Gesetz zur verbesserten Nutzung von Gesundheitsdaten: Das müssen Unternehmen & Institutionen jetzt wissen

Am 26. März 2024 ist das „Gesetz zur verbesserten Nutzung von Gesundheitsdaten“ in Kraft getreten. Herzstück des Gesetzes sind neue Regelungen des Gesundheitsdatennutzungsgesetzes (GDNG) und des Fünften Buches Sozialgesetzbuch (SGB V). Ein wesentliches Ziel dieser Regelungen ist die erleichterte Nutzbarkeit von Gesundheitsdaten für gemeinwohlorientierte Zwecke. Hierzu gehören neben Forschungszwecken auch eine Verbesserung der Gesundheitsversorgung und der Pflege in Deutschland.

Um das Gesetzesziel zu erreichen, soll eine vernetzte, „lernende“ Gesundheitsdateninfrastruktur aufgebaut werden, die Gesundheitsdaten für Kranken- und Pflegekassen sowie Forschungs- und andere Einrichtungen besser verfügbar und nutzbar macht. Gleichzeitig sollen bürokratische Hürden reduziert und der Gesundheitsdatenschutz gestärkt werden.

Dieser Artikel beschreibt die großen Chancen, aber auch die rechtlichen Pflichten, die sich aus dem neuen Gesetz ergeben.

Was regelt das neue Gesetz?

Das durch das neue Gesetz geschaffene GDNG fügt sich ein in laufende Initiativen des EU-Gesetzgebers zur Schaffung eines Europäischen Gesundheitsdatenraums. Wichtiger Baustein des GDNG ist die Schaffung einer sog. Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten. Sie ist die zentrale Anlaufstelle, wenn Personen oder Einrichtungen Zugang zu Gesundheitsdaten wünschen, die bei sog. datenhaltenden Stellen vorliegen. Datenhaltende Stellen können z.B. das Forschungsdatenzentrum Gesundheit, das Zentrum für Krebsregisterdaten beim RKI und andere noch zu definierende Stellen sein. Die Datenzugangs- und Koordinierungsstelle leistet vorrangig organisatorische Unterstützung des Antragstellers, leitet z.B. die Anträge weiter und gibt Vorgaben in Fragen des Datenschutzes. Außerdem gewährt das GDNG neue rechtliche Möglichkeiten für die Weiterverarbeitung von Gesundheitsdaten, etwa zur Qualitätssicherung.

Wichtige Änderungen für gesetzliche Kranken- und Pflegekassen finden sich auch im SGB V: Es erlaubt ihnen, versichertenindividuelle Gesundheitsdaten auszuwerten (z.B. Diagnosen und verordnete Arzneimittel) und den Versicherten auf die Ergebnisse dieser Auswertung hinzuweisen. Allerdings gilt das nur für gesetzlich definierte Zwecke, etwa für die Erkennung von seltenen oder schwerwiegenden Krankheiten sowie für die Erkennung von Impfindikationen für Schutzimpfungen. In der Praxis kann es beispielsweise sein, dass Krankenkassen ihre Versicherten auf Grundlage der ihnen vorliegenden Daten auf ein erhöhtes Krebsrisiko oder auf empfohlene Impfungen hinweisen. Versicherte sind über eine geplante Auswertung ihrer Daten vorab zu informieren und können dieser widersprechen. Kranken- und Pflegekassen müssen in diesem Kontext zudem eine Reihe von Informations-, Melde- und Anzeigepflichten beachten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Welche Unternehmen & Institutionen sind vom neuen Gesetz betroffen?

Die umfassenden Gesetzesänderungen können für zahlreiche Unternehmen und Institutionen aus dem Gesundheits- und Forschungssektor relevant sein und große gesellschaftliche und wirtschaftliche Chancen für eine effiziente Nutzung von Gesundheitsdaten bieten. Der Kreis der Antragsberechtigten ist im Gesetz weit gefasst. Unternehmen und Institutionen aus dem Bereich sollten daher prüfen, ob und in welchem Umfang sie berechtigt sich, bestimmte Gesundheitsdaten zu erhalten und zu verarbeiten. Gesetzliche Kranken- und Pflegekassen dürfen zudem datengestützte Auswertungen vornehmen.

Was müssen Unternehmen und Institutionen jetzt tun?

Der neue Gesetzesrahmen ist noch nicht final und wird in Teilen ergänzt werden. Beispielsweise muss das Bundesgesundheitsministerium zeitnah Verordnungen erlassen, die technische und organisatorische Aspekte des Datenzugangs regeln. Betroffene Unternehmen und Institutionen sollten schon jetzt die bestehenden Regelungen prüfen und Datenzugangs- und Verarbeitungsrechte frühzeitig nutzen.

So können wir Ihre Unternehmung bei der Implementierung des Gesundheitsdatennutzungsgesetzes unterstützen

Die neuen Regelungen können ein erhebliches Potenzial für Ihr Geschäftsfeld bieten, verlangen aber die Einhaltung strenger – insbesondere datenschutzrechtlicher – Vorgaben. Wir beraten Sie und unterstützen Sie gern im gesamten Verfahrenszyklus – von der Antragstellung bis zur rechtskonformen Datenverarbeitung.

Haben Sie Fragen zum GDNG oder zum SGB V? Zögern Sie nicht, uns zu kontaktieren!

Weitere Informationen darüber, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben, finden Sie in unserer Datenschutzerklärung.

IT-Sicherheit 2024: Neue Herausforderungen und Lösungen für Ihr Unternehmen

Die Cybersicherheitslage in Europa ist angespannt. Unternehmen sind zunehmend Risiken durch Cyber-Angriffe ausgesetzt, die hohe Schäden verursachen und bei Angriffen auf kritische Infrastrukturen auch die Gesellschaft als Ganzes betreffen können. Diese wachsende Bedrohungslage hat dazu geführt, dass Informationssicherheit für Unternehmen längst nicht mehr nur ein Trend, sondern eine Notwendigkeit ist. Gleichzeitig hat sie den Gesetzgeber dazu veranlasst, die rechtlichen Anforderungen weiter zu verschärfen, mit dem Ziel, durch einen noch strengeren Regulierungsrahmen das Sicherheitsniveau im europäischen Raum zu erhöhen. Von besonderer Bedeutung sind dabei die NIS2-Richtlinie (The Network and Information Security (NIS) Directive) als Neuauflage der NIS-Richtline und die DORA-Verordnung (Digital Operational Resilience Act). Die NIS2-Richtlinie weitet ihren Anwendungsbereich dabei stark aus – in Deutschland werden voraussichtlich ca. 30.000 Unternehmen betroffen sein. DORA gilt für sämtliche in Art. 2 Abs. 1 DORA definierte kritische Sektoren der Finanzbranche und geht als spezielleres Gesetz auf dem Gebiet der Cybersecurity-Regulierung den Regelungen der NIS2-Richtlinie vor. Gemeinsam ist beiden Regelwerken, dass sie das Risikomanagement in den Mittelpunkt stellen und die Verantwortung der Unternehmensleitung betonen.

In diesem Kontext sollten Unternehmen ihre Cybersicherheitsstrategie überprüfen und an die neu formulierten Anforderungen anpassen. Gerade weil es sich bei der Umsetzung von neuen Sicherheitsstrategien oft um langfristige Projekte handelt, lohnt sich eine frühzeitige Auseinandersetzung mit den neuen EU-Datenregulierungen, um die Anforderungen rechtskonform und praktikabel umsetzen zu können. Als auf IT-Recht und Informationssicherheitsrecht spezialisierte Kanzlei unterstützen wir Sie gerne dabei und beraten Sie umfassend bei der Umsetzung der neuen gesetzlichen Anforderungen. Der folgende Artikel gibt Ihnen vorab einen kurzen Überblick über bereits bestehende Regelungen und fokussiert anschließend die NIS2-Richtlinie sowie DORA und deren Auswirkungen für Unternehmen.

Informationssicherheit: vom Trend zur Notwendigkeit

Die Cyber-Sicherheitslage für Unternehmen, Behörden und sonstige Organisationen in Europa ist seit langem angespannt und zeigt, wie wichtig und notwendig Cyber-Resilienz heutzutage ist. So kann ein IT-Sicherheitsvorfall zu unberechtigtem Zugriff auf sensible Unternehmensdaten und damit zu Datenverlust führen. Häufig zielen Cyber-Angriffe auch auf den Diebstahl geschützter Informationen, Geschäftsgeheimnisse oder anderer Formen geistigen Eigentums ab. Ein erfolgreicher Angriff geht häufig mit einem Reputationsschaden einher. Unternehmen können für Datenschutzverletzungen und mangelnde Sicherheitsmaßnahmen haftbar gemacht werden, so dass je nach Standort und Art des Vorfalls Haftung und rechtliche Konsequenzen drohen. IT-Sicherheitsvorfälle, insbesondere Ransomware-Angriffe, können auch zu erheblichen Betriebsunterbrechungen führen, die dann Produktionsausfälle, Serviceunterbrechungen und finanziellen Verlusten zur Folge haben können.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Ausweitung der Cyberregulierung: NIS2 und DORA

Der regulatorische Rahmen im Bereich der Informationssicherheit in Europa setzt sich aus einer Vielzahl europäischer, nationaler und branchenspezifischer Vorgaben und Standards zusammen.

Überblick über den regulatorischen Rahmen

Den europäischen Rechtsrahmen bilden neben der NIS-Richtlinie unter anderem die Datenschutz-Grundverordnung (DSGVO), der Cyber Security Act, und die Richtlinie über die Resilienz kritischer Einrichtungen (Critical Entities Resilience / CER-Richtlinie) und die KI-Verordnung. Daneben wird auch der Cyber Resilience Act, dessen Verabschiedung in Kürze erwartet wird, den Rahmen weiter ergänzen.

Nationale Gesetzgebung umfasst unter anderem das BSI-G (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), das Telekommunikationsgesetz (TKG) und das Bundesdatenschutzgesetz (BDSG).

Gleichzeitig formulieren Verwaltungsvorschriften weitere Bestimmungen, wie z.B. die Bankaufsichtlichen Anforderungen an die IT („BAIT“) und deren Pendant für die Versicherungswirtschaft, die Versicherungsaufsichtlichen Anforderungen an die IT („VAIT“). Dieser komplexe Rechtrahmen wurde nun erweitert um die NIS2-Richtlinie und die DORA.

NIS2: Network & Information Security Directive

Die NIS2-Richtlinie ist seit dem 16.01.2023 in Kraft; in Deutschland erfolgt die Umsetzung bis Oktober 2024 durch das NIS2- Umsetzungs- und Cybersicherheits-Stärkungsgesetz (NIS2UmsuCG). Ziel der NIS2-Richtlinie ist es, die Anforderungen an Cybersicherheitsvorkehrungen auf europäischer Ebene zu vereinheitlichen und hierdurch ein hohes Sicherheitsniveau für gesellschaftlich relevante Organisationen zu gewährleisten. Die Richtlinie baut inhaltlich auf der NIS-Richtlinie auf, erweitert jedoch den persönlichen Anwendungsbereich und verschärft an verschiedenen Stellen die Anforderungen, Kriterien sowie Kontroll- und Sanktionsmöglichkeiten.

Anwendungsbereich

Der Anwendungsbereich richtet sich nach den Kriterien Sektor und Unternehmensgröße.

Zum einen unterscheidet die Richtlinie nun zwischen „wesentlichen“ und „wichtigen“ Einrichtungen. Diese neue Unterteilung wird insbesondere im Zusammenhang mit den neu definierten Pflichten der Einrichtungen und den Aufsichts- und Durchsetzungsbefugnissen der zuständigen Behörden relevant. Welche Einrichtungen wesentlich beziehungsweise wichtig sind, ergibt sich aus den entsprechenden Anhängen I („hohe Kritikalität“) und II („sonstige kritische Sektoren“) und richtet sich insofern nach der Zugehörigkeit zu bestimmten Sektoren, Teilsektoren und Arten von Einrichtungen. Erfasst werden alle Unternehmen in den kritischen Sektoren mit mindestens 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von mehr als 10 Mio. EUR (mittlere und große Unternehmen). Kleinst- und Kleinunternehmen sind dagegen grundsätzlich ausgenommen.

Zum anderen umfasst der Katalog der Sektoren im Bereich der „wesentlichen Einrichtungen“ nun auch die Abwasserwirtschaft, die öffentliche Verwaltung und die Weltraumwirtschaft. Zu den „wichtigen Einrichtungen“ zählen nun auch Unternehmen der Sektoren Postwesen, Abfallwirtschaft, Chemie, Lebensmittelwirtschaft und produzierendes Gewerbe sowie Digitalanbieter.

Was wird gefordert?

Mit der NIS2-Richtlinie wurde der Pflichtenkatalog erweitert, den Unternehmen künftig zu beachten haben.

So muss bei einem erheblichen Sicherheitsvorfall innerhalb von 24 Stunden nach Bekanntwerden des Vorfalls eine Erstanzeige an die zuständige Behörde erfolgen und nach einem Monat ein Abschlussbericht vorgelegt werden. Zu beachten ist, dass die Definition eines Sicherheitsvorfalles erweitert wurde und nun bereits jede eingeschränkte Verfügbarkeit von Daten oder Diensten umfasst.

Wesentliche und wichtige Einrichtungen müssen angemessene technische und organisatorische Maßnahmen (TOM) ergreifen. Hierzu schlägt die Richtlinie in Art. 21 Abs. 2 NIS2-RL unter anderem Maßnahmen wie Risikoanalyse, Krisenmanagement und den Einsatz von Kryptografie und Verschlüsselung vor.

Eine besondere Verantwortung kommt bei alldem der Unternehmensleitung zu. Sie ist verpflichtet, Risikomanagementmaßnahmen zur Cybersicherheit zu genehmigen und deren Umsetzung zu überwachen. Diese Pflicht kann nicht durch die Beauftragung eines Dritten erfüllt werden. Im Falle einer Pflichtverletzung haftet die Geschäftsleitung persönlich gegenüber dem jeweiligen Unternehmen für den entstandenen Schaden.

Sanktionen

Um die Pflichten durchzusetzen, können die Behörden unter anderem Warnungen aussprechen, verbindliche Anweisungen erteilen und Verstöße gegen die Richtlinie bzw. das nationale Umsetzungsgesetz veröffentlichen. Im Falle wesentlicher Einrichtungen können – als ultima ratio – auch Leitungspersonen der jeweiligen Einrichtungen vorübergehend von ihren Aufgaben entbunden werden. Zudem drohen empfindliche Geldbußen: Für Betreiber:innen wesentlicher Einrichtungen beträgt die maximale Geldbuße entweder 10 Mio. EUR oder 2 Prozent des weltweiten Jahresumsatzes, für Betreiber:innen wichtiger Einrichtungen sind es maximal 7 Mio. EUR oder 1,4 Prozent des weltweiten Jahresumsatzes.

DORA: Digital Operational Resilience Act

Der Digital Operational Resilience Act – kurz DORA – ist seit dem 17. Januar 2023 in Kraft; die niedergelegten Pflichten müssen betroffene Unternehmen bereits ab dem 17. Januar 2025 umsetzen. Mit der neuen Verordnung will die Europäische Union den stetig wachsenden IT-Sicherheits- und Cyber-Risiken insbesondere im Finanz- und Versicherungssektor begegnen. Die Sicherheit und operationale Resilienz des europäischen Finanzsektors sollen gestärkt und Standards harmonisiert werden. Dazu definiert sie für den Finanzsektor einheitliche Anforderungen an Risikomanagementsysteme und die Sicherheit der durch die verpflichteten Unternehmen genutzten Netz- und Informationssysteme.

Anwendungsbereich

Die Anforderungen der DORA gelten sektorübergreifend im Wesentlichen für alle beaufsichtigten Institute und Unternehmen des Finanzsektors – also z.B. für Kredit-, Zahlungs- und E-Geld-Institute sowie Anbieter von Krypto-Dienstleistungen und Versicherungsunternehmen. Neben den Unternehmen des Finanzsektors selbst betrifft die Verordnung auch kritische Dienstleister im Bereich der Informations- und Kommunikationstechnologie (IKT). Hierzu zählen beispielsweise Anbieter von Cloud-Computing-Diensten, Software, Datenanalysediensten und Rechenzentrumsdienstleistungen.

Was wird gefordert?

Im Mittelpunkt der Anforderungen stehen die Einrichtung von IKT-Risikomanagementsystemen, Kontroll- und Überwachungsmaßnahmen sowie Meldepflichten.

Finanzunternehmen sind verpflichtet, ein umfassendes Informationssicherheitskonzept und einen IKT-Risikomanagementrahmen zu entwickeln. Dabei wird vor allem die Unternehmensleitung in die Pflicht genommen, das Management von IKT-Risiken aktiv mitzugestalten. Pflichten im IKT-Risikomanagement umfassen insbesondere:

  • Implementierung eines IKT-Risikomanagementrahmens;
  • Dokumentations- und Beseitigungspflichten für Risiken;
  • Kontinuierliche Schutz- und Präventionsmaßnahmen;
  • Reaktions- und Wiederherstellungspläne;
  • Weiterentwicklung der operationalen Resilienz;
  • Kommunikation an Kunden und andere Finanzunternehmen.

Wichtig ist dabei auch, die Risiken kontinuierlich zu kontrollieren sowie regelmäßig mit der Geschäftsleitung zu kommunizieren und diese unter anderem bei der Risikoakzeptanz einzubeziehen.

IKT-bezogene Vorfälle müssen überwacht und dokumentiert werden, insbesondere durch die Klassifizierung von IKT-bezogenen Vorfällen und Cyberbedrohungen und Meldung bei schwerwiegenden Vorfällen. Die operationelle Resilienz ist unter anderem durch bedrohungsorientierte Penetrationstests zu testen.

Sanktionen

DORA sieht keine Geldbußen oder andere strafrechtliche Sanktionen für die Nichteinhaltung der Verordnung vor. Die Verordnung weicht damit vom Ansatz der DSGVO und der NIS2-Richtlinie ab. Den EU-Mitgliedstaaten steht es jedoch frei, in ihrem nationalen Recht strafrechtliche Sanktionen für Verstöße gegen die DORA vorzusehen.

Die europäischen Aufsichtsbehörden werden ab Januar 2025 gegenüber kritischen IKT-Drittdienstleistern unter anderem das Recht haben, Informationen anzufordern, allgemeine Untersuchungen, einschließlich Prüfungen vor Ort, durchzuführen, Empfehlungen zur IKT-Sicherheit (z.B. zu Patching, Updates, Verschlüsselung) auszusprechen und öffentlich bekannt zu machen, wenn ein beaufsichtigtes Unternehmen diesen Empfehlungen nicht nachkommt und Sanktionen verhängt wurden.

Professionelle Unterstützung bei der Umsetzung der NIS2- und DORA-Anforderungen

Die NIS2-Richtlinie und DORA enthalten eine Reihe von Neuerungen, um die EU auf die gestiegenen Anforderungen im Bereich der Cybersicherheit vorzubereiten. Sie stellen das Risikomanagement in den Mittelpunkt und betonen die Verantwortung der Unternehmensleitung. Es ist jedoch ratsam, die beiden neuen Regelwerke nicht zu isoliert, sondern im Kontext aller relevanten europarechtlichen Regelungen zu betrachten. Denn es ist denkbar, dass Adressaten einer Richtlinie oder Verordnung auch Adressaten anderer thematisch verwandter europäischer Rechtsakte sind. So kommt je nach Fallgestaltung beispielsweise auch die Anwendung der DSGVO, der KI-Verordnung oder des Cyber Resilience Act in Betracht.

NIS2- und DORA-pflichtige Unternehmen sind daher gut beraten, rechtzeitig mit der Umsetzung der erforderlichen Maßnahmen zu beginnen. Unsere spezialisierten Anwält:innen bieten Ihnen dabei professionelle Unterstützung. Kontaktieren Sie uns jetzt für ein unverbindliches Erstgespräch!

Als auf IT-Recht spezialisierte Kanzlei bieten wir Ihnen umfassende Unterstützung und Beratung bei der Umsetzung dieser neuen Regelungen. Dazu führen wir zunächst eine Anwendbarkeitsanalyse durch. Dabei analysieren wir, mit welchen Vorschriften Ihr Unternehmen noch nicht compliant ist und identifizieren und priorisieren bestehende Sicherheitslücken. Anschließend ermitteln wir den Handlungsbedarf und erstellen für Sie einen Maßnahmenkatalog sowie eine entsprechende Roadmap zur Umsetzung der Maßnahmen. Schließlich unterstützen wir Sie bei der Umsetzung der Maßnahmen, bspw. durch die Implementierung von Sicherheitsmaßnahmen und -kontrollen, die laufende Überwachung und Anpassung der Sicherheitsinfrastruktur sowie die Schulung und Sensibilisierung Ihrer Mitarbeiter:innen.

Wir helfen Ihnen, die Anforderungen zu verstehen, Risiken zu minimieren und alle notwendigen Maßnahmen effektiv umzusetzen. Gerne beraten wir Sie in allen Fragen des Informationssicherheits- wie auch des IT-Rechts, um Ihr Unternehmen optimal auf die vielfältigen aktuellen und zukünftigen Rechtsänderungen vorzubereiten.

Sichern Sie sich Ihre Rechtsberatung zur NIS2- und DORA-Konformität!

Weitere Informationen darüber, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben, finden Sie in unserer Datenschutzerklärung.

E-Mail Marketing und rechtliche Herausforderungen

E-Mail-Marketing ohne Einwilligung – was ist erlaubt?

Newsletter erfreuen sich im Online-Marketing immer noch großer Beliebtheit. Der Versand per E-Mail ist ein kostengünstiger und schneller Weg Ihre Produkte und Dienstleistungen zu bewerben. Viele Unternehmen wollen diese Möglichkeit nutzen. Doch was sind die rechtlichen Rahmenbedingungen um Kund:innen per E-Mail zu kontaktieren? 

Ihr Unternehmen hat erfolgreich einen qualitativ hochwertigen E-Mail-Verteiler organisch aufgebaut. Ihre E-Mail-Vorlage ist ansprechend. Der Text Ihrer E-Mail-Kampagne ist eingängig geschrieben und für Ihre Zielgruppe relevant. Es scheint, als hätten Sie alles, was Sie brauchen, um Ihre E-Mail-Marketing-Kampagne zu starten. 

Bevor Sie jedoch mit dem Versenden von E-Mails beginnen, sollten Sie unbedingt die Zulässigkeit aus wettbewerbs- und datenschutzrechtlicher Sicht prüfen. Dass die werbliche Ansprache von Kund:innen per E-Mail auf Grundlage einer zuvor eingeholten ausdrücklichen Einwilligung möglich ist, ist mittlerweile weithin bekannt. Dennoch wissen viele Unternehmen nicht genau, was in diesem Bereich erlaubt ist und was nicht. Wir zeigen Ihnen, welche Rechte und Pflichten auf Sie zukommen und was Sie bei der Ansprache potenzieller Kund:innen zu Online-Marketing-Zwecken beachten müssen, um im Einklang mit deutschem und europäischem Recht zu sein. 

Werbung als unzumutbare Belästigung?

E-Mail-Werbung stellt gemäß § 7 Abs. 2 Nr. 2 UWG ohne vorherige ausdrückliche Einwilligung grundsätzlich eine unzumutbare Belästigung der Empfänger:innen dar. Dies gilt unabhängig davon, ob es sich dabei um eine Privatperson oder ein Unternehmen handelt.

Grundsatz: Keine Werbung ohne ausdrückliche Einwilligung

Keine Werbung ohne ausdrückliche Einwilligung – so lautet der Grundsatz. Da die Werbenden die Beweislast für das Vorliegen einer Einwilligung tragen, reicht nach Auffassung des Bundesgerichtshofs (BGH) die bloße Registrierung der E-Mail-Adresse auf der Homepage des Versenders oder der Versenderin („Single-Opt-In“) nicht aus (BGH, Urteil vom 10. 2. 2011 – I ZR 164/09). Denn dadurch kann ein Missbrauch durch Unbefugte nicht ausgeschlossen werden. In der Praxis hat sich deshalb die Bestätigung der einwilligenden Person im Wege des sogenannten Double-Opt-In-Verfahrens etabliert. Dabei erhält die einwilligende Person nach der Übermittlung eine E-Mail, in der sie die Einwilligung durch das Anklicken eines Links bestätigt.

Zufriedenheitsbefragungen und Inbox-Werbung

Auch Zufriedenheitsbefragungen oder Produktempfehlungen, die in der Signaturzeile einer E-Mail enthalten sind, stellen Werbung dar. Das gilt nach Ansicht des BGH auch dann, wenn die Feedbackanfrage oder die Produktempfehlung im Zusammenhang mit einer notwendigen Kommunikation mit den Kund:innen, wie beispielsweise dem Rechnungsversand oder einer Bestätigungsmail erfolgt (BGH, Urteil vom 10.7.2018 – VI ZR 225/17).

Das Einwilligungserfordernis gilt im Übrigen auch dann, wenn im Posteingang eines E-Mail-Postfachs Werbung angezeigt wird, die der Form einer echten E-Mail ähnelt. Auf Vorlage des BGH, hat der Europäische Gerichtshof (EuGH) entschieden, dass es sich insoweit um elektronische Post – so der entsprechende Rechtsbegriff in § 7 Abs. 2 Nr. 2 UWG – handelt (EuGH, Urteil vom 25.11.2021 – C-102/20).

Ausnahme: Bestandskundenwerbung per E-Mail

Das Gesetz sieht jedoch eine Ausnahme von diesem Grundsatz vor. § 7 Abs. 3 UWG erlaubt Unternehmer:innen unter bestimmten Voraussetzungen E-Mail-Werbung ohne ausdrückliche Einwilligung zu versenden, wenn es sich bei den Empfänger:innen der E-Mail um Bestandskund:innen handelt. Dahinter steht die Überlegung, dass jemand, mit dem eine Geschäftsbeziehung besteht, wahrscheinlich auch an anderen ähnlichen Produkten und Dienstleistungen interessiert ist und darüber informiert werden möchte. Dafür müssen fünf Voraussetzungen nebeneinander vorliegen:

Im Zusammenhang mit dem Verkauf einer Ware oder Dienstleistung

Auch wenn sich dies aus dem Wortlaut der Vorschrift nicht ausdrücklich ergibt, knüpft das Gesetz daran an, dass zwischen dem Unternehmer oder der Unternehmerin und dem Empfänger oder der Empfängerin der E-Mail bereits ein Vertragsverhältnis bestehen muss. Eine lediglich vorvertragliche Geschäftsbeziehung, insbesondere die bloße Vertragsanbahnung, reicht nicht aus. Hat also jemand nur um die Zusendung von Produktinformationen gebeten oder die Ware nur in den Warenkorb gelegt, ohne die Bestellung abzuschließen, liegt noch keine bestehende Geschäftsbeziehung vor. Auch die bloße Einrichtung eines Kund:innenkontos reicht nach § 7 Abs. 3 Nr. 3 UWG nicht aus. 

Der Unternehmer oder die Unternehmerin muss die Adresse des Kunden oder der Kundin direkt von diesem bzw. dieser erhalten haben. Es reicht nicht aus, wenn der Unternehmer oder die Unternehmerin die Adresse aus anderen Quellen oder von Dritten erhalten hat.

Werbung nur für eigene ähnliche Waren oder Dienstleistungen

Die größte Herausforderung für Unternehmen stellt in der Regel die zweite Voraussetzung des § 7 Abs. 3 UWG dar. Es dürfen nur eigene Waren oder Dienstleistungen beworben werden, die dem bereits erworbenen Produkt ähnlich sind. Bei der Beurteilung, was als ähnliches Produkt anzusehen ist, ist die Rechtsprechung sehr streng. Zum Teil wird eine „Austauschbarkeit“ der Produkte gefordert oder dass die Produkte „demgleichen oder zumindest einem ähnlichen Bedarf oder Verwendungszweck“ dienen. Danach wäre es beispielsweise zulässig, einem Kunden oder einer Kundin, der bzw. die französischen Rotwein bestellt hat, künftig per E-Mail auch Werbung für Rotwein aus Neuseeland zuzusenden. Wer einen Hotelaufenthalt im Spreewald per E-Mail gebucht hat, dem könnte auch Werbung für ein Hotel in der Pfalz geschickt werden.

Achtung: Werbung für das gesamte Sortiment ist dagegen nicht von § 7 Abs. 3 Nr. 2 UWG erfasst. Auch die Zusendung eines Gutscheins, der im Online-Shop des Versendenden eingelöst werden kann, fällt nicht unter diese Norm.

Und wie verhält es sich bei Zubehör- und Ergänzungsangeboten?

Grundsätzlich erscheint es vertretbar, unter der Ausnahme für Bestandskund:innen auch Werbung für funktionell zusammengehörige Waren wie Zubehör- und Ergänzungswaren zuzulassen. Wer beispielsweise einen Drucker gekauft hat, wird in der Regel auch am Kauf von Toner oder Tinte interessiert sein. Nach den von der Rechtsprechung entwickelten Kriterien der „Austauschbarkeit der Produkte“ oder dem „Dienen der Produkte zum gleichen oder zumindest ähnlichen Bedarf oder Verwendungszweck“ dürfte in diesem Fall unproblematisch von einer Warenähnlichkeit auszugehen sein. Nicht mehr zulässig dürfte hingegen die Werbung für andere Elektronikartikel wie etwa Mobiltelefone sein.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Kein Widerspruch des Kunden

Der Kunde oder die Kundin darf der Verwendung seiner bzw. ihrer E-Mail-Adresse zum Empfang von Werbung nicht widersprochen haben. Dieser Widerspruch kann auf jedem Kommunikationsweg oder auch mündlich erfolgen. Daher kann nach derzeitiger Rechtsprechung von Kund:innen auch nicht verlangt werden, dass sie neben einem Widerspruch in Textform auch Einstellungen in einem Verwaltungssystem für Kund:innen ändern (AG München, Urteil vom 05.08.2022 – 142 C 1633/22). Widersprüche sind zu protokollieren und bei zukünftigen Werbemails zu berücksichtigen.

Klarer und deutlicher Hinweis auf das Widerspruchsrecht

Die vierte Voraussetzung ist besonders wichtig. Das werbende Unternehmen muss die Kund:innen sowohl bei der Erhebung als auch bei jeder Verwendung der E-Mail-Adresse klar und deutlich darauf hinweisen, dass sie der Verwendung jederzeit kostenlos widersprechen können. In jedem Fall dürfen die Kosten für die Übermittlung des Widerspruchs die Kosten des Basistarifs nicht übersteigen. Zu diesem Zweck müssen die Unternehmen den Kund:innen jeweils eine entsprechende Kontaktadresse benennen. Der Widerspruch selbst sollte direkt aus der E-Mail heraus möglich sein. Dies lässt sich am einfachsten über einen Abmeldelink umsetzen, der ohne weitere Zwischenschritte zu einem Blacklisting der betreffenden E-Mail-Adresse führt.

Achtung: Werbung an Bestandskund:innen muss genauso wie sonstige Werbe-E-Mails auch inhaltlich rechtskonform ausgestaltet sein. Insbesondere muss die Identität des Absenders oder der Absenderin auf den ersten Blick klar erkennbar sein (vgl. § 7 Abs. 2 Nr. 4 UWG). Darüber hinaus muss der Betreff der E-Mail den Inhalt der Nachricht korrekt wiedergeben und erkennen lassen, dass es sich um eine Werbe-E-Mail handelt. Schließlich gilt auch hier die Impressumspflicht.

Was ist in Sachen DSGVO zu beachten?

Die DSGVO enthält zwar keine Regelung, die sich explizit auf das wettbewerbsrechtliche Privileg von Bestandskund:innen bezieht, jedoch kommen hier die berechtigten Interessen des werbenden Unternehmens gemäß Art. 6 Abs. 1 Satz 1 lit. f DSGVO als rechtfertigende Grundlage in Betracht. Nach Art. 6 Abs. 1 Satz 1 lit. f DSGVO muss die Verarbeitung zur Wahrung der berechtigten Interessen des werbenden Unternehmens erforderlich sein und die Interessen der betroffenen Personen dürfen nicht überwiegen. Auch wenn die DSGVO hierzu keine detaillierten Regelungen enthält, stellt jedenfalls Erwägungsgrund 47 der DSGVO klar, dass die Datenverarbeitung zum Zwecke der Direktwerbung als eine Verarbeitung angesehen werden kann, die einem berechtigten Interesse dient.

Auf Seiten der Interessen der Betroffenen ist insbesondere entscheidend, was diese im Einzelfall subjektiv erwarten, aber auch, was objektiv vernünftigerweise erwartet werden kann und darf. Unternehmen sollten daher ihre Kund:innen frühzeitig und transparent über Bestandskund:innenwerbung im Rahmen der Datenschutzhinweise informieren. Die Datenschutzbehörden berücksichtigen im Rahmen der Interessenabwägung auch die Wertungen des UWG. Überwiegende schutzwürdige Interessen der Empfänger:innen sind demnach in der Regel nicht gegeben, wenn das werbende Unternehmen auch die in § 7 Abs. 3 UWG enthaltenen Vorgaben für E-Mail-Werbung einhält. Andererseits dürften die schutzwürdigen Interessen der Empfänger:innen regelmäßig überwiegen, wenn die in § 7 Abs. 3 UWG genannten Voraussetzungen nicht vorliegen.

Feedbackanfragen als zulässige Bestandskund:innenwerbung?

Da Zufriedenheitsbefragungen von Kund:innen nach Ansicht des BGH grundsätzlich als Werbung einzustufen sind, stellt sich zwangsläufig die Frage, ob solche Anfragen auf der Grundlage des § 7 Abs. 3 UWG versandt werden dürfen. In der Regel dürfte es sich bei Feedbackanfragen um allgemeine Imagewerbung für ein Unternehmen und nicht um Direktwerbung für eigene ähnliche Waren oder Dienstleistungen handeln. Eine andere Beurteilung kann sich jedoch dann ergeben, wenn eine Bewertungsaufforderung in unmittelbarem Zusammenhang mit einem zuvor erworbenen Produkt versandt wird und die Bewertung für dieses Produkt erbeten wird, um künftige Geschäfte über ähnliche Produkte zu fördern. Nach den von der Rechtsprechung entwickelten Kriterien der „Austauschbarkeit der Produkte“ oder dem „Dienen der Produkte zum gleichen oder zumindest ähnlichen Bedarf oder Verwendungszweck“ dürfte auch in diesem Fall von einer Warenähnlichkeit auszugehen sein. Auch der BGH hat sich zumindest offen für eine solche Auslegung gezeigt, auch wenn er die Frage in dem der Entscheidung zugrunde liegenden Fall nicht abschließend zu beantworten hatte (BGH, Urteil vom 10.07.2018 – VI ZR 225/17). Unternehmen, die jegliches Risiko vermeiden wollen, sollten für Kundenzufriedenheitsbefragungen generell eine Einwilligung der Kundinnen und Kunden einholen.

Mit welchen Konsequenzen müssen Unternehmen bei Verstößen rechnen?

Ist der Empfänger oder die Empfängerin der unerwünschten Werbe-E-Mail ein Verbraucher oder eine Verbraucherin, kann dieser bzw. diese sich grundsätzlich auf einen Eingriff in sein bzw. ihr allgemeines Persönlichkeitsrecht berufen. Handelt es sich bei dem Empfänger der E-Mail um ein Unternehmen, kann ein Eingriff in den eingerichteten und ausgeübten Gewerbebetrieb vorliegen. Das werbende Unternehmen muss daher mit der Geltendmachung von zivilrechtlichen Unterlassungs- und Schadensersatzansprüchen durch betroffene Empfänger:innen rechnen (§§ 823 Abs. 1, 1004 Abs. 1 Satz 2 BGB analog). Verstöße gegen wettbewerbsrechtliche Vorschriften wie § 7 UWG können zudem von Konkurrent:innen sowie Wirtschafts- und Verbraucherverbänden abgemahnt werden. Im Falle einer berechtigten anwaltlichen Abmahnung ist das werbende Unternehmen verpflichtet, die notwendigen Anwaltskosten zu erstatten. Darüber hinaus drohen bei einer rechtswidrigen Datenverarbeitung Maßnahmen der Aufsichtsbehörden, wie z.B. die Verhängung von Bußgeldern. Zudem können Datenschutzverstöße zu immateriellen Schadensersatzansprüchen der Betroffenen führen.

Empfehlungen für die Praxis

Um Schäden zu vermeiden, sollten Unternehmen ihre Prozesse sorgfältig und entsprechend den genannten Voraussetzungen ausgestalten und regelmäßig überprüfen. Möchten Sie sich auf die Ausnahmeregelung des § 7 Abs. 3 UWG berufen, ist darauf zu achten, dass die betreffenden Kund:innen bereits bei der Erhebung ihrer E-Mail-Adresse auf die Direktwerbung sowie die Widerspruchsmöglichkeit hingewiesen werden müssen. Hierzu bietet sich ein sichtbarer Hinweis direkt unter dem Feld für die Angabe der E-Mail-Adresse an. Bevor den Kund:innen Produktempfehlungen per E-Mail übermittelt werden, muss jeweils geprüft werden, ob kein Widerspruch eingelegt worden ist. Bei der Auswahl der beworbenen Produkte ist erhöhte Vorsicht geboten. Es muss sichergestellt werden, dass nur ähnliche Produkte und Dienstleistungen des Versenders beworben werden. Schließlich sollte in jeder E-Mail ein leicht erkennbarer Hinweis auf das jederzeit bestehende Widerrufsrecht aufgenommen werden.

Achtung: Erfahrungsgemäß scheitert die Zulässigkeit von Bestandskund:innenwerbung am häufigsten am fehlenden Hinweis bei der Datenerhebung.

Was sollten Sie also vor Start ihrer E-Mail-Werbekampagne beachten?

Überprüfen Sie, ob es sich bei E-Mail-Adressen in Ihrem Verteiler um Kontakte von Bestandskund:innen handelt oder ob eine ausdrückliche Einwilligung vorliegt. Gehen Sie sicher, dass Ihnen kein Widerspruch vorliegt. Sofern der Kunde oder die Kundin sowohl bei der Erhebung seiner bzw. ihrer E-Mail-Adresse als auch in jeder Werbemail auf das Widerspruchsrecht hingewiesen wird, ist Werbung für ähnliche und passende Produkte zulässig. Gehen Sie sicher, dass die Werbung auf eindeutig ähnliche Produkte beschränkt ist.

Wir beraten Sie zur rechtskonformen Nutzung von Datenbeständen zu Marketingzwecken insbesondere zum Aufbau und zur Überprüfung von Kundenbindungs- und Loyaltyprogrammen. Gerne unterstützen wir Sie auch bei der Implementierung datenschutzkonformer Customer-Relationship-Managementsysteme.

Jetzt unverbindlich anfragen!

Weitere Informationen darüber, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben, finden Sie in unserer Datenschutzerklärung.

KI VO Aktuelles Updates

Aktuelles zur KI-VO: Logbuch zur geplanten Verordnung

Für die hinreichende Vorbereitung auf die kommende KI-VO empfiehlt es sich, aktuelles rund um die Verordnung im Blick zu behalten. Dafür werden an dieser Stelle stets die wichtigsten Entwicklungen im Gesetzgebungsprozess dargestellt. Der jeweils neueste Beitrag ist dabei an oberster Stelle zu finden.

Die Arbeiten an der kommenden KI-Verordnung (KI-VO) der EU sind in vollem Gange. Nach seinem In-Kraft-Treten wird das Gesetz die Entwicklung und Verwendung von KI in der gesamten EU regeln. Da es sich um eine Verordnung handelt, werden die Regelungen unmittelbar in den Mitgliedsstaaten wirksam sein. Eines Umsetzungsaktes in nationales Recht bedarf es nicht. Der Entwurf zur Verordnung war im April 2021 von der EU-Kommission vorgelegt worden. Vorrangig geht es darum, einen europäischen Rechtsrahmen für KI zu schaffen. Darüber hinaus soll jedoch ein weltweiter Standard für den ethischen Einsatz und die Entwicklung der Technologie entstehen.

Viele der künftigen Vorgaben werden sich voraussichtlich nicht mehr erheblich ändern. Das grundlegende Regelungsgerüst ist daher schon jetzt abzusehen und Unternehmen können sich darauf vorbereiten. Als Leitfaden kann dafür unser Whitepaper zur kommenden Verordnung genutzt werden.

Whitepaper zur KI Verordnung

Der Trilog zwischen den EU-Gesetzgebungsorganen ist abgeschlossen. EU-Parlament und EU-Ministerrat haben ihre Kompromissversionen zum KI-VO-Entwurf ausgearbeitet und sich auf die zentralen Inhalte geeinigt. Das EU-Parlament hat bereits positiv über die Verabschiedung der Verordnung abgestimmt. Feinheiten werden noch in der nächsten Zeit abgerundet und der Prozess findet seinen Abschluss mit einem formellen Abstimmungstermin beim Ministerrat. Mit dem finalen Inkrafttreten der Verordnung ist im zweiten Quartal 2024 zu rechnen. Im Anschluss wird es für Unternehmen eine Umsetzungsfrist von grundsätzlich zwei Jahren geben, wobei jedoch die ersten Verbote zu besonders wichtigen Regelungsgebieten bereits 6 Monate nach Inkrafttreten greifen.

Informieren Sie sich hier für alle News und Updates rund um die geplante KI-Verordnung

Verabschiedung im EU-Parlament, 13.3.2024

Nach langer gesetzgeberischer Reise hat die KI-VO am 13. März 2024 endlich den Meilenstein der erfolgreichen Verabschiedung im Europäischen Parlament überschritten.

Zwar steht noch eine abschließende Prüfung und förmliche Abstimmung durch den Ministerrat aus, dieser hat jedoch bereits die Billigung der Parlamentsversion zugesagt. Es erfolgt voraussichtlich lediglich ein letzter Feinschliff, die Kerninhalte stehen jedoch. Eine der auffälligsten Änderungen der Fassung des 13.3 im Vergleich zu der bis dato letzten Version der KI-VO ist eine Anpassung der Artikelnummerierung. Die zuletzt stark vertretenen Buchstaben-Artikel wurden von einer einheitlichen Zahlengliederung ersetzt, wodurch sich jedoch lediglich die Nummerierung verschoben hat. Auch wurde eine aktuelle deutsche Fassung des Verordnungstextes vom EU-Parlament veröffentlicht. Inhaltlich kam es nur zur Anpassung von Feinheiten.

Das finale Inkrafttreten der Verordnung ist für den 20. Tag nach Veröffentlichung im Amtsblatt geplant. Somit zeichnet sich Ende Mai als Zeitpunkt des Inkrafttretens ab.

Es bleibt bei der geplanten Staffelung der Umsetzungspunkte der unterschiedlichen Pflichtenregime der KI-VO. Die allgemeinen Vorschriften und verbotenen Praktiken müssen bereits 6 Monate nach Inkrafttreten umgesetzt werden. Die Einrichtung der zu schaffenden Behörden und Stellen samt der einhergehenden Governance-Regelungen soll bis 12 Monate nach Inkrafttreten der KI-VO abgeschlossen sein. Ab diesem Zeitpunkt werden auch die Regelungen zu KI-Modellen und KI-Systemen mit allgemeinem Verwendungszweck (GPAI) ihre Wirkung entfalten. In einer weiteren Etappe werden nach 24 Monaten die zentralen Pflichten für Hochrisiko-Anwendungsgruppen aus Anhang III umzusetzen sein. Den Abschluss bildet nach 36 Monaten der Umsetzungsbeginn der Harmonisierungsvorschriften aus Anhang I (vormals Anhang II), die in Kombination mit weiteren EU-Richtlinien neue Hochrisiko-Anwendungsgruppen entstehen lassen.

Zuständige Ausschüsse im EU-Parlament stimmen der KI-VO zu, 13.02.24

Am 13. Februar 2024 haben der Ausschuss für Binnenmarkt und Verbraucherschutz (IMCO) und der Ausschuss für bürgerliche Freiheiten, Justiz und Inneres (LIBE), die im EU-Parlament federführend für die KI-VO zuständig sind, über die finale Fassung der Verordnung abgestimmt. Dabei wurde das Gesetz mit großer Mehrheit angenommen (71 Zustimmungen, 8 Ablehnungen, 7 Enthaltungen). Die KI-VO ist damit erneut einen großen Schritt auf die Verabschiedung zugegangen. Anfang Februar 2024 hatte bereits der Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) unter Vorsitz der belgischen Ratspräsidentschaft den im Dezember 2023 erreichten Kompromiss angenommen. Im April 2024 wird das EU-Parlament im Plenum über die Verordnung abstimmen. Dass es dabei zu Überraschungen kommen wird, gilt als unwahrscheinlich. Anschließend wird der EU-Ministerrat formell und final über die KI-VO abstimmen. Seitens des Rates wurde jedoch bereits zugesichert, dass die KI-VO in der Parlamentsversion gebilligt werden solle, sofern sich dieses in erster Lesung einigen könne.

Die KI-VO steht damit kurz vor dem Inkrafttreten. Wahrscheinlich noch vor den Europawahlen im Juni 2024 wird die Verordnung verabschiedet werden. Für Unternehmen bedeutet das, dass sie jetzt mit der Vorbereitung auf das Gesetz beginnen sollten.

Finale Fassung der KI-VO geleakt, 24.01.24

Der Abschluss der Trilogverhandlungen hat Früchte getragen. Am 22.1.24 wurde eine aus Kommissions-, Rats- und Parlamentsentwurf konsolidierte Fassung der KI-VO durch eine journalistische Quelle geleakt. Der Neuentwurf beinhaltet Ansätze aus allen bisherigen Fassungen, mit einem Schwerpunkt auf dem Kommissionsentwurf. Ihre Formulierungsgrundlage findet die Neufassung zu 47 % ihrer Artikel im Kommissionsentwurf, während weitere 25 % auf dem Parlamentsentwurf und die restlichen 28 % auf dem Ratsentwurf basieren. Es finden sich dennoch weitreichende Änderungen innerhalb der Formulierungen der neuen Artikel, sodass nicht lediglich ein zusammengesetztes Stückwerk entstanden ist, sondern ein gänzlich eigener Entwurf. Dieser soll in einer Abstimmung des zuständigen Gremiums am 2.2.24 als finales Vorlagedokument bestätigt werden. Im Fall einer positiven Abstimmung über das Dokument wird das Europäische Parlament im Anschluss seine schlussendliche Entscheidung treffen. Das Ende des Gesetzgebungsprozesses und das Inkrafttreten der KI-VO zeichnen sich damit schon in naher Zukunft ab. Denkbar wäre als möglicher Zeitpunkt dafür bereits im Februar.

Der neue Entwurf enthält die bereits nach dem Abschluss des Trilogs angekündigten neuen Regelungen zum Themenfeld General Purpose AI (mit oder ohne systemischem Risiko) und den zugrundeliegenden Basismodellen (GPAI Modells) innerhalb der Art. 52, 52 a) – 52 e) KI-VO-E.

Auch die heiß diskutierten Regelungen zur biometrischen Echtzeiterkennung wurden im finalen Entwurf umgesetzt. Jedoch kommt derzeit erneut Kritik auf, da eine Nutzung der biometrischen Erkennungssoftware auf zuvor angefertigten Aufnahmen (nicht in Echtzeit) in besonders gerechtfertigten Situationen sogar ohne Richtervorbehalt erfolgen kann, sofern eine Beantragung der Anordnung innerhalb von 24h nachgeholt wird. Kritisiert wird diese Regelung insbesondere, weil die ursprünglich ausgehandelten wenigen Ausnahmefälle auf diese Weise aufgeweicht werden könnten.

Durch die Mischung der Ansätze der verschiedenen Entwurfsversionen und den nachfolgenden Formulierungsanpassungen hat sich auch das Hauptregelungsgebiet der Hochrisiko-KI weiter fortentwickelt. So kam es unter anderem dazu, dass KI mit Anwendungsbereich im Feld der Risikobewertung und Bepreisung für Kranken- und Lebensversicherungen im derzeitigen Entwurf als Hochrisiko-KI erfasst werden, obwohl dies in früheren Fassungen teilweise nicht mehr der Fall war. Das Pflichtenprogramm wurde insofern angepasst und ausgeweitet.

Es bleibt abzuwarten, ob alle derzeitigen Inhalte des Verordnungsentwurfs übernommen werden. Denn vereinzelt werben Mitgliedsstaaten, wie etwa Frankreich, bereits für ein „Nein“ innerhalb der binären Vorlageentscheidung bezüglich der nun vorliegenden Entwurfsfassung, um weiter Einfluss auf die Inhalte nehmen zu können. Dies ist darin begründet, dass innerhalb der Vorentscheidung über die Vorlage gegenüber dem Parlament in diesem fortgeschrittenen Stadium keine Anpassungswünsche mehr in der Abstimmung berücksichtigt werden, sondern nur noch mit Zustimmung oder Ablehnung zur derzeitigen Version gestimmt werden kann.

Dennoch werden mit der neuen Entwurfsversion erneut wichtige Schritte auf der Zielgeraden des Gesetzgebungsprozesses gegangen.

Die EU Co-Gesetzgeber haben sich auf finale Version der KI-VO geeinigt, 11.12.23

Nach der finalen Trilogverhandlung, die am Mittwoch, dem 06.12.2023 begann, ist dem EU-Parlament, der Kommission und dem Ministerrat nun endlich eine Einigung über die kommende KI-VO gelungen. In ihrer Länge war die Verhandlung rekordverdächtig. Anfänglich nur für den Mittwoch angedacht, mussten die Gesetzgeber:innen nach 22 Stunden zäher Verhandlung eine Pause anberaumen und kamen schließlich am späten Freitagabend, dem 08.12.2023, über die finale Fassung der KI-VO überein.

Wichtiges Ziel war es dabei eine Balance zwischen Innovationsfreundlichkeit und Grundrechtsschutz zu finden. Nach Aussage der Beteiligten ist dies jetzt gelungen. In ihrer Grundstruktur ist die Verordnung ihrem ersten Entwurf treu geblieben. So gilt nach wie vor der risikobasierte Ansatz mit einem Fokus auf Hochrisiko-KI. Viele Details haben sich jedoch im Verglich zur ursprünglichen Kommissionsversion geändert. Zu den Punkten, die in der letzten Verhandlung am stärksten umstritten waren, gehörten die Regulierung von General Purpose AI und das Verbot biometrischer Echtzeitidentifizierung.

Biometrische Echtzeiterkennung wird im Ergebnis von der KI-VO grundsätzlich verboten. Dabei gelten jedoch drei Ausnahmen: die Technologie soll gestattet sein, um terroristische Angriffe zu erkennen und vorzubeugen, auf der Suche nach Opfern und bei der Verfolgung schwerer Verbrechen. Dass die Staaten diesen engen Anwendungsbereich einhalten, soll durch unabhängige Institutionen überwacht werden.

Die Regulierung von General Purpose AI (GPAI), also KI, die für eine Vielzahl von Zwecken verwendet werden kann, war schon seit geraumer Zeit ein kontrovers diskutierter Punkt der KI-VO. Zuletzt stand sogar die Möglichkeit im Raum, das Streitthema könne die Verordnung gänzlich zu Fall bringen. Dazu kam es jedoch letztendlich nicht. Final einigte man sich am Freitag auf einen zweistufigen Ansatz. Entwickler:innen aller GPAI-Modelle, also der ersten Stufe, sollen bestimmte Transparenzpflichten erfüllen. GPAI der zweiten Stufe ist solche, die besonders leistungsfähig ist und von der ein besonders hohes Risiko ausgeht. Darunter fällt z.B. die aktuelle Version des Sprachmodells ChatGPT. Für sie wird es gelten bestimmte Risiko-Assessment und Management Anforderungen zu erfüllen. Werden die Systeme im Bereich der Hochrisiko-KI eingesetzt, gelten für sie freilich zudem die entsprechenden Vorgaben.

Was die Einstufung als Hochrisiko-KI betrifft und welche Regelungen genau zu beachten sein werden, hat sich ebenfalls seit dem Ursprungsentwurf stark verändert. Grundsätzlich lässt sich sagen, dass der Anwendungsbereich sowie das Pflichtprogramm ausgeweitet wurden. Lesen Sie dazu in Kürze ausführlich in unserem aktualisierten Whitepaper.

Der finale Text der KI-VO liegt bisher noch nicht vor. Zunächst soll das Finetuning an den Formulierungen erfolgen, anschließend werden EU-Parlament und Ministerrat noch formell über die Verordnung abstimmen müssen. Änderungen soll es jedoch keine mehr geben. Das Gesetz wird anschließend voraussichtlich Anfang 2024 in Kraft treten. Die vorgesehenen Verbote greifen 6 danach. Nach einem Jahr gelten die Anforderungen für die Konformitätsbewertungsstellen sowie die Governance-Bestimmungen. Nach zwei Jahren wird die gesamte Verordnung zu beachten sein. Um sich erfolgreich darauf einzustellen, müssen Unternehmen jetzt mit der Vorbereitung beginnen.

Die Arbeit an der KI-VO befindet sich auf der Zielgeraden, 03.11.23

In den derzeitig stattfindenden Trilog-Verhandlungen rückt eine Einigung zwischen EU-Parlament, EU-Ministerrat und EU-Kommission immer näher. Der letzte Verhandlungstermin am 24.10.23 brachte die Arbeit an der Verordnung erneut wesentlich voran. So wurden Fortschritte gemacht, was die Regulierung von Basismodellen wie ChatGPT und die Klassifizierung von Hochrisiko-KI betrifft. Hinsichtlich des zweiten Punktes scheinen sich die Co-Gesetzgeber einig zu sein, dass von der Qualifizierung als Hochrisiko-KI über den Anhang III eine Ausnahme gemacht werden solle, wenn von einem System kein signifikantes Risiko für Gesundheit, Sicherheit oder Grundrechte einer natürlichen Person ausgehe. Über andere Themen besteht jedoch noch Uneinigkeit. Insbesondere welche KI-Systeme verboten werden sollen und welche Ausnahmen dabei für Strafverfolgungsbehörden gemacht werden sollen, konnte noch nicht abschließend geklärt werden. Die nächste Trilog-Verhandlung ist für den 06.12.23 anberaumt. Es gilt als wahrscheinlich, dass bei dem Termin eine politische Einigung über die finale Fassung der KI-VO erreicht wird.

EU-Parlament einigt sich auf Kompromissvorschlag und Beginn des offiziellen Trilogs, 14.06.23

Das EU-Parlament hat sich heute über seinen finalen Kompromissvorschlag zur geplanten KI-Verordnung geeinigt. Damit kann nun der offizielle Trilog zwischen EU-Parlament, Ministerrat und EU-Kommission beginnen. Im Trilog soll nun ein finaler Entwurf der KI-Verordnung ausgearbeitet werden. Die erste Verhandlung des Trilogs soll noch heute, am Mittwoch, dem 14. Juni stattfinden. Spanien, das ab nächstem Monat die EU-Ratspräsidentschaft für die zweite Jahreshälfte übernehmen wird, hat bereits angekündigt, dass die Verhandlungen zur KI-Verordnung noch unter seinem Vorsitz abgeschlossen werden sollen. Die Arbeit an der KI-Verordnung wird also an Fahrt aufnehmen und die Verordnung wird voraussichtlich noch dieses Jahr in Kraft treten.

Die Verhandlungen im EU-Parlament waren zuletzt ins Stocken geraten und die zuvor erzielte politische Einigung zwischen den Fraktionen galt als gescheitert. In der heutigen finalen Abstimmung wurden deshalb teilweise neue Anträge von Fraktionen des EU-Parlaments gestellt. Keiner dieser neuen Anträge war jedoch erfolgreich. Laut einem Parlamentarier war es vor allem auch darum gegangen zu signalisieren, dass es keine hundertprozentige Einigkeit im Parlament über die KI-Verordnung gibt. Im Ergebnis kam es heute somit nicht mehr zu Änderungen.

Ein wichtiger Aspekt, der den Kompromissvorschlag des Parlaments von der ursprünglichen Kommissionsversion unterscheidet, ist die geplante Regulierung von General Purpose AI. Diese verfolgt keinen konkreten Zweck, sondern kann als Grundlage für spezifische unterschiedlichen Zwecke genutzt werden. Hier relevant sind insbesondere sogenannte Basismodelle, große Sprachmodelle, auf denen andere KI aufgebaut werden kann. Ein prominentes Beispiel dafür ist ChatGPT. Laut dem EU-Parlament soll für solche System eine besondere Kennzeichnungspflicht für die erzeugten Inhalte und eine Offenlegungspflicht für die Trainingsdaten bestehen. Wichtig ist auch, dass das Parlament die geplante zweijährige Umsetzungspflicht für derartige KI verkürzen möchte, da sie schon jetzt nachteilige Auswirkung habe.

Weitere wichtige Änderungen des Parlaments betreffen die Definition von KI, eine Ausweitung der verbotenen Systeme und Hochrisiko-KI, eine zusätzliche Ebene für die Qualifizierung als Hochrisiko-KI und schärfere Pflichten für diese. Zudem wird die Einrichtung eines europäischen „KI-Büros“ vorgeschlagen, das bei der grenzüberschreitenden Umsetzung der KI-Verordnung helfen soll. Langfristig soll dieses Büro in eine umfassende EU-Agentur für Digitales ausgebaut werden.

Kompromissfindung bei der Regulierung künstlicher Intelligenz, 28.04.2023

Die Abgeordneten des EU-Parlaments haben letzte Woche eine Einigung über den Entwurf zur geplanten KI-Verordnung erzielt. Der Tag, der der Einigung voranging, war laut einem Parlamentsmitarbeitenden der angespannteste Verhandlungstag überhaupt. Unter anderem wurde insgesamt die Kategorie der verbotenen KI-Praktiken ausgeweitet. Zudem soll Hochrisiko-KI, zusätzlich zu den bisher geltenden Anforderungen, nur noch dann vorliegen, wenn Systeme ein erhebliches Risiko für Gesundheit, Sicherheit oder Grundrechte bergen. Mitte Juni soll der Parlamentsvorschlag im Plenum zur Abstimmung kommen.

EU-Parlament schlägt neue verbotene KI-Praktiken und Kategorien für Hochrisiko-KI vor, 06.02.23

Die zuständigen Berichterstatter im EU-Parlament haben einen neuen Kompromissvorschlag zur geplanten KI-VO vorgelegt. Dieser liegt dem Mediennetzwerk Euractiv vor. Der Vorschlag befasst sich mit neuen verbotenen KI-Praktiken und Kategorien für Hochrisiko-KI.

Bezüglich der bereits im Entwurf enthaltenen Verbote schlagen die Berichterstatter eine Ausweitung der verbotenen Social-Scoring-Systeme vor. Danach soll sich das Verbot nicht mehr nur auf Einzelpersonen, sondern auf ganze Gruppen erstrecken, wenn es durch das Social-Scoring zu Rückschlüssen auf persönliche Merkmale und zu Benachteiligungen kommt. Neu auf die Verbotsliste sollen solche KI gesetzt werden, die unterschwellig Techniken jenseits der Wahrnehmungsfähigkeit einer Person benutzen, es sei denn, dies geschehe zu therapeutischen Zwecken oder mit ausdrücklicher Einwilligung. Zudem soll KI verboten werden, die absichtlich manipulativ ist oder die Vulnerabilität einer Person ausnutzt, das Verhalten der Person dadurch beeinflussen und so zu erheblichem physischen oder psychischem Schaden führt.

Der Umfang der Systeme, die als hochrisikoreich klassifiziert werden soll, wird von dem Vorschlag deutlich ausgedehnt. Von den vorgeschlagenen Ausweitungen ist unter anderem der Bereich der biometrischen Identifizierung betroffen. Biometrische Live-Identifizierung in öffentlichen Räumen soll danach gänzlich verboten werden, sodass sich die Risikogruppe in diesen Bereichen nur noch auf Systeme zur nachträglichen Identifizierung beziehen soll. Von den Anwendungsfällen sollen jedoch nun auch Systeme zur Erkennung von Emotionen umfasst sein. Darüber hinaus wird vorgeschlagen für privat zugängliche Räume sowohl die Live- als auch die Ex-post-Identifizierung in die Liste aufgenommen.
Ebenfalls soll der Bereich der kritischen Infrastruktur erweitert werden. Dieser soll nach dem Vorschlag jegliche Sicherheitskomponenten für den Straßen-, Schienen- und Straßenverkehr einschließen.
Auch für die Hochrisikokategorie der Beschäftigung sieht der Vorschlag eine Ausweitung vor. So sollen solche Systeme umfasst sein, die Entscheidungen im Zusammenhang mit der Anbahnung, Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses treffen oder unterstützen, insbesondere bei der Zuweisung personalisierter Aufgaben oder der Überwachung der Einhaltung von Vorschriften am Arbeitsplatz.
Weitere Bereiche, für die Ausweitungen vorgesehen sind, sind die Bildung und der Zugang zu öffentlichen Leistungen.
Wie schon in der Ministerratsversion ist auch im Parlamentsvorschlag die Hochrisikokategorie der KI-Systeme in der Versicherungsbranche enthalten. Von dem ursprünglichen Kommissionsentwurf waren diese noch nicht umfasst.

Zudem wurden gänzliche neue Hochrisiko-Bereiche vorgeschlagen. So sollen nun Systeme umfasst sein, die von vulnerablen Gruppen genutzt werden, insbesondere solche, die die Entwicklung von Minderjährigen beeinflussen könnten. Es ist gut denkbar, dass darunter Empfehlungsalgorithmen in sozialen Netzwerken fallen würden.
Darüber hinaus sollen solche Systeme umfasst sein, die das Wahlverhalten von Personen beeinflussen könnten oder in demokratische Prozesse wie die Stimmenzählung eingebunden sind.
Schließlich sollen generative KI-Systeme in die Kategorie der Hochrisiko-KI aufgenommen werden, die etwa Texte erzeugen, die fälschlicherweise für menschengemacht gehalten werden könnten oder audiovisuelle Ergebnisse hervorbringen, die etwas aussagen, das nie stattgefunden hat. Für Texte soll dies nicht gelten, wenn sie von einem Menschen überprüft wurden oder eine Person dafür rechtlich verantwortlich ist; insofern weist der Vorschlag Ähnlichkeiten zur Regelung des Art. 22 DSGVO auf. Audiovisuelle Inhalte sollen dann ausgenommen sein, wenn es sich offensichtlich um ein Kunstwerk handelt. In die Hochrisikokategorie würden populäre Tools wie ChatGPT oder Dall-E fallen. Nach den bisherigen Entwürfen wären Chat-Bots wie ChatGPT dem Bereich der KI mit geringem Risiko zuzuordnen und unterlägen damit nur Transparenzverpflichtungen.

Laut Euractiv sind die beiden verantwortlichen Berichterstatter bestrebt, die Verhandlungen über den Parlamentsvorschlag zur KI-VO innerhalb der nächsten Tage abzuschließen.

EU-Minister segnen endgültigen Ratsvorschlag ab, 06.12.2022

Auf der Tagung des EU-Ministerrats in der für Verkehr, Telekommunikation und Energie zuständigen Formation, wurde der finale Kompromissvorschlag des Rats verabschiedet. Dem Co-Gesetzgeber gelang damit ein erster Schritt hin zum In-Kraft-Treten der KI-VO. Nun steht nur noch der Verordnungsvorschlag des EU-Parlaments aus. Anschließend können Kommission, Rat und Parlament den offiziellen Gesetzgebungs-Trilog aufnehmen. Laut dem europäischen Mediennetzwerk Euractiv wird die Version des Parlaments für März 2023 erwartet.

Der heute abgesegnete Ratsvorschlag enthält inhaltlich keine Änderungen mehr, sondern ist das Ergebnis der vorangegangenen Kompromissvorschläge des Ministerrats. Im Vergleich zum ursprünglichen Vorschlag der Kommission hat der Ministerrat einige maßgebliche Anpassungen vorgenommen. So wurden unter anderem die Definition des KI-Begriffes enger gefasst, der Vorschlag enthält Regelungen für sogenannte Allzweck-KI (General Purpose AI) und die Voraussetzungen und Verpflichtungen für Hochrisiko-KI wurden modifiziert. Welche Änderungen final in dem Verordnungstext enthalten sein werden, wird sich erst in den offiziellen Gesetzgebungsverhandlungen herausstellen. Viele der Vorschläge sind sinnvoll und es ist zu erwarten, dass sie so, oder so ähnlich, zu Gesetzeswortlaut werden.

Ministerrat legt finalen Kompromissvorschlag vor, 03.11.2022

Unter tschechischer Präsidentschaft hat der EU-Ministerrat seinen finalen Kompromissvorschlag vorgestellt. Dieser wurde am 18. November vom Ausschuss der Ständigen Vertreter der Mitgliedstaaten (COREPER) bestätigt und soll am 6. Dezember auf der Telekommunikations-Tagung der EU-Minister endgültig verabschiedet werden. Sobald dann der Vorschlag des EU-Parlaments vorliegt, können die formellen Trilogverhandlungen aufgenommen werden.

Die Änderungen, die dabei gegenüber früheren Vorschlägen vorgenommen wurden, sind nur sehr geringfügig. Es wurde bestätigt, dass „General Purpose AI“ unter das Regime der KI-VO fallen soll und dass die konkreten Anforderungen an diese KI-Systeme durch einen separaten Implementierungsakt von der EU-Kommission festgelegt werden. Ferner wurden die Ausnahmeregelungen für Strafverfolgungsbehörden in Details angepasst. Diese dürfen unter bestimmten Voraussetzungen Hochrisiko-KI-Systeme in Betrieb nehmen, die das vorgesehene Konformitätsbewertungsverfahren nicht bestanden haben. Verweigert die zuständige Marktaufsichtsbehörde aber im Nachhinein die Ausnahmegenehmigung dafür, müssen nach dem neuen Änderungsvorschlag alle aus dem System stammenden Ergebnisse und Ausgaben gelöscht werden.

Darüber hinaus stellt Erwägungsgrund 37 nun ausdrücklich klar, dass KI-Systeme, die Ansprüche auf öffentliche Unterstützungs- und Dienstleistungen prüfen, als Hochrisiko-KI-System einzustufen sind. Diese Änderung ist lediglich deklarativer Natur, da dieses bereits in Anhang III zur Verordnung geregelt ist. Zudem wurde der Text des Erwägungsgrundes dahingehend angepasst, dass er die vorangegangene Aufnahme bestimmter Versicherungsdienstleistungen in den Anhang III widerspiegelt.
Hinsichtlich der Transparenzverpflichtungen aus dem Verordnungsentwurf bestimmt der jüngste Vorschlag in Erwägungsgrund 70, dass solche Gruppen besonders berücksichtigt werden sollen, die aufgrund ihres Alters oder wegen Behinderung schutzbedürftig sind. Wie genau dieses aussehen soll, spezifiziert der Vorschlag jedoch nicht.

EU-Ministerrat bringt vierten Kompromissvorschlag in Umlauf, 19.10.2022

Der EU-Ministerrat hat einen neuen Kompromissvorschlag zur geplanten KI-VO vorgelegt. Nachdem die Mitgliedsstaaten nun noch einmal die Möglichkeit haben, zu dem Entwurf Stellung zu beziehen, strebt die tschechische Ratspräsidentschaft eine generelle Einigung für die nächste Tagung der Minister am 6. Dezember 2022 an. Der Ministerrat ist mit seinen Verhandlungen damit fast am Ende. Sobald vom Ministerrat ein finaler Änderungsvorschlag für die KI-VO ausgearbeitet wurde, hängt der Beginn des formellen Trilogs nur noch vom EU-Parlament ab.

Eine kleine, aber sinnvolle Änderung erfuhr die Definition des KI-Begriffes in der aktuellen Ministerratsfassung. In dem Entwurf der Kommission sollten bisher KI-Systeme umfasst sein, die „mit einem gewissen Grad an Autonomie arbeiten“. Die Passage wurde in dem aktuellen Kompromissvorschlag modifiziert, sodass die Definition nunmehr solche KI-Systeme einschließt, die „mit autonomen Elementen arbeiten“. Diese Änderung ist zu begrüßen, da zuvor nicht ersichtlich war, welche Anforderungen an einen „gewissen Grad“ zu stellen sein sollten.

Weitere wichtige Änderungen betreffen unter anderem die verbotenen KI-Systeme. So sind nun wieder nur biometrische Identifizierungssysteme umfasst, die aus der Ferne verwendet werden. In einem vorherigen Kompromissvorschlag war der Begriff „Fern-“ gestrichen worden, wodurch das Verbot erheblich ausgeweitet wurde.

Einige Neuerungen wurden zudem im Bereich der Hochrisiko-KI vorgenommen. Unter anderem wurde für Anbieter derartiger KI-Systeme die Transparenzverpflichtung hinzugefügt, die erwarteten Ergebnisse für den Einsatz der KI in die KI-Gebrauchsanweisung aufzunehmen. Ferner wurde der Anhang III der KI-VO angepasst, in dem KI-Systeme aufgeführt sind, die als Hochrisiko-KI gelten sollen. So wurden beispielsweise KI-Systeme wieder aufgenommen, die für die Risikobewertung und Preisgestaltung für Versicherungsprodukte, einschließlich Lebens- und Krankenversicherung, eingesetzt werden sollen.

Weitere Aspekte des Änderungsvorschlags betreffen etwa die Transparenzverpflichtungen für KI-Systeme mit geringem Risiko oder die Sanktionen bei Verstößen gegen die Verordnung.

Die EU-Kommission stellt neue Haftungsregeln für Künstlicher Intelligenz vor, 28.09.2022

Am 28.09.2022 legte die EU-Kommission zwei Vorschläge für Richtlinien vor, mit der die Haftungsregeln für KI reformiert werden sollen. Zum einen wird beabsichtigt, die europäische Produkthaftungsrichtlinie, die schon 1985 in Kraft trat, zu reformieren. Die Richtlinie regelt die verschuldensunabhängige Haftung von Herstellern, sofern deren Produkte etwa Personen- oder Sachschäden verursachen. Durch die nun vorgeschlagene Modernisierung soll die Richtlinie derart angepasst werden, dass sie Schadensersatzansprüche für solche Schäden enthält, die entstehen, wenn eine KI Bestandteil eines Produktes ist und dieses durch die KI-Anwendung unsicher gemacht wird. Wenn Verbraucher aufgrund eines solchen Produktes zu Schaden kommen und das Produkt von einem Hersteller außerhalb der EU stammt, sollen sie den Importeur oder den EU-Vertreter des Herstellers auf Schadensersatz in Anspruch nehmen können.

Darüber hinaus soll eine Richtlinie über KI-Haftung eingeführt werden. Diese soll erstmals spezifische Vorschriften für Schäden enthalten, die von KI verursacht werden. Der Vorschlag enthält vor allem zwei wesentliche Punkte. Zum einen wird eine Kausalitätsvermutung formuliert: Wenn ein Geschädigter nachweisen kann, dass eine Verpflichtung nicht eingehalten wurde, die für den Schaden relevant ist und dass ein ursächlicher Zusammenhang mit der Leistung der KI nach vernünftigem Ermessen wahrscheinlich ist, dann soll davon auszugehen sein, dass die Nichteinhaltung der Pflicht den Schaden verursacht hat. Die haftbare Person kann diese Vermutung jedoch widerlegen, indem sie nachweist, dass der Schaden eine andere Ursache hatte.

Zum anderen soll Geschädigten der Zugang zu Beweismitteln erleichtert werden. So sollen sie bei einem Schaden, der durch Hochrisiko-KI verursacht wurde, bei Gericht die Anordnung der Offenlegung von Informationen über das KI-System beantragen können. Die Geschädigten sollen so die Personen identifizieren, die haftbar gemacht werden könnten und herausfinden, was konkret zu dem eingetretenen Schaden geführt hat. Insgesamt soll die Richtlinie für alle Schäden gelten, die durch KI verursacht werden, unabhängig davon, ob es sich dabei um Hochrisiko-KI handelt oder um KI-Systeme ohne ein hohes Risiko.

Laut der EU-Kommission soll das Paket zur KI-Haftung die geplante KI-VO flankieren, indem es einen neuen Standard für Vertrauen und Wiedergutmachung rund um KI einführt. Damit soll Rechtssicherheit geschaffen werden, die Unternehmen dazu ermutigt, in künstliche Intelligenz zu investieren.

Die tschechische EU-Ratspräsidentschaft legt den dritten Kompromissvorschlag des Ministerrats vor, 23.09.2022

Die tschechische Ratspräsidentschaft hat den nunmehr dritten vollständigen Kompromissvorschlag zur KI-VO vonseiten des EU-Ministerrats vorgestellt. In diesem wurden Vorschläge und Kommentare der Mitgliedsstaaten umgesetzt. Dabei wurden im Vergleich zum ursprünglichen Entwurf der Kommission einige wichtige Passagen geändert. Die wohl wichtigste Änderung ist die der Definition von KI-Systemen. Die Definition war schon in einem früheren Ratsvorschlag angepasst worden und ist wesentlich enger als die ursprüngliche Definition der EU-Kommission. So entspricht die Definition des Rates mehr dem klassischen Verständnis von KI. Im Gegensatz dazu würde die Kommissionsdefinition sogar einfache rechengestüzte Anwendungen wie Taschenrechner umfassen. Der Ministerrat reagierte damit auf Kritik von vielen Seiten, die die ursprüngliche Definition als zu weit und konturlos ansah. Im nun vorliegenden dritten Kompromissvorschlag wurde die Voraussetzung gestrichen, dass die Arbeitsziele von KI „menschlich definiert“ sein sollen. Laut Ministerrat sei der Verweis für die Zwecke der Definition nicht wesentlich gewesen.

Ein weiterer wichtiger Aspekt des Ratsvorschlages ist die Regulierung von sog. „General Purpose AI“. Diese Klassifizierung für KI-Systeme ist im Entwurf der Kommission nicht vorgesehen. Erstmals war sie in dem Kompromissvorschlag enthalten, den der Ministerrat im November 2021 unter slowenischer Präsidentschaft vorgelegt hat. Es handelt sich dabei um KI-Systeme, die nicht für einzelne spezifische Anwendungsfelder entwickelt werden, sondern ein breites Spektrum an Nutzungsmöglichkeiten bieten. Dadurch können sie für eine Vielzahl von Aufgaben in unterschiedlichen Bereichen eingesetzt werden. Insbesondere können derartige allgemeine Algorithmen als Grundlage für spezialisierte KI-Systeme dienen. Beispielsweise kann eine einzige „General Purpose AI“ zur allgemeinen Sprachverarbeitung für eine Fülle von speziellen Anwendungen, wie etwa Chatbots, Systeme zur Generierung von Werbeanzeigen oder für Entscheidungsprozesse genutzt werden. In vielen Fällen wissen die Entwickler der allgemeinen KI selbst noch gar nicht, wofür diese später einmal eingesetzt werden wird. Sollen derartige Algorithmen als Hochrisiko-KI oder als Bestandteil einer solchen genutzt werden, sind nach dem nun vorliegenden Ratsvorschlag auch die meisten der entsprechenden Verpflichtungen an „Anbieter“ von KI-Systemen damit verbunden. Davon ausgenommen sein sollen jedoch kleine und mittlere Unternehmen, sofern diese nicht Partner von größeren Unternehmen sind oder mit solchen verbunden sind. Welche spezifischen Anforderungen an die General-Purpose-KI-Systeme selbst gestellt werden sollen, soll nach dem Ratsvorschlag durch einen separaten Implementierungsakt durch die Kommission innerhalb von eineinhalb Jahren nach In-Kraft-Treten der KI-VO festgelegt werden.

Weitere Bereiche, in denen der Ministerrat, teilweise eher marginale, Änderungen vorgeschlagen hat, sind die Transparenzverpflichtungen, innovationsfördernde Maßnahmen, Aufsicht und Sanktionen bei Verstößen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Die Zukunft der Gesundheitsdatennutzung

Die Zukunft der Gesundheitsdatennutzung

2024 beginnt die Zukunft der Gesundheitsdatennutzung. Zwei deutsche Gesetze und eine geplante EU-Verordnung sollen die Nutzung sensibler Daten erheblich erleichtern: das Gesetz zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz), das Gesundheitsdatennutzungsgesetz (GDNG) und die geplante Verordnung über den europäischen Raum für Gesundheitsdaten (EHDS-Verordnung). In diesem Kontext bieten wir maßgeschneiderte Beratungs- und Implementierungsdienstleistungen an, um Ihr Unternehmen oder Ihre Forschungseinrichtungen dabei zu unterstützen, von den neuen Regelungen optimal zu profitieren. Unser Ziel ist es, Ihnen nicht nur bei der Einhaltung der rechtlichen Anforderungen zur Seite zu stehen, sondern auch dabei, die Chancen, die sich durch die Digitalisierung des Gesundheitswesens ergeben, voll auszuschöpfen. Dieser Beitrag wirft ein Schlaglicht auf die neuen Regelungen und bietet einen ersten Überblick über die wichtigsten Punkte.

Der aktuelle Stand digitaler Gesundheitsgesetze und -verordnungen

Digital-Gesetz, GDNG und EHDS-VO sind bereits weit gediehen: Im Dezember 2023 hat der Deutsche Bundestag das Digital-Gesetz und das GDNG beschlossen, Anfang Februar 2024 hat der Bundesrat beide Gesetze bewilligt. Sie treten – mit wenigen Ausnahmen – am Tag nach ihrer Verkündung in Kraft. Das Digital-Gesetz ist dann ab dem 15. Januar 2025, das GDNG ab dem 31. März 2024 vollständig anwendbar. Die EHDS-Verordnung befindet sich demgegenüber noch im Entwurfsstadium. Bereits im Mai 2022 hatte die EU-Kommission vorgeschlagen, einen europäischen Raum für Gesundheitsdaten zu schaffen, und einen entsprechenden Entwurf veröffentlicht. Im Dezember 2023 haben sich Ministerrat und das EU-Parlament dann auf ihre Positionen festgelegt. Seitdem wird die Verordnung ausgehandelt. Ziel dieser sogenannten Trilog-Verhandlungen ist es, den EHDS noch in dieser Legislaturperiode – also vor der Europawahl im Juni 2024 – zu verwirklichen.

Herausforderungen und Ziele bei der Gesundheitsdatennutzung in Deutschland und Europa

Alle drei Vorhaben gehen vor einer ähnlichen Problembeschreibung aus. Zwar erheben viele Stellen in Deutschland und Europa sensible Daten zur Erbringung von Versorgungsleistungen. Allerdings werden diese Daten außerhalb des konkreten Versorgungskontexts kaum einmal genutzt. Fehlende Standards, uneinheitliche Gesetze und die damit unweigerlich verbundene Rechtsunsicherheit behindern eine effektive Primärnutzung und hemmen die Sekundärnutzung – insbesondere die Forschung. Alle drei Vorhaben dienen daher einem gemeinsamen Ziel, nämlich der Digitalisierung des Gesundheitswesens. Das Digital-Gesetz soll den Behandlungsalltag für Behandler:innen und Patient:innen in Deutschland insbesondere durch die flächendeckende Einführung der elektronischen Patientenakte (ePA) vereinfachen. Das GDNG sieht beispielsweise vor, dass ePA-Daten – in anonymisierter Form – zu bestimmten Zwecken – insbesondere Forschungszwecken – verwendet werden können. Und der EHDS soll Patient:innen und Datennutzenden ermöglichen, grenzüberschreitend auf Gesundheitsdaten zuzugreifen. Im Ergebnis geht es also vor allem darum, Gesundheitsdaten besser nutzbar zu machen – und die dafür erforderliche Infrastruktur aufzubauen.

Welche Neuerungen ergeben sich aus GDNG und Co. für Unternehmen und öffentliche Stellen?

Eine wesentliche Neuerung zur Verbesserung der Datennutzung ist die geplante Einrichtung einer Datennutzungs- und Koordinierungsstelle. Sie soll einen Metadaten-Katalog über die im deutschen Gesundheitswesen vorhandenen Daten führen und als zentrale Anlauf- und Beratungsstelle für (potenzielle) Datennutzer:innen dienen. Das GDNG sieht beispielsweise vor, dass Unternehmen oder Forschungseinrichtungen beim Forschungsdatenzentrum (FDZ) einen Antrag auf Freigabe der ePA-Daten stellen können. Verfolgt die Datenverarbeitung einen privilegierten Zweck – über die Frage der Gemeinwohlorientierung wird man streiten –, so gibt das FDZ die Daten frei; das Unternehmen oder die Einrichtung kann die Daten nutzen.

Der deutsche Gesetzgeber unternimmt damit zugleich erste Schritte zur Vorbereitung auf den aktuell noch im Aufbau befindlichen EHDS. Auch die EHDS-Verordnung zielt auf bessere Datenverfügbarkeit – auch über Ländergrenzen hinweg. Die Verordnung ist jedoch deutlich ambitionierter als das GDNG und sieht einen weitgehenden Zugang zu (anonymisierten) Datenbeständen vor. Im Gegenzug  unterwirft sie insbesondere die Inhaber:innen von Gesundheitsdaten umfangreichen Pflichten. Sie müssen angeben, welche Daten sie verarbeiten und diese Daten im Ernstfall aufbereiten, anonymisieren und in einer sicheren Verarbeitungsumgebung bereitstellen.

Detaillierte Informationen zu den sonstigen Inhalten des in Abstimmung befindlichen Verordnungsentwurfs – auch den zu den institutionellen Rahmenbedingungen – finden Sie in unserem Whitepaper – Europäischer Gesundheitsdatenraum (EHDS)

Mit unserer Hilfe zur rechtssicheren Nutzung von Gesundheitsdaten 

Die anstehenden Änderungen bieten große Chancen für die Gesundheitsdatennutzung. Unternehmen und Forschungseinrichtungen werden in Zukunft neue Datenpools eröffnet, um innovative Dienste und Produkte zu entwickeln oder die medizinische Forschung voranzubringen. Sie müssen die Chancen, die sich jetzt bieten, vor allem erkennen. Dateninhaber:innen stellen die neuen Regelungen dagegen vor beträchtliche Herausforderung. Sie müssen eine Dateninventur durchführen, eine Data Governance erarbeiten und Prozesse definieren, um Gesundheitsdaten in absehbarer Zeit rechtssicher zur Verfügung stellen zu können. Eine besondere Herausforderung wird dabei die Erarbeitung technischer und organisatorischer Maßnahmen und die Umsetzung von Anonymisierungspflichten sein. Durch die Nutzung von Synergie-Effekten und der Erfahrungen aus der Umsetzung datenschutzrechtlicher Anforderungen kann der zu erwartender Aufwand jedoch erheblich reduziert werden.

Unser interdisziplinäres Team von erfahrenen Anwält:innen, Wirtschaftsjurist:innen und Informatiker:innen greift Ihrem Unternehmen oder Ihrer Behörde gerne tatkräftig unter die Arme, um Ihr Unternehmen oder Ihre Forschungsreinrichtung fit für die neuen Digitalgesetze zu machen. Ob als Datenhalter:in oder Datennutzer:in – gemeinsam mit Ihnen finden wir Wege, die Gesundheitsdatennutzung optimal auszugestalten.

Sie benötigen tiefergehende Beratung zur Gesundheitsdatennutzung? Fragen Sie noch heute an!

Weitere Informationen darüber, wie wir mit Ihren personenbezogenen Daten umgehen und welche Rechte Sie haben, finden Sie in unserer Datenschutzerklärung.

EuGH und Datenschutz

Auf einen Blick: Relevante Entscheidungen des EuGH zum Datenschutzrecht

Um angemessen auf aktuelle Entwicklungen im Datenschutzrecht reagieren zu können, ist es essenziell, die relevante Rechtsprechung des Europäischen Gerichtshofs (EuGH) im Auge zu behalten. Diese bietet wichtige Einblicke und Orientierung für den Umgang mit Datenschutzfragen und entwickelt sich kontinuierlich weiter. Gerade bei der Auslegung von autonomen Begriffen nach der Datenschutz-Grundverordnung (DSGVO) betont der EuGH auch stets, dass diese in allen Mitgliedstaaten einheitlich entsprechend den Vorgaben des EuGH ausgelegt werden müssen. Der EuGH hat insoweit über die letzten Jahre bereits eine Reihe wegweisender Urteile gefällt, die die Auslegung und Anwendung der DSGVO in den Mitgliedsstaaten maßgeblich beeinflusst haben.

Im Folgenden werden die aktuell bedeutendsten aktuellen Entscheidungen des EuGH im Bereich des Datenschutzrechts vorgestellt, wobei der neueste Beitrag stets oben angeführt wird.

Diese Entscheidungen betreffen verschiedenste Aspekte des Datenschutzes, wie beispielsweise die Übermittlung personenbezogener Daten in Drittländer, die Rechte betroffener Personen und die Verantwortlichkeiten von Unternehmen im Umgang mit personenbezogenen Daten. Es ist für Unternehmen und Organisationen ratsam, über die aktuellen Entwicklungen in der EuGH-Rechtsprechung informiert zu sein, um Prozesse und Praktiken entsprechend anzupassen und mögliche rechtliche Risiken minimieren zu können.

Sie haben Fragen zu aktuellen EuGH-Entscheidungen und benötigen datenschutzrechtliche Unterstützung? Zögern Sie nicht, uns zu kontaktieren.

Aktuelle Entscheidungen des EuGH zum Datenschutzrecht im Überblick

EuGH-Urteil vom 09. November 2023 – C-319/22: Wann ist ein Datum personenbezogen? (Scania)

Die Entscheidung des EuGH betrifft vordergründig den Umfang von Bereitstellungspflichten bei der Datenüberlassung durch die Automobilindustrie. In diesem Zusammenhang setzt sich das Urteil am Rande mit dem Begriff des relativen Personenbezugs auseinander – und betrifft somit auch eine zentrale datenschutzrechtliche Fragestellung. Diese ist deshalb so praxisrelevant, da in verschiedenen Konstellationen ein Datum für eine Organisation A ein personenbezogenes Datum darstellen kann, für eine Organisation B hingegen nicht.

Der EuGH urteilte auf Vorlage des LG Köln, dass Fahrzeughersteller auch unabhängigen Wirtschaftsakteuren Fahrzeug-Identifizierungsnummern (FIN) zur Verfügung stellen müssen. Das Unionsrecht verpflichtet Fahrzeughersteller unabhängigen Wirtschaftakteuren, also Akteure, die selbst keine Reparaturbetriebe sind (etwa Ersatzteilhändler), Zugang zu Reparatur- und Wartungsinformationen zu verschaffen. Das Landgericht wollte vom EuGH wissen, ob es sich bei der Übermittlung der FIN um eine rechtliche Pflicht im Sinne von Art. 6 Abs. 1 lit. c DSGVO handelt. Implizit wurde insoweit auch die Frage aufgeworfen, ob die FIN ein personenbezogenes Datum im Sinne des Art. 4 Nr. 1 DSGVO darstellt, d.h. ob sie sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Im vorliegenden Fall war dabei in erster Linie entscheidend, nach welchen Kriterien die Identifizierbarkeit zu beurteilen ist. Grundsätzlich ist eine natürliche Person dann identifizierbar, wenn sie direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung, identifiziert werden kann. Bei der FIN handelt es sich um einen alphanumerischen Code, den der Hersteller einem Fahrzeug zu dessen einwandfreier Identifikation zuweist. Da der Code damit zunächst nicht die Zuordnung zu einer natürlichen Person ermöglicht, ist ein möglicher Personenbezug augenscheinlich verneinbar. Die FIN ist jedoch auch Bestandteil der Zulassungsbescheinigung eines Fahrzeugs, die weitere – personenbezogene – Daten zu dem jeweiligen Fahrzeughalter enthält. Folglich kann unter Zuhilfenahme ergänzender Informationen durchaus eine natürliche Person identifiziert werden. Ob die FIN ein personenbezogenes Datum darstellt, hängt also davon ab, ob im konkreten Fall zusätzliche Informationen vorliegen, die einen solchen Rückschluss ermöglichen. Dies kann von Situation zu Situation unterschiedlich bewertet werden.

In diesem Sinne erfolgt auch die Einordnung durch den EuGH: Personenbezogene Daten liegen demnach nur dann vor, sofern derjenige, der Zugang zu den fraglichen Informationen hat, über Mittel verfügen könnte, die es ihm ermöglichen die Informationen einer natürlichen Person zuzuordnen.

Daten wie die FIN stellen zunächst keine personenbezogenen Daten dar. Sie können jedoch dann als solche betrachtet werden, wenn die diejenigen, gegenüber denen sie offengelegt werden, vernünftigerweise über die Mittel verfügen, die Daten einer natürlichen Person zuzuordnen. Dafür müssen auch Beziehungen des Verantwortlichen zu einem Dritten mit weiteren Kenntnissen berücksichtigt werden, die schlussendlich zu einem Personenbezug führen können. Der EuGH lässt insofern offen, ob es sich bei diesem Dritten um eine natürliche oder juristische Person handeln kann. Denkbar sind somit auch Konstellationen, in denen die relative Anonymität eines Datums auch innerhalb einer Unternehmensgruppe bejaht werden könnte. Dies betrifft beispielsweise Fälle, in denen nur einzelne natürliche oder juristische Personen über die zur Identifizierung notwendigen Mittel verfügen.

Die Entscheidung betrifft schließlich auch die datenschutzrechtliche Rechtmäßigkeit der Bereitstellung der FIN. Sofern diese im konkreten Fall ein personenbezogenes Datum darstellt, handelt es bei den unionsrechtlichen Bestimmungen zur Übermittlung der FIN um eine rechtliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO. Die Bereitstellung der FIN gegenüber unabhängigen Wirtschaftsakteuren ist danach datenschutzrechtlich zulässig.

Wesentliche Schlussfolgerungen aus der Entscheidung: Das Urteil unterstreicht die Notwendigkeit, nicht nur den Inhalt, sondern auch die möglichen Mittel zur Identifizierung von Daten zu berücksichtigen. Bei der Prüfung sind nicht alle theoretisch denkbaren Mittel, sondern nur die bei vernünftiger Betrachtung auch wirklich verfügbaren Mittel einzubeziehen (siehe Erwägungsgrund 26 DSGVO). Dies kann zu dem Ergebnis führen, dass Daten für eine Organisation personenbezogene Daten darstellen, für eine andere Organisation jedoch gerade nicht. Die Auswirkungen des Urteils reichen somit weit über den Automobilbranche hinaus und berühren grundlegende Fragen zur Bewertung des Personenbezugs von Daten.

EuGH-Urteil vom 07. Dezember 2023 – C-634/21: Datenschutzrechtliche Zulässigkeit der Berechnung von Kredit-Scores (Schufa)

Am 7. Dezember 2023 verkündete der EuGH seine lang erwartete Entscheidung im SCHUFA-Verfahren. Das Gericht hatte sich unter anderem zur Rechtmäßigkeit des durch die deutsche Wirtschaftsauskunftei betriebenen Scorings im Hinblick auf Art. 22 DSGVO beschäftigt. Hintergrund waren mehrere Rechtssachen aus Deutschland, die dem EuGH im Vorabentscheidungsverfahren durch das Verwaltungsgericht Wiesbaden vorgelegt wurden. Im Ergebnis entschied der EuGH, dass das von der SCHUFA betriebene Scoring bereits eine Entscheidung i.S.d. Art. 22 Abs. 1 DSGVO darstelle und zudem wohl regelmäßig unzulässig sei; die ebenfalls bislang betriebene Speicherung über die Erteilung einer Restschuldbefreiung in seiner aktuellen Länge von 3 Jahren stünde zudem vollständig im Widerspruch zur DSGVO.

Ausgangsverfahren

Im ersten dem EuGH vorgelegten Fall (Rechtssache C-634/21) wurde dem Kläger die Gewährung eines Kredits verwehrt, anschließend beantragte er bei der SCHUFA die Löschung eines Eintrags sowie Zugang zu den ihn betreffenden Daten. Nachdem die SCHUFA dem Betroffenen lediglich seinen Score-Wert sowie allgemeine Informationen zu dessen Berechnung mitteilte, erhob dieser Beschwerde beim zuständigen Hessischen Beauftragten für Datenschutz und Informationsfreiheit: dieser wurde allerdings nicht tätig, da die Verfahrensweisen der SCHUFA den Voraussetzungen des § 31 BDSG, der die Zulässigkeit von Scoring unter bestimmten Voraussetzungen bestimmt, entsprächen. Der Betroffene klagte vor dem VG, dieses legte den Fall dem EuGH vor und stellte hier unter anderem die Frage, ob es sich bei der Vorgehensweise der SCHUFA um eine (unzulässige) Verarbeitung im Sinne des Art. 22 DSGVO handele.

Der zweite dem EuGH vorgelegte Fall (Rechtssachen C-26/22 und C-64/22) des Verfahrens befasste sich mit der Speicherung von Informationen über die Restschuldbefreiung nach einer Insolvenz: Insolvenzgerichte machen dies grundsätzlich öffentlich, entsprechende Informationen werden allerdings nach Ablauf von 6 Monaten gelöscht. Die SCHUFA allerdings speicherte entsprechende Daten, den Verhaltensregeln der deutschen Wirtschaftsauskunfteien folgend, für 3 Jahre.

Bereits der Generalanwalt Priit Pikamäe hatte sich in seinen Schlussanträgen gegen das Scoring der SCHUFA ausgesprochen, die Erstellung von Score-Werten für die Kreditwürdigkeit verstoße gegen die DSGVO und stelle bereits als solche eine nach Art. 22 DSGVO verbotene automatisierte Entscheidung dar. Die SCHUFA hatte bislang zugunsten des eigenen Geschäftsmodells argumentiert, die in Frage stehenden Entscheidungen würden nur von der jeweiligen Bank und nicht von der SCHUFA selbst getroffen werden. Der Generalanwalt legte zudem dar, dass die SCHUFA Daten aus Registern der Insolvenzgerichte nicht länger speichern als die Verzeichnisse selbst speichern dürfe.

Urteil

Der EuGH traf im Kern folgende Aussagen und schloss sich damit weitestgehend den Schlussanträgen des Generalanwalts an:

  • Rechtssache C-634/21
    o Rn. 46: Bereits die Zuschreibung einer Bonität („das Ergebnis der Berechnung der Fähigkeit einer Person zur Erfüllung künftiger Zahlungsverpflichtungen in Form eines Wahrscheinlichkeitswerts“) könne vom Begriff der Entscheidung nach Art. 22 DSGVO umfasst werden
    o Rn. 48 ff.: Das von der SCHUFA betriebene Scoring sei im Ergebnis als eine von Art. 22 DSGVO grundsätzlich verbotene „automatisierte Entscheidung im Einzelfall“ anzusehen, sofern das Scoring wie in der vorgelegten Rechtssache bei der Entscheidung z.B. über die Gewährung eines Kredits eine „maßgebliche Rolle“ spiele
    o Rn. 56: Wirtschaftsauskunfteien treffen hinsichtlich der Arbeitsweise ihres Scoring-Algorithmus Informationspflichten nach Art. 14 Abs. 2 lit. e und f DSGVO, sprich entsprechende Informationen müssen proaktiv bereitgestellt werden
    o Rn. 64: Das von der SCHUFA betriebene Scoring sei nach Art. 22 Abs. 1 DSGVO grundsätzlich verboten, wenn nicht eine der in Art. 22 Abs. 2 DSGVO genannten Ausnahmen anwendbar und die Anforderungen des Art. 22 Abs. 3, 4 DSGVO erfüllt seien
    o Rn. 71, 72: Nur § 31 BDSG könne eine solche Rechtsgrundlage i.S.d. Art. 22 Abs. 21 lit. b DSGVO und damit eine Ausnahme von Art. 22 Abs. 1 DSGVO darstellen; die entsprechende Qualifizierung sei durch das VG Wiesbaden zu prüfen, da das VG Wiesbaden „bezüglich der Vereinbarkeit des § 31 BDAG mit dem Unionsrecht […] durchgreifende Bedenken“ hege.
  • Rechtssachen C-23/22 und C-64/22
    o Rn. 91: Die Frage der Rechtmäßigkeit der zeitlich parallelen „Vorratsdatenspeicherung“ im Register und bei der SCHUFA sei durch das vorlegende Gericht zu beurteilen
    o Rn. 99: Private Auskunfteien dürfen nach der Entscheidung des EuGH Daten über eine Restschuldbefreiung allerdings nicht länger speichern als die öffentlichen Insolvenzregister, aus denen sich diese Informationen speisen; eine entsprechende Speicherung könne nicht auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden
    o Rn. 100: Auch die parallele Speicherung greife allerdings ebenso wie die Speicherung über 3 Jahre in Art. 7 und 8 der Charta der Grundrechte der Europäischen Union ein
    o Rn. 106 ff.: Art. 17 Abs. 1 lit. d DSGVO sei dahin auszulegen, dass die SCHUFA die unrechtmäßig verarbeiteten Daten unverzüglich löschen müsse; dies gelte entsprechend auch bei einem Widerspruch gegen eine nicht schutzwürdigen Gründen i.S.d. Art. 21 Abs. 1 S. 2 DSGVO unterfallende Verarbeitung

Fazit

Die Entscheidung in der Rechtssache C-634/21 schiebt der bisherigen Scoring-Praxis der SCHUFA unter Heranziehung des Art. 22 DSGVO vorläufig einen Riegel vor, für eine Großzahl der Kunden der SCHUFA wird der durch sie bereitgestellte Scoring-Wert wohl eine „maßgebliche Rolle“ (Rn. 50) bei der Entscheidung über einen Vertragsschluss mit betroffenen Personen sein.
Fraglich ist zudem, ob sich die in den Rechtssachen C-23/22 und C-64/22 getroffene Entscheidung tatsächlich nur auf Daten aus dem öffentlichen Insolvenzregister beschränkt. Private Wirtschaftsauskunfteien werden wohl prüfen müssen, ob andere durch sie gespeicherte Negativdaten wie verspätet gezahlte Rechnungen tatsächlich so lange aufbewahrt werden dürfen, wie dies bislang Praxis ist.

EuGH-Urteil vom 07. Dezember 2023 – C-340/21: Sorgen und Befürchtungen als immaterieller Schaden nach Art. 82 DSGVO

Am 14.12.2023 verkündete der EuGH sein mit Spannung erwartetes Urteil in der Rechtssache Natsionalna agentsia za prihodite (NAP). Das Urteil befasst sich mit der Beurteilung von Schadensersatzansprüchen bei Cyberattacken und ist für die datenschutzrechtliche Praxis dadurch hochrelevant. Schwerpunkte sind der Beurteilungsmaßstab für die Überprüfung geeigneter technisch-organisatorischer Maßnahmen (TOM), die Beweislastverteilung im Falle eines Cyberangriffs und die Reichweite des immateriellen Schadensbegriffs.

Ausgangsverfahren

Die NAP ist die bulgarische nationale Agentur für Einnahmen und als solche dem bulgarischen Finanzminister unterstellt. Am 15.07.2019 wurde öffentlich, dass die NAP Ziel eines Cyberangriffs war, infolgedessen personenbezogene Daten von Millionen Menschen im Internet veröffentlicht wurden. Viele der Betroffenen forderten Schadensersatz nach Art. 82 DSGVO mit Verweis auf die Befürchtung eines möglichen Missbrauchs ihrer personenbezogenen Daten. Im Ausgangsverfahren lehnte das Verwaltungsgericht der Stadt Sofia den Anspruch einer Betroffenen gegen die NAP ab. Der unbefugte Zugriff auf die personenbezogenen Daten sei zum einen auf einen von Dritten begangenen Hackerangriff zurückzuführen. Die Klägerin habe zudem nicht nachgewiesen, dass die NAP es unterlassen habe, Sicherheitsmaßnahmen zu ergreifen. Darüber hinaus sei ihr durch die genannten Befürchtungen noch kein ersatzfähiger immaterieller Schaden entstanden. Die Klägerin legte daraufhin Kassationsbeschwerde beim Obersten Verwaltungsgericht (Bulgarien) ein. Da es sich bei den aufgeworfenen datenschutzrechtlichen Aspekten um unionsrechtliche Auslegungsfragen handelt, legte das Oberste Verwaltungsgericht diese dem EuGH zur Klärung vor.

Ist die unbefugte Offenlegung von Daten ein Indiz für unzureichende Schutzmaßnahmen des Verantwortlichen?

Im Rahmen der ersten Vorlagefrage musste sich der EuGH mit der Frage beschäftigen, ob bereits die unbefugte Offenlegung bzw. der unbefugte Zugang durch Dritte ausreicht, um geeignete TOM des Verantwortlichen zu verneinen. Dies hat der EuGH verneint. Die DSGVO verlange nicht, dass durch TOM das Risiko einer Verletzung des Schutzes personenbezogener Daten komplett beseitigt werde. Die Art. 24 und 32 DSGVO legen vielmehr einen Rahmen fest, anhand dessen die Geeignetheit von TOM im Einzelfall zu messen ist. Die in Art. 24 Abs. 1 DSGVO genannten Kriterien (beispielsweise Art und Umfang der Verarbeitung, Eintrittswahrscheinlichkeit und Schwere der Risiken) setzen gerade eine individuelle Beurteilung der Geeignetheit solcher Maßnahmen voraus. Auch Art. 32 DSGVO garantiert keinen absoluten Schutz personenbezogener Daten, sondern fordert ein angesichts der spezifischen Verarbeitungsrisiken, dem Stand der Technik und der Implementierungskosten angemessenes Schutzniveau. Ob diese Maßnahmen schließlich dem gesetzlich geforderten Rahmen entsprechen, ist stets Gegenstand einer konkreten Bewertung.

Wer trägt die Beweislast für die Geeignetheit der TOM?

Die Frage nach der Beweislast bei Ansprüchen nach Art. 82 DSGVO war auch hierzulande umstritten. Nach dem Im deutschen Zivilprozessrecht geltenden Beibringungsgrundsatz, muss jede Prozesspartei die für sie günstigen Tatsachen darlegen und beweisen. Entsprechend wurde vertreten, dass die betroffene Person die Ungeeignetheit der TOM beweisen müsse. Diese Ansicht stand jedoch in einem Spannungsverhältnis zu der Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO) wonach dieser die Einhaltung zahlreicher Pflichten, wie etwa geeignete TOM, nachweisen können muss. Zudem haben betroffene Personen üblicherweise keinen Einblick in die unternehmensinterne Verarbeitung und sind insofern nicht in der Lage, Aussagen zur (Un)Geeignetheit der TOM zu tätigen. Der EuGH hat nun diese Beweislastverteilung zugunsten der betroffenen Person bestätigt. Im Rahmen einer auf Art. 82 DSGVO gestützten Klage muss der Verantwortliche gegebenenfalls beweisen, dass seine TOM geeignet im Sinne des Art. 32 DSGVO waren. Nach wie vor muss die betroffene Person zunächst einen DSGVO-Verstoß belegen. Im Falle eines Cyber-Angriffs dürfte künftig aber eine Vermutung bestehen, dass unzureichende TOM den Angriff ermöglicht haben und es sodann dem Verantwortlichen obliegen, diese Vermutung zu widerlegen.

Ist der Verantwortliche von der Haftung befreit, weil der Schaden durch „Dritte“ entstanden ist?

Der EuGH stellt dahingehend klar, dass der Verantwortliche sich nicht grundsätzlich durch den Verweis auf das rechtswidrige Dazwischentreten Dritter von der Haftung befreien kann. Art. 82 Abs. 3 DSGVO verlange dem Verantwortlichen den Nachweis ab, dass dieser in keinerlei Hinsicht den Umstand, durch den der betreffende Schaden eingetreten ist, zu verantworten hat. Der Verantwortliche muss somit beweisen, dass zwischen seiner (etwaigen) Pflichtverletzung und dem entstandenen Schaden kein Kausalzusammenhang besteht. Damit ergibt sich folgender Maßstab: Ist der Schaden der betroffenen Person die Folge eines unbefugten Zugriffs durch Dritte, muss der Verantwortliche nachweisen, dass ihm dies nicht zugerechnet werden kann. Dies kann durch den Nachweis der Einhaltung geeigneter TOM erfolgen, muss sich jedoch nicht zwangsläufig darin erschöpfen. Die Nachweispflicht bezieht sich vielmehr auf alle Umstände, die zu dem rechtswidrigen Zugriff durch die Dritten geführt haben.

Kann bereits die Sorge vor einem Missbrauch der personenbezogenen Daten einen immateriellen Schaden darstellen?

Mit Fragen des immateriellen Schadensersatzes nach Art. 82 DSGVOI hatte der EuGH sich bereits im Urteil vom 04.05.2023, Az. C‑300/21, „Österreichische Post“ beschäftigt. In einer folgerichtigen Fortsetzung seiner Rechtsprechung hat der EuGH nun entschieden, dass Sorgen und Befürchtungen für sich genommen bereits einen immateriellen Schaden im Sinne des Art. 82 DSGVO begründen können. Die Ansicht, dass eine spürbare, also über reine Besorgnis hinausgehende, Beeinträchtigung des Betroffenen erforderlich sei, lehnt der EuGH ab. Aus Sicht des EuGH bieten der Wortlaut und die Ziele der DSGVO jedoch keine Anhaltspunkte, die eine solche grundsätzliche Beschränkung rechtfertigen würden. Art. 82 Abs. 1 DSGVO schließe nicht aus, dass bereits die Befürchtung einer missbräuchlichen Verwendung als immaterieller Schaden zu qualifizieren sei. Dies entspreche auch dem gesetzgeberisch gewollten weiten Schadensbegriff. Erwägungsgrund 85 der DSGVO ergebe zudem, dass bereits der bloße Kontrollverlust über die eigenen Daten einen Schaden darstellen könne. Schließlich sei eine solche Eingrenzung auch nicht mit dem durch die DSGVO verfolgten Ziel eines unionsweit gewährleisteten hohen Datenschutzniveaus vereinbar. Der EuGH weist jedoch darauf hin, dass die betroffene Person den Schaden im Hinblick auf die konkrete Situation begründet darlegen und beweisen muss. Ein pauschaler Verweis auf mögliche Sorgen genügt somit auch zukünftig nicht für die Begründung eines Anspruchs nach Art. 82 DSGVO.

Ist ein gerichtliches Sachverständigengutachten generell notwendig zur Bewertung der Geeignetheit von TOM?

Der EuGH verweist zunächst darauf, dass die Modalitäten der Rechtsbehelfe durch die Mitgliedstaaten festgelegt werden, wobei die unionsrechtlichen Äquivalenz- und Effektivitätsgrundsätze zu beachten seien. Mit Blick auf den Effektivitätsgrundsatz verneint der EuGH die generelle Notwendigkeit eines Sachverständigengutachtens. Die Wahrung der Betroffenenrechte, insbesondere das Recht auf einen wirksamen gerichtlichen Rechtsbehelf nach Art. 79 Abs. 1 DSGVO, erfordert, dass ein unparteiisches Gericht eine objektive Beurteilung der Geeignetheit der Maßnahmen vornimmt. Ein Sachverständigengutachten kann dafür in Anbetracht weiterer Beweise überflüssig sein. Die generelle Anerkennung eines solchen Gutachten als „ausreichend“ könne außerdem dazu führen, dass die Geeignetheit von TOM ausschließlich daraus abgeleitet würde. Damit fände keine eigene gerichtliche Prüfung der TOM statt. Ein gerichtliches Sachverständigengutachten ist deshalb kein generell notwendiges oder ausreichendes Beweismittel, um die Geeignetheit von TOM zu beurteilen.

Fazit

Nach wie vor ist der unbefugte Zugriff durch Dritte per se noch keine Pflichtverletzung des Verantwortlichen. Eine derart enge Auslegung der Art. 24, 32 DSGVO war jedoch auch im Vorfeld nicht erwartet worden. Relevant sind dagegen die Ausführungen des EuGH zur Beweislastverteilung. Verantwortliche Stellen sind künftig prozessual in der Pflicht, gegebenenfalls die Einhaltung ihrer Pflichten aus Art. 32 DSGVO zu beweisen. Das Einhalten und die beweissichere Dokumentation der Grundsätze des DSGVO (Art. 5 DSGVO), insbesondere hinsichtlich geeigneter TOM, wird somit erneut deutlich wichtiger, da künftig auch der Ausgang von Schadensersatzklagen davon abhängen kann. Betreffend die Reichweite des immateriellen Schadens führt der EuGH seinen weiten Schadensbegriff erwartungsgemäß fort. Ob Sorgen und Befürchtungen im Einzelfall tatsächlich einen Schaden darstellen, bleibt jedoch weiter Gegenstand gerichtlicher Überprüfung und obliegt der Beweislast der betroffenen Person.

EuGH-Urteil vom 05. Dezember 2023 – C-807/21: Verhängung von Geldbußen gegen Unternehmen (Deutsche Wohnen)

Im Verfahren „Deutsche Wohnen“ hat der EuGH endlich Grundsatzfragen zur ordnungswidrigkeitenrechtlichen Haftung von Unternehmen bei Datenschutzverstößen geklärt. Die Luxemburger Richter haben sich größtenteils den Anträgen des Generalanwalts angeschlossen, so dass die Überraschung begrenzt bleibt.

Nach der Entscheidung können Datenschutzbehörden in Deutschland und anderen EU-Staaten in Zukunft wahrscheinlich einfacher Bußgelder gegen Unternehmen verhängen, die Datenschutzverstöße begangen haben. Die Feststellung eines Datenschutzverstoßes im Unternehmen genügt gemäß der Entscheidung des EuGH grundsätzlich für eine Bußgeldverhängung, ohne dass dies einer konkreten Person zugeschrieben werden muss. Dennoch muss die Datenschutzaufsichtsbehörde dem Unternehmen weiterhin ein Verschulden (Vorsatz oder Fahrlässigkeit) nachweisen. Es ist noch unklar, welche Anforderungen in Zukunft ausreichend sein werden, um diesen Nachweis zu erbringen, sowie weitere wichtige Detailfragen sind noch offen.
Der Hauptstreitpunkt des Verfahrens, ob Unternehmen sofortig für Datenschutzverletzungen haftbar gemacht werden sollten, wurde vom EuGH zugunsten einer Verbandshaftung des betreffenden Unternehmens entschieden. In einem Nebensatz stellt der EuGH fest, dass für Geldbußen gemäß der DSGVO der kartellrechtliche Unternehmensbegriff (Art. 101, 102 AEUV) gilt. Genau genommen bedeutet dies, dass der Datenschutzverstoß nicht unbedingt von Führungskräften oder Geschäftsführern des Unternehmens begangen werden muss, wie es im deutschen Ordnungswidrigkeitenrecht vorgesehen ist (§ 30 OWiG) oder diesem als Organisationsverschulden anzulasten ist (§ 130 OWiG). Für die Bestrafung einer juristischen Person genügt es als Grundlage, dass der Verstoß von einer Person begangen wurde, die für das Unternehmen tätig war und diesem Vorsatz oder Fahrlässigkeit vorzuwerfen ist. Dies ergibt sich aus den umfangreichen Pflichten des Verantwortlichen nach der DSGVO. Er muss nicht nur angemessene und wirksame Schutzmaßnahmen für personenbezogene Daten ergreifen, sondern auch deren Rechtmäßigkeit sowie sämtliche Verarbeitungstätigkeiten nachweisen können.
Für die Bearbeitung von Daten durch einen von einem Unternehmen beauftragten Verarbeiter kann eine Geldstrafe gegen das verantwortliche Unternehmen verhängt werden, wenn ihm die Verantwortung dafür zuzuschreiben ist. Der Europäische Gerichtshof lehnt damit das sog. Rechtsträgerprinzip klar ab. Die Verhängung von Bußgeldern gemäß der DSGVO darf auch nicht davon abhängig gemacht werden, dass der Verstoß einer identifizierten natürlichen Person nachgewiesen werden muss. Die DSGVO enthalte keine Bestimmungen, wonach ein festgestellter Verstoß einer natürlichen Person zurechenbar sein müsse. Es bedarf nach Ansicht des EuGH nicht einmal der Kenntnis durch eine Leitungsperson.

Dies wirft die Frage auf, ob Unternehmen für jeden eindeutig festgestellten Verstoß („strict liability“) haftbar gemacht werden müssen. Der Europäische Gerichtshof lehnt eine solche schuldhafte Haftung ab und bezieht dabei Art. 83 Abs. 2 und 3 der DSGVO sowie deren Schutzziele mit ein. Art. 83 macht die Schuld des Verantwortlichen oder der Auftragsverarbeiter zur Bedingung für die Verhängung von Bußgeldern. Die Notwendigkeit einer absichtlichen oder fahrlässigen Verletzung schafft auch einen Anreiz, um die DSGVO einzuhalten. Aufgrund der Kohärenz und eines einheitlichen Schutzniveaus in der gesamten Union lehnt der EuGH auch die Möglichkeit ab, von diesem Schuldprinzip abweichende Regelungen auf nationaler Ebene zu erlassen. Ein entsprechender Hinweis in § 42 Abs. 2 BDSG auf das Ordnungswidrigkeitenrecht ist daher wirkungslos.

Die praktischen Auswirkungen des Urteils sind: Der Verantwortliche muss die Rechtmäßigkeit der Datenverarbeitung – möglicherweise auch durch einen Auftragsverarbeiter – nachweisen sowie den Verstoß und das Verschulden gegenüber der Aufsichtsbehörde dokumentieren. Eine Geldstrafe kann unabhängig davon verhängt werden, wer den Verstoß begangen hat, solange die Person im Namen des Unternehmens gehandelt hat.

Diese Denkweise ist im deutschen Recht im Allgemeinen nicht üblich, da Unternehmen nicht selbst handeln, sondern durch ihre Führungskräfte handeln können. Es bleibt abzuwarten, was die deutschen Datenschutzaufsichtsbehörden in Zukunft konkret beweisen müssen, um den Beweis der Schuld zweifelsfrei zu erbringen. Im ursprünglichen Fall, der zur Entscheidung des EuGH geführt hat, muss das KG Berlin nun darüber entscheiden, ob der Staatsanwaltschaft Berlin der Nachweis der Schuld der Deutsche Wohne SE gelingt. Es ist wahrscheinlich, dass die Deutsche Wohnen SE im Falle einer schuldhaften Verletzung sprechen würde, dass sie trotz entsprechender Anweisungen durch die zuständige Datenschutzbehörde und ausreichender Zeit keine angemessene Umsetzung von Löschanforderungen gemäß DSGVO durchgeführt hat.

Ob dies ausreicht, um die Deutsche Wohnen SE zu verurteilen, bleibt abzuwarten. Die Entscheidung des EuGH wirft grundsätzliche verfassungs- und europarechtliche Folgefragen auf. Art. 49 der Charta der Grundrechte der Europäischen Union besagt beispielsweise, dass niemand für eine Handlung oder Unterlassung verurteilt werden darf, die zum Zeitpunkt ihrer Begehung nach innerstaatlichem Recht nicht strafbar war. Es ist unklar, ob und wie weit dieser Rechtsgedanke auch auf den aktuellen Fall und das Ordnungswidrigkeitenrecht angewendet werden kann, weil das Verhalten der Deutschen Wohnen SE nach § 30 OWiG nicht zurechenbar ist. Laut des EuGH soll es jedoch nicht darauf ankommen. Es bleibt abzuwarten, ob das Datenschutzrecht nach der Entscheidung sich dem Kartellrecht weiter annähern wird.

EuGH-Urteil vom 4. Juli 2023 – C-252/21: Prüfung von Datenschutzvorschriften bei Wettbewerbsuntersuchungen (Meta u. Facebook)

Der EuGH entschied in einem durch das OLG Düsseldorf angestrebten Vorabentscheidungsverfahren verschiedene Vorlagefragen, unter anderem zu den Kompetenzen nationaler Wettbewerbsbehörden in Bezug auf die Beurteilung datenschutzrechtlicher Fragestellungen. Hintergrund des Verfahrens vor dem OLG Düsseldorf war eine Abstellungsverfügung des Bundeskartellamtes gegen Meta Platforms, Meta Platforms Ireland und Facebook Deutschland, die unter Berufung auf Verstöße gegen die DSGVO die Ausnutzung einer marktbeherrschenden Stellung gem. §§ 19, 32 GWB feststellte. Grund der Verfügung war, dass Nutzer:innen zur Anmeldung auf Facebook sowohl den Nutzungsbedingungen als auch den Richtlinien zur Verwendung von Daten und Cookies zustimmen mussten. Diese wiederum sahen vor, dass Meta bzw. Facebook die Aktivitäten der Nutzer:innen sowohl innerhalb als auch außerhalb der Plattform trackte und diese „Off-Facebook-Daten“ bestehenden Konten zuordnete, um darauf basierend personalisierte Werbung auszuspielen. Facebook klagte gegen die Abstellungsverfügung vor dem OLG Düsseldorf.

Zusammenfassend hat der EuGH Folgendes entschieden:

  1. DSGVO-Prüfung durch Wettbewerbsbehörden:
    Nationale Kartellbehörden können sich im Rahmen von wettbewerbsrechtlichen Verfahren auch auf datenschutzrechtliche Verstöße stützen, so durfte das Bundeskartellamt etwa im vorliegenden Fall den durch Meta begangenen DSGVO-Verstoß als Indiz für eine marktbeherrschende Stellung im Sinne des GWB heranziehen. Die Kartellbehörden trifft hierbei allerdings eine Pflicht zur Abstimmung mit den Datenschutzaufsichtsbehörden sowie zur Loyalität, eine rechtliche Einschätzung der Aufsichtsbehörden hat für die Kartellbehörden Bindungswirkung. Die Auferlegung datenschutzrechtlicher Sanktionen und das Treffen „verbindlicher“ Entscheidungen steht ausschließlich den zuständigen Datenschutzaufsichtsbehörden zu.
  2. Verarbeitung besonderer Kategorien personenbezogener Daten:
    Auch etwa Log-Daten von Nutzer:innen beim Besuch von Websites oder Apps können wohl als Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO betrachtet werden, etwa beim Besuch von Dating- oder gesundheitsbezogenen Seiten. Konkret kann laut EuGH eine entsprechende Verarbeitung schon dann vorliegen, wenn „Daten über den Aufruf der fraglichen Websites oder Apps solche Informationen offenbaren [können], ohne dass die Nutzer dort Informationen eingeben müssten, indem sie sich registrieren oder Online-Bestellungen aufgeben“. Der bloße Besuch einer Website stellt dabei kein „offensichtliches Öffentlichmachen“ i.S.d. Art. 9 Abs. 2 lit. e DSGVO dar, damit gilt auch diese Ausnahmebestimmung des Generalverbots in Art. 9 Abs. 1 DSGVO nicht.
  3. Art. 6 Abs. 1 lit. b, f DSGVO:
    Die Verarbeitung personenbezogener Daten für personalisierte Werbung aufgrund eines berechtigten Interesses durch Meta war in der oben beschriebenen Konstellation nicht zulässig, dies gelte trotz der Finanzierung von Facebook durch ebendiese personalisierte Werbung. Trotz der aktuellen Entscheidung bleibt die Möglichkeit personalisierter Werbung auf Basis legitimer Interessen wohl grundsätzlich weiter bestehen. Dies sollte zumindest dort gelten, wo der Verantwortliche nach sorgfältig erfolgter Interessenabwägung ein berechtigtes Interesse nachweisen kann.
    Soll eine Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO erfolgen, schärft der EuGH die Voraussetzung der „Erforderlichkeit [der Verarbeitung] für die Vertragserfüllung“ dahingehend, dass eine entsprechende Verarbeitung tatsächlich „objektiv unerlässlich“ für die Erfüllung des Vertrages sein müsse. Das Gericht macht zudem klar, dass Art. 6 Abs. 1 lit. f DSGVO keine taugliche Rechtsgrundlage für die Informierung von Strafverfolgungs- und Vollstreckungsbehörden darstellt, sofern es sich bei den Verantwortlichen um „private Wirtschaftsteilnehmer“ handelt.
  4. Einwilligung gegenüber marktbeherrschenden Unternehmen:
    Eine Einwilligung kann grundsätzlich auch von marktbeherrschenden Unternehmen eingeholt werden, auch sie können Verarbeitungen also zumindest theoretisch auf Art. 6 Abs. 1 lit. a DSGVO stützen. Es sollte allerdings sorgfältig geprüft werden, ob die betroffene Person diese auch tatsächlich freiwillig abgeben konnte. Hierbei ist insbesondere zu berücksichtigen, dass Umstände wie das Innehaben einer „marktbeherrschenden Stellung“ dazu führen können, dass die “ betroffene Person nicht über eine echte Wahlfreiheit verfügt oder nicht in der Lage ist, ihre Einwilligung zu verweigern oder zu widerrufen, ohne Nachteile zu erleiden“.
EuGH-Urteil vom 4. Mai 2023 – C-300/21: Klarheit bei DSGVO-Schadensersatzansprüchen

Das heutige Urteil des Gerichtshofes der Europäischen Union (EuGH) zum Vorabentscheidungsverfahren „Österreichische Post“ (Rs. C-300/21) ist mit großer Spannung erwartet worden. Von der Entscheidung der Luxemburger Richter haben sich viele Praktiker Klarheit in Bezug auf die Anspruchsvoraussetzungen eines immateriellen Schadensersatzes nach Art. 82 DSGVO (DSGVO-Schadensersatz) erhofft. Die Frage, unter welchen Bedingungen einer betroffenen Person DSGVO-Schadensersatz zusteht, wurde auch vor deutschen Gerichten bereits kontrovers diskutiert. Der EuGH hat nun klargestellt, dass ein bloßer DSGVO-Verstoß noch keinen solchen Anspruch begründet. Zugleich sei der Zuspruch einer Entschädigung jedoch nicht davon abhängig, dass der immaterielle Schaden eine gewisse Erheblichkeit überschreite. Das Urteil kann insofern durchaus als Paukenschlag gewertet werden. Welche Auswirkungen der heutige Richterspruch zudem im Detail hat, lesen Sie im Folgenden.

EuGH-Urteil: Bedeutung der Schadensersatzansprüche bei DSGVO-Verstößen ohne Datenweitergabe

Dem Vorabentscheidungsverfahren ging ein Rechtsstreit zwischen einem österreichischen Staatsbürger und der Österreichische Post AG (Österreichische Post) voraus. Die Österreichische Post hatte diesem eine Affinität zur rechten FPÖ zugeschrieben, was der Kläger als beleidigend, beschämend und kreditschädigend empfand. Das Unternehmen erhob seit 2017 ohne Einwilligung der betroffenen Personen Informationen zu den Parteiaffinitäten der österreichischen Bevölkerung. Die ermittelten soziodemographischen Merkmale nutzte das Unternehmen, um Bürger im Wege algorithmische Hochrechnung bestimmten politischen Zielgruppen zu zuweisen. Auch der Kläger war von einer solchen – allerdings falschen – Zuordnung betroffen. Eine Weitergabe dieser Daten an Dritte erfolgte jedoch nicht. Da das Verhalten der Österreichischen Post bei ihm ein großes Ärgernis und einen Vertrauensverlust sowie ein Gefühl der Bloßstellung ausgelöst habe (inneres Ungemach), machte der Kläger einen Anspruch auf DSGVO-Schadensersatz in Höhe von 1.000€ geltend.

Kein automatischer Schadensersatz: DSGVO-Verstoß und die Bedeutung des österreichischen Schadensrechts

Das Erstgericht wies die Klage ab, dies wurde vom Oberlandesgericht Wien in der Berufung bestätigt. Aus Sicht der Instanzgerichte liege infolge der fehlenden Einwilligung zwar möglicherweise ein DSGVO-Verstoß vor. Die Daten wurden jedoch nicht weitergegeben, weshalb dem Kläger kein tatsächlicher Schaden entstanden sei. Nicht jeder Verstoß gegen die DSGVO bedinge automatisch einen Schadensersatzanspruch nach Art. 82 DSGVO. Vielmehr ergänze das österreichische Schadensrecht – vergleichbar den Anforderungen nach deutschem Recht – die DSGVO. Ersatzfähig seien nur solche Schäden, die über bloßen Ärger oder Gefühlsschaden hinausgingen und eine gewisse Erheblichkeit aufweisen würden.

EuGH beantwortet Vorlagefragen des OGH: Klärung zu DSGVO durch wegweisendes Urteil

Gegen das Urteil wurde Revision beim Obersten Gerichtshof in Österreich (OGH Österreich) eingelegt. Da – aus Sicht des OGH – entscheidungsrelevante Unklarheiten in die Auslegungskompetenz des EuGH fielen, setzte der Gerichtshof das Revisionsverfahren aus und formulierte drei Vorlagefragen. Mit seinem heutigen Urteil hat der EuGH diese wie folgt beantwortet.

Darlegung des Schadens erforderlich: EuGH präzisiert Voraussetzungen für DSGVO-Schadensersatz

Mit seiner ersten Vorlagefrage wollte der OGH klären lassen, ob ein bloßer DSGVO-Verstoß für den Zuspruch eines Schadensersatzes nach Art. 82 DSGVO ausreiche oder ein tatsächlicher Schaden eingetreten sein müsse. Der EuGH hat nun festgestellt, dass nicht jeder DSGVO-Verstoß für sich genommen einen Schadensersatzanspruch eröffnet. Der Betroffene muss einen materiellen oder immateriellen Schaden konkret darlegen können.
Die Notwendigkeit einer entsprechenden Darlegung des eingetretenen Schadens war zwar bereits bisher von einigen Instanzgerichten bejaht worden. Zum einen werde der Eintritt eines Schadens im Wortlaut von Art. 82 DSGVO ausdrücklich als Voraussetzung genannt so die Argumentation, weshalb eine gegenteilige Auslegung kaum mit dem Wortlaut der Norm in Einklang zu bringen sei. Ohne Schadenserfordernis verliere die Norm zudem ihren Ausgleichscharakter und würde zu einer reinen Sanktionsvorschrift. Im Übrigen werde der Betroffene dank weiterer Rechtsbehelfe – beispielsweise der Beschwerde – dadurch nicht schutzlos gestellt. Es gab allerdings auch durchaus gewichtige gegenläufige Tendenzen. So hat z.B. das BAG in seinem Vorlagebeschluss an den EuGH eine gegenteilige Auffassung vertreten und argumentiert, dass bereits eine Rechtsverletzung infolge eines DSGVO-Verstoßes an sich zu einem auszugleichenden immateriellen Schaden nach Art. 82 DSGVO führen würde (BAG, Beschluss v. 22.09.2022 – 8 AZR 209/21 (A)). Entsprechenden Tendenzen in der Rechtsprechung erteilt der EuGH eine klare Absage und stellt klar, dass nicht jeder Verstoß gegen die DSGVO für sich genommen einen Schadensersatzanspruch eröffnet.

Bemessung des Schadensersatzes: EuGH bestätigt Anwendung nationaler Vorschriften unter Berücksichtigung unionsrechtlicher Grundsätze

Die zweite Vorlagefrage des OGH war darauf gerichtet, welche Regeln bei der Bemessung der Schadensersatzhöhe Anwendung finden sollen. Die DSGVO selbst enthält dahingehend keine Bestimmungen. Der EuGH hat nunmehr festgestellt, dass die Bemessung nach nationalen Vorschriften zu erfolgen habe, sofern die unionsrechtlichen Grundsätze der Effektivität und Äquivalenz beachtet werden

Keine Bagatellgrenze für DSGVO-Schadensersatz: EuGH lehnt Erheblichkeitsschwelle ab und betont Notwendigkeit des Schadensnachweises

Mit seiner dritten Vorlagefrage wollte der OGH wissen, ob nationale Gerichte den Zuspruch eines DSGVO-Schadensersatzes davon abhängig machen dürfen, dass eine Konsequenz oder Folge der Rechtsverletzung von einigem Gewicht vorliegt (sog. „Bagatellgrenze“). Im Ergebnis hätte dies eine Untergrenze für geringfügige Beeinträchtigungen bedeutet. Damit wäre nicht jeder immaterielle Schaden automatisch ersatzfähig, sondern müsste eine gewisse Erheblichkeitsschwelle überschreiten. Diese Auffassung war bereits im Vorfeld heiß diskutiert und von vielen Vertretern befürwortet worden. Auch der zuständige Generalanwalt Sánchez-Bordona hatte in seinem Schlussantrag im Wege einer ausführlichen Begründung für die Möglichkeit einer Erheblichkeitsschwelle durch nationale Gerichte argumentiert.
In seinem Urteil hat der EuGH dies nun im Rahmen einer weitaus weniger umfassenden Begründung verneint. Die DSGVO erwähne keine Erheblichkeitsschwelle, zudem stünde eine solche in Widerspruch zum weiten Verständnis des unionsrechtlichen Schadensbegriffes. Zugleich gefährde eine solche Beschränkung die mit der DSGVO verfolgte Kohärenz (einheitliche Rechtsanwendung), da die graduelle Abstufung je nach Gericht unterschiedlich ausfallen könne. Eine Regelung oder Praxis nationaler Gerichte, die eine solche Erheblichkeitsschwelle vorsehe, sei mit Art. 82 DSGVO nicht vereinbar. Die betroffene Person müsste jedoch gleichwohl dennoch den Nachweis erbringen, dass die negativen Folgen eines DSGVO-Verstoßes auch tatsächlich einen immateriellen Schaden darstellen.

Mehr Rechtssicherheit bei Schadensersatzansprüchen nach Art. 82 DSGVO: EuGH-Urteil und Möglichkeiten der Abwehr von unbegründeten Forderungen

Das Urteil verschafft den Rechtsanwendern durchaus in gewichtigen, wenn auch nicht allen offenen Fragestellungen im Zusammenhang mit Art. 82 DSGVO, erheblich mehr Rechtssicherheit. Die Feststellung, dass es eines tatsächlichen Schadens bedarf, erteilt gegenläufigen Tendenzen in der Rechtsprechung einiger Gerichte (insbesondere Arbeitsgerichte) eine Absage. Betroffene müssen einen tatsächlichen immateriellen Schaden nachweisen und können sich gegenüber dem Verantwortlichen nicht lediglich auf einen DSGVO-Verstoß berufen. Der Begriff des Schadens wird jedoch leider nicht weiter umrissen. Indem der EuGH die teils von mitgliedstaatlichen Gerichten geforderte Beeinträchtigung „von einigem Gewicht“ als mit Art. 82 DSGVO unvereinbar ansieht, droht der unionsrechtliche Schadensbegriff weiterhin konturlos zu werden. In der bisherigen nationalen Rechtsprechungspraxis wurden Schadenersatzansprüche teilweise wegen Unterschreitung einer „Bagatellschwelle“ abgelehnt. Künftig dürfen Gerichte den Zuspruch eines solchen Anspruchs jedoch nicht mehr davon abhängig machen, ob der immaterielle Schaden tatsächlich erheblich ist. Grundsätzlich können somit auch geringfügige Beeinträchtigungen zu einem Anspruch des Betroffenen führen. Allerdings müssen entsprechende Beeinträchtigungen auch nach dem EuGH-Urteil konkret dargelegt werden. Floskelartige Begründungen wie der Verweis auf ein Stör- oder Unmutsgefühl dürften nicht ohne Weiteres ausreichen. Dies im Einzelfall zu entscheiden, obliegt allerdings den Gerichten der EU-Mitgliedsstaaten. In dieser Hinsicht hat das jetzige Urteil tatsächlich nicht unbedingt zu mehr Klarheit geführt.

Erfolgreiche Abwehr von Schadensersatzansprüchen: Möglichkeiten und Argumentationsspielraum im Lichte des EuGH-Urteils

Beklagte Unternehmen sollten weiterhin Forderungen nach Schadensersatzansprüchen sehr sorgfältig überprüfen. Auch im Lichte des EuGH-Urteils bieten sich nach wie vor Möglichkeiten, unbegründete Forderungen erfolgreich abzuwehren. So können viele Kläger schon den behaupteten Verstoß und auch den geltend gemachten Schaden nicht ausreichend darlegen und beweisen. Auch im Rahmen der notwendigen Ursächlichkeit des DSGVO-Verstoßes für den Schaden besteht häufig Argumentationsspielraum.

Ausblick DSGVO-Schadensersatz: Das EuGH-Urteil als Auftakt – Weitere Rechtsfragen und anhängige Verfahren

Mit der heutigen Entscheidung des EuGH ist das letzte Wort zum DSGVO-Schadensersatz noch nicht gesprochen. Das Urteil bildet vielmehr den Auftakt zur Klärung weiterer Rechtsfragen im Zusammenhang mit Art. 82 DSGVO. Mit den Vorabentscheidungsersuchen des bulgarischen Obersten Verwaltungsgerichts (VB) (Rs. C-340/21) und des LG Saarbrücken (C-741/21) sind diesbezüglich unter anderem weitere Verfahren anhängig. Der VB möchte insbesondere klären lassen, ob Sorgen und Ängste vor einem möglichen Datenmissbrauch einen immateriellen Schaden darstellen und somit zum Schadensersatz berechtigen. Das Thema bleibt somit für Verantwortliche und Betroffene gleichermaßen spannend und aktuell.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Data Act

Erfolg im digitalen Zeitalter: Der Data Act 2024 und seine Chancen für Ihr Unternehmen

Daten sind das Rückgrat des digitalen Zeitalters und spielen eine entscheidende Rolle bei der Gestaltung unseres digitalen und ökologischen Wandels. In einer Welt, in der täglich enorme Datenmengen generiert werden, bleibt das volle Potenzial dieser Ressource oft ungenutzt. Der Umgang mit diesen Daten, insbesondere die Frage der Datenrechte und eine gerechte Verteilung der Fähigkeiten für digitale Fortschritte, ist häufig unklar. Der seit dem 11.01.2024 in Kraft getretene Data Act, der umfassend ab dem 12.09.2025 Anwendung findet, zielt darauf ab, diesen Herausforderungen zu begegnen, indem er klare Richtlinien für den Zugang zu und die Nutzung von Daten vorgibt. Für Unternehmen und Verbraucher ergeben sich daraus neue Pflichten und Rechte, die wesentliche Auswirkungen auf die Praxis haben. Vor diesem Hintergrund bieten wir unseren Mandanten maßgeschneiderte Beratungsleistungen an, um die durch den Data Act entstehenden Herausforderungen und Möglichkeiten optimal zu nutzen. Wir helfen Ihnen, die Rechte und Pflichten, die sich aus dem Data Act ergeben, zu verstehen, geeignete Vertragsregelungen zu treffen und die Einhaltung der Datenschutzvorgaben sicherzustellen.

Die Vision des Data Acts: Freier Datenzugang und Innovation fördern

Der Data Act (dt. Datengesetz) ist in Form einer EU-Verordnung ausgestaltet. Europäische Verordnungen entfalten – im Gegensatz zu europäischen Richtlinien – unmittelbare Wirkung in den EU-Mitgliedstaaten, ohne dass es einer Umsetzung durch die einzelnen Mitgliedstaaten bedarf.

Die Verordnung harmonisiert Vorschriften für den fairen Zugang zu und der Nutzung von Daten. Damit soll er als „zweite Säule“ der europäischen Datenstrategie gelten, deren Ziel es ist, durch neue Regelungen das wirtschaftliche Potential der wachsenden Datenmenge besser zu nutzen und einen wettbewerbsfähigen Datenmarkt zu fördern. Als „erste Säule“ wird der sog. Data Governance Act verstanden, welcher seit September 2023 gilt. Während der Data Governance Act Prozesse und Strukturen regelt, die den freiwilligen Datenaustausch ermöglichen, wird im Data Act klargestellt, wer aus Daten Wert schaffen kann und unter welchen Bedingungen. 

Der Data Act befasst sich im Wesentlichen damit, dass unter anderem Nutzer von vernetzten Geräten, Maschinen oder sonstigen Produkten darüber entscheiden können, wie mit den gewonnenen Daten umgegangen werden soll, an deren Entstehung sie mitgewirkt haben.

Wer wird vom Data Act betroffen? Ein Überblick

Sachlicher Anwendungsbereich

Der Data Act betrifft Daten, die bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugt werden, vor allem auch von solchen Daten, die nicht personenbezogen sind, womit der Anwendungsbereich insoweit über den der DSGVO hinausgeht. 

In Art. 2 Data Act findet sich eine Reihe von Begriffsdefinitionen, die die Elemente des sachlichen Anwendungsbereiches definieren und damit auch näher abgrenzen. Unter die Verordnung fallen danach IoT- oder IIoT-Geräte, also Produkte, die durch ihre vernetzten Funktionen Daten über die Umgebung erlangen, erzeugen oder sammeln können. Nicht jedoch beispielsweise Tablets, Smartphones, Kameras, Webcams oder Textscanner. Denn bei ihnen ist ein menschlicher Beitrag zur Generierung von Daten notwendig, während dies bei den zuerst genannten Geräten vollständig automatisiert möglich ist.

Adressaten des Data Act

Der Data Act richtet sich insbesondere an Hersteller von vernetzten Produkten und Anbieter verbundener Dienste sowie an deren Nutzer, außerdem an Dateninhaber und öffentliche Stellen. Der Sitz des Unternehmens spielt keine Rolle: es gilt das Marktortprinzip. 

Unter Nutzer eines Produktes fallen juristische wie auch natürliche Personen – also zum Beispiel Unternehmen oder Verbraucher, soweit diese das Produkt gekauft, gemietet oder geleast haben. Allerdings ist für Kleinst- oder Kleinunternehmen (KMU) eine Privilegierung vorgesehen, wonach insbesondere die Pflichten des Kapitel II (Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen) diese nicht treffen.

Schöpfen Sie die Vorteile des digitalen Wandels und des Data Acts voll und rechtssicher aus – mit uns an Ihrer Seite.

Neue Spielregeln: Rechte und Pflichten für Unternehmen unter dem Data Act

Für den B2C- und B2B-Bereich hält Kapitel II des Data Act wichtige Regelungen bereit, die die Datenweitergabe von Unternehmen an Verbraucher und zwischen Unternehmen betreffen. 

Eine der zentralen Pflichten des Data Act ist die in Art. 3 Data Act geregelte Pflicht der Zugänglichmachung von bei der Nutzung von vernetzten Produkten oder verbundenen Diensten erzeugten Daten. Insbesondere Art. 3 Abs. 1 Data Act nimmt den Gedanken des Access by Design auf. 

Im direkten Anschluss, in Art. 3 Abs. 2 Data Act, findet sich eine weitere wichtige Regelung: die vorvertragliche Informationspflicht vor dem Abschluss eines Kauf-, Miet- oder Leasingvertrages für ein IoT-Produkt. Die transparente Darstellung relevanter Informationen soll zur Fairness für den Nutzer beitragen. So müssen dem Nutzer u.a. Informationen wie Art, Format und geschätzter Umfang der Produktdaten sowie Informationen darüber, ob das vernetzte Produkt in der Lage ist, kontinuierlich und in Echtzeit Daten zu generieren, in verständlicher und klarer Form zur Verfügung gestellt werden. 

Eine weitere wesentliche Norm stellt Art. 4 Data Act dar. Er regelt das Recht der Nutzer und Dateninhaber auf Zugang zu den Produktdaten und verbundenen Dienstdaten sowie das Recht auf deren Nutzung. Dieses Recht zielt darauf ab, dem Nutzer transparent seine Zugänglichkeitsrechte zu eröffnen und dabei aber den fairen Wettbewerb nicht aus dem Blick zu verlieren, in dem auch Regelungen zu Geschäftsgeheimnissen oder Entwicklung von Produkten mitbedacht wurden. 

Zu beachten ist auch, dass Dateninhaber nach Art. 4 Abs. 13 Data Act ohne Weiteres verfügbare Daten, bei denen es sich nicht um personenbezogene Daten handelt, nur auf der Grundlage einer vertraglichen Vereinbarung mit dem Nutzer verarbeiten oder nutzen dürfen. Ohne Weiteres verfügbare Daten im Sinne der Verordnung sind Produktdaten und verbundene Dienstdaten, die ein Dateninhaber ohne unverhältnismäßigen Aufwand von dem vernetzten Produkt oder verbundenen Dienst erhält oder erhalten kann. Die Vorschrift macht damit gegebenenfalls den Abschluss von Datenlizenzverträgen erforderlich. 

Auch Art. 5 Data Act befasst sich mit dem Datenverkehr und regelt die Herausgabe von Daten an Dritte, die auf Verlangen des Nutzers zu erfolgen hat. 

Darüber hinaus sieht die Verordnung ein Verbot missbräuchlicher Klauseln vor. Art. 13 Data Act regelt den Umgang mit missbräuchlichen Vertragsklauseln in Bezug auf den Datenzugang und die Datennutzung, die gegenüber einem Unternehmen einseitig auferlegt werden. Insoweit handelt es sich um eine wettbewerbs- bzw. kartellrechtliche Komponente des Data Act. Die vereinbarten Vertragsklauseln sollen die Fairness in der Datenwirtschaft und auf dem Markt fördern. 

Eine weitere bedeutende Regelung, um die Ziele des Data Act zu erreichen, sind die Vorschriften zur Interoperabilität (Kapitel VIII). Interoperabilität im Sinne dieser Verordnung ist – vereinfacht gesagt – die Fähigkeit verschiedener Systeme, vernetzter Produkte oder Anwendungen, Daten auszutauschen und zu nutzen, um ihre Funktion zu erfüllen. Der Data Act verlangt, dass Dienste mit offenen Standards und Schnittstellen kompatibel sein müssen, um so die Interoperabilität zwischen den Diensten zu erhöhen. Dadurch soll die Erleichterung des Wechsels zwischen Cloud- und Edge-Diensten erreicht werden. 

In diesem Zusammenhang ist auch das Recht der Kunden zu sehen, künftig kostenlos zwischen verschiedenen Datenverarbeitungsdiensten zu wechseln und alle ihre exportierbaren Daten auf einen neuen Dienst zu übertragen. Kapitel VI des Data Act, das den Wechsel zwischen Datenverarbeitungsdiensten regelt, sieht unter anderem vor, dass keine Hindernisse für den Wechsel des Anbieters bestehen dürfen. Datenverarbeitungsdienste müssen ihre Kunden beim Wechsel unterstützen, unter anderem durch angepasste Vertragsklauseln und Informationspflichten. Nach einem Wechsel gilt der Vertrag mit dem bisherigen Anbieter als beendet – die Regelungen können daher zu außerordentlichen Kündigungsrechten führen. 

Die Verpflichtungen aus dem Data Act können von den Kunden vertraglich und von den Mitgliedstaaten durch Sanktionen durchgesetzt werden. Bei Verstößen drohen Bußgelder, die auf Methoden basieren, die bereits aus der DSGVO bekannt sind. Diese können bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes betragen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Data Act und DSGVO: Navigieren im Regelungsdickicht

Neben dem Data Act bleibt die DSGVO uneingeschränkt anwendbar. Werden also personenbezogene Daten erhoben, die auch in den Anwendungsbereich des Data Act fallen, sind beide Regelungen zu beachten. Insbesondere bedarf die Verarbeitung personenbezogener Daten einer gesetzlichen Grundlage. Der Data Act stellt klar, dass die Verarbeitung personenbezogener Daten im Einklang mit den Bestimmungen der DSGVO erfolgen muss, stellt aber selbst keine Rechtsgrundlage für die Datenverarbeitung dar. In der Praxis wird daher in den meisten Fällen weiterhin eine Einwilligung nach der DSGVO erforderlich sein. Insofern muss bei Auslegung und Anwendung des Data Act immer auch die DSGVO im Blick behalten werden,

Darüber hinaus sind bei der Interkation mit IoT-Daten auch die Anforderungen der KI-Verordnung zu berücksichtigen, welche voraussichtlich Mitte dieses Jahres in Kraft tritt. 

Nutzen Sie die Chancen des Data Acts: Strategien für die Zukunft

Der Data Act stellt einen Meilenstein in der europäischen Datenpolitik dar und bietet das Potential, die Nutzung von Daten im EU-Binnenmarkt signifikant zu erweitern. Mit seinen neuen Verpflichtungen richtet er sich an eine breite Palette von Akteuren, von Herstellern vernetzter Produkte bis hin zu öffentlichen Stellen. Während der Data Act vielfältige Möglichkeiten eröffnet, bringt er auch komplexe Anforderungen mit sich, die Unternehmen und Verbraucher gleichermaßen betreffen. In Anbetracht der umfassenden Informationspflichten, der Notwendigkeit von Vertragsanpassungen und der spezifischen Regelungen für nicht-personenbezogene Daten ist es essenziell, sich frühzeitig mit den Bestimmungen auseinanderzusetzen. Unsere Expertise im Bereich des Data Acts ermöglicht es uns, Sie optimal bei der Umsetzung der neuen Regelungen zu unterstützen und sicherzustellen, dass Sie die Übergangsfrist bis 2025 effektiv nutzen können. Kontaktieren Sie uns, um zu erfahren, wie wir Ihnen helfen können, die Chancen des Data Acts zu nutzen und gleichzeitig die Compliance sicherzustellen.

KI as a Service (KIaaS) und Recht

KI-as-a-Service (KIaaS) und Recht – Herausforderungen, Lösungen, Anwendungsfälle

Künstliche Intelligenz (KI) wird zunehmend als Allzweckwerkzeug gesehen, das den Weg zu größerem unternehmerischem Erfolg ebnen kann – und das sogar nahezu autonom. Doch die breite Masse der Interessenten steht vor einem Problem. Selbst Fachleute stoßen an ihre Grenzen, wenn es um das Verständnis der KI-Technologie und die rechtskonforme technische Umsetzung geht. Wie soll das der einfache Unternehmer oder die Unternehmerin schaffen? Die Lösung des Problems könnte sich aber bereits ohne Zutun des einzelnen Unternehmers auftun: KI-as-a-Service (KIaaS).

Das Geschäftsmodell KIaaS bündelt eine Vielzahl von Dienstleistungen rund um den Vertrieb von KI, um technische Hürden für kleine und mittelständische Unternehmen abzubauen und so den Einsatz von KI für die breite Masse der Unternehmen zugänglich zu machen. KIaaS benötigt jedoch auch einen geeigneten Rechtsrahmen und bringt eigene Herausforderungen mit sich. Um diesem Ziel gerecht zu werden, bedarf es eines breiten juristischen und technischen Verständnisses und eines genauen Blicks bei der Ausgestaltung der vertraglichen Regelungen. Von urheberrechtlichen Fragen bei der Lizenzerteilung für die KI selbst und deren Output, über den Umgang mit urheberrechtlich geschütztem Material beim KI-Input, bis hin zu einer von Grund auf datenschutzkonforme Ausgestaltung des Gesamtmodells sind diverse komplexe Herausforderungen zu bewältigen.

Sie möchten mehr über KIaaS erfahren? Wir haben die Antworten auf die grundlegenden Fragen zum Thema in unserem FAQ beantwortet.

Die wichtigsten Fragen und Antworten zu KIaaS

Was ist KIaaS?

Künstliche Intelligenz as a Service (kurz KIaaS) ist die jüngste Variante des bereits weit verbreiteten Geschäftsmodells Software as a Service (SaaS). Kern des Konzepts ist die cloudbasierte Bereitstellung von KI-Software inklusive der dazugehörigen Begleitleistungen. Die ergänzenden Leistungen schaffen ein nutzerfreundliches Endprodukt, ohne dass tiefes technisches Know-how erforderlich ist.

Was unterscheidet KIaaS vom einfachen Erwerb einer KI?

KIaaS zeichnet sich durch einen anwenderfreundlichen Zugang zu KI aus. Die Kundschaft wird nicht mit einem einzelnen Produkt allein gelassen, sondern erhält Zugang zu einem bestehenden KI-Modell, das kontinuierlich weiterentwickelt und verbessert wird. Diese Hauptkomponente der Leistung wird regelmäßig durch eine Vielzahl variabler Nebenleistungen flankiert, die dem Kunden optimierte Integrationsmöglichkeiten bieten. Kennzeichnend ist, dass kein einmaliger Softwarekauf erfolgt, sondern Nutzungslizenzen für das KI-Modell im Rahmen eines Dauerschuldverhältnisses erworben werden. Vereinfacht lässt sich das Konzept als Abo-Modell für nutzerfreundliche KI beschreiben.

Welche Vorteile hat KIaaS gegenüber einem einfachen KI-Kauf oder der Entwicklung einer eigenen KI?

KIaaS hat den entscheidenden Vorteil, dass die hohen technischen Grundanforderungen der Erstellung und des Trainings einer KI durch die Vorarbeit professioneller Anbietender ausgelagert werden. Durch das kontinuierliche Training der KI auf professionellem Niveau bleibt diese auch technisch auf dem neuesten Stand. Auch die Anforderungen an den Betrieb der KI, wie die Bereitstellung ausreichender Rechenleistung und Wartungsmaßnahmen im Sinne von Updates und Support, werden durch den Anbietenden abgedeckt.

Hat KIaaS auch Nachteile?

Natürlich hat KIaaS auch Nachteile gegenüber dem herkömmlichen Kauf von KI und dem eigenen Betrieb der Software. Durch die Nutzung eines fremden KI-Modells, auf das man nur bedingt oder gar keinen Einfluss hat, begibt man sich in ein Abhängigkeitsverhältnis. Insbesondere bei Performanceproblemen oder Serverausfällen gibt es kaum Möglichkeiten, den Problemlösungsprozess zu beschleunigen. Auch Anpassungsmöglichkeiten bestehen nur im Rahmen des vom Anbieter angebotenen Leistungsspektrums. Aus diesen und weiteren Gründen ist ein sorgfältiger Auswahlprozess bei der Providerwahl entscheidend, um Risiken zu minimieren und den bestmöglichen Fit für das eigene Unternehmen zu finden.

Gibt es die Möglichkeit KI speziell für das eigene Unternehmen „maßschneidern“ zu lassen?

KI kann durch Training auf spezifischen Daten für bestimmte Zwecke individualisiert werden, um bessere Ergebnisse für bestimmte Aufgabentypen zu erzielen. Grundlage für ein solches individualisiertes Training sind sogenannte Basismodelle, die für eine Vielzahl von Anwendungsfällen trainiert wurden, um ein formbares Grundmodell für eine spätere Spezialisierung bereitzustellen.
Angebote für individualisiertes KI-Training sind zwar noch nicht im Massenmarkt angekommen, aber es gibt bereits erste Anbieter und die Prognosen für die wirtschaftliche Entwicklung lassen ein starkes Wachstum der Branche erwarten.

Welchem Vertragstypen ist KIaaS zuzuordnen?

Die aaS-Modelle im Allgemeinen kombinieren eine Vielzahl verschiedener Leistungen und werden von der Rechtsprechung daher als typengemischte Verträge eigener Art (sui generis) angesehen. Die Gewichtung der Leistungskomponenten kann je nach Ausarbeitung des Produktbündels variieren. Dies gilt gleichermaßen für KIaaS. Während bei KI-Anbietern, die lediglich die Ergebnisse aus einzelnen Berechnungen ihres KI-Modells an den Kunden herausgeben, vertragstypologisch Werk- oder Dienstverträge in Betracht kommen, sind Geschäftsmodelle, bei denen die KI als Software dem Kunden zum Gebrauch auf Zeit überlassen wird, schwerpunktmäßig als Mietverträge einzuordnen. Im Fall der Vereinbarung eines individualisierten Trainings der KI kann es innerhalb der Abwägung der Typenmischung zu einer Verlagerung zugunsten eines Werkvertrags kommen. Allgemeingültig ist, dass für die Bestimmung des einzelnen Vertragstyps die Auswertung der konkreten Umstände des Sachverhalts notwendig ist.

Was sind die wichtigsten vertraglichen Herausforderungen im KIaaS-Verhältnis?

Zwingende Voraussetzung eines guten Vertrags ist, dass der zugrundeliegende Lebenssachverhalt bzw. der zu regelnde Vertragsgegenstand möglichst treffend abgebildet wird. In KIaaS-Verträgen erfolgt eine solche Abbildung per Beschreibung der KI und der damit verbundenen Leistungen innerhalb der Leistungsbeschreibung und dem Service Level Agreement. Die Leistungsbeschreibung bezieht sich dabei auf die Qualitäten und Eigenschaften des Hauptleistungsgegenstands, also der KI selbst und sofern vereinbart ihrem Training. Das Service Level Agreement regelt die wiederkehrenden Leistungen, die zur Erfüllung der eigentlichen Hauptleistung dienen, wie beispielsweise Verfügbarkeits- bzw. Erreichbarkeitsregelungen, Support- und Wartungstätigkeiten und Reaktionszeiten bei Sicherheitsvorfällen oder Ähnlichem. Die Inhalte von Leistungsbeschreibung und SLA sind für Anbieter und auch Kunden von essenzieller Bedeutung, da sie einerseits vermitteln, ob das Produkt für den angestrebten Use Case geeignet ist, andererseits aber auch Sicherheit darüber verschaffen was für ein Leistungsniveau zu bewirken ist. Die Erarbeitung dafür tauglicher Inhalte erfordert ein sorgfältiges Vorgehen und ist entsprechend fordernd.

Besonderes Augenmerk ist darüber hinaus auf Regelungen zur Datenbereitstellung zu legen, da diese für das Training von KI einen zentralen Stellenwert einnehmen. Grundlegend ist deren Wichtigkeit darin zu sehen, dass die bereitgestellten Daten den entscheidenden Faktor dafür darstellen, ob ein individuelles Training der KI den geplanten Use Case tatsächlich abbilden kann. Aber auch wenn kein individuelles Training vereinbart ist, ist die Datenbereitstellung ein wichtiger Punkt, da durch die Produktivbetriebsdaten wertvolle Trainingsdaten für die Weiterentwicklung der KI des Anbieters gewonnen werden können. Insofern sollte diese Form der „Bezahlung“ mittels Daten innerhalb der Vertragsverhandlungen berücksichtigt werden. Zuletzt ist zu beachten, dass die bereitgestellten Daten wertvolle unternehmerische Informationen über die Prozesse des Branchensektors des Kunden enthalten können, wenn nicht sogar Geschäftsgeheimnisse. Insofern ist es von großer Bedeutung innerhalb der Datenbereitstellungsvereinbarung auf Maßnahmen zur Gewährleistung der Sicherheit der Informationen zu achten.

Ein dritter fordernder Themenkomplex ist die Lizenzgebung und der Schutz der KI und ihrem Output gegenüber Dritten. Die Problematik findet ihren Ursprung darin, dass das deutsche Urheberrecht nach dem derzeitigen herrschenden Verständnis keine passende Werktypkategorie beinhaltet unter die subsumiert werden könnte. Infolgedessen können gegenüber dem Kunden keine urheberrechtlich wirksamen Nutzungsrechte übertragen werden, wodurch lediglich die Option einer einfachrechtlichen tatsächlichen Nutzungslizenz bleibt. Zwar ermöglicht diese das wirksame Geschäftsverhältnis zwischen Anbieter und Kunde, jedoch stellt sich das Problem, dass die urheberrechtlichen Abwehrrechte gegenüber der unbefugten Nutzung Dritter für sowohl die KI selbst, als auch für den von der KI geschaffenen Output, nicht genutzt werden können. Dies stellt sowohl für Anbieter als auch für Kunden ein Problem dar, da beide ein Interesse an der Exklusivität der jeweiligen Produkte haben. Eine Lösung für dieses Bedürfnis findet sich im Geschäftsgeheimnisrecht, da dieses zum Urheberrecht vergleichbare Abwehrrechte gegenüber Dritten ermöglichen kann. Bedingung dafür ist jedoch die Ausarbeitung eines geeigneten Konzepts technischer und organisatorischer Maßnahmen begleitet von tauglichen Vertragsklauseln zur Regelung des Verhältnisses zwischen Anbieter der KI und dem Kunden.

Muss vor der Einführung von KI ins Unternehmen der Betriebsrat eingeschaltet werden?

Eine häufig auftretende Frage aus der Wirtschaftspraxis ist, ob beim Bestehen eines Betriebsrats im Unternehmen, dieser bei der Einführung der KI ins Unternehmen involviert werden muss oder ob er möglicherweise sogar ein Mitbestimmungsrecht über die Einführung hat. Grundsätzlich gilt, dass der Arbeitgeber die freie Wahl über die zu nutzenden Arbeitsmittel hat, also auch bei Softwareanwendungen. Aufgrund der potenziell disruptiven Wirkung von Künstlicher Intelligenz am Arbeitsplatz schreibt der Gesetzgeber jedoch vor, dass der Betriebsrat ausreichend über die Zwecke und Eigenschaften der einzuführenden KI informiert werden muss, um einschätzen zu können, ob weiterführende Schritte eingeleitet werden müssen. Solche weiterführenden Schritte können beispielsweise notwendig sein, wenn die KI eine objektive Eignung zur Überwachung der Mitarbeiter aufweist. In diesem Fall wäre es dem Betriebsrat sogar möglich über die Einführung der Technologie mitzubestimmen, um die Mitarbeiter:innen zu schützen. Allgemein gilt also eine Informationspflicht gegenüber dem Betriebsrat ohne dessen Mitbestimmungsberechtigung und in bestimmten Ausnahmefällen kann es zur weitergehenden Rechten des Betriebsrats kommen. Eine genaue Prüfung ist daher ratsam.

Ist die datenschutzkonforme Inanspruchnahme von KIaaS möglich?

KI im Allgemeinen stellt den Datenschutz vor eine Herausforderung. Grund dafür ist, dass die interne Funktionsweise von künstlichen Intelligenzen eine Black Box darstellt. Dies meint, dass die Arbeitsweise eines neuronalen Netzwerks sich aus einer Vielzahl nichtlinearer Zusammenhänge der genutzten Trainingsdaten ergibt und aus diesem Grund in der Regel für das menschliche Verständnis nicht nachvollziehbar ist. Durch das fehlende Verständnis der Funktionsweise stellt sich das Problem, dass eine gezielte Löschung bestimmter Informationen nicht möglich ist, sobald sie einmal in die KI eintrainiert worden ist. Diese fehlende Möglichkeit eines gezielten Löschens steht im Widerspruch zu den zu gewährleistenden Betroffenenrechten der DSGVO, da für die Verarbeitung personenbezogener Daten die Möglichkeit der Umsetzung der Betroffenenrechte strikte Voraussetzung einer rechtmäßigen Verarbeitung ist. Zwar zieht die Eingabe von Daten zu Arbeitszwecken in eine KI nicht automatisch ein Eintrainieren der Daten in die KI nach sich, jedoch sammelt sich durch den Umfang der dabei generierten Daten die Gefahr, dass personenbezogene Daten versehentlich in die Trainingsdaten gelangen. Infolgedessen muss im Vorfeld zur Einführung von KI ein sorgfältiges Datenschutzkonzept samt zugehöriger vertraglicher Verpflichtungen und technischer und organisatorischer Maßnahmen getroffen werden.

Treffen mich als Kunden von KIaaS Pflichten nach der KI-VO?

Generell sieht auch die zukünftig in Kraft tretende KI-VO in ihren Entwürfen Pflichten für Anwendende vor. Diese sind jedoch im Vergleich zur Pflichtenlage für Anbietende und Betreibende von KI-Modellen, die unter das Risikoklassifizierungssystem der KI-VO fallen, deutlich abgeschwächt. Zwar zeichnet sich ab, dass in die finale Fassung der Verordnung Ausnahmen aufgenommen werden, die auch Anwendenden weitergehende Pflichten auferlegen. Unter anderem eine Pflichtengleichheit mit dem Anbietenden, wenn Nutzer:innen eigene Änderungen am KI-Modell vornehmen. Allerdings werden KIaaS-Kund:innen solche Anpassungen regelmäßig durch ihren Anbietenden vornehmen lassen. Insofern werden KIaaS-Kund:innen den Vorteil haben, eine Verpflichtungsgleichstellung vermeiden zu können, so dass auch bei individualisierten Modifikationen der KI die einfachen Nutzungspflichten gelten.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Sichere Verlinkungen in SaaS-Verträgen

Sichere Verlinkungen in SaaS-Verträgen: So navigieren Sie durch das rechtliche Minenfeld

In den Vertragstexten zu „Software-as-a-Service“ (SaaS) – Produkten finden sich häufig Links, die zu der genaueren Beschreibung eines bestimmten Vertragsteils führen. Solche Verlinkungen – etwa zur konkreten Leistungsbeschreibung oder Datenschutzrichtlinien – erleichtern es, die Verträge übersichtlich zu halten und sind dadurch für beide Vertragsparteien praktikabel. Für Anbieter:innen von SaaS-Produktes bieten solche Einbettungen von Vertragsteilen zudem die Möglichkeit, diese stets aktuell zu halten und somit beispielsweise aktuellen datenschutzrechtlichen Vorgaben zu entsprechen. 

Zugleich steht die wirksame Einbindung von Verlinkungen vor einer Reihe rechtlicher Herausforderungen. Da es sich bei den meisten SaaS-Verträgen um Allgemeine Geschäftsbedingungen (AGB) handelt, können missverständliche Verlinkungen zu Unwirksamkeiten führen. Die Expertise eines erfahrenen Rechtsteams, wie dem unseren, ist unerlässlich, um die Risiken fehlerhafter Verlinkungen zu vermeiden und die Verträge rechtssicher zu gestalten. Wir bieten umfassende Rechtsberatung und Unterstützung bei der Erstellung von SaaS-Verträgen, um sicherzustellen, dass Ihre Dokumente den rechtlichen Anforderungen entsprechen.

Wir prüfen und erstellen Ihre SaaS-Verträge.

Die Risiken fehlerhafter Verlinkungen in SaaS-Verträgen: Was steht auf dem Spiel?

Fehlerhafte Verlinkungen in Verträgen können schwerwiegende Konsequenzen für den Verwender nach sich ziehen. Gemäß § 305c Abs. 2 BGB gehen Unklarheiten bei der Auslegung von AGB zulasten des Verwenders. Übertragen auf die Verlinkung von Vertragsbestandteilen bedeutet dies, dass unklare oder missverständliche Verlinkungen möglicherweise nicht wirksam in den Vertrag einbezogen sind. Im schlimmsten Fall kann dies zur Unwirksamkeit einzelner oder mehrerer Vertragsbestandteile führen. An die Stelle unwirksamer AGB-Klauseln treten dann die gesetzlichen Regelungen. Relevant wird dies insbesondere bei Haftungsfragen. Da die vertraglichen Regeln in der Regel zugunsten des Verwenders vom gesetzlichen Haftungsmaßstab abweichen, sind Unternehmer in Fällen fehlerhafter Verlinkungen einem höheren Haftungsrisiko ausgesetzt. Speziell bei datenschutzrechtlichen Pflichttexten (etwa der Datenschutzerklärung) können fehlerhafte Verlinkungen zudem einen Verstoß gegen datenschutzrechtliche Vorgaben darstellen. Datenschutzaufsichtsbehörden können in solchen Fällen Bußgelder verhängen, was aufgrund des hohen Bußgeldrahmens der DSGVO ein schwerwiegendes finanzielles Risiko für die betroffenen Unternehmen darstellt. 

Änderung von Vertragsinhalten: Was dürfen Anbieter:innen bei verlinkten Dokumenten?

Verlinkungen bieten den praktischen Vorteil, dass bestimmte Vertragsinhalte zentral durch die Anbieter:innen zur Verfügung gestelltwerden können. Auf diesem Weg muss nicht für alle Nutzer:innen ein neuer Vertrag mit allen Anlagen aufgesetzt und individuell versendet werden. Obdurch eine Veränderung eines verlinkten Dokuments eine einseitige Vertragsänderung zulässig ist, hängt jedoch von zahlreichen rechtlichen Einzelfragen ab. 

Zunächst muss danach unterschieden werden, ob die Verlinkung auf einen Vertragsbestandteil verweist, der gelegentlich aktualisiert werden soll. Bei Verlinkungen die zu einem zu aktualisierenden Inhalt führen spricht man von dynamischen Verlinkungen. Im Gegensatz dazu verweist eine statische Verlinkung auf einen online abrufbaren Vertragsbestandteil, der nicht aktualisiert werden soll, sondern lediglich zur Praktikabilität online zur Verfügung gestellt wird. Der Unterschied sollte im Vertragstext kenntlich gemacht werden. 

Da dynamische Verlinkungen eine nachträgliche Vertragsänderung ermöglichen sollen, muss die Änderungsmöglichkeit ausdrücklich im Hauptvertrag festgehalten werden. Dabei ist bei Leistungsbeschreibungen besondere Vorsicht geboten. Die Hauptleistungspflichten der Vertragsparteien sind selbst nicht veränderlich und müssen vertraglich hinreichend konkret festgelegt werden. Dafür müssen die Grundfunktionen des SaaS-Produkts im Hauptvertrag möglichst genau beschrieben werden. Da es sich bei Leistungsbestimmungsrechten der Anbieter:innen um die Möglichkeit zur einseitigen Vertragsänderung handelt, müssen deren Rahmen so genau wie möglich abgesteckt werden. Für Nutzer:innen muss vorhersehbar sein, in welchen Grenzen die Leistungsbeschreibung abänderbar ist. So macht es beispielsweise einen großen Unterschied, ob Anbieter:innen tatsächliche Funktionsänderungen vornehmen oder den Vertrag nur an regulatorische Vorgaben anpassen dürfen. Der Anpassungsspielraum der Anbieter:innen darf die Nutzer:innen zudem nicht unangemessen benachteiligen. Eine solche unangemessene Benachteiligung läge etwa vor, wenn Anbieter:innen die fraglichen Anpassungen jederzeit und ohne die Angabe von Gründen vornehmen dürfte. Diese sind grundsätzlich nicht anlasslos möglich, sondern setzen beispielsweise unvorhersehbare Änderungen der Sach- oder Rechtslage, vertragliche Lücke oder ein Missverhältnis zwischen Leistung und Gegenleistung voraus. 

Rechtssichere Gestaltung von Verlinkungen: Best Practices

Um den AGB-rechtlichen Anforderungen zu genügen, sollte der Link zunächst zu einem klar abgrenzbaren, downloadbaren Inhalt führen. Ein Link zu einer vollständigen Webseite führt regelmäßig zu Interpretationsschwierigkeiten, die im Zweifel zulasten der Anbieter:innen gehen. Die Verlinkung eines konkreten Dokuments bietet insofern eine praktikable Lösung.
Darüber hinaus müssen die Anbieter:innen die stete Verfügbarkeit der verlinkten Inhalte gewährleisten.
Beide Parteien sollten zudem eine Archivierungshistorie der Dokumente vorhalten. Dies bedeutet, dass ursprüngliche und veränderte Vertragstexte verständlich gespeichert und abrufbar gehalten werden. Dies ermöglicht es die vertragliche Historie nachzuvollziehen und sorgt dadurch für Transparenz. 

Informationspflichten bei Vertragsänderungen: Was müssen Anbieter beachten? 

Die Änderung des Linkinhalts dynamischer Verlinkungen stellt eine Vertragsänderung dar. Anbieter:innen müssen Nutzer:innen deshalb rechtzeitig über Änderungen informieren. Die Art der Informationsbereitstellung sollte ihrerseits im Hauptvertrag beschrieben sein. Gegebenenfalls müssen auch die Konsequenzen einer solchen Änderungen bedacht und im Vertrag beschrieben werden. So sollten etwa Zeiträume für mögliche Widersprüche von Nutzer:innen gegen AGB-Änderungen mit einkalkuliert werden. 

Verlinkungen in SaaS-Verträgen: Ein Balanceakt zwischen Praktikabilität und Rechtssicherheit 

Verlinkungen in SaaS-AGB haben sich in der Praxis bewährt und ermöglichen eine klare und benutzerfreundliche Vertragsgestaltung. Durch den kontextbezogenen Abruf der Vertragsdetails wird der Hauptvertrag übersichtlicher und dadurch besser lesbar. Die Nutzer:innen des SaaS-Produkts können den Vertragsinhalt somit besser nachvollziehen. 

Da fehlerhafte Verlinkungen mit einem erhöhten Haftungsrisiko für die Anbieter:innen einhergehen, ist bei der Umsetzung juristische Sorgfalt geboten. Um den Geschäftsverkehr für Anbieter:innen und Nutzer:innen gleichermaßen zu erleichtern, sollte eine gewünschte Aktualisierbarkeit der Dokumente vertraglich festgehalten werden. Dadurch können einzelne Vertragselemente auf den neuesten Stand gebracht werden, ohne einen neuen Vertrag abschließen zu müssen. Einseitige Leistungsänderungsrechte sollten möglichst konkret beschrieben werden. Die eingebetteten Links müssen zudem jederzeit verfügbar, downloadbar und präzise sein. Am besten gelingt dies mit jeweils spezifisch verlinkten Dokumenten.

Rechtliche Beratung und Unterstützung bei der Integration von Verlinkungen in SaaS-Verträge

Die Integration von Verlinkungen in SaaS-Verträge kann ein praktikables und rechtlich sicheres Mittel sein, wenn sie richtig umgesetzt wird. Unsere Rechtsanwältinnen und -anwälte bieten nicht nur einen Überblick über die rechtssichere Gestaltung von Verlinkungen, sondern auch umfassende Unterstützung bei der Vertragserstellung und -prüfung, um das Haftungsrisiko zu minimieren und die Rechtssicherheit Ihrer SaaS-Verträge zu gewährleisten. Kontaktieren Sie uns für eine maßgeschneiderte Rechtsberatung, die Ihr Unternehmen in der digitalen Welt absichert.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Digital Services Act

Digital Services Act – Handlungsbedarf für Diensteanbieter

Die „Verordnung des europäischen Parlaments und des Rates über einen Binnenmarkt für digitale Dienste (Gesetz über digitale Dienste) und zur Änderung der Richtlinie 2000/31/EG“ (kurz: Gesetz über die digitalen Dienste bzw. Digital Services Act) wurde am 19. Oktober 2022 verabschiedet und trat einen Monat später am 16. November 2022 in Kraft. Die Kernbestandteile der Verordnung gelten bereits seit dem Inkrafttreten, der Großteil der Verpflichtungen aber wird ab dem 17. Februar 2024 auf die betroffenen Unternehmen anwendbar sein.

Mit dem Digital Services Act (DSA) sollen die zuvor geltenden Regeln der E-Commerce-Richtlinie aus dem Jahr 2000 aktualisiert werden. Er gehört gemeinsam mit dem Digital Markets Act (DMA) zu einem Reformpaket der EU-Kommission zur Eindämmung der Marktmacht von Internetunternehmen. Die Verordnung richtet sich dabei vor allem an Internetkonzerne, Dienste- und Plattformanbieter sowie Tech-Giganten. Ziel ist zudem ein harmonisierter Wettbewerbsrahmen und eine strenge Regulierung digitaler Dienste innerhalb der Europäischen Union. Es soll ein besserer Schutz von Verbraucher:innen und ihrer Grundrechte im Internet, ein leistungsfähiger und klarer Transparenz- und Rechenschaftsrahmen für Online-Plattformen sowie die Förderung von Innovation, Wachstum und Wettbewerbsfähigkeit am Binnenmarkt geschaffen werden.

Doch für wen gilt der DSA genau und welcher Handlungsbedarf besteht für die betroffenen Unternehmen? Unser Beitrag gibt einen ersten Überblick. Sprechen Sie uns gern jederzeit bei Fragen dazu an. Unser Experten-Team berät Sie gerne.

Jetzt Anfrage zum Digital Services Act senden

Wer ist durch den DSA betroffen?

Die neue Verordnung soll für alle sogenannten „Vermittlungsdienste“ gelten, die für Nutzer:innen mit Niederlassungsort oder Wohnsitz in der Union erbracht werden, ungeachtet des Orts der Niederlassung der Anbieter:innen dieser Dienste, Art. 2 Abs. 1 DSA.

Relevant ist hier, dass der Begriff der Nutzer:innen nicht synonym mit Verbraucher:innen verstanden werden kann. Vielmehr können die Dienste auch für Unternehmen bzw. juristische Personen erbracht werden, also ausschließlich in einem B2B-Kontext angesiedelt sein.

Der Begriff des „Vermittlungsdienstes“ ist in Art. 3 lit. g DSA legaldefiniert. Danach ist ein Vermittlungsdienst eine Dienstleistung in Form einer „reinen Durchleitung“, einer „Caching“-Leistung oder einer „Hosting“-Leistung. Neben Internetzugangsdiensten können hier etwa Online-Plattformen (z.B. soziale Netzwerke), Suchmaschinen und Online-Handelsplattformen darunter gefasst werden.

Insbesondere dem Begriff des „Hostingdiensteanbieters“ sollte hier Aufmerksamkeit geschenkt werden, da der Anwendungsbereich mehr Dienste erfasst als ein klassisches technisches Verständnis des Begriffes nahelegen würde. Der DSA versteht unter einem „Hosting“-Dienst eine Dienstleistung der Informationsgesellschaft, die „darin besteht, von einem Nutzer bereitgestellte Informationen in dessen Auftrag zu speichern.“ Der Wortlaut legt ein weites Verständnis des Begriffes nahe, das über klassische Hosting-Dienste wie soziale Netzwerke hinausgeht. Es ist gerade nicht nötig, dass die Dienste die Daten in einer für Dritte zugänglichen Weise speichern und die Informationen auch öffentlich verbreiten.

Die Verordnung sieht daneben die Verpflichtung sogenannter „Online-Plattformen“ i.S.d. Art. 3 lit. i DSA vor. Diese sind als Unterfall eines „Hosting“-Dienstes zu verstehen. Hauptunterschied zu einem „regulären“ Hosting-Dienst ist, dass eine „Online Plattform“ Informationen im Auftrag eines Nutzers nicht nur speichert, sondern auch öffentlich verbreitet. Nochmals erweiterte Verpflichtungen bestehen zudem für sogenannte „sehr große Online-Plattformen und Suchmaschinen“, wobei entsprechende Anbieter durchschnittlich über mehr als 45 Millionen aktive monatliche Nutzer:innen in der EU verfügen müssen. Die vorstehenden Verpflichtungen treffen sie ebenso.

Haftungsprivilegierungen der Vermittlungsdienste

Für die verschiedenen „Vermittlungsdienste“ finden sich in den Art. 4-6 der Verordnung Haftungsprivilegierungen, die dem alten Regime der Plattformhaftung aus Art. 12-15 E-Commerce-Richtlinie bzw. §§ 8-10 TMG weitestgehend entsprechen.

Im Grundsatz haften die Dienste-Anbieter:innen nicht für übermittelte rechtswidrige Inhalte, es bestehen jedoch Ausnahmen. Access-Provider:innen dürfen beispielsweise die Übermittlung nicht selbst veranlasst haben, den Adressaten des Inhalts auswählen oder die übermittelten Informationen auswählen oder verändern. Caching- und Hosting-Dienste treffen darüber hinaus bestimmte Sperr- bzw. Entfernungspflichten. Hosting-Anbieter:innen haften etwa nur dann nicht, wenn sie keine tatsächliche Kenntnis von den rechtswidrigen Inhalten haben und diese nach Kenntniserlangung zügig sperren oder entfernen.

Nach Art. 7 DSA sollen freiwillige Maßnahmen von Plattformbetreiber:innen zum Auffinden und der anschließenden Beseitigung von Rechtsverletzungen nicht zu ihren Lasten gehen, sie führen somit nicht zum Entfallen der in den Art. 4-6 DSA vorgesehenen Haftungsfreistellung (sog. „Good Samaritan“ Klausel). Dies gilt etwa für Untersuchungen, die bereits vor der Notifizierung hinsichtlich eines rechtswidrigen Inhalts durchgeführt werden. Art. 8 DSA stellt zudem klar, dass es keine allgemeine oder präventive Pflicht zur Überwachung oder zur aktiven Nachforschung der Anbieter:innen hinsichtlich rechtswidriger Tätigkeiten gibt.

Jetzt Anfrage zum Digital Services Act senden

Mögliche Sanktionen und Durchsetzungsmechanismen

Den „Koordinatoren für digitale Dienste“ werden zunächst Untersuchungs- und Durchsetzungsbefugnisse „im Zusammenhang mit der Anwendung und Durchsetzung dieser Verordnung“ zugewiesen, Art. 51 DSA. In Deutschland wird es sich dabei nach dem den DSA ergänzenden Digitale-Dienste-Gesetz um die Bundesnetzagentur handeln.

Anschließend sieht die Verordnung in Art. 52 DSA Sanktionsmöglichkeiten vor, wobei die eigentlichen Sanktionsvorschriften von den Mitgliedstaaten erlassen werden sollen. Der DSA definiert an dieser Stelle allerdings die Höchstbeträge der Geldbußen, die bei Nichteinhaltung einer der im DSA festgelegten Verpflichtungen gelten:

  • 6% des weltweiten Jahresumsatzes der betreffenden Anbieter:innen von Vermittlungsdiensten im vorangegangenen Geschäftsjahr
  • 1% des weltweiten Jahresumsatzes der betreffenden Anbieter:innen von Vermittlungsdiensten im vorangegangenen Geschäftsjahr bei Bereitstellung unrichtiger, unvollständiger oder irreführender Informationen, beim Versäumnis einer Antwort oder der Berichtigung unrichtiger, unvollständiger oder irreführender Informationen sowie bei der Nichtduldung einer Nachprüfung.
  • Höchstbetrag eines Zwangsgeldes: 5% des durchschnittlichen Tagesumsatzes oder der durchschnittlichen weltweiten Tageseinnahme der betreffenden Anbieter:innen von „Vermittlungsdiensten“ in dem vorangegangenen Geschäftsjahr

Wie können wir Sie beraten?

Die Umsetzung des Digital Services Acts stellt eine komplexe und anspruchsvolle Aufgabe dar, die in ihrer Umsetzung fundierte rechtliche Expertise erfordert. Die richtige Beratung ist entscheidend, um potentielle Risiken zu minimieren und Chancen optimal zu nutzen. Sprechen Sie uns an, um die vielschichtigen rechtlichen Anforderungen zu verstehen und rechtliche Stolpersteine zu vermeiden. Vertrauen Sie auf unsere Expertise und kontaktieren Sie uns noch heute.

Bitte kontaktieren Sie mich zum Digital Services Act

Ihre Einwilligung können Sie jederzeit für die Zukunft widerrufen, indem Sie uns mit der E-Mail-Adresse, mit der Sie Newsletter empfangen, eine E-Mail an marketing@srd-rechtsanwaelte.de senden.
Informationen zur Datenverarbeitung und Erfolgsmessung finden Sie in der Datenschutzerklärung.

Pharma Health Logbuch

Aktuelle Entwicklungen im digitalen Gesundheitswesen: Rechtliche Herausforderungen und News aus dem eHealth-Sektor

Die Digitalisierung des Gesundheitswesens hat seit den letzten Jahren einen enormen Einfluss auf die Art und Weise, wie medizinische Dienstleistungen genutzt und in Anspruch genommen werden. Von telemedizinischen Konsultationen über Gesundheits-Apps bis hin zu Wearables, die Vitaldaten messen – das digitale Gesundheitswesen, auch bekannt als eHealth, bietet neue und aufregende Möglichkeiten, die Gesundheit zu überwachen und zu verbessern. Angesichts des rasanten technologischen Fortschritts und der ständig wachsenden Menge an verfügbaren Daten ist es für Unternehmen aus der Gesundheitsbranche unerlässlich, aktuelle Entwicklungen und Trends zu verfolgen.

IT Sicherheit im Gesundheitswesen

Wie jede technologische Entwicklung bringt auch das digitale Gesundheitswesen rechtliche Herausforderungen mit sich. Unternehmen in diesem Bereich sind mit einer Vielzahl von Fragen und Anforderungen in Bezug auf Datenschutz, Haftung, Regulierung und Compliance konfrontiert. Die rasante Entwicklung neuer Technologien erfordert eine ständige Anpassung der rechtlichen Rahmenbedingungen, um den Schutz von Patient:innendaten und die Sicherheit digitaler Gesundheitsanwendungen zu gewährleisten.

An dieser Stelle werden die neuesten Entwicklungen und aktuelle Nachrichten aus dem Bereich des digitalen Gesundheitswesens präsentiert – beispielsweise Updates zu relevanten Gesetzen, Entwürfen oder Entscheidungen, die das digitale Gesundheitswesen betreffen. Der jeweils neueste Beitrag steht dabei an oberster Stelle.

Informieren Sie sich hier für alle News und Updates im Gesundheitswesen

Berlin: Senat beschließt Änderung des Landeskrankenhausgesetzes (LKG), 11.12.2023

Der Senat hat am 28. November 2023 das Vierte Gesetz zur Änderung des Landeskrankenhausgesetzes beschlossen.

Die Änderung besteht darin, dass die Anzeigepflicht vor der Auftrags- bzw. Unterauftragsdatenverarbeitung bei der für
Gesundheit zuständigen Senatsverwaltung weggefallen ist. Der Senat sagt, dass die Anzeigepflicht in der Praxis nicht funktioniert hat. Es hat sich gezeigt, dass die Anzeigepflicht keine wichtigen Erkenntnisse gebracht hat und für Krankenhäuser und die Senatsverwaltung einen unwesentlichen bürokratischen Aufwand darstellt. Deshalb soll § 24 Absatz 7 Satz 2 Nummer 3 LKG ersatzlos gestrichen werden. Diese Vorlage wird nun dem Abgeordnetenhaus von Berlin zugeleitet.

Hat dies Auswirkungen auf die Praxis?

Kommt die Änderung, wird die Anzeigepflicht für die Datenverarbeitung im Auftrag oder Unterauftrag für Krankenhäuser in Berlin vollständig entfallen. Es wird eine Entlastung der Krankenhäuser und eine Reduzierung der Bürokratie angestrebt.

Wenn Sie Hilfe bei der Gestaltung Ihrer Auftragsverarbeitung benötigen, stehen wir gerne zur Verfügung. Vertrauen Sie auf unsere Expertise.

Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen, 28.11.2023

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder („DSK“) hat am 6. November 2023 ein Positionspapier zu cloudbasierten digitalen Gesundheitsanwendungen veröffentlicht. Das Positionspapier erinnert an die rechtlichen Anforderungen, die digitale Gesundheitsanwendungen im Sinne von § 33a SGB V (sogenannte DiGA) erfüllen müssen, und konkretisiert allgemeine Grundsätze für Anbieter und Hersteller sonstiger Gesundheitsanwendungen. Das Papier enthält zwar nur wenig Neues. Manche Aussagen dürften Anbieter und Hersteller von Gesundheitsanwendungen aber überraschen. Wir ordnen die Veröffentlichung der Aufsichtsbehörden ein:

Cloudbasierte Gesundheitsanwendungen müssen auch ohne Cloudfunktionen nutzbar sein

Für Anbieter und Hersteller von cloudbasierten Gesundheitsanwendungen dürften vor allem die Ausführungen zur Nutzung von Cloudfunktionen entscheidend sein. Die DSK fordert nämlich, dass die Nutzung einer cloudbasierten Gesundheitsanwendung auch ohne den Einsatz von Cloudfunktionen oder die Verknüpfung mit einem Benutzerkonto möglich sein muss. Eine Ausnahme von dieser Regel soll dann nur gelten, wenn die Cloudfunktion für die „Erreichung des therapeutischen Nutzens“ unbedingt erforderlich ist und von der betroffenen Person gewünscht wird. Anbieter sollen daher Auswahlmöglichkeiten für Nutzer schaffen. Machen sie davon Gebrauch, sollen ihre Daten allenfalls lokal gespeichert werden dürfen. Die DSK fordert also letztlich die Gesundheitsanwendung zwei Mal anzubieten: einmal mit Cloudfunktion und einmal lokal.

Keine Reichweitenanalyse oder Fehlerverfolgung

An verschiedenen Stellen geht die DSK auf die zulässige Nutzung personenbezogener Daten ein. Nach Auffassung der Behörden ist die Auswertung personenbezogener Daten zur Qualitätssicherung dort zu rechtfertigen, wo eine solche Sicherung vorgeschrieben ist – zum Beispiel bei Medizinprodukten. In anderen Fällen sei eine Auswertung des Nutzerverhaltens nicht zu rechtfertigen. Insbesondere Reichweitenanalyse oder Fehlerverfolgung sei, so die DSK, nicht mit dem Zweck einer Gesundheitsanwendung vereinbar. Damit wird nicht nur die Verbesserung des Nutzerangebots unnötig erschwert, sondern auch die Möglichkeit beschnitten, Fehler schnell zu erkennen und effektiv zu beheben.

TOM und IT-Sicherheit

Darüber hinaus enthält das Positionspapier eine exemplarische Liste technischer und organisatorischer Maßnahmen (TOM). So sollen Anbieter und Hersteller unter anderem Gebrauch von der Multi-Faktor-Authentifizierung machen, bei der Zugriffskontrolle eine „least privilege policy“ etablieren und regelmäßig IT-Sicherheits– und Penetrationstests durchführen. Empfohlen wird außerdem, sich bei Herstellung von Anwendungen, die besondere Kategorien personenbezogener Daten verarbeiten, an der Technischen Richtlinie (TR) 03161 des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu orientieren. Sie enthält Vorgaben sowohl für mobile als auch für Web-Anwendungen und Hintergrundsysteme – beispielsweise für die Vertraulichkeit, Integrität und Verfügbarkeit informationstechnischer Systeme. Hersteller können sich außerdem freiwillig einem Prüfverfahren unterwerfen, in dem die rechtskonforme Umsetzung ihrer Authentifikationssysteme kontrolliert wird.

Zusammenfassung

Das DSK-Papier erinnert an verschiedenen Stellen an die Einhaltung datenschutzrechtlicher Verpflichtungen. So wird beispielsweise darauf hingewiesen, dass Verantwortliche, die digitale Gesundheitsanwendungen anbieten, in aller Regel Datenschutz-Folgenabschätzungen durchführen müssen. Wollen sie personenbezogene Daten anonymisiert nutzen, sollen sie dokumentieren, dass und wie der Personenbezug tatsächlich entfernt wird. Darüber hinaus erlegt das Positionspapier vor allem Anbietern und Herstellern von cloudbasierten Gesundheitsanwendungen weitere Pflichten auf. Insbesondere der Verzicht auf Nutzerkonten, Cloudfunktionen und Analysetools werden sowohl die Herstellung als auch die laufende Verbesserung von Gesundheitsanwendungen nachhaltig erschweren.

EuGH-Entscheidung Patientenakte: Kommt das Recht auf kostenlose Kopie?, 26.10.2023

Die Entscheidung dürfte den Arbeitsalltag in Arztpraxen verändern. Am 26. Oktober 2023 entschied der Gerichtshof der Europäischen Union (EuGH), dass Patient:innen grundsätzlich das Recht haben, eine kostenlose Kopie ihrer Patientenakte zu verlangen. Nun muss der Bundesgerichtshof (BGH) entscheiden, ob die in Deutschland geltende Kostentragungspflicht bestehen bleibt.

Einsicht, Auskunft und Kopie: Im Jahr 2013 beschloss der Deutsche Bundestag das Gesetz zur Verbesserung der Rechte von Patientinnen und Patienten. Mit dem Gesetz wurde das Recht zur Einsichtnahme in die Patientenakte im Bürgerlichen Gesetzbuch (BGB) verankert. Seitdem sind Behandler:innen gesetzlich verpflichtet, eine Patientenakte anzulegen, und zwar in unmittelbarem zeitlichen Zusammenhang mit der Behandlung, § 630f BGB. Außerdem gewährt § 630g BGB Patient:innen das Recht, auf Anfrage Einsicht in diese Akte zu erhalten. Fordern sie elektronische Kopien an, müssen sie die Kosten tragen, § 630g Abs. 2 S. 2 BGB.

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) steht diese letzte Bestimmung in einer gewissen Spannung zum Europarecht. Denn nach Art. 15 Abs. 1 und 3 DSGVO kann eine betroffene Person regelmäßig eine Kopie der personenbezogenen Daten verlangen, die Gegenstand einer Verarbeitung sind. Die verantwortliche Stelle muss die Kopie nach Art. 12 Abs. 5 S. 1 DSGVO unentgeltlich zur Verfügung stellen. Unklarheit herrschte nun vor allem bei der Frage, wie sich § 630g BGB zu Art. 12 und 15 DSGVO verhält, konkret: ob eine Patientenakte, in der personenbezogenen Daten verarbeitet werden, nach Art. 15 DSGVO herausgegeben ist, und wer in diesem Fall die Kosten für die Anfertigung der Kopie zu tragen hat.

Der Gang des Verfahrens: Hintergrund der nun ergangenen Entscheidung war der Streit, den ein deutscher Patient mit seiner Zahnärztin führte. Der Patient hatte vermutet, dass der Zahnärztin bei der Behandlung Fehler unterlaufen seien. Er forderte also eine Kopie seiner Patientenakte an, um mögliche Ansprüche zu prüfen. Die so belangte Zahnärztin wollte dem Patienten die Akte allerdings nur gegen Zahlung der Kopierkosten zur Verfügung stellen. Hiergegen klagte der Patient erfolgreich. Er gewann sowohl erstinstanzlich als auch in der Berufungsinstanz. Schließlich legte der mit der Revision befasste BGH den Fall dem EuGH vor. Der BGH wollte vom EuGH insbesondere wissen,

  1. ob ein:e Behandler:in auch dann verpflichtet sei, Patient:innen eine kostenlose Kopie der personenbezogenen Daten zur Verfügung zu stellen, wenn die Anfrage an sich legitim ist, aber datenschutzfremde Zwecke verfolgt?
  2. ob nationale Regelung Patient:innen die Kosten für eine Kopie der Patientenakte immer und unabhängig von den Umständen des Einzelfalls auferlegen können?
  3. ob vom datenschutzrechtlichen Auskunftsanspruch alle Teile der Patientenakte umfasst sind?

Betroffene:r muss Anfrage nicht begründen, verantwortliche Stelle trägt die Kosten: Im Urteil vom 26. Oktober 2023 (Rs. C 307/22) stellte der EuGH zunächst klar, dass der Anspruch auf Auskunft nicht von Motiven abhänge. Auch wenn ein:e Betroffene:r datenschutzfremde Absichten verfolge, dürfe die Auskunft nicht verweigert werden. Die betroffene Person müsse nach dem eindeutigen Wortlaut des Art. 15 DSGVO keine Begründung für die Anforderung von Auskunft und Kopie angeben. Daher könne die verarbeitende Stelle die Auskunft nicht mit dem Argument verweigern, die Anfrage verfolge datenschutzfremde Motive. Mit seiner Antwort klärt der EuGH eine kontrovers diskutierte Frage, die insbesondere im Zusammenhang mit arbeitsrechtlichen Streitigkeiten immer wieder relevant ist. Nicht beantwortet wurde jedoch die Frage, ob das Auskunftsrecht auch bei rechtsmissbräuchlichen Anfragen weiter besteht.

Anschließend wandte der EuGH sich der zweiten Vorlagefrage zu. Eine systematische Auslegung von Art. 12 Abs. 5 sowie Art. 15 Abs. 1 und 3 DSGVO ergebe, dass es unzulässig sei, der betroffenen Person die Kosten für eine Kopie aufzuerlegen, wenn die entsprechende Regelung allein die wirtschaftlichen Interessen des Verantwortlichen schütze. Zwar seien in gewissem Umfang Beschränkungen des datenschutzrechtlichen Auskunftsanspruchs zulässig. Diese Beschränkungen seien aber nur dann gerechtfertigt, wenn sie dem Schutz von Rechten und Freiheiten Dritter dienten.

Schließlich entschied der EuGH, dass der Patient eine vollständige Kopie aller Dokumente in seiner Patientenakte verlangen dürfe. Die Kopie müsse also mitunter Informationen wie beispielsweise Diagnosen, Untersuchungsergebnisse, Befunde der behandelnden Ärzt:innen und Angaben zuvorgenommenen Behandlungen oder Eingriffen enthalten.

Wie geht es nun weiter? Auch nach der Entscheidung des EuGH bleibt es weiter spannend. Abzuwarten bleibt insbesondere, wie der deutsche Gesetzgeber auf das Urteil reagiert und ob er die Regelung in § 630g BGB konkretisiert. Um die Kostentragungspflicht für die erste Kopie der Patientenakte weiterhin Patient:innen aufzuerlegen, müsste aus der Regelung klar hervorgehen, dass es dabei nicht nur um den Schutz wirtschaftlicher Interessen der Behandler:innen geht.

Nun ist der BGH am Zug. Er muss den weiter anhängigen Rechtstreit zwischen dem klagenden Patienten und der behandelnden Zahnärztin entscheiden. Nach der Klarstellung durch den EuGH ist allerdings eine Entscheidung zugunsten des Klägers wahrscheinlich. Arztpraxen, Krankenhäuser und medizinische Versorgungszentren müssen sich daher darauf einstellen, dass Patient:innen in Zukunft auf eine unentgeltliche Kopie der Patientenakte bestehen.

Neue Referentenentwürfe zum Gesundheitsdatennutzungsgesetz (GDNG) und zum Digital-Gesetz (DigiG), 23.06.2023

Das Bundesministerium für Gesundheit (BMG) hat Mitte Juni 2023 zwei neue Referentenentwürfe von Gesetzen veröffentlicht: den Entwurf eines Gesetzes zur verbesserten Nutzung von Gesundheitsdaten (Gesundheitsdatennutzungsgesetz – GDNG) sowie den Entwurf eines Gesetzes zur Beschleunigung der Digitalisierung des Gesundheitswesens (Digital-Gesetz – DigiG). Beide Entwürfe sind als Reaktion auf das vieldiskutierte, ambitionierte Vorhaben auf europäischer Ebene zu werten: den European Health Data Space (EHDS). Das GDNG könnte allerdings schon deutlich früher, am 1. Januar 2024, in Kraft treten.

I. Gesundheitsdatennutzungsgesetz (GDNG)
Das GDNG soll, dem Entwurf der Verordnung zur Schaffung eines europäischen Raums für Gesundheitsdaten (EHDS-VO) entsprechend, in erster Linie dazu dienen, die Nutzung von Daten zu Forschungs- und Innovationszwecken zu vereinfachen. Hierzu soll eine Datenzugangs- und Koordinierungsstelle die Zusammenarbeit von Datenhaltern und -nutzern auf nationaler Ebene koordinieren und Anträge auf Zugang zu Gesundheitsdaten bearbeiten. Sie soll an das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angegliedert werden, allerdings von diesem technisch und organisatorisch unabhängig arbeiten. Die Stelle entspricht damit in etwa der Zugangsstelle, die auch im Rahmen des EHDS für die Sekundärnutzung elektronischer Gesundheitsdaten in den einzelnen Mitgliedsstaaten vorgesehen ist. Die koordinierte Datenfreigabe über die Zugangsstelle soll dazu dienen, die aktuell noch hohen bürokratischen Hürden abzubauen, die Forschenden und anderen Datennutzungswilligen aktuell im Weg stehen.

Das bereits geschaffene Forschungsdatenzentrum soll künftig sein volles Potential entfalten und die dort gespeicherten Abrechnungsdaten der gesetzlichen Krankenkassen nutzbar machen. Geplant ist hier vor allem die Verknüpfung der Daten des Forschungsdatenzentrums und der klinischen Krebsregister. Um diese Verknüpfung datenschutzkonform zu realisieren, sollen anlassbezogen erstellte Forschungskennziffern zum Einsatz kommen. Rechtsverordnungen sollen die Einführung dieser Kennziffern noch weiter konkretisieren. Daneben sieht das GDNG vor, die Daten aus der elektronischen Patientenakte (ePA) für die Forschung bereit zu stellen. Zudem sollen die gesetzlichen Kranken- und Pflegekassen in die Lage versetzt werden, ihre eigenen Daten für die Verbesserung der Versorgung fruchtbar zu machen. „Zum individuellen Gesundheitsschutz“ sollen die Kassen datengestützte Auswertungen durchführen dürfen. Die Versicherten sollen ferner, wenn den Kassen eine konkrete Gefahr für ihre Gesundheit bekannt ist, im Zweifel auch direkt adressiert werden dürfen.

Schließlich soll der Gesundheitsdatenschutz gestärkt werden. So soll Forschenden ein Zeugnisverweigerungsrecht zustehen. Außerdem soll ein Beschlagnahmeverbot für Gesundheitsdaten eingeführt werden. Um die unzulässige Preisgabe von Gesundheitsdaten strafrechtlich verfolgen und sanktionieren zu können, soll es ein Forschungsgeheimnis geben. Der Bundesdatenschutzbeauftragte (BfDI) soll schließlich mit einem deutlich größeren Aufgabenspektrum betraut werden als bisher. Nicht nur wird ihm nach dem GDNG die Aufsicht über diverse Akteure des Gesundheitswesens zugewiesen (darunter die Kassenärztliche Bundesvereinigung (KBV), der GKV-Spitzenverband und das Zentralinstitut für die kassenärztliche Versorgung (Zi). Auch klinische Prüfungen soll der BfDI zukünftig datenschutzrechtlich beaufsichtigen.

II. Digital-Gesetz (DigiG)
Das DigiG ist ein reines Artikelgesetz, mit welchem vor allem das SGB V geändert wird, und soll da ansetzen, wo die Digitalisierung des Gesundheitswesens derzeit stockt. So soll das DigiG vor allem die elektronische Patientenakte (ePA) stärken, das E-Rezept besser nutzbar machen, den Ausbau der Digitalen Gesundheitsanwendungen (DiGA) vorantreiben, Telemedizin fördern und schließlich die Interoperabilität informationstechnischer Gesundheitssysteme und die Cybersicherheit verbessern.

Um die großen Hürden bei der Nutzung der ePA zu beseitigen und eine weite Verbreitung zu erreichen, soll die ePA als Widerspruchslösung (Opt-out-Lösung) ausgestaltet werden. Außerdem soll die Befüllung sowie der Zugriff auf die in der ePA gespeicherten Daten grundlegend vereinfacht werden. Ziel ist die vollumfängliche, weitestgehend automatisiert laufende Befüllung der ePA mit strukturierten Daten, während den Versicherten ein Widerspruchsrecht gegen die Verarbeitung ihrer Daten eingeräumt wird. Man erhofft sich hiermit, die ePA flächendeckend in die Versorgung zu integrieren. Mittels der ePA-App soll künftig auch die E-Rezept-App nutzbar sein. Über Letztere sollen Versicherte künftig auch digitale Identitäten, NFC-fähige elektronische Gesundheitskarten (eGK) sowie dazugehörige PINs beantragen können. Die Zusammenlegung dieser Online-Anwendungen soll ihre Nutzung praxisnäher gestalten und sie so attraktiver und zugänglicher machen.

Weiter sieht das DigiG vor, den Leistungsanspruch Versicherter auf Medizinprodukte höherer Risikoklassen auszuweiten. DiGAs wären danach auch als Medizinprodukte der Risikoklasse IIb möglich. Außerdem soll Telemedizin ein fester Bestandteil der Gesundheitsversorgung werden. Videosprechstunden sollen noch breiter eingesetzt und leichter genutzt werden können. Zusätzlich soll Versicherten ein neuer Leistungsanspruch auf „assistierte Telemedizin in Apotheken“ zustehen. Um der Heterogenität der Informationssysteme im deutschen Gesundheitssystem entgegenzuwirken, sollen verbindliche Standards definiert werden. Hierdurch soll der Informationsaustausch im Gesundheitswesen verbessert, die Datenverfügbarkeit erhöht und insgesamt die Behandlungsqualität deutlich verbessert werden.

Schließlich will die Bundesregierung auch im Bereich der Cybersicherheit mit dem DigiG aktiv werden. Den Risiken des Cloud Computing will man mit der Einführung des § 390 SGB V begegnen. Die Norm verlangt die Einhaltung des „Kriterienkatalog Cloud Computing C5“ des Bundesamts für Sicherheit in der Informationstechnik (BSI).

Die vorliegenden Gesetzesentwürfe sind vielversprechend. Das Gesundheitsdatennutzungsgesetz (GDNG) könnte den Forschungsstandort Deutschland nachhaltig stärken. Das Digital-Gesetz (DigiG) hat das Potential, der notwendigen Digitalisierung des Gesundheitswesens den lang ersehnten Schub zu verleihen. Gleichzeitig hat die Bundesregierung aber die Absicht geäußert, in Abstimmung auf EU-Ebene, den EHDS betreffend, vorgehen zu wollen. In jedem Fall bringen beide Gesetze für die Gesundheitsbranche neue Herausforderungen, zahlreiche Fragen und Unsicherheiten mit sich. Vertrauen Sie auf unsere Expertise. Gemeinsam finden wir Lösungen und beantworten Ihre Fragen.

Hamburgisches Krebsregister: Praxisrelevante Entscheidung zu Anonymisierung und Pseudonymisierung, 09.02.2023

Auch nach einer mehrstufigen Pseudonymisierung und Löschung der korrespondierenden Klardaten kann es sich weiter um personenbezogene Daten handeln, die nach Art. 15 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) zu beauskunften sind. So entschied das Verwaltungsgericht (VG) Hamburg mit Urteil vom 28.07.2022 (Az. 21 K 1802/21). Die Entscheidung ist von hoher Praxisrelevanz. Sie betrifft vor allem Forschungseinrichtungen und Unternehmen, die Gesundheitsdaten verarbeiten, sich aber darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Besonders lesenswert sind die Ausführungen des VG zur Abgrenzung von Anonymisierung und Pseudonymisierung im Gesundheitsbereich und zur Reichweite der Betroffenenrechte.

Worüber hat das Gericht entschieden?

Die nachmalige Klägerin war im Jahr 2019 an Brustkrebs erkrankt und hatte sich in medizinische Behandlung begeben. Im Rahmen dieser Behandlung wurden diverse Daten der Klägerin verarbeitet, die zum Teil Personenbezug aufwiesen: der Name und die Anschrift der Klägerin, die vergebenen Diagnosen oder die durchgeführten Operationen zum Beispiel. Diese Daten wurden von den behandelnden Ärzt:innen an das Hamburgische Krebsregister (HKR) übermittelt. In diesem epidemiologischen und klinischen Register werden Krebserkrankungen und die damit verbundenen Daten erfasst, um die Prävention und die onkologische Versorgung zu verbessern. Die Übermittlung dieser Daten ist an sich nichts Ungewöhnliches. Gemäß § 2 Abs. 1 des Hamburgischen Krebsregistergesetzes (HmbKrebsRG) sind Ärzt:innen sogar dazu verpflichtet, das Entstehen, das Auftreten, die Behandlung und den Verlauf bösartiger Neubildungen einschließlich ihrer Frühstadien sowie von gutartigen Tumoren an das HKR zu übermitteln.

Für die Verarbeitung personenbezogener Gesundheitsdaten hat das HKR bestimmte technische und organisatorische Sicherheitsvorkehrungen getroffen. Daten, die einen unmittelbaren Rückschluss auf die erkrankte Person erlauben (personenidentifizierende Klartextdaten) und die als Gesundheitsdaten im Sinne von Art. 9 Abs. 2 DSGVO besonders schützenswert sind, erhalten zunächst einen pseudonymen Kontrollnummernsatz und werden dann noch einmal verschlüsselt. So können neue Daten mit schon vorhandenen abgeglichen und dem bisherigen Kontrollnummernsatz hinzugefügt werden, ohne auf Klartextdaten zurückzugreifen – ausreichend ist der Abgleich mit den verschlüsselten Kontrollnummern. Um den Zugriff auf Klartextdaten weiter zu beschränken, ist das HKR außerdem in einen Registerbereich und einen Vertrauensbereich unterteilt. Nur die Mitarbeitenden des Vertrauensbereichs haben Zugriff auf die personenidentifizierbaren Klartextdaten. Mitarbeitende im Registerbereich können dagegen nur den verschlüsselten Kontrollnummernsatz einsehen.

Anfang 2020 wurde die Klägerin von der Universität zu Lübeck angeschrieben und gefragt, ob sie bereit sei, an einer Studie zur Versorgung von Krebspatienten teilzunehmen. Daher wollte sie wissen, welche personenbezogenen Daten das HKR von ihr verarbeitet und an die Universität zu Lübeck weitergegeben hatte. Sie machte zunächst außergerichtlich einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend. Außerdem widersprach sie der Weiterverarbeitung und Weitergabe ihrer Daten nach § 12 Abs. 3 S. 1 HmbKrebsRG. Daraufhin beauskunftete das HKR die personenbezogenen Klartextdaten der Klägerin und löschte sie anschließend aus dem Vertrauensbereich. Die Klägerin war damit allerdings nicht zufrieden. Sie begehrte weiterhin Auskunft über die nun allein vorliegenden Kontrollnummernsätze und ihre Löschung aus dem Registerbereich. Das HKR verweigerte Auskunft und Löschung mit dem Argument, dass eine Zuordnung dieser Kontrollnummernsätze zur Klägerin nach Löschung der Klartextdaten nicht mehr möglich sei. Eine Entschlüsselung sei technisch unmöglich, eine Reidentifizierung durch § 12 Abs. 2 S. 3 HmbKrebsRG gesetzlich verboten. Daher handele es sich nunmehr um anonymisierte Daten, auf deren Verarbeitung die DSGVO überhaupt keine Anwendung mehr fände.

Wogegen richtete sich die Klage?

Die Klage der Betroffenen richtete sich vor allem gegen die verweigerte Auskunft und die unterbliebene Löschung ihrer personenbezogenen Daten aus dem HKR. Die betroffene Klägerin sah in der Weigerung nicht nur einen Verstoß gegen zahlreiche datenschutzrechtliche Vorschriften, sondern auch einen Eingriff in ihr Allgemeines Persönlichkeitsrecht aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 Grundgesetz (GG). Vor allem aber machte sie geltend, dass es sich bei den Kontrollnummernsätzen nicht um anonymisierte, sondern lediglich um pseudonymisierte Daten handele, weil es dem HKR jederzeit möglich sei, die betroffene Person auch ohne die gelöschten Klartextdaten zu identifizieren.

Wie hat das Gericht entschieden?

Das VG Hamburg gab der Klägerin weitgehend Recht. Es sah in den vermeintlich anonymisierten ebenfalls pseudonymisierte Daten. Denn das gesetzliche Verbot in § 12 Abs. 3 S. 3 HmbKrebsRG, pseudonymisierte Daten nach einem Widerspruch der betroffenen Person zu reidentifizieren, könne nur bedeuten, dass dies auch nach Löschung der Klartextdaten rechtlich und tatsächlich möglich sei. Eine Reidentifizierung sei rechtlich möglich, weil § 12 Abs. 3 S. 3 HmbKrebsRG kein objektives Verbot, sondern ein disponibles Recht enthalte. Die tatsächliche Möglichkeit der Reidentifizierung ergebe sich daraus, dass sich der Personenbezog der Kontrollnummernsätze ohne größeren Aufwand wieder herstellen lasse: über die Such- und Filterfunktion in der vom Register verwendeten Software und Heranziehung bestimmter Verknüpfungsmerkmale wie der Krebsentität, dem Geburtsdatum, dem Geschlecht oder der Postleitzahl; aber auch durch eine Kooperation mit der Betroffenen, die ihre Kontrollnummer dem Datenbankadministrator zur Verfügung stelle. Allerdings gab die Kammer der Klage auch nicht vollumfänglich statt. Sie wies die geltend gemachten Ansprüche der Klägerin teilweise zurück. Insbesondere sei der Auskunftsanspruch aus Art. 15 Abs. 1 DSGVO nicht in die Vergangenheit gerichtet, sondern erstrecke sich allein auf die derzeit im HKR verarbeiteten Daten. Dies folge aus dem klaren Wortlaut („verarbeitet werden“) und dem Telos der Norm. Sinn und Zweck des Art. 15 Abs. 1 DSGVO sei es nämlich gerade, eine Informationsgrundlage für einen etwaigen Löschungsanspruch zu schaffen. Die Klägerin könne daher keine Auskunft über diejenigen Daten verlangen, die zum Zeitpunkt ihres ersten Auskunftsersuchens durch die Beklagte verarbeitet worden seien.

Welche Folgen hat die Entscheidung für die Praxis?

Die Entscheidung dürfte Folgen sowohl für betroffene Personen haben, die einen Auskunftsanspruch nach Art. 15 Abs. 1 DSGVO geltend machen wollen, als auch für Verantwortliche, die einem solchen Anspruch möglicherweise entsprechen müssen: einerseits können sich Verantwortliche nur unter sehr engen Voraussetzungen darauf zurückziehen, dass sie pseudonymisierte Datensätze nur mit unverhältnismäßigem Aufwand wieder identifizieren können. Andererseits müssen sie nunmehr nur diejenigen Verarbeitungstätigkeiten beauskunften, die zum betreffenden Zeitpunkt auch tatsächlich stattfinden. Besonders relevant ist die Entscheidung für Stellen, die Gesundheitsdaten verarbeiten und sich darauf verlassen, dass ein Personenbezug nur unter unverhältnismäßigem Aufwand herzustellen sei. Handelt es sich beispielsweise um eine seltene Erkrankung und liegen außerdem demographische Angaben oder Verknüpfungsmerkmale wie die Postleitzahl vor, kann es sich nach dem VG Hamburg bereits um ein pseudonymes Datum handeln, dass entsprechend zu beauskunften und gegebenenfalls zu löschen ist.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

KG Berlin Schadensersatz

KG Berlin: Immaterielle Schadensersatzansprüche aus Art. 82 DSGVO müssen konkret dargelegt werden

Das Kammergericht Berlin (KG Berlin) bestätigt mit Urteil vom 22.11.2023 in einem durch uns geführten Verfahren unter anderem erneut, dass betroffene Personen etwaige erlittene immaterielle Schäden nach Art. 82 DSGVO in konkret-individueller Weise darlegen müssen. Das Gericht hat damit die Abweisung der Klage gegen unsere Mandantin in der erstinstanzlichen Entscheidung des Landgerichts (LG Berlin) bestätigt. Geklagt hatte ein Legal Tech-Unternehmen, dessen Geschäftsmodell darin besteht, Verbrauchern ihre vermeintlich bestehenden datenschutzrechtlichen Ansprüche „abzukaufen“ und diese anschließend (gerichtlich) zu Geld zu machen. Im vorliegenden Fall verlangte das Legal Tech im Namen der von einem vermeintlichen Hackerangriff Betroffenen Auskunft (Art. 15 DSGVO) und machte aus abgetretenem Recht Schadensersatz gem. Art. 82 DSGVO geltend.

Auskunftsanspruch umfasst nicht von Hackerangriff betroffene Daten

Das KG Berlin schloss sich in der Berufungsinstanz der Begründung durch das erstinstanzliche Urteil des LG Berlin an. Das Landgericht hatte in seinem Urteil (Urt. v. 24.03.2023, Az. 38 O 221/22) insbesondere ausgeführt, dass Art. 15 DSGVO nicht ohne Weiteres solche Auskunftsverlangen umfasse, die sich auf die konkret betroffenen Daten eines Datenlecks beziehen, bei dem unautorisierte Dritte auf ebendiese Daten zugreifen. Dies sei etwa im Falle eines Hackerangriffs der Fall. Als Begründung wurde hierzu ausgeführt, dass etwaige im Rahmen eines Hackerangriffs abgegriffene Daten gerade nicht bei der Beklagten als Verantwortliche verarbeitet werden. Es gehe insofern „[…] um die Frage nach einer sich auch für die Beklagte als aufgezwungen darstellende Abschöpfung von Daten durch einen Dritten“. Auch wenn die Beklagte Ermittlungen zu den im Rahmen eines Angriffs abgeschöpften Daten angestellt haben mag, liege darin gerade keine Verarbeitung der Daten durch die Beklagte.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Auskunft nach Art. 15 DSGVO muss direkt an Betroffene verlangt werden

Das Kammergericht betont zudem, dass der Anspruch aus Art. 15 DSGVO nicht abtretbar sei; es müsse im Klageantrag stets eindeutig (direkt) Auskunft an die betroffene Person verlangt werden. Das kann so verstanden werden, dass etwa Legal Tech-Unternehmen, die Ansprüche bündeln und gegenüber Verantwortlichen geltend machen, Auskunft nach Art. 15 DSGVO lediglich direkt an die betroffene Person verlangen dürfen, nicht allerdings an sich selbst.

Auch macht das Kammergericht in Zustimmung mit der vorinstanzlichen Entscheidung des Landgerichts Berlin nochmals deutlich, dass der allgemeine Auskunftsanspruch nach § 242 BGB bei Anwendbarkeit der spezielleren Vorschriften der Art. 32 ff. DSGVO gesperrt sei.


Das könnte Sie auch interessieren:


Konkreter Schaden im Rahmen von Art. 82 DSGVO notwendig

Zuletzt führt das KG Berlin aus, dass einem durch die Klägerin geltend gemachten Schadensersatzanspruch aus Art. 82 DSGVO der fehlende Vortrag in konkret-individueller Weise von Missbrauchsversuchen aufgrund der Datenabschöpfung betroffen zu sein – oder allein durch die Veröffentlichung der abgeschöpften Daten betroffen zu sein – entgegenstehe. Art. 82 DSGVO erfordere zwar gerade keine Erheblichkeitsschwelle; gleichwohl müssten Betroffene aber individuell die für sie negativen Folgen eines DSGVO-Verstoßes nachweisen. Es bedürfe der Darlegung eines konkreten und tatsächlichen immateriellen Schadens, der über einen ohnehin eingetretenen Kontrollverlust hinausgeht.

Fazit

Das Kammergericht Berlin macht in seinem jüngsten Urteil einmal mehr deutlich, dass zur Begründung eines Schadens i.S.v. Art. 82 DSGVO mehr vorgetragen werden muss als bloße Floskeln. Betroffene müssen konkrete und fundierte Angaben zum Schaden machen, anstatt nur allgemeine Aussagen zu treffen. Genau das fällt Legal Techs, die Ansprüche massenweise geltend machen, naturgemäß schwer. Aus wirtschaftlichen Gründen können die Begründungen meist nur an der Oberfläche kratzen. Für alles weitere lohnt der Aufwand nicht. Diesen pauschalen Darlegungsversuchen erteilt das Kammergericht eine Abfuhr. Das Urteil fügt sich damit in die Tendenz der aktuellen Rechtsprechung, welche das skizzierte Geschäftsmodell noch zum Einsturz bringen könnte, bevor es richtig losgeht.

Abzuwarten bleibt in diesem Kontext das Anfang Dezember erwartete Urteil des Gerichtshofs der Europäischen Union (EuGH) zur Frage, ob Sorgen und Befürchtungen des künftigen Missbrauchs von personenbezogenen Daten als immaterieller Schaden von Betroffenen im Rahmen des Art. 82 DSGVO gewertet werden können. Der Generalanwalt Giovanni Pitruzzella machte in seinen Schlussanträgen deutlich, dass dies grundsätzlich im Rahmen von Art. 82 DSGVO der Fall sein könne. Voraussetzung dafür sei aber, dass es sich um einen realen und sicheren emotionalen Schaden handele; ein bloßes Gefühl des Unwohlseins über den aufgetretenen Datenschutzverstoßes reiche nicht aus. Die Rechtslage im Kontext des Art. 82 DSGVO bleibt also weiterhin in Bewegung und sollte durch Unternehmen und Einrichtungen beobachtet werden.

Wir helfen Ihnen dabei, sich im Falle der Inanspruchnahme optimal zu verteidigen.

Newsletter

Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf "Abonnieren" stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.