Datenschutz in der elektronischen Kommunikation und insbesondere die Planet49-Entscheidung des EuGH umgesetzt. Der entsprechende Einwilligungsvorbehalt für die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder auch den Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, entfaltete zuvor lediglich durch die richtlinienkonforme Auslegung des § 15 MG durch die Gerichte Wirkung.

Die Meldepflicht nach § 5 TKG: Herausforderungen und Pflichten für Unternehmen

Zwar nicht gänzlich neu, beschäftigt die Meldepflicht nach § 5 TKG (vormals: § 6 TKG a.F.) Unternehmen doch nach wie vor. Vorab ist hier zu sagen, dass die bereits weiter oben angesprochenen OTT-Dienste nach der Reform explizit von der Meldepflicht ausgenommen sind, § 5 Abs. 1 S. 1 TKG. Damit sind öffentlich zugängliche Telekommunikationsdienste wie etwa E-Mail-, Messenger-, VoIP-Telefonie- oder Videokonferenzdiensten wegen ihrer Klassifizierung als nummernunabhängiger, interpersoneller Kommunikationsdienst nicht meldepflichtig. Neu ist zudem, dass die Meldung nach der Reform schriftlich oder auch elektronisch erfolgen kann. Trotz der eher geringen Änderungen, verdient die Vorschrift in der Praxis (weiterhin) einer aufmerksamen Betrachtung. Grund dafür ist, dass nicht nur klassische Anbieter von Telekommunikationsdiensten wie etwa Telefonanbieter in den persönlichen Anwendungsbereich fallen können. Ist ein Unternehmen allerdings ahnungslos hinsichtlich der es treffenden Pflichten, riskiert es so die Verhängung von empfindlichen Bußgeldern über bis zu 10.000 €, § 228 Abs. 2 Nr. 2, Abs. 7 Nr. 6 TKG. 

So können etwa Betreiber von W-LAN-Netzwerken, die diese allerdings parallel zu ihrem eigentlichen Kerngeschäft betreiben, unter Umständen als Betreiber eines gewerblichen und öffentlichen Telekommunikationsdienstes gelten und somit unter § 5 TKG fallen. Für Unternehmen ist es aus diesem Grund relevant, einen genauen Blick auf ihre eigene Organisation zu werfen, um nicht versehentlich aufgrund fehlenden Wissens gegen die Meldepflicht zu verstoßen.

Anwendungsbereich des § 5 TKG: Wer unterliegt dem Telekommunikationsgesetz?

Zur Klärung der Anwendbarkeit des § 5 TKG ist zunächst zu betrachten, wer überhaupt dem TKG unterliegt und welche wichtigen Angebote im Bereich der Telekommunikation reguliert werden sollen. Nach § 1 Abs. 2 TKG unterliegen dem Telekommunikationsgesetz all solche Unternehmen oder Personen, die in Deutschland Telekommunikationsnetze oder Telekommunikationsanlagen betreiben oder Telekommunikationsdienste erbringen sowie die weiteren, nach diesem Gesetz Berechtigten und Verpflichteten. Es gilt somit hinsichtlich des örtlichen Anwendungsbereiches das Marktortprinzip, das heißt für die Anwendbarkeit des Gesetzes kommt es nicht auf den Unternehmenssitz an.

Telekommunikationsanlagen, -dienste und -netze: Definitionen und Unterscheidungen gemäß § 3 TKG

Die Begriffe der Telekommunikationsanlagen, -dienste und -netze werden in § 3 TKG, genauer § 3 Nr. 60, 61 und 65 definiert.  

Der Begriff der Telekommunikationsanlage im Sinne von § 3 Nr. 60 TKG ist hierbei weit zu verstehen; er umfasst sämtliche technische Einrichtungen, die (aktiv) zur Erbringung von beliebigen Telekommunikationsdiensten i.S.d. Nr. 61 eingesetzt werden. Dies sind insbesondere etwa analoge oder ISDN-Telekommunikationsanlagen, die etwa öffentliche Daten- oder Telefonleitungen mit internen Teilnehmeranschlüssen verbinden. Zu Telekommunikationsanlagen im Sinne des § 3 Nr. 60 TKG gehören aber auch Server zur Erbringung von OTT-Kommunikationsdiensten wie WhatsApp oder Signal aber auch E-Mail-Anbieter.  

Unter den Begriff der Telekommunikationsdienste fallen diverse Anbieter. So umfasst § 3 Nr. 61 TKG sogenannte Internetzugangsdienste (lit. a, Nr. 23), interpersonelle Telekommunikationsdienste (lit. b, Nr. 24, 37, 40) sowie solche Dienste, die ganz oder überwiegend in der Übertragung von Signalen bestehen wie Übertragungsdienste für Machine-Machine-Kommunikation (lit. c). Damit können unter den weiten Begriff des Telekommunikationsdienstes etwa Telefonie, OTT-Kommunikationsdienste wie WhatsApp oder E-Mail, WLAN-Zugänge aber auch Übertragungsdienste für vernetzte Fahrzeuge fallen. 

Ein Telekommunikationsnetz im Sinne des § 3 Nr. 65 TKG ermöglicht eine Signalübertragung, unabhängig davon, ob das Netz zur Erbringung von Telekommunikationsdiensten genutzt wird oder nicht. Hierbei kommt es nicht auf die Art der übertragenen Informationen an. Die Signalübertragung kann technologieneutral kabelgebunden, funkgestützt oder auch als Sattelitennetz ausgestaltet sein. Der Begriff umfasst auch temporäre Netze, die nur für den Moment der Übertragung aufgebaut werden. Telekommunikationsnetze werden etwa durch Mobilfunk- oder Festnetzanbieter wie die Telefongesellschaft „Deutsche Telekom“ zur Verfügung gestellt. 

Die Meldepflicht nach § 5 TKG trifft hierbei grundsätzlich keine Anbieter von Telekommunikationsanlagen. Die Vorschrift ist lediglich anwendbar auf Anbieter, die Telekommunikationsnetze (§ 3 Nr. 65 TKG) betreiben oder Telekommunikationsdienste (§ 3 Nr. 61 TKG) erbringen.

Öffentliche Telekommunikationsnetze und öffentlich zugängliche Telekommunikationsdienste: Definition und Auslegung für die Meldepflicht nach § 5 TKG

Weitere, häufig in der Praxis entscheidende, Voraussetzung für die Anwendbarkeit der Meldepflicht aus § 5 TKG, ist, dass es sich um öffentliche Telekommunikationsnetze oder öffentlich zugängliche Telekommunikationsdienste handeln muss. Der Gesetzgeber verstand unter Öffentlichkeit im Sinne der Norm, dass sich die Netze und Dienste an einen unbestimmten Personenkreis richten müssen (BT-Drs. 15/2316, S. 60). Was genau einen unbestimmten Personenkreis im Sinne der Norm kennzeichnet, ist nicht ganz eindeutig und bedarf daher der Auslegung. 

Hierzu ist zunächst ein Blick auf die Begriffsbestimmungen des § 3 TKG hilfreich. Nach § 3 Nr. 42 TKG sind öffentliche Telekommunikationsnetze nur solche, die ganz oder überwiegend der Erbringung öffentlich zugänglicher Telekommunikationsdienste dienen. Damit unterfallen rein behörden- oder unternehmensinterne Netze nicht der Meldepflicht. 

Aufgrund des Verweises auf die „ganz oder überwiegende“ Erbringung öffentlich zugänglicher Telekommunikationsdienste, ist es für die Qualifikation als nicht öffentliches Telekommunikationsnetz unschädlich, wenn einzelne hierüber erbrachte Telekommunikationsdienste öffentlich zugänglich sind. Diese dürfen allerdings in der Gesamtbetrachtung nicht überwiegen, sprich in der Regel nur einen vernachlässigbaren Teil des angebotenen Gesamtprodukts ausmachen. 

Zur genauen Bestimmung, wann ein Dienst bzw. ein Netz sich an einen unbestimmten Personenkreis richtet und somit öffentlich ist, bezog sich nunmehr auch der BGH in einer Entscheidung aus dem Jahre 2021 und legte den Begriff der Öffentlichkeit in seiner Entscheidung eher weit aus (BGH, Urt. v. 18.11.2021, Az. I ZR 106/20). Danach reiche es für das Kriterium der „Öffentlichkeit“ jedenfalls aus, wenn sich das Angebot  

• prinzipiell an jedermann richtet, 

• die Größenordnung der Nutzer:innen eine Personenzahl erreicht, die der Einwohnerzahl nach einer deutschen Großstadt bilden könnte. 

BGH-Entscheidung: Öffentliche Zugänglichkeit von Telekommunikationsdiensten bei Wohnungsanbieter:innen

In dem der Entscheidung zugrundeliegenden Fall bot eine große, kommerzielle Wohnungsanbieterin verbunden mit dem Wohnungsangebot auch die Nutzung eines Kabel-TV-Anschlusses an. Dabei wurde eine Zahl von 108.000 Wohnungen mit einem Anschluss an ein Kabelfernsehnetz zur Verfügung gestellt. Im vorliegenden Fall nahm der BGH an, dass es sich bei diesem Angebot – der Bereitstellung von Kabel TV-Anschlüssen bei der Versorgung vermieteter Wohnungen mit Fernseh- und Hörfunksignalen um einen „öffentlich zugänglichen“ Telekommunikationsdienst handle. Der BGH argumentierte zum einen, dass sich das Wohnungsangebot der Beklagten an jedermann richte, womit sich auch das damit verbundene Angebot zur Nutzung des Kabel-TV-Anschlusses an jedermann richte. Zudem führte der BGH an, dass zumindest bei der vorliegenden Größenordnung der Nutzer:innen, welche der Einwohnerzahl nach einer deutschen Großstadt bilden könnten, das Angebot als „öffentlich zugänglich“ angesehen werden müsse. Ausreichend war nach Ansicht des BGH also bereits, dass sich das Vertragsangebot an eine unbestimmt große Anzahl von Personen richtete. 

Die Entscheidung des BGH kann unserer Auffassung nach jedoch nicht pauschal auf alle Anwendungsfälle übertragen werden. Dies liegt insbesondere daran, dass der BGH in seiner Entscheidung die Quantität des Angebots in den Vordergrund stellt. Bei der Auslegung des Merkmals der Öffentlichkeit muss jedoch auch der Normzweck des § 5 TKG berücksichtigt werden. § 5 TKG soll den Wettbewerb fördern, flächendeckend ausreichende Telekommunikationsleistungen sicherstellen und den Verbraucherschutz umfassend gewährleisten. Ob ein erbrachter Telekommunikationsdienst oder ein betriebenes Telekommunikationsnetz die in diesem Sinne erforderliche Marktrelevanz aufweist, kann neben der Quantität des Angebots somit etwa auch davon abhängen, ob sich das Angebot nur an gewerbliche Nutzer oder auch an Verbraucher richtet.  

Die Bestimmung der Öffentlichkeit von Telekommunikationsnetzen und -diensten: Eine ganzheitliche Betrachtung der Umstände

 Wann genau ein Telekommunikationsnetz oder -dienst also im Ergebnis tatsächlich als „öffentlich“ gilt, bedarf stets einer Gesamtschau aller Umstände des Einzelfalls. Insbesondere die durch den BGH entwickelte zahlenmäßige Begrenzung der Öffentlichkeit (sprich: mehr als 100.000 potenzielle Nutzer:innen) kann unter Umständen als ein Argument für bzw. gegen die „Öffentlichkeit“ sprechen. TK-Dienste, die ausschließlich gegenüber geschlossenen Nutzerkreisen erbracht werden, sind hingegen nicht meldepflichtig, es sind jedoch ggf. die übrigen Pflichten des TKG einschlägig.

Meldepflicht nach § 5 TKG: Gewerbliche Anbieter:innen von öffentlichen Telekommunikationsnetzen und -diensten

Unter die Meldepflicht nach § 5 TKG fallen zunächst alle gewerblichen Anbieter öffentlicher Telekommunikationsnetze oder -dienste. Wichtig ist hier zu beachten, dass auch die kostenfreie Bereitstellung eines Telekommunikationsnetzes oder -dienstes gewerblich erfolgen kann. Das Kriterium des „gewerblichen“ Betriebs eines Angebots erfordert aber zumindest, dass eine Kostendeckungsabsicht vorliegt (BT-Drs. 15/2316, S. 60). Auch können „kostenfreie“ Angebote gewerblich sein, wenn die (wirtschaftliche) Gegenleistung durch Dritte nicht durch Geld, wohl aber durch etwa Werbung oder die Zurverfügungstellung von Daten liegt.  

Die Anwendbarkeit der Meldepflicht nach § 5 TKG: Eine genaue Betrachtung des Einzelfalls

Wie obenstehend dargestellt, hängt die Anwendbarkeit der Meldepflicht nach § 5 TKG von den konkreten Umständen des Einzelfalls ab, was eine genaue Betrachtung des erbrachten Dienstes oder des betriebenen Netzes erfordert. Im Rahmen der Prüfung des konkreten Einzelfalls kann evaluiert werden, ob ein erbrachter Dienst oder ein betriebenes Netz im Ergebnis tatsächlich der Meldepflicht unterliegt. Im Zweifelsfall sollte rechtlicher Rat eingeholt werden. Gerne stehen wir Ihnen hier mit unserer Expertise zur Verfügung, um Ihre Situation genau einschätzen zu können und eine gemeinsame Lösung zu finden.