Skip to content

Ab August 2022 tritt das DiRUG in Kraft und bestimmte Kapitalgesellschaften können durch ein notarielles Online-Verfahren gegründet werden. Damit schafft die neue Richtlinie erhebliche Erleichterung bei Geschäftsgründungen, von der in erster Linie Start-ups und kleine Unternehmen profitieren.

online-gründung gmbh

Stand April 2022

Bald ist sie möglich:
Die Online-Gründung von GmbH und UG (haftungsbeschränkt) 
 

 

Einführung 

Bereits 2019 trat die europäische Digitalisierungsrichtlinie (Richtlinie (EU) 2019/1151) in Kraft, welche als Teil des Company Law Packages der EU den Einsatz digitaler Werkzeuge und Verfahren im Gesellschaftsrecht ermöglichen soll. Die Richtlinie ergänzt die Gesellschaftsrechtsrichtlinie (Richtlinie (EU) 2017/1132) aus dem Jahr 2017 und ändert deren Vorgaben in einigen Punkten ab.  

Es galt die Inhalte der Richtlinie bis zum 31. Juli 2021 in nationales Recht umzuwandeln. Auf Antrag der deutschen Regierung wurde der Bundesrepublik jedoch eine einjährige Verlängerung gewährt. Im Juni 2021 wurde sodann das Gesetz zur Umsetzung der Digitalisierungsrichtline (DiRUG) von Bundestag und Bundesrat beschlossen und tritt zum 01. August 2022 in Kraft.  

Kern des neuen Gesetzes ist die Möglichkeit der schnelleren und vor allem deutlich vereinfachten Online-Gründung von Kapitalgesellschaften, insbesondere von Gesellschaften mit beschränkter Haftung (GmbHs) und Unternehmensgesellschaften (UGs – haftungsbeschränkt).  

In diesem Beitrag gehen wir auf die kommenden Neuerungen durch das DiRUG ein, wobei der Fokus auf der Online-Gründung der GmbH und der UG (haftungsbeschränkt) liegt.

Möglichkeit der Online-Gründung von GmbHs und UGs (haftungsbeschränkt) 

Die Digitalisierungsrichtlinie hat zwei Grundaussagen bzgl. der Online-Gründung getroffen:  

  1. Es soll die Online-Gründung ohne physische Präsenz vor dem Notar oder der Notarin ermöglicht werden, und 
  2. das Gründungsverfahren soll innerhalb einer kurzen Zeit abgeschlossen sein. 

Konkret bedeutet letzteres, dass der Gründungsprozess innerhalb von fünf Arbeitstagen realisiert werden soll, sofern die Gründer und Gründerinnen natürliche Personen sind und Musterformulare verwendet werden.  

Sind diese Voraussetzungen nicht erfüllt, darf das Gründungsverfahren nicht länger als zehn Arbeitstage dauern. Zweck der Neuerungen ist es, Zeit- und Verwaltungsaufwand bei der Gründung zu reduzieren, aber gleichzeitig die bei Präsenzterminen übliche Rechtssicherheit zu wahren. 

Während Gründern einer GmbH oder UG (haftungsbeschränkt) der bislang übliche Gang zum Notar oder Notarin künftig erspart werden kann, ist die Anwesenheit eines Notars/Notarin dennoch Voraussetzung. Die Möglichkeit eines virtuellen Zusammenkommens schafft ein eigens dafür angelegtes Videokommunikationssystem der Bundesnotarkammer.  

Durch das Kommunikationssystem der Bundesnotarkammer können die Parteien in Echtzeit miteinander sprechen und Dokumente und Vertragsentwürfe übermitteln.  

Die Niederschrift des Gründungsvertrages erfolgt beim Online-Gründungsverfahren elektronisch und die Unterschriften werden durch qualifizierte elektronische Signaturen ersetzt, welche durch das System zur Verfügung gestellt werden.  

Nicht zugelassen für die Online-Gründung einer GmbH oder UG (haftungsbeschränkt) ist die Verwendung marktüblicher Videokommunikationssysteme. Zum einen bleibt auf diese Weise der hoheitliche Charakter gewahrt, zum anderen wird dadurch sichergestellt, dass Dritte keinen Zugriff auf die sensiblen Daten bekommen.

Teilnahme nur mit sicherem Identitätsnachweis

Um an dem digitalen Verfahren teilzunehmen, müssen sich die Beteiligten sicher identifizieren können. Für diese elektronische Identifikation ist ein elektronischer Identitätsnachweis erforderlich, wie bspw. der Personalausweis mit eID-Funktion.  

Der Notar oder die Notarin gleicht nach dem Einlesen des Identitätsnachweises das Lichtbild mit dem Erscheinungsbild der Beteiligten ab. Die Bundesnotarkammer hat für das Einlesen des Identitätsnachweises eigens eine kostenfreie App zur Verfügung gestellt. 

Des Weiteren kommt das digitale Gründungsverfahren nur in Betracht, wenn es sich um eine Bargründung handelt, d.h. die Gesellschafter und Gesellschafterinnen das Stammkapital durch die Zahlung gesetzlicher Zahlungsmittel (Bareinlagen) leisten, anstatt (auch) durch Sacheinlagen.  

Die Richtlinie hat es offengelassen, ob das digitale Gründungsverfahren auch für GmbHs und UGs (haftungsbeschränkt) mit Sacheinlagen oder andere Kapitalgesellschaften wie Aktiengesellschaften (AG) gestattet werden soll. Der deutsche Gesetzgeber hat von dieser Möglichkeit jedoch keinen Gebrauch gemacht, sodass der Anwendungsbereich zunächst noch eingeschränkt ist.  

Diese Einschränkungen werden zusätzlich dadurch bestärkt, dass die Nutzung der zugelassenen elektronischen Identifikationsmittel den Bürgerinnen und Bürgern der EU-Mitgliedstaaten vorbehalten bleibt.  Gesellschafter und Gesellschafterinnen aus Drittstaaten sind somit generell vom Online-Verfahren ausgeschlossen.

Weitere Änderungen durch das DiRUG 

Neben dem Online-Gründungsverfahren von GmbHs sieht das DiRUG aber noch weitere digitale Neuerungen vor.  

So können zukünftig Beglaubigungen mittels Videokommunikation durch den Notar durchgeführt werden. Dies gilt etwa für Handelsregistereintragungen durch Einzelkaufleute oder Kapitalgesellschaften (GmbH, AG, KGaA oder durch deutsche und EU- oder EWG-Zweigniederlassungen) gem. § 12 Abs. 1 S. 2HGB n.F., oder die Beglaubigung einer elektronischen Signatur gem. § 40a BeurkG n.F.. 

Darüber hinaus wird die Registerpublizität neugestaltet. Es wird eine “register only”-Lösung eingeführt, welche besagt, dass Bekanntmachungen von Handelsregistereintragungen künftig nur noch durch das erstmalige Abrufen der jeweiligen Informationen über das Registerportal der Länder erfolgt.  

Dadurch sollen Redundanzen durch mehrfache Bekanntmachungen entfallen. Der Abruf der Daten aus dem Handelsregister wird gebührenfrei möglich sein. Damit dies umsetzbar ist, zahlen die eingetragenen Rechtsträger eine Bereitstellungsgebühr. 

Auch ein grenzüberschreitender Informationsaustausch über disqualifizierte Führungspersonen soll erfolgen.  

Das Unternehmensregister wird gem. § 9c HGB n.F. mit der Beantwortung von ausländischen Anfragen und der Weiterleitung von Informationsersuchen deutscher Gerichte betraut. Zudem werden gem. § 6 Abs. 2 S. 3 GmbHG n.F. bzw. § 76 Abs. 3 S. 3 AktG n.F. deutsche Geschäftsführer und Vorstände auch dann disqualifiziert, wenn ihnen im Ausland ein Berufs- oder Gewerbeverbot erteilt wurde. 

Zudem findet ein grenzüberschreitender Informationsaustausch über Zweigniederlassungen statt.  

Gem. § 13a HGB n.F. werden auch Informationen über ausländische Zweigniederlassungen in EU-/EWR-Staaten eingetragen, sofern sie von einer deutschen Kapitalgesellschaft errichtet wurden. Für ausländische Geschäftsführer und Vorstände entfällt zudem gem. § 37 Abs. 2 AktG n.F. analog bzw. § 8 Abs. 3 GmbHG n.F. analog das Erfordernis einer Versicherung über das Nichtvorliegen von Bestellungshindernissen. Dies gilt jedoch nicht für die gesetzlichen Vertreter von Kapitalgesellschaften aus Drittstaaten.

Fazit 

Dass die physische Anwesenheitspflicht beim Notar oder der Notarin entfällt, stellt schon mal eine erhebliche Entlastung dar, vor allem, wenn sich die Parteien an unterschiedlichen Orten oder in unterschiedlichen Ländern aufhalten. Die weiterhin notwendige notarielle Verlesung findet nun online statt. Auch die auf max. 10 Tage begrenzte Antrags-Bearbeitungszeit ist ein attraktiver Aspekt, mit dem sich eine Unternehmensgründung deutlich besser planen lässt. 

Schade ist, dass der deutsche Gesetzgeber wohl die zwingenden Vorgaben der Digitalisierungsrichtlinie umgesetzt hat, darüber hinaus aber keine Änderungen bspw. in Bezug auf Online-Gründungen von AGs vorgenommen hat.  

Außerdem ist lediglich das Gründungsverfahren in digitaler Form zugelassen, nicht jedoch spätere Satzungsänderungen oder Umwandlungsvorgänge.  

Insgesamt ist in Sachen Digitalisierung im Gesellschaftsrecht der Anfang gemacht und es bestehen noch große Ausbaumöglichkeiten. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Die Politikerin Renate Künast kann einen Etappensieg feiern: die Beschlüsse des Landgerichts und Kammergerichts Berlin, welche die Hetzkommentare größtenteils als hinnehmbar einstuften, wurden vom BVerfG jetzt aufgehoben.

BVerfG Hetzkommentare

Stand März 2022

BVerfG: Hetzkommentare in Sozialen Netzwerken sind nicht anstandslos hinzunehmen 

Einführung 

Gerade im Zeitalter der sozialen Medien stellt sich häufig die Frage, wie weit die Meinungsfreiheit aus Art. 5 Abs. 1 Grundgesetz (GG) geht und was sich Empfänger von Hetzkommentaren alles gefallen lassen müssen. Nun hat das Bundesverfassungsgericht (BVerfG) sich erneut mit dieser Frage beschäftigt. Dem einschlägigen Beschluss (BVerfG, Beschl. v. 19.12.2021, Az.: 1 BvR 1073/20) liegen zahlreiche beleidigende Kommentare auf Facebook zugrunde, die Anfang 2019 gegen die Grünen-Politikerin Renate Künast gerichtet waren. Es fielen hierbei u.a. Ausdrücke wie “Pädophilen-Trulla”, “Gehirn Amputiert” und “Stück Scheiße”. Hiergegen wendete sich Frau Künast und verlangte von der Betreiberin der Social Media Plattform Facebook, dass diese die personenbezogenen Daten der Verfasserinnen und Verfasser der jeweiligen Kommentare gem. § 14 Abs. 3 Telemediengesetz in der alten (damals geltenden) Fassung (TMG a.F.; heute: § 21 Abs. 2, 3 Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG)) an sie herauszugeben, damit sie gegen sie rechtlich weiter vorgehen könnte. In erster und zweiter Instanz verweigerten jedoch sowohl das Landgericht (LG) als auch das Kammergericht (KG) Berlin die Auskunftsansprüche größtenteils, da sie in der Mehrheit der Kommentare keine Beleidigungen sahen. Grund dafür war zum Teil, dass die Äußerungen genügend Sachbezug zur erneut aufgekommenen „Pädophilie-Debatte“ aus dem Jahr 2015 hätten, in der es vorwiegend um die Haltung der „Grünen“ zur Pädophilie in den 1980er Jahren ging, so die Berliner Gerichte. 

Gegen die Berliner Beschlüsse legte Frau Künast Verfassungsbeschwerde beim BVerfG ein. Im Folgenden wird der Beschluss des BVerfG erläutert und zudem darauf eingegangen, anhand welcher Kriterien eine Abwägung zwischen der Meinungsfreiheit auf der einen Seite und dem allgemeinen Persönlichkeitsrecht aus Sicht des BVerfG auf der anderen Seite stattzufinden hat.  

Entscheidung des BVerfG 

Nach Auffassung des Karlsruher Gerichts haben die vorinstanzlichen Gerichte das allgemeine Persönlichkeitsrecht der Politikerin gem. Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG nicht ausreichend berücksichtigt. Bei Hetzkommentaren, insbesondere wenn es um deren Zulässigkeit geht, sei immer zwischen Schmähkritik und anderen verletzenden Aussagen mit Sachbezug zu differenzieren. Schmähkritik bezeichnet dabei Äußerungen, bei denen die betroffenen Personen lediglich herabgewürdigt und diffamiert werden sollen, ohne dass die Aussage einen Sachbezug aufweist. Diese Aussagen sind nach ständiger Rechtsprechung stets als Beleidigungen i.S.d. § 185 Strafgesetzbuch (StGB) anzusehen und unterfallen daher nicht (mehr) der allgemeinen Meinungsfreiheit nach Art. 5 Abs.1 GG.  

Nach Ansicht des BVerfG seien die Berliner Richterinnen und Richter jedoch vorschnell und unzutreffend davon ausgegangen, dass einige Kommentare keine Beleidigungen i.S.d. § 185 StGB darstellen würden, nur weil sie keine Schmähkritik seien. Sofern die jeweiligen Aussagen keine Schmähkritik darstellen würden, sondern außerdem einen Sachbezug hätten oder zur öffentlichen Meinungsbildung beitragen würden, müsse von den Gerichten in einem weiteren Schritt zwischen der Meinungsfreiheit der Verfasserin oder des Verfassers und dem allgemeinen Persönlichkeitsrecht des Opfers abgewogen werden. Es gebe jedoch keine Vermutung eines generellen Vorrangs der Meinungsfreiheit, auch nicht bei Personen, die in der Öffentlichkeit stehen.  

Das LG und das KG hätten diese Abwägung aber gerade nicht vorgenommen, sondern mit der Begründung, dass bei den Kommentaren ein Sachbezug zur Pädophilie-Debatte aus 2015 vorläge, eine Schmähkritik und damit auch eine Beleidigung schließlich abgelehnt. Letzteres dürfe so aber per se nicht geschehen. Aufgrund dieses Abwägungsausfalls der Vorinstanzen hat das BVerfG mithin einen Verstoß gegen Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG festgestellt und deshalb die Beschlüsse der Berliner Gerichte (LG, Beschl. v. 07.09.2019, 21.01.2020, Az.: 27 AR 19/19; KG, Beschl. v. 11.03.2020, 06.04.2020, Az.: 10 W 13/20) aufgehoben. Das BVerfG hat in seiner Entscheidung hierbei den Sachverhalt nicht in Gänze, sondern lediglich auf Grundrechtsverletzungen überprüft. Deshalb hat das BVerfG den Fall auch zur erneuten Prüfung des Auskunftsanspruchs gem. § 14 Abs. 3 TMG a.F. an das KG Berlin zurückverwiesen, sodass dieses sich nochmals mit den Hetzkommentaren im Einzelnen auseinandersetzen muss. 

Kriterien für die Abwägung zwischen der Meinungsfreiheit und dem allgemeinen Persönlichkeitsrecht  

Das Karlsruher Gericht betonte in seinem Beschluss erneut (vgl. BVerfG, Beschl. v. 19.05.2020, Az.: 1 BvR 2397/19), auf welche Kriterien bei der Abwägung zwischen Art. 5 Abs. 1 GG und Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG abzustellen sei. Die hierbei nun mehr aufgestellten Punkte seien aber keinesfalls zwingend bei jeder Abwägung heranzuziehen, sondern sollen lediglich einen Leitfaden bilden. 

  1. Zunächst sei zu beachten, dass die Meinungsfreiheit umso stärker ins Gewicht falle, je mehr ein Beitrag oder eine Aussage darauf ziele, der öffentlichen Meinungsbildung zu dienen bzw. umso geringer, je mehr es davon unabhängig lediglich um die persönliche Meinung gegenüber einer anderen Person ginge. 
  2. Zudem sei es bedeutend, ob es sich bei der getroffenen Aussage um Machtkritik handele – denn diese sei besonders schutzwürdig. Politikerinnen und Politiker müssten für deren Art und Weise der Machtausübung auch angegriffen werden können. Jedoch folge daraus nicht, dass Amtsträgerinnen und Amtsträger vom Schutz vor Beleidigungen und Verächtlichmachungen ausgenommen seien. Deren Persönlichkeitsrechte seien ebenso hinreichend zu wahren wie die von jeder anderen Person auch.  
  3. Relevant sei des Weiteren, ob die Aussagen spontan gefallen seien oder ob sie mit Vorbedacht getätigt wurden. Äußerungen in sozialen Netzwerken seien nach Ansicht des BVerfG keine Spontanäußerungen, sondern solche mit Vorbedacht, für die ein strengerer Maßstab gelte. 
  4. In die Abwägung könne außerdem miteinfließen, wie viele Personen die Äußerungen zur Kenntnis genommen hätten und ob sie schriftlich fixiert und damit jederzeit abrufbar seien. 

Fazit 

Das KG Berlin muss sich im Ergebnis nochmals mit den Hetzkommentaren gegen Frau Künast auseinandersetzen und dabei nach Auffassung des BVerfG vermutlich zu einem anderen Ergebnis kommen. Es ist also festzuhalten, dass bisher noch nicht abschließend geklärt ist, ob die Aussagen strafbar sind und ob Frau Künast einen Anspruch auf Herausgabe der Nutzerdaten hat. Das Karlsruher Gericht hat lediglich festgestellt, dass die vorherigen Beschlüsse Frau Künast in ihrem allgemeinen Persönlichkeitsrecht verletzen, weil keine ausreichende Abwägung mit der Meinungsfreiheit stattgefunden hat. Dennoch stellte das BVerfG auch klar, dass Personen, die in der Öffentlichkeit stehen, sich nicht wie bisher häufig angenommen, alles bzw. mehr hetzerische Kritik gefallen lassen müssen, sondern gegen Beleidigungen ebenfalls geschützt sind. 

Mit seinem Beschluss stärkt das BVerfG mithin die Persönlichkeitsrechte von Opfern von Hasskommentaren. Gerichte sind nun dazu verpflichtet, in solchen Fällen eine ausführliche Abwägung zwischen den widerstreitenden Interessen vorzunehmen.  

Bisher scheiterten zivilrechtliche Ansprüche meist daran, dass die Verfasserinnen und Verfasser von Hetzkommentaren sich im Internet hinter pseudonymisierten Usernamen versteckten und deshalb nicht identifizierbar waren. Durch den Beschluss könnte sich dies nun ändern, da nach der eingehenden Abwägung, jetzt häufiger Beleidigungen angenommen werden könnten, sodass auch häufiger Auskunftsansprüche nach § 21 Abs. 2, 3 TTDSG durchgesetzt werden könnten. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Der BGH hat nun geurteilt, dass eine Anpassung der Gewerbemiete wegen einer behördlichen Schließung aufgrund der Pandemie grundsätzlich möglich ist.

BGH Gewerberaummiete

Stand Februar 2022

BGH zur Anpassung der Gewerberaummiete während des Lockdowns  

Einführung  

Zu Anfang der COVID-19-Pandemie im Frühjahr 2020 wurde der gesamte Einzelhandel, mit Ausnahme von Geschäften für den täglichen Lebensbedarf, geschlossen, um eine Ausbreitung des Virus zu verlangsamen. Auch ein Bekleidungsgeschäft aus Sachsen musste aufgrund einer Allgemeinverfügung des Sächsischen Staatsministeriums vom 19.03.2020 bis zum 19.04.2020 sein Geschäft schließen und zahlte deshalb nicht die vereinbarte Miete in Höhe von 8.000 EUR für den Monat April. Hiergegen ging der Vermieter gerichtlich vor.  

In der ersten Instanz hatte das Landgericht (LG) Chemnitz (Urt. v. 26.08.2020, 4 O 639/20) geurteilt, dass die vollständige Miete zu entrichten sei, auch wenn das Ladenlokal aufgrund behördlicher Anordnung geschlossen bleiben musste. Das Oberlandesgericht (OLG) Dresden (Urt. v.  24.02.2021, 5 U 1782/20) sah den Fall hingegen anders und entschied, dass Mieter und Vermieter in einem solchen Fall das Risiko zu gleichen Teilen tragen und deshalb eine Mietzahlung von 50 % von dem Textilunternehmen zu entrichten sei. 

Mit diesem Ergebnis waren beide Parteien nicht einverstanden, sodass Revision beim Bundesgerichtshof (BGH) eingelegt wurde. Im Folgenden wird erläutert, wie der BGH sich in dem Fall entschieden hat (BGH, Urt. v. 12.01.2022, XII ZR 8/21). 

Entscheidung des BGH 

Ladenschließung als Mietmangel? 

Der BGH stellte zunächst klar, dass es sich bei einer behördlich angeordneten Geschäftsschließung nicht um einen Mietmangel im Sinne des § 536 Abs. 1 S. 1 des Bürgerlichen Gesetzbuchs (BGB) handele und die Miete nicht deshalb zu kürzen sei. Ein Mietmangel könne immer nur dann angenommen werden, wenn die Gebrauchsfähigkeit der Mietsache eingeschränkt sei. Dies könne im Fall einer pandemiebedingten Schließung jedoch gerade nicht angenommen werden; die Geschäftsräume standen der Bekleidungskette weiterhin zur Verfügung. Die Gebrauchsbeschränkung hänge nicht unmittelbar mit der Beschaffenheit, dem Zustand oder der Lage des Mietobjekts zusammen, sondern untersage vielmehr nur für einen kurzen Zeitraum eine bestimmte Nutzungsart. Dem Textilunternehmen werde also nicht jegliche Art der Nutzung untersagt, noch werde dem Vermieter die tatsächliche oder rechtliche Überlassung der Mieträume verboten. 

Ladenschließung als Störung der Geschäftsgrundlage? 

Eine Anpassung der Höhe des Mietzinses sei jedoch gem. § 313 Abs. 1 BGB aufgrund einer Störung der Geschäftsgrundlage möglich, so der BGH. Dem stehe auch nicht entgegen, dass in Art. 240 § 2 des Einführungsgesetzes zum Bürgerlichen Gesetzbuch (EGBGB) besondere Kündigungsregeln für die Zeit der Pandemie festgelegt wurden. Diese Beschränkung bestünde nur für Kündigungsfälle und treffe keine Aussagen über die Höhe der zu zahlenden Miete. Nach Ansicht der Karlsruher Richter könne eine Anpassung gem. § 313 Abs. 1 BGB stattfinden, wenn die sog. “große Geschäftsgrundlage” betroffen sei, also wenn sich die grundlegenden politischen, wirtschaftlichen und sozialen Rahmenbedingungen eines Vertrages im Nachhinein bedeutend verändert hätten und die Sozialexistenz erschüttert würde.

Ein weiteres Indiz für die Annahme einer Störung der Geschäftsgrundlage im Fall einer pandemiebedingten Schließung sei die (auf diesen Fall zwar nicht anwendbare) Neuregelung in Art. 240 § 7 EBGBG aus Dezember 2020, welche die Vermutung aufstellt, dass sich durch eine Geschäftsschließung aufgrund der COVID-19-Pandemie die Grundlage eines Gewerbemietvertrages grundlegend geändert habe. 

Darüber hinaus müsse das Festhalten am ursprünglichen Vertrag zumindest für eine Vertragspartei unter Berücksichtigung der vertraglichen und gesetzlichen Risikoverteilung nicht zumutbar erscheinen. Laut BGH könne für die staatlichen Eingriffe aufgrund der Pandemie in Form der Ladenschließungen und die folgenden Umsatzeinbrüche der Unternehmen keine der Mietparteien verantwortlich gemacht werden. Es habe sich einzig das allgemeinen Lebensrisiko verwirklicht, welches regelmäßig keiner Vertragspartei allein zugerechnet werden kann.

Aus diesen Überlegungen folge jedoch nicht, dass Mietzahlungen im Falle eines pandemiebedingten Lockdowns stets zu kürzen bzw. anzupassen seien. Im Gegensatz zur pauschalen Risikoverteilung von 50 %, welche das OLG Dresden angeführt hat, ist der BGH der Ansicht, dass eine pauschale Herabsetzung nicht gerechtfertigt sei und stets eine ausführliche Prüfung des Einzelfalls stattfinden müsse, um zu bestimmen, ob dem Mieter die vollständige Zahlung  zumutbar sei.

Zu berücksichtigen seien hierbei unter anderem die Nachteile, die der Mieter durch die Geschäftsschließung und deren Dauer erlitten habe, die Höhe des Umsatzrückgangs, etwaige finanzielle Vorteile, die der Mieter aus staatlichen  Leistungen zum Ausgleich der pandemiebedingten Schließungen erhalten habe sowie Leistungen einer Betriebsversicherung.

Nicht zu berücksichtigen seien jedoch staatliche Darlehen, da sie zurückgezahlt werden müssen und deshalb keine vollständige Kompensation darstellen würden. Es sei zudem in die Beurteilung miteinzubeziehen, ob und welche Maßnahmen der Mieter zur Verhinderung der (drohenden) finanziellen Einbrüche geleistet habe oder hätte leisten können. 

Fazit 

Aufgrund dieser Überlegungen hat der BGH das Urteil des OLG Dresden aufgehoben und das Gericht angewiesen, den Sachverhalt erneut zu prüfen. Das OLG ist nun angehalten, die konkreten wirtschaftlichen Auswirkungen der Betriebsschließung des Bekleidungsgeschäfts zu untersuchen und eine Anpassung der Miete für April 2020 vorzunehmen, sofern die ursprünglichen Konditionen nicht zumutbar erscheinen. Es bleibt nun das Urteil des OLG Dresden abzuwarten. 

Es ist festzuhalten, dass eine Anpassung der Gewerbemiete aufgrund einer hoheitlichen Schließungsanordnung im Rahmen der COVID-19-Pandemie gem. § 313 Abs. 1 BGB im Einzelfall vorgenommen werden kann. Ein genereller Anspruch auf eine Kürzung besteht jedoch nicht und pauschale Kürzungen um 50 % sind ebenfalls nicht gerechtfertigt; es bedarf vielmehr einer umfassenden Abwägung im Einzelfall.  

Für die Praxis empfiehlt es sich, bei Neuabschlüssen von Gewerbemietverträgen bereits im Vorhinein Regelungen zur Risikoverteilungen für solche Fälle zu treffen, in denen keine der Parteien für das Risiko verantwortlich ist, sich also das allgemeine Lebensrisiko verwirklicht.  

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir erklären Ihnen zusammengefasst den Vorgang einer DS-GVO-Zertifizierung für digitale Produkte und Dienstleistungen.

Stand Januar 2022

DS-GVO Zertifizierung für IT-Produkte und Dienstleistungen

Einleitung 

Dieses Jahr werden erste Stellen für die Zertifizierung von IT-Produkten und –Dienstleistungen akkreditiert. Diese Zertifizierung basiert auf der Datenschutzgrundverordnung und soll sicherstellen, dass digitale Produkte und Dienstleistungen datenschutzkonform umgesetzt wurden. Dafür wurde eine einheitliche Grundlage für ein europäisches Akkreditierungs- und Zertifizierungsverfahren geschaffen. 

Die Einrichtung einer DS-GVO-Zertifizierung wurde bereits seit 2016 immer wieder diskutiert, jedoch wurde man sich bisher nicht einig über die formalen und technischen Voraussetzungen. Diese Uneinigkeit wurde nun verwunden und man erwartet erste Zertifikatsausstellungen in der ersten Jahreshälfte. 

Doch wo erhält man für seine Produkte und Dienstleistungen oder sein Unternehmen die entsprechenden Zertifikate und was sind die notwendigen Voraussetzungen. 

Welche Voraussetzungen muss man für den Erhalt eines Zertifikats erfüllen? 

Haben Sie ein digitales Produkt oder eine digitale Dienstleistung, welches DS-GVO-konform zertifiziert werden soll, können Sie sich künftig an eine entsprechende Zertifizierungsstelle wenden. Dafür stellen Sie einen Antrag für das Produkt oder die Dienstleistung, welche Sie zertifizieren lassen wollen. Im Rahmen der Überprüfung durch die Zertifizierungsstelle müssen kurz zusammengefasst folgende Angaben vom Antragssteller vorgelegt werden: 

  1. Beschreibung des Zertifizierungsgegenstands
  2. Angaben über die Verarbeitungsvorgänge u.a. hinsichtlich des Zwecks, des Empfängers oder welche Art von Daten verarbeitet werden 
  3. Angabe, ob personenbezogene Daten als Verantwortlicher oder als Auftragsverarbeiter verarbeitet werden 
  4. Angaben über ein Drittlandstransfer.

Im Anschluss erfolgt das Zertifizierungsprüfverfahren. Dieses Verfahren stellt eine datenschutzrechtliche Überprüfung dar, die geeignet sein muss, die ordnungsgemäße Umsetzung datenschutzrechtlicher Anforderungen sowie die Wirksamkeit technisch-organisatorischer Maßnahmen für den Zertifizierungsgegenstand festzustellen und zu belegen. Dies erfolgt durch Inspektion aller relevanten Geschäftsprozesse, Dokumentenprüfungen, technischen und juristischen Analysen oder Vor-Ort-Begehungen. 

Sofern nicht gesondert geprüft und zugelassen, gilt die Zertifizierung zunächst nur deutschlandweit. 

Hinsichtlich der Kosten lässt sich bisher kein genauer Wert abzeichnen, da es maßgebend auf den Umfang des Prüfungsverfahren ankommt. Dies hat zugleich unmittelbar Auswirkungen auf die Dauer der Bearbeitung. 

Wie lange das Zertifikat wirksam ist, wurde nicht konkret benannt. Beachtet man die bisherigen Abläufe im Rahmen von Zertifizierungen nach der DS-GVO dann gilt gem. Art. 42 Abs.7 DS-GVO das Zertifikat für drei Jahre und kann unter denselben Bedingungen auch wieder verlängert werden. 

Welche Anforderungen werden an die Zertifizierungsstellen gestellt? 

Damit der zuvor erläuterte Zertifizierungsprozess vorgenommen werden kann, muss sich die Zertifizierungsstelle akkreditieren lassen. Der Akkreditierungsprozess einer Zertifizierungsstelle läuft gem. Art. 42, 43 DS-GVO ab und umfasst sechs Prüfungsphasen. In Deutschland prüft die Deutsche Akkreditierungsstelle (DAkks) mit der entsprechenden Landesdatenschutzbehörde eingegangene Anträge und nimmt bei Erfüllung aller Prüfungsphasen sowie unter Berücksichtigung der Einschätzung des europäischen Datenschutzausschusses (EDSA) eine Akkreditierung vor. In NRW haben bereits mehrere Unternehmen diesen Akkreditierungsprozess beantragt und fast vollständig durchlaufen, sodass bald einige Zertifizierungsstellen ihre Arbeit aufnehmen können. 

Fazit – Braucht man das? 

Für ein Unternehmen kann sich die Zertifizierung im Rahmen von Kundengewinnung und Werbemaßnahmen durchaus vorteilhaft auswirken. Die betroffenen Personen erhalten somit einen schnellen Überblick über das Datenschutzniveau einschlägiger Produkte oder Dienstleistungen. Durch eine Zertifizierung wird somit das Vertrauen von Kunden in das Produkt schneller gewonnen als ohne. Denn man erhält nicht nur einen Datenschutznachweis auf dem Papier, sondern es wird auch gewährleistet, dass die technischen Voraussetzungen datenschutzkonform eingerichtet wurden. 

Andrerseits bedeutet es natürlich mehr Arbeit und mehr Kosten. Zwingend erforderlich ist eine Zertifizierung nicht. Daher ist es eine Frage der Abwägung seitens des Unternehmens, ob dieser Weg beschritten wird oder eben nicht. Bei kleineren oder mittelgroßen Unternehmen ist eine Abwägung zwischen Kosten und Nutzen einer Zertifizierung besonders ausschlaggebend, da diese in der Regel hohe Zertifizierungskosten nicht aufwenden können. Daher soll dieser Umstand im Zertifizierungsverfahren besonders berücksichtigt werden gem. Art. 42 Abs.1 S.2 DS-GVO. 

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Durch die Änderungen des Bürgerlichen Gesetzbuchs (BGB) ist das Bezahlen mit Daten im Gesetz aufgenommen worden und wurde dem Bezahlen mit Geld gleichgestellt. Auch hier gilt nun das Verbraucherschutzrecht.

Bezahlen mit Daten

Stand Januar 2022

Bezahlen mit Daten nach der Neuerung des Schuldrechts

Einführung 

Es ist bereits ständige Praxis, dass Social Media Angebote oder andere digitale Inhalte als “umsonst” oder “kostenlos” ausgeschildert werden, da kein Geld für die Leistungen verlangt wird. Dennoch generieren die Anbieterinnen und Anbieter teils sehr große Umsätze im Zusammenhang mit diesen Angeboten. Das liegt daran, dass die Konsumenten zwar kein Geld für die Leistungen zahlen, aber ihre personenbezogenen Daten zur Verarbeitung freigeben. Sie zahlen also mit ihren Daten, welche die Unternehmen weiterveräußern oder anderweitig kommerzialisieren, um das Geschäft profitabel zu machen. Verarbeitung und Weiterveräußerung dienen meist der Platzierung von passgenauer Werbung.  

Bislang war die Rechtslage in solchen Fällen umstritten; es bestand weitgehend Uneinigkeit darüber, wie solche Verträge zivil- und auch datenschutzrechtlich einzuordnen waren, insbesondere ob und inwieweit das Verbraucherschutzrecht Anwendung finden sollte. Die Rechtsunsicherheit rührte vor allem daher, dass es keine ausdrücklichen gesetzlichen Regelungen gab. Dies ändert sich nun mit der Umsetzung der europäischen Richtlinie zu digitalen Inhalten und Dienstleistungen (DIDRL (EU) 2019/770), welche am 01. Januar 2022 zur Umsetzung in nationales Recht in Kraft tritt. Demnach ist das Bezahlen mit Daten künftig in §§ 312 Abs. 1a, 327 Abs. 3 BGB n.F. gesetzlich geregelt und sorgt vor allem für einen besseren Verbraucherschutz, da das gesamte Verbraucherschutzrecht nun Anwendung findet. Gleichzeitig wirft die neue Regelung aber auch einige datenschutzrechtliche Fragen auf.   

Auf die Neuregelungen und die von ihr aufgeworfenen datenschutzrechtlichen Fragen soll in diesem Beitrag eingegangen werden. 

Gleichstellung von Daten und Geld 

§ 312 Abs. 1a BGB n.F. besagt, dass Verbraucherinnen und Verbraucher als vertragliche Gegenleistung personenbezogene Daten bereitstellen können, also die Herausgabe der Daten die Gegenleistung zur Bereitstellung einer Dienstleistung oder eines Produktes ist. Demnach wird eine Geldzahlung mit der Herausgabe von Daten künftig gleichgestellt. Unternehmen unterliegen in diesen Fällen dann aber auch allgemeinen Informationspflichten gegenüber den Konsumenten ihrer digitalen Inhalte. Sie müssen die Hauptleistungspflichten des Vertrages genau benennen, also zuvor explizit darauf hinweisen, dass mit personenbezogenen Daten bezahlt wird. Darüber hinaus muss für Verbraucherinnen und Verbraucher klar erkennbar sein, zu welchen Zwecken ihre Daten verwendet werden. 

Aus der Neuregelung folgt zudem, dass das Verbraucherschutzrecht beim Bezahlen mit Daten unmittelbare Anwendung findet. Das heißt, dass die Verträge seitens der Verbraucherinnen und Verbraucher beispielsweise innerhalb einer 14-tägigen Frist auch ohne Grund widerrufen werden können; gleichzeitig stehen Anbieterinnen und Anbietern aber auch Kündigungsrechte zu. Die zivilrechtlichen Normen zum Verbraucherschutz finden allerdings keine Anwendung in Fällen, in denen die Bereitstellung der personenbezogenen Daten für die Erfüllung des Vertrages erforderlich ist und die Daten zu keinem anderen Zweck verarbeitet werden, vgl. § 327 Abs. 3 i.V.m. § 312 Abs. 1a S. 2 BGB n.F. 

Wahrung des Datenschutzes 

Neuregelungen bezüglich des Datenschutzes ergeben sich nicht aus der DIDRL. Der Datenschutz ist also anhand der Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG) zu wahren.  

Bedürfnis einer Einwilligung oder einer anderen Erlaubnisgrundlage für die Datenverarbeitung? 

Offen ist, ob beim Bezahlen mit Daten eine Einwilligung oder eine andere Erlaubnisgrundlage zur Verarbeitung der personenbezogenen Daten im Sinne des Art. 6 Abs. 1 S. 1 lit. b-f DS-GVO einzuholen ist. Zur Datenverarbeitung bedarf es immer einer konkreten Erlaubnis beziehungsweise eines konkreten erlaubten Anlasses, sodass dies auch für Verträge gilt, bei denen die Bereitstellung der Daten die vertragliche Gegenleistung darstellt. Das neue Vertragsmodell stellt für sich also keinen eigenen Erlaubnistatbestand dar. In Betracht kommen in Fällen vom Bezahlen mit Daten vor allem die Verarbeitung zur Vertragserfüllung gem. Art. 6 Abs. 1 S.1 lit. b DS-GVO, die Verarbeitung aufgrund berechtigter Interessen des Unternehmens gem. Art. 6 Abs. 1 S. 1 lit. f DS-GVO oder eine Einwilligung gem. Art. 6 Abs. 1 S. 1 lit. a DS-GVO. 

Zunächst könnte im Falle des Bezahlens mit Daten daran gedacht werden, die Verarbeitung der personenbezogenen Daten der Konsumenten als für die Vertragserfüllung erforderlich und somit gem. Art. 6 Abs. 1 S. 1 lit. b DS-GVO als gerechtfertigt anzusehen. Nach Einschätzung des Europäischen Datenschutzausschusses (EDSA) ist dies jedoch grundsätzlich zu verneinen (vgl. EDSA Guidelines 2/2019). Es könne kaum argumentiert werden, dass der Vertrag über die Bereitstellung und Nutzung des jeweiligen Onlinedienstes nicht erfüllt worden sei, wenn bspw. keine personalisierte Werbung stattgefunden habe. Dem stehe auch nicht entgegen, dass die Bereitstellung der Dienstleistung oder des Produktes mit der gezielten Werbung finanziert werde. Damit Art. 6 Abs. 1 S.1 lit. b DS-GVO greife, müsse ein enger sachlicher Zusammenhang zwischen der Datenverarbeitung und dem Zweck des Vertrages zur Bereitstellung des Onlinedienstes bestehen. Daran fehle es ist den meisten Fällen jedoch, da die Unternehmen die personenbezogenen Daten gerade nicht benötigen, um ihre vertraglich vereinbarten Leistungen zu erbringen, namentlich eine Plattform oder einen anderen Onlinedienst zur Verfügung zu stellen. Anbieterinnen und Anbieter würden die personenbezogenen Daten der Konsumenten lediglich als Gegenleistung annehmen. Die Herausgabe der Daten sei also das Äquivalent zur Geldleistung, die ebenfalls für eine Vertragserfüllung seitens des Unternehmens nicht erforderlich sei; die Leistung könne auch ohne die Datenverarbeitung erfolgen und gehe nicht notwendig mit ihr einher. Nach Ansicht des EDSA ist der Erlaubnistatbestand der Erforderlichkeit zur Vertragserfüllung also restriktiv auszulegen. Dem schließen sich auch viele Stimmen in der Literatur an. Art. 6 Abs. 1 S. 1 lit. b DS-GVO dürfte somit in der Regel keine ausreichende Erlaubnisgrundlage darstellen.

Beim Bezahlen mit Daten könnte die Datenverarbeitung ein berechtigtes Interesse des Unternehmens begründen und deshalb erlaubt sein. Dies wäre anhand einer Interessenabwägung im Einzelfall zu bestimmen. Die Interessen der Anbieterinnen und Anbieter müssen demnach die Interessen der Betroffenen überwiegen. Daraus folgt, dass eine Datenverarbeitung nicht ohne Weiteres auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO gestützt werden kann, sondern es stets vom Einzelfall anhängt, was zu einer erheblichen Rechtsunsicherheit führt.   

In der Praxis wird die Verarbeitung personenbezogener Daten bisher in den meisten Fällen auf eine Einwilligung im Sinne des Art. 6 Abs. 1 S. 1 lit. a DS-GVO gestützt. Das heißt, dass die Unternehmen die Nutzerinnen und Nutzer der digitalen Inhalte vor Vertragsschluss darüber informieren müssen, dass sie im Anschluss die personenbezogenen Daten verarbeiten und auch zu welchen Zwecken sie dies tun. Verbraucherinnen und Verbraucher müssen dieser Verarbeitung sodann aktiv und freiwillig zustimmen, damit die konkrete Datenverarbeitung seitens des Unternehmens rechtmäßig ist. Daraus folgt erneut, dass die Unternehmen einige substantiierte Informationspflichten über die Datenverarbeitung und deren Zwecke treffen, da eine Einwilligung nur freiwillig sein kann, wenn die Betroffenen genau wissen, was mit ihren Daten geschieht, also welchen Verwendungen sie im Endeffekt zustimmen.  

Vereinbarkeit mit dem Kopplungsverbot? 

Es fragt sich zudem, ob eine Einwilligung im Rahmen eines Vertragsschlusses bei dem mit personenbezogenen Daten gezahlt wird, mit dem Kopplungsverbot aus Art. 7 Abs. 4 DS-GVO vereinbar ist. Das Kopplungsverbot besagt, dass eine Einwilligung der betroffenen Person nicht freiwillig, also damit unwirksam ist, wenn sie an einen Vertrag gekoppelt ist, das heißt für einen Vertragsschluss vorausgesetzt wird.  

Deshalb stellt sich die Frage, ob eine Einwilligung in die Verarbeitung personenbezogener Daten freiwillig sein kann, wenn der oder die Betroffene dafür eine vertraglich vereinbarte Leistung erhält. Hierfür spricht der Grundsatz der Privatautonomie, wonach jede Person die Freiheit besitzt, einen Vertrag mitsamt seiner rechtlichen Konsequenzen nach seinem Belieben zu schließen oder eben nicht. Da ein Verbraucher oder eine Verbraucherin sich im Fall des § 312 Abs. 1a BGB n.F. aktiv dafür entscheidet mit personenbezogenen Daten zu bezahlen, liegt eine Freiwilligkeit der Einwilligung nahe. Dies ist vor allem dann der Fall, wenn die Nutzerinnen und Nutzer auf die digitalen Inhalte und Dienstleistungen nicht angewiesen sind, also eine freiwillige Entscheidung in jedem Fall möglich bleibt. Ein Widerspruch zu den Vorgaben der DS-GVO besteht vom Wortlaut her also erst einmal nicht. 

Gegenstimmen führen jedoch an, dass das Persönlichkeitsrecht der Betroffenen hierdurch stark kommerzialisiert wird. Genaueres dazu wird sich allerdings erst ab Inkrafttreten der neuen Regelungen des BGB ergeben. Rechtsprechung zu diesem Thema ist also abzuwarten um die Fragestellung letztlich abschließend klären zu können.  

Was darf der Unternehmer mit den erlangten Daten tun?  

Wenn mit Daten für digitale Inhalte bezahlt wird, stimmen die Konsumenten dieser Inhalte in der Regel auch einer etwaigen Verarbeitung ihrer personenbezogen Daten zu (s.o.). Berechtigt sind die Unternehmen dann zu allem, worin zuvor im Wege der Einwilligung zugestimmt wurde. Pflicht der Anbieterinnen und Anbieter ist dann aber auch eine umfassende vorherige Information der Verbraucherinnen und Verbraucher darüber, zu welchen Zwecken die personenbezogenen Daten verarbeitet und verwendet werden (s.o.).  

In der Praxis erfolgt die Datenverarbeitung meist zur Platzierung personalisierter Werbung oder zur Entwicklung neuer Angebote und Inhalte. Außerdem werden die Daten auch häufig an Drittanbieter weiterveräußert. 

Auswirkungen bei Angabe falscher Daten 

Sofern zur Bezahlung falsche Daten angegeben wurden, haben die Betroffenen ihre vertraglichen Hauptleistungspflichten verletzt. Nach Erwägungsgrund 24 der DIDRL bestehen dann die vertraglichen Rechtsbehelfe. Es wäre also denkbar, dass das Unternehmen auf Vertragserfüllung, also auf Angabe der richtigen Daten klagen könnte. Dies wäre aber etwas umständlich und wenig interessengerecht, da die Verbraucherin oder der Verbraucher mit der falschen Angabe zuvor deutlich macht, dass sie oder er mit der Datenverarbeitung nicht einverstanden ist. Eine Kündigung des Vertrages scheint in solchen Fällen einfacher und auch angemessener zu sein. Dasselbe gilt, wenn Daten gegen Ware, anstatt gegen den Zugang zu einem Onlinedienst herausgegeben werden. 

Anbieterinnen und Anbieter können den Vertrag mit Inkrafttreten der Neuregelungen nach dem Verbraucherrecht kündigen, wenn ihnen ein Festhalten am Vertrag gem. § 327q Abs. 2 BGB n.F. nicht zumutbar ist. Das dürfte insbesondere dann der Fall sein, wenn die Daten gar nicht herausgegeben wurden, also die vertraglich zugesagte Gegenleistung nicht erfolgt ist. Gleiches gilt, wenn eine Einwilligung zur Verarbeitung widerrufen und eine weitere Verarbeitung damit explizit untersagt wurde. Dies könnte auch bei der Verwendung falscher Daten gelten, weil es den Unternehmen durch die falschen Daten kaum gelingen wird, ihr vertragsgemäßes Ziel, namentlich die Schaltung personalisierter Werbung, zu erreichen.  

Auswirkungen eines Widerrufs durch die Betroffenen  

Gem. § 355 BGB können Verbraucherinnen und Verbraucher sich ohne einen bestimmten Grund innerhalb der gesetzlich festgelegten Frist von 14 Tagen vom Vertrag lösen. Macht der oder die Betroffene von seinem oder ihrem Widerrufsrecht Gebrauch, wandelt der einstige Vertrag sich in ein Rückgewährschuldverhältnis um, sodass die erbrachten Leistungen zurückzugewähren sind. Das bedeutet im konkreten Fall, dass Verbraucherinnen und Verbraucher keinen Zugang mehr zu den Onlinediensten erhalten, aber dafür auch ihre personenbezogenen Daten von dem jeweiligen Unternehmen nicht mehr verarbeiten werden dürfen; mit dem Widerruf des Vertrages wurde also auch die Einwilligung zur Datenverarbeitung zurückgenommen. Darüber hinaus müssen die Unternehmen die Daten der widerrufenden Partei auch löschen.  

Fazit 

Die Neuregelung im BGB bringt vor allem Klarheit in die zuvor sehr umstrittene und deshalb unsichere Rechtslage. Dies gilt insbesondere in Bezug auf die Anwendbarkeit des Verbraucherschutzrechtes. Bezüglich des Verhältnisses zum Kopplungsverbot der DS-GVO besteht derzeit noch Uneinigkeit, vom Wortlaut her dürfte es aber mit dem Bezahlen mit Daten vereinbar sein.  

Für Verbraucherinnen und Verbraucher dürften die Änderungen erfreulich sein, da sie durch die Anwendbarkeit der Verbraucherschutzvorschriften besser geschützt werden. Dies zeigt sich vor allem in der erhöhten Transparenz und Datensouveränität. Betroffene können künftig gezielt entscheiden, inwiefern sie ihre Daten herausgeben und damit bezahlen wollen, oder ob sie die Verarbeitung eher ablehnen und für die digitalen Inhalte eine Geldzahlung leisten möchten. Außerdem können sie sich nun durch einen Widerruf gem.       § 355 BGB leichter vom Vertrag lösen. Auf der anderen Seite können aber auch Unternehmen profitieren, da ihnen nun Kündigungsrechte zustehen und sie im Falle eines Widerrufs der Einwilligung ihre Produkte und Dienstleistungen nicht weiterhin kostenlos zur Verfügung stellen müssen. 

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Mit Inkrafttreten des TTDSG soll auch eine zentrale Einwilligungsverwaltung geschaffen werden. Ist dies das Aus der lästigen Cookie Banner?

Ende der Cookie Banner durch Inkrafttreten des TTDSG?  

Einführung 

Ab dem 01. Dezember 2021 gilt das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) in Deutschland. Wie bereits berichtet, sollen darin die jeweiligen Datenschutzregelungen aus dem Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG) zentral in einem neuen Gesetz zusammengeführt werden. 

Eine Neuerung in Bezug auf die umstrittene Rechtslage zu Cookies gibt es im TTDSG jedoch nicht. Allerdings sieht das neue Gesetz in § 26 TTDSG eine zentrale Einwilligungsverwaltung vor, welche die sog. Cookie-Banner in Zukunft ersetzen könnte. 

Dieser Beitrag geht im Folgenden darauf ein, was Cookie-Banner und eine zentrale Einwilligungsverwaltung sind und welcher Kritik die neue Regelung bereits ausgesetzt ist.  

Was sind Cookie Banner? 

Ein Cookie Banner ist ein kleines Popup-Fenster, welches erscheint, sofern eine Nutzerin oder ein Nutzer eine neue Website aufruft. Durch den Cookie Banner werden die Besucherinnen und Besucher der jeweiligen Website über Cookies der Website informiert und sodann aufgefordert, selbstständig anzuklicken, mit welchen zum Abruf einer Website nicht unbedingt erforderlichen Cookies oder sonstigen einwilligungsbedürftigen Verarbeitungen ihrer personenbezogenen Daten sie einverstanden sind und mit welchen nicht. Dadurch sollen die Vorgaben der Datenschutz-Grundverordnung (DS-GVO) und des ab Dezember geltenden TTDSG erfüllt werden.

Die jeweiligen Datenverarbeitungsvorgänge beim Nutzen der Seite sollen bzw. dürfen erst dann erfolgen, wenn die Nutzerinnen und Nutzer aktiv eingewilligt haben. 

Einführung der zentralen Einwilligungsverwaltung durch das TTDSG 

Der bisherige Umgang mit Cookies wird von vielen Nutzerinnen und Nutzern als lästig und gegebenenfalls auch etwas umständlich empfunden. Oftmals werden die Informationen in den Cookie Bannern deshalb auch nicht richtig gelesen, sondern es wird nur schnell etwas angeklickt, damit das Fester verschwindet und weitergesurft werden kann.

Das TTDSG führt nun eine weitere Möglichkeit ein, wie Datenschutz im Internet nutzerfreundlicher umgesetzt werden kann. In § 26 TTDSG wird normiert, dass eine Einwilligungsverwaltung eingeführt werden soll. Ein solches Personal Information Management System (PIMS) erlaubt es jeder Person, ihre Datenschutzeinstellungen zu speichern und vorab festzulegen.

Immer wenn eine Website besucht wird, soll die jeweilige Website bei der Zentralstelle nachschauen, welche Wünsche die Nutzerin oder der Nutzer in Bezug auf Datenschutz und Cookies hat. Cookie Banner wären dann theoretisch nicht mehr nötig. 

Gem. § 26 Abs. 2 TTDSG muss die Bundesregierung mit Zustimmung von Bundestag und Bundesrat durch Rechtsverordnung noch die Anforderungen an ein nutzerfreundliches und wettbewerbskonformes Verfahren, das Anerkennungsverfahren sowie Details zur Umsetzung von technischen und organisatorischen Maßnahmen bestimmen. Dies ist bisher noch nicht geschehen. 

Kritik an der zentralen Einwilligungsverwaltung 

Den Neuerungen gegenüber wurde aber auch bereits einiges an Kritik geäußert. Kernproblem der PIMS sei, dass sie in der Praxis vermutlich nicht zufriedenstellend funktionieren würden. Eine Parallele werde dazu aufgezeigt, dass bereits Voreinstellungen in Browsern gemacht werden können, welche ein Tracking verbieten (do not track-Funktion).

Hieran hielten sich die meisten Betreiberinnen und Betreiber von Websites jedoch nicht; es würden dennoch Cookie Banner geschaltet, welche auch nach der Einwilligung zu Tracking Cookies fragen, obwohl die Ablehnung vorher schon ausdrücklich erteilt wurde. Durchschnittlichen Leserinnen und Lesern falle dies meist nicht auf und sie stimmten sodann in der Regel zu. Dies führe dann dazu, dass Tracking Cookies verwendet werden, obwohl die Nutzerinnen und Nutzer in ihren Voreinstellungen angegeben haben, dass sie diesen Cookies eben nicht zustimmen.  

Zudem wird kritisiert, dass die Informationspflichten aus Art. 13 DS-GVO von vielen Websites sehr unterschiedlich erfüllt werden. Eine generelle Einwilligungsabfrage über die Nutzung von einer zentralen Einwilligungsverwaltung sei aber nur dann möglich, wenn ausreichend Details über die Datenverarbeitung und die Nutzung der Cookies auf den jeweiligen Websites veröffentlicht werden. Häufig stünden die nötigen Informationen aber nicht in den Datenschutzerklärungen oder sie seien für denselben Dienst auf verschiedenen Websites unterschiedlich ausgestaltet. Dies würde die Nutzung von PIMS in datenschutzkonformer Weise erheblich erschweren. 

Es wird darüber hinaus gefordert, dass bei der Ausgestaltung der Rechtsverordnung zur Ausgestaltung der Einwilligungsverwaltung nicht nur auf Nutzerfreundlichkeit, sondern vor allem auch auf einen ausreichenden Datenschutz geachtet wird. 

Fazit 

In der Theorie klingt es sehr gut: zentrale Einwilligungsverwaltungen sollen die lästigen Cookie Banner ersetzen. Jedoch fehlt bisher noch die ausgestaltende Verordnung im Sinne des § 26 Abs. 2 TTDSG, welche mehr Informationen dazu enthalten wird, wann und wie PIMS in Zukunft eingesetzt werden können. Ein Inkrafttreten dieser ausgestaltenden Verordnung wird nicht vor Ende 2022 erwartet.  

Außerdem unterliegt das Konzept der zentralen Einwilligung bereits einiger Kritik – teilweise wird vertreten, dass eine datenschutzkonforme Umsetzung in der Praxis kaum funktionieren könne.  

Es bleibt also abzuwarten, wie sich die Rechtslage rund um Cookie Banner ab Inkrafttreten der TTDSG und durch die erforderliche Rechtsverordnung durch die Bundesregierung verändern wird. Vorerst lässt sich also nur sagen, dass durch die Einführung der zentralen Einwilligungsverwaltung bisher grundsätzlich nur eine weitere Möglichkeit zum Einholen einer Einwilligung zur Datenverarbeitung auf Websites geschaffen wurde. Ein völliges Ende der Cookie Banner ist derzeit nicht in Sicht.  

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren Sie über das Gesetz zum Schutz der Privatsphäre im digitalen Raum.

TTDSG-Entwurf wurde beschlossen 

Einführung 

Lange war er im Gespräch und nun wurde er endlich beschlossen, der Entwurf eines Gesetzes über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (Telekommunikation-Telemedien-Datenschutzgesetz, TTDSG). Den Gesetzestext finden Sie hier. Am 01.12.2021 wird das Gesetz in Kraft treten. 

Das Gesetz hat praktische Relevanz. Das durch das TTDSG neu geregelte Telemediendatenschutzrecht betrifft fast sämtliche Angebote im Web: Meinungsforen, Weblogs, Newsgroups und elektronische Bestell-, Buchungs- und Maklerdienste, das Telefon- und Internetbanking, mobile Bezahlsysteme, Handelsplattformen, Internet-Suchmaschinen und manches mehr. 

Für Onlinediensteanbieter werden die neuen Regelungen bereits deshalb relevant sein, weil der Einsatz von Cookies und anderen Tracking-Mechanismen neu geregelt wird. 

Die Neufassung des nationalen Telekommunikationsdatenschutzrechts bleibt in diesem Beitrag außer Betracht.  

Ziel des TTDSG 

Ein wesentliches Ziel der Verfasser des TTDSG ist es, die Rechtsunsicherheit zu beseitigen, die durch die Koexistenz verschiedener Rechtsvorschriften auf europäischer und nationaler Ebene und ihren unklaren Vorrangverhältnissen zueinander entstanden sind. Auf europäischer Ebene sind dies die in den Mitgliedsstaaten der EU unmittelbar geltende DS-GVO und die ePrivacy-Richtlinie.  Letztere gilt, weil es sich um eine Richtlinie und nicht um eine Verordnung handelt, nicht unmittelbar in den EU-Mitgliedstaaten. Vielmehr sind die Inhalte von EU-Richtlinien erst in nationale Gesetze zu transformieren, bevor sie gegenüber den juristischen und natürlichen Personen Wirkung entfalten. Das hatte der deutsche Gesetzgeber durch das Telekommunikationsgesetz (TKG) und das Telemediengesetz (TMG) erledigt. Das TKG (dort die §§ 91 ff.) und das TMG (dort die §§ 11 ff.) enthalten Datenschutznormen, die – nicht nur, aber unter anderem – Rechtsvorschriften der ePrivacy-RL umsetzen (für das TMG ist das umstritten. Allerdings vertritt der BGH diese Auffassung. Für das TKG lässt sich etwas verkürzt sagen, dass Regelungen zu den sogenannten Verkehrsdaten aus dem EU-Recht abgeleitet sind). Teilweise schießen sie über die Mindestanforderung der ePrivacy-RL hinaus, teilweise bleiben sie dahinter zurück – was das Rangverhältnis der Rechtsvorschriften DS-GVO, TKG und TMG zueinander erschwert. Und: Soweit nationale Gesetze die ePrivacy-RL umsetzen, gehen sie der DS-GVO vor, weil die ePrivacy-RL als das speziellere Gesetz wiederum der DS-GVO vorgeht, was aus Art. 95 DSGVO abzuleiten ist. Der Gesetzgeber will Unsicherheiten in der Anwendung der vorgenannten Rechtsvorschriften bereinigen, indem er die Datenschutzgesetze (aus dem 5. Abschnitt) des TMG und die Datenschutzgesetze (aus den Abschnitten 1 und 2 des 7. Teils) des TKG in einem Gesetz, dem TTDSG, konsolidiert und teilweise modifiziert (Bsp.: die Anforderungen an Tracking-Mechanismen, etwa dem Einsatz von Cookies). Für die nähere Zukunft stehen also die DS-GVO und das TTDSG nebeneinander – und zur Auslegung der Rechtsnormen des TTDSG ist die ePrivacy-RL heranzuziehen, soweit einzelne Rechtsnormen des TTDSG Rechtsvorschriften der ePrivacy-RL in innerstaatliches deutsches Recht umgesetzt haben. Vorschriften des TTDSG, die Rechtsvorschriften der ePrivacy-RL in innerstaatliches deutsches Recht umgesetzt haben, gehen wiederum Rechtsvorschriften der DS-GVO vor.  

Neuregelungen 

Im Folgenden werden ausgewählte Neureglungen vorgestellt. 

Over-The-Top-Dienste (OTT-Dienste) 

OTT-Dienste ermöglichen interpersonelle Fern-Kommunikation über (fremde) Telekommunikationsnetze, wobei der Sender, der den Kommunikationsvorgang anstößt, den oder die Empfänger bestimmt (genauer: § 2 Abs. (1) TTDSG iVm § 3 Nr. 24 des TKG in der Fassung vom 23. Juni 2021 ). Gemeint sind damit E-Mail- und Instant-Messenger-Dienste sowie die Internet-Telefonie. Bisher war umstritten, ob diese Dienste Telekommunikationsdienste sind und damit dem Regulierungsregime des TKG und ebenfalls dem Telekommunikationsdatenschutz unterfallen. Für den E-Mail-Service von Gmail hatte der EuGH noch entschieden, dass es sich entgegen der Rechtsauffassung z.B. der Bundesnetzagentur nicht um einen Telekommunikationsdienst handele. Das TKG in seiner Fassung vom 23. Juni 2021 stellt durch Übernahme der OTT in seine Gesetze klar, dass sie als interpersonelle Telekommunikationsdienste, § 3 Nr. 24 TKG, also Telekommunikationsdienste, § 3 Nr. 61 TKG, diversen Regelungen des TKG unterworfen sind. Der deutsche Gesetzgeber setzt damit den Europäischen Kodex für Elektronische Kommunikation (EKEK – Richtlinie 2018/1972) um, der bereits die Aufnahme der interpersonellen Kommunikationsdienste in die Welt der elektronischen Kommunikation vorsieht (der europäische Begriff der elektronischen Kommunikation entspricht im Wesentlichen dem deutschen Begriff der Telekommunikation). Damit steht fest, dass OTT-Dienste nicht länger als Telemediendienst der DS-GVO sondern als Telekommunikationsdienst dem TKG und dem TTDSG unterliegen.  

Cookies – Schutz der Privatsphäre von Endeinrichtungen (§ 25 TTDSG) 

§ 15 Abs.(3) des TMG in seiner bis Ende November 2021 geltenden Fassung erlaubt die Erstellung von Nutzungsprofilen für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien, sofern der Nutzer dem nicht widerspricht. Eine Opt-out-Regelung also. Anbieter von Telemedien haben in der Vergangenheit häufig in Anwendung dieser Rechtsnorm Cookies auf Endgeräten von Nutzern zu vorgenannten Zwecken abgelegt – ohne die Einwilligung des jeweiligen Nutzers einzuholen. Die Speicherung von Cookies auf Endgeräten gestattet Art. 5 Abs. (3) der höherrangigen europäischen ePrivacy-RL demgegenüber nur nach Einwilligung. Eine Opt-in-Regelung also. EuGH und BGH haben in Urteilen zuletzt der Cookie-Praxis ohne Einwilligung ein Ende bereitet, indem sie Art. 5 Abs. (3) der ePrivacy-RL bestätigten, ein aktives Einwilligungs-Handeln des jeweiligen Nutzers für den Cookie-Einsatz einfordern und § 15 Abs. (3) TMG gegen seinen Wortlaut in eine Opt-in-Regelung umdeuteten. Das TTDSG bereinigt die Diskrepanz zwischen dem Wortlaut des § 15 Abs. (3) TMG auf der einen Seite und dem des Art. 15 Abs. (3) der ePrivacy-RL und der Rechtsprechung auf der anderen, indem es in § 25 TTDSG fast wortgleich Art. 5 Abs. (3) der ePrivacy-RL übernimmt. Der noch geltende § 15 TMG wird mit der Aufhebung des TMG-Datenschutzes zum 01. Dezember 2021 abgeschafft. Eine Opt-out-Lösung beim Einsatz von Cookies zu Marketing-Zwecken wird dann auch der Wortlaut des Gesetzes nicht mehr vorsehen. An die Einwilligung (Opt-in) sind die hohen Anforderungen der DS-GVO zu stellen, auf die § 25 Abs. (1) TTDSG verweist.  

Keine Einwilligung zum Einsatz von Tracking-Maßnahmen, etwa bei dem Einsatz von Cookies, ist gemäß § 25 Abs. (2) TTDSG dann erforderlich, wenn „1. der alleinige Zweck der Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der alleinige Zweck des Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein öffentliches Kommunikationsnetz ist oder 2. wenn die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriffs auf bereits in der Endeinrichtung des Endnutzers gespeicherte Informationen unbedingt erforderlich ist, damit der Anbieter eines Telemediendienstes einen vom Nutzer ausdrücklich gewünschten Telemediendienst stellen kann“. Ziffer 1 soll nicht weiter betrachtet werden. In der Anwendung ist dagegen die Regelung aus Ziffer 2, die Art. 5 Abs. (3) S. 2 Fall 2 der ePrivacy-RL fast wortgleich übernimmt, unsicher: Welche Maßnahme ist „zwingend erforderlich“, damit der Anbieter seinen Dienst erbringen kann? Üblicherweise werden z.B. Warenkorb-Cookies als zwingend qualifiziert. Cookies anderer als die des Anbieters sind nicht zwingend erforderlich. Was aber für Tracking-Mechanismen zur Webanalyse- und Reichweitenmessung des Anbieters selbst gilt, bleibt unklar.   

Personal Information Management System – PIMS 

Mit § 26 TTDSG ermöglicht der Gesetzgeber die Einführung von PIMS – Personal Information Management Systemen. Durch diese Systeme sollen u.a. die lästigen Cookie-Banner abgeschafft werden. Nutzer erhalten die Möglichkeit, bei einem zentralen Dienst ihre Cookie-Präferenzen zu hinterlegen. Dieser Dienstleister registriert, ob und unter welchen Voraussetzungen der jeweilige Nutzer seine Zustimmung zum Einsatz von Cookies erteilt. Ruft der Nutzer eine Webseite auf, liest der Betreiber dieser Seite die Präferenz des Nutzers bei dem zentralen Dienst aus und setzt diese um. Anbieter solcher PIMS-Dienste gibt es bislang aber nicht. Vielmehr sieht § 26 TTDSG vor, dass erst eine Rechtsverordnung zu schaffen ist, die wiederum die Akkreditierung solcher Dienstleister durch eine „unabhängige Stelle“ regeln soll. Bis dahin wird es auch weiterhin Cookie-Banner geben müssen.  

Bußgeldvorschriften 

Den Katalog der Ordnungswidrigkeiten enthält § 28 Abs. (1) TTDSG. Gemäß Abs. (2) können die Ordnungswidrigkeiten mit Bußgeldern – gestaffelt je nach Ordnungswidrigkeit – von bis zu zehn-, fünfzig-, hundert- oder dreihunderttausend Euro beschieden werden. Das TTDSG bleibt damit weit unter den Obergrenzen der DS-GVO zurück.  

Wer unerlaubt Cookies verwendet, muss immerhin ein Bußgeld von bis zu 300.000 Euro befürchten, §§ 25 Abs. (1) S. 1, 28 Abs. (1) Nr. 13, Abs. (2) TTDSG.  

Fazit und Ausblick 

Auf europäischer Ebene hätte die ePrivacy-Verordnung (ePrivacy-VO) zur Regelung des Datenschutzes in der elektronischen Kommunikation gleichzeitig mit der DS-GVO beschlossen werden sollen. Dazu ist es bis heute nicht gekommen. Die Verabschiedung einer ePrivacy-VO ist aktuell nicht abzusehen. Mit der ePrivacy-VO werden die alte ePrivacy-RL und einige nationale Gesetze aufgehoben oder durch vorrangiges EU-Recht unanwendbar, was nicht nur zur Harmonisierung des EU-Datenschutzrechts führen, sondern auch zur Vereinfachung der Datenschutzrechtslage beitragen wird. Für die Zeit bis zur Verabschiedung der ePrivacy-VO, die ebenso wie die DS-GVO unmittelbar in der EU anwendbares Recht sein wird, hat der deutsche Gesetzgeber u.a. zur Übersichtlichkeit beigetragen und den Einsatz von Tracking-Mechanismen an die EU-Rechtslage angepasst.  

Abzuwarten bleibt die Entwicklung einer ePrivacy-VO. Ihr Anwendungsbereich wird sich weitgehend mit dem des TTDSG decken – mit dem Ergebnis, dass die als EU-Recht Vorrang genießende ePrivacy-VO weitgehend zur Unanwendbarkeit des TTDSG führen wird.  

Wir werden Sie über die künftigen Entwicklungen informieren.-

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Bisher konnten sich die europäischen Organe nicht auf eine Fassung der geplanten ePrivacy-Verordnung einigen. Steht diese nun vor dem Aus?

ENTWICKLUNGEN DER EPRIVACY-VERORDNUNG

Einführung 

Seit 2016 gibt es Verhandlungen über eine ePrivacy-Verordnung in der EU, welche die bisherige ePrivacy-Richtlinie (2002/58/EG) aus dem Jahr 2002 ablösen soll, da diese als veraltet angesehen wird und den Fortschritten in Technik und Wirtschaft nicht mehr gerecht wird, bzw. die neuen Belange teils unzulänglich regelt. Die Umsetzung der Richtlinie erfolgte in Deutschland im Telemediengesetz (TMG) und dem Telekommunikationsgesetz (TKG).  

Die ePrivacy-Verordnung soll die Richtlinie schließlich aktualisieren und ergänzend neben die Datenschutz-Grundverordnung (DS-GVO) treten. Ursprünglich war geplant, dass die DS-GVO und die ePrivacy-Verordnung gemeinsam am 25. Mai 2018 in Kraft treten sollten. Die ePrivacy-Verordnung bekam in der Vergangenheit jedoch viel Gegenwind, sodass ein mögliches Inkrafttreten derzeit nicht in Sicht ist. 

Im Folgenden geben wir einen kurzen Überblick über das Thema ePrivacy und beleuchten die Entwicklungen bezüglich der geplanten Verordnung.  

Was ist die ePrivacy-Verordnung? Was soll geregelt werden?  

Die geplante ePrivacy-Verordnung geht auf eine Gesetzesinitiative der Europäischen Kommission aus Januar 2017 zurück und soll die Privatsphäre von Bürgern im Onlinebereich stärken. Sie beschäftigt sich in erster Linie mit elektronischen Kommunikationsdaten, welche als personenbezogene Daten einzustufen sind. Ziel ist es, dass Privatsphäre zur Standardeinstellung in Browsern wird. 

Die ePrivacy-Verordnung präzisiert die DS-GVO also im Hinblick auf elektronische Kommunikationsdaten und schließt damit ein paar Regelungslücken. Im Großen und Ganzen soll durch die Verordnung die Sicherheit elektronischer Kommunikationsdaten geregelt und schließlich festgelegt werden, unter welchen Voraussetzungen und Bedingungen diese Daten von Betreibern elektronischer Kommunikationsnetze und -dienste verarbeitet werden dürfen. Es werden auch Betroffenenrechte aufgegriffen: es soll Regelungen zur Speicherung und Löschung der elektronischen Kommunikationsdaten geben, sowie weitere Vorgaben zum Schutz der gespeicherten Daten der Endnutzer. Zudem soll die Verordnung die bisherigen Regeln zur Einwilligung in die Datenverarbeitung präzisieren und Vorgaben bezüglich bereitzustellender Informationen und Privatsphäreeinstellungen bei elektronischer Kommunikation enthalten. Des Weiteren soll eine Ende-zu-Ende-Verschlüsselung obligatorisch werden, sodass auch ein Eingreifen seitens staatlicher Stellen stärker reguliert wird. 

Ebenso soll es Regelungen für den Telekommunikationssektor geben. Darunter fallen bspw. Vorgaben für die Anzeige von Rufnummern, deren Unterdrückung, die Sperrung eingehender Anrufe, sowie für unerbetene Kommunikation, Direktwerbung über elektronische Kommunikationsdienste an Endnutzer und Informationspflichten über erkannte Sicherheitsrisiken.  

Letztlich beinhaltet die ePrivacy-Verordnung auch Sanktionen für mögliche Verstöße und beschreibt die Aufgaben der Aufsichtsbehörden.   

Wen wird die ePrivacy-Verordnung betreffen? 

Sobald die ePrivacy-Verordnung in Kraft tritt, sind vor allem Unternehmen mit dem Sitz innerhalb der EU betroffen. Daneben ist die Verordnung aber nach dem sog. Marktortprinzip auch auf solche Unternehmen anwendbar, die ihre elektronischen Kommunikationsdienste innerhalb der EU anbieten. Nicht-EU-Unternehmen benötigen dann einen EU-Vertreter.  

Zu den betroffenen Unternehmen zählen neben den konventionellen Telekommunikationsdiensten auch OTT-I-Dienste (Over-the-top-Dienste der ersten Kategorie), insbesondere Messenger- und E-Mail-Dienste, sowie Anbieter von Internettelefonie. In den Anwendungsbereich der Verordnung fallen zudem nur elektronische Kommunikationsdienste, die öffentlich zugänglich sind, also von einem Anbieter für den Endnutzer bereitgestellt werden.  

Entwicklungen der ePrivacy-Verordnung 

Bisher bekamen die jeweiligen Ausarbeitungen der ePrivacy-Verordnung viel Gegenwind – sowohl seitens zahlreicher Wirtschaftsverbände als auch der EU-Mitgliedstaaten. Bereits 2017 hat die Europäische Kommission einen Gesetzesentwurf für die ePrivacy-Verordnung erlassen, woraufhin das Europäische Parlament noch im selben Jahr einen Änderungsvorschlag abgegeben hat. Lange konnte sich nur der Europäische Rat nicht auf eine einheitliche Linie festlegen. Nachdem etliche Vorschläge innerhalb des Rates von den EU-Mitgliedstaaten abgelehnt wurden, kam es am 10. Februar 2021 schließlich zu einem Konsens.  

Seitdem stehen Trilogverhandlungen zwischen dem Rat, der Kommission und dem Parlament an – bisher jedoch ohne Ergebnis. Die jeweiligen Entwürfe bezüglich der geplanten Verordnung unterscheiden sich in vielerlei Hinsicht, insbesondere in Bezug auf eine Einwilligung in die Datenverarbeitung bzw. deren Ausnahmetatbestände. 

Zunächst sind sich alle drei Organe einig, dass eine Einwilligung nach den Vorgaben der DS-GVO für die Nutzung vorliegen muss, es sei denn, einer der gelisteten Ausnahmetatbestände greift ein. Die in der Privacy-RL genannten Erlaubnistatbestände für eine Datenverarbeitung ohne Einwilligung des Betroffenen werden auch in allen drei Entwürfen größtenteils übernommen, zum Beispiel, wenn die Verarbeitung der Durchführung von Kommunikationsvorgängen dient oder für die Bereitstellung eines Dienstes erforderlich ist.  

Bezüglich weitergehender Erlaubnistatbestände herrscht derzeit Uneinigkeit bei der Kommission, dem Parlament und dem Rat. Zwar halten alle drei Entwürfe der Verordnung eine Ausnahme zur Reichweitenmessung für zulässig, der Umfang dieser Ausnahme ist jedoch umstritten. Während die Kommission und das Parlament diese nur im Namen des Diensteanbieters ohne Einwilligung gestatten, bedarf es nach Ansicht des Rates auch keiner Einwilligung bei der gemeinsamen Verarbeitung durch den betreibenden Diensteanbieter und einem externen Dienstleister (sofern die Voraussetzungen der gemeinsamen Verantwortlichkeit i.S.d. Art. 26 DS-GVO gewahrt sind). Darüber hinaus sehen die Entwürfe des Parlaments und des Rates eines Erlaubnistatbestand vor, sofern die Verarbeitung einer Aktualisierung zum Zwecke der Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Authentizität dient. Zudem sieht der Europäische Rat eine Ausnahme vom Einwilligungsprinzip darin, wenn die Verarbeitung eine Aufrechterhaltung oder Wiederherstellung der Sicherheit darstellt oder die Verarbeitung mit dem ursprünglichen Zweck der Verarbeitung vereinbar ist, sofern diese vorher nicht aufgrund einer ausdrücklichen Einwilligung des Betroffenen oder zum Schutz des öffentlichen Interesses erfolgte.  

Obwohl die oben genannten, nicht abschließenden Unterschiede zunächst nicht sonderlich schwerwiegend oder ausschlaggebend wirken, sind sie dies in der Praxis jedoch schon. Jeder kleinste Unterschied sorgt dafür, dass die Rechtslage sich beispielsweise in Bezug auf die Nutzung von Cookies erheblich verändert. In einigen Punkten, insbesondere bei Unterschieden in sprachlichen Feinheiten, dürften sich die europäischen Organe relativ zeitnah einigen können, wohingegen andere deutlich auseinander gehen und die Parteien grundverschiedenen Ansichten haben. Es bleibt also abzuwarten, wie sich die Trilogverhandlungen entwickeln und ob letztlich ein Kompromiss gefunden werden kann.  

 “Übergangsregelungen” im TTDSG 

Die Bundesregierung hat im Mai 2021 zudem das Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) verabschiedet, welches am 01. Dezember 2021 in Kraft treten soll und bestätigt damit erstmals die in Deutschland geltende Regelung zu aktuellen Themen wie Webtracking oder Cookies. Durch das TTDSG werden jedoch auch keine neuen Regelungen aufgestellt, sondern nur die bereits bestehenden Vorschriften, welche sich bisher im TKG und TMG befanden, zusammengetragen und somit der status quo nochmal klargestellt. Änderungen und eine klare europäische Linie bezüglich der Thematik sollen dann durch die ePrivacy-Verordnung eintreten.  

Fazit  

Aufgrund der anhaltenden Verhandlungen innerhalb der EU, erscheint es erstmal unwahrscheinlich, dass sich der Rat, die Kommission und das Parlament in Kürze auf eine Fassung der ePrivacy-Verordnung einigen können. 

Demnach wird es voraussichtlich noch einige Zeit dauern, bis die ePrivacy-Verordnung, namentlich ein Kompromiss, von allen drei europäischen Organen abgesegnet und dann auch verabschiedet wird. Bisher ist es noch sehr unklar, ob und wie die Ansichten der jeweiligen Akteure bezüglich ePrivacy auf einen Nenner gebracht werden können. Die ePrivacy-Verordnung wird daher (mit hoher Wahrscheinlichkeit) nicht mehr vor 2022 erwartet werden können. 

Deshalb herrschen weiterhin Rechtsunsicherheiten für Unternehmen, vor allem im Bereich von Nutzer-Tracking und Cookies. Solange noch keine Verordnung erlassen und in Kraft getreten ist, muss sich also weiter an den Vorschriften der DS-GVO, sowie dem TMG und dem TKG, bzw. ab Dezember 2021 an dem TTDSG orientiert werden. 

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Wir informieren sie über die Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO.

DSGVO

Der BGH äußerte sich erstmals zur Reichweite des Auskunftsanspruchs nach Art.15 DS-GVO

Einführung 

Der Bundesgerichtshof („BGH“) setzte sich in seinem Urteil vom 15. Juni 2021 (Az. VI ZR 576/19) mit der Reichweite des Auskunftsanspruchs nach Art. 15 DS-GVO auseinander. Dabei geht der BGH grundsätzlich von einer weiten Reichweite des Auskunftsbegehrens aus. 

Im vorliegenden Urteil ging es um einen Versicherungsnehmer (Kläger), der bei seinem Versicherungsunternehmen (Beklagte) eine kapitalbildende Lebensversicherung abgeschlossen hat. Der Versicherungsnehmer verklagte das Versicherungsunternehmen unter anderem wegen ausstehender Rückzahlung der Versicherungsprämien. Im Rahmen seines Klagebegehrens verfolgte er auch einen umfassenden Auskunftsanspruch, da ihm seines Erachtens kein vollständiger Auskunftsanspruch hinsichtlich seiner Daten gewährt wurde.

Zu Beginn der Klage stützte sich der Auskunftsanspruch noch auf § 34 BDSG und wurde im Verlauf durch Art. 15 DS-GVO ersetzt. Der Kläger verlangte Auskunft über die gesamte Korrespondenz der Parteien, einschließlich der Daten des vollständigen Prämienkontos, Zweitschriften und Nachträge zum Versicherungsschein, sowie Telefon-, Gesprächs- und Bewertungsvermerke der Beklagten zum Versicherungsverhältnis. Die Beklagte weigerte sich so weitreichende Auskünfte zu erteilen, da diese ihres Erachtens nicht von Art. 15 DS-GVO erfasst seien. 

Das Amtsgericht Brühl wies die Klage mit der Begründung ab, dass weder ein Rückzahlungsanspruch noch ein weitreichender Auskunftsanspruch im Sinne des damals noch geltenden § 34 BDSG bestünde. Wenn überhaupt bestünde lediglich ein “Basisanspruch”, und diesem sei die Beklagte nach Auffassung des Amtsgerichts Brühl ausreichend nachgekommen. Das Landgericht Köln wies die Berufung als unzulässig ab, sodass die Klage auf Auskunft letztlich vom BGH zu entscheiden war. 

Voraussetzungen von Art. 15 DS-GVO 

Die Norm ermöglicht jedem Betroffenen das Recht einen Auskunftsanspruch über seine personenbezogenen Daten, die von dem Verantwortlichen verarbeitet werden, zu verlangen. Art. 15 DS-GVO bezieht sich allerdings nicht nur auf personenbezogene Daten, sondern auch auf weitere Auskünfte hinsichtlich: 

  • des Verarbeitungszwecks,  
  • der Kategorien personenbezogener Daten, die verarbeitet werden; 
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  • falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; 
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung; 
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; 
  • wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; 
  • das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. 

Die in Art. 15 Abs.1 DS-GVO genannten Auskunftsmöglichkeiten eröffnen somit einen umfassenden Bereich, den man beim Auskunftsanspruch eines Betroffenen berücksichtigen muss.  

Grundsätzlich unterliegt die Ausübung dieses Auskunftsanspruches keinen besonderen Formerfordernissen. Die Auskunft kann schriftlich, persönlich, telefonisch oder auch per E-Mail beantragt werden.  

Bei der Beantragung muss zudem kein Grund für die gewünschten Auskünfte genannt werden.  

BGH bestätigt weiten Umfang des Auskunftsanspruchs 

Bereits 2007 hatte sich der EuGH im Rahmen eines Urteils für einen weiten Umfang des Auskunftsanspruches ausgesprochen. Damals bezog sich der EuGH noch auf die Richtlinie 95/46/EG (Datenschutzrichtlinie) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, die schließlich von der DS-GVO abgelöst wurde.

Dennoch wurde bereits damals ein umfangreicher Auskunftsanspruch anerkannt, der die Betroffenen berechtigt ihre Datenverarbeitung einzusehen, über sie informiert zu werden und Berichtigung oder ggf. Löschung zu verlangen. Dieser Linie folgt nun auch der BGH und hat erstmals zum weiten Umfang des Auskunftsanspruch nach Art.15 DS-GVO Stellung bezogen. Im vorliegenden Urteil hat der BGH folgende Feststellungen getroffen, an die man sich zukünftig bei der Bearbeitung eines Auskunftsanspruches orientieren kann: 

Demnach sind alle personenbezogenen Daten i.S.d. Art. 4 Nr.1 DS-GVO von Art. 15 DS-GVO erfasst. Gemäß des BGH ist diese Norm auch nicht dahingehend teleologisch zu reduzieren, dass nur „signifikante biografische Informationen“ erfasst werden.

Das ergibt sich bereits aus dem Erwägungsgrund Nr. 63 S.1 der DS-GVO. Danach soll der Betroffene in angemessenen Abständen sein Auskunftsrecht bezüglich seiner personenbezogenen Daten ausüben können, um zu erfahren, welche Daten und zu welchen Zwecken die Daten verarbeitet werden. Der Betroffene soll sich durch die Auskunft der Bearbeitung seiner Daten bewusstwerden und die Möglichkeit haben die Rechtmäßigkeit der Datenverarbeitung zu überprüfen.  

Der BGH entschied weiter, dass selbst Dokumente, die der Betroffene bereits kennt, vom Auskunftsbegehren erfasst werden können.  

Der Auskunftsberechtigte kann sogar wiederholt Auskunft verlangen. 

Auch die Korrespondenz mit Dritten wird erfasst. Selbst interne Vermerke fallen unter Art. 15 DS-GVO, da die Norm nicht voraussetzt, dass die fraglichen Daten extern zugänglich sind. 

Anhand der Feststellungen des BGH zeigt sich, dass im Rahmen eines Auskunftsanspruches eine umfassende Sammlung an personenbezogenen Daten herauszugeben ist. Der Verantwortliche kann keine „Rosinenpickerei“ vornehmen und nur die Daten rausgeben, die seines Erachtens ausreichend sind, um dem Auskunftsanspruch zu entsprechen. 

Einschränkungen des Auskunftsanspruchs nach Art. 15 DS-GVO  

So viele Daten der Auskunftsanspruch auch umfasst, so ergeben sich gleichwohl Einschränkungen des Auskunftsumfangs. Hierzu zählen unter anderem Daten, die im Rahmen einer internen rechtlichen Analyse über die betroffene Person zusammengefasst wurden. Grundsätzlich können diese Analysen personenbezogene Daten enthalten, die Beurteilung der Rechtslage stellt aber keine Information über den Betroffenen dar. Zum anderen werden keine Daten über Provisionszahlungen oder Ähnliches erfasst. 

Auswirkungen von Ausschlussnormen  

Im zugrundeliegenden BGH-Urteilbleiben die Auswirkungen von Ausschlussnormen wie beispielsweise Art. 12 Abs. 5 S. 2 und Art. 15 Abs. 4 DS-GVO hingegen unberücksichtigt. Dennoch sollten diese im Rahmen des Auskunftsanspruchs Beachtung finden. 

Art. 12 Abs. 5 S.2 DS-GVO schließt z.B. einen Auskunftsanspruch gem. Art. 15 DS-GVO dann aus, wenn dieser offenkundig unbegründet ist. Bei exzessiven Anträgen kann der Verantwortliche zudem ein angemessenes Entgelt für die entstehenden Verwaltungskosten verlangen oder sich sogar gänzlich weigern tätig zu werden.

Exzessives Verhalten wird angenommen, wenn es sich um häufige Wiederholungen von Anträgen handelt oder Anträge ohne stichhaltigen Grund in kurz hintereinander geschalteten Zeitintervallen gestellt werden. Die Zeitintervalle sind zu kurz, wenn es offensichtlich unmöglich ist, dass sich die Umstände seit Antragsstellung geändert haben können. 

Schließlich beschränkt Art. 15 Abs. 4 DS-GVO die Herausgabe von Kopien darauf, dass keine Rechte und Freiheiten anderer Personen beeinträchtigt werden dürfen. 

Fazit 

Die gerichtliche Auseinandersetzung mit dem gesetzlichen Auskunftsanspruch gem. Art. 15 DS-GVO ist für den Rechtsanwender durchaus zu begrüßen, da er zukünftig für mehr Rechtssicherheit im Umgang mit dem Auskunftsanspruch nach Art. 15 DS-GVO sorgen wird. 

Allerdings kann die weitgehende Auslegung für die Verantwortlichen zu einem hohen Arbeitsaufwand führen. Ferner können sie sich Schadensersatzansprüchen gem. Art. 82 DS-GVO aussetzen, wenn sie dem Auskunftsanspruch nicht wie geschuldet entsprechen. 

Zu beachten ist jedoch schließlich, dass mögliche Ausschlussnormen gerichtlich noch gar nicht behandelt wurden, sodass es abzuwarten bleibt, ob die beschlossene weite Auslegung im Rahmen von rechtlichen (weiteren) Auseinandersetzungen doch noch begrenzt wird. 

Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.   

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!

Neue Entwicklungen bezüglich der Datenübermittlungen in Drittländer.

Die neuen Standardvertragsklauseln

Einführung 

Die Europäische Kommission hat am 4.6.2021 zwei neue Pakete
von Standardvertragsklauseln (SVK), häufig auch SCCs (Standard Contractual
Clauses) genannt, veröffentlicht (Standardvertragsklauseln-EU und Standardvertragsklauseln-Drittländer). Die SCCs sind nun auf die DS-GVO aktualisiert und sollen helfen, das Vakuum zu schließen, das seit dem Schrems II-Urteil des Europäischen Gerichtshofs vom 16.07.2020 (Schrems II-Urteil) insbesondere beim transatlantischen Datenaustausch herrscht.

Die Wahrscheinlichkeit, dass die neuen SCCs für Ihr Unternehmen relevant sind, ist groß, so dass Sie diesem Thema Aufmerksamkeit schenken sollten.

Hintergrund

Wann immer personenbezogene Daten in ein Drittland übertragen werden, sind die Vorgaben der Art. 44 ff. DS-GVO zu beachten, damit das durch die DS-GVO gewährleistete Schutzniveau nicht untergraben wird.

Eines der Werkzeuge, mit denen Drittlandtransfers rechtlich abgesichert werden können, sind SCCs. Die Bedeutung der SCCs wurde größer, nachdem der Europäische Gerichtshof zunächst in einer ersten Entscheidung (Safe Harbour-Urteildas Safe Harbour Regime für nichtig erklärte, mit dem Datentransfers zwischen den USA und der EU legitimiert werden konnten. Maßgeblich für diese Entscheidung war unter anderem das Fehlen hinreichender Rechtsschutzmöglichkeiten für Europäer in den USA, wenn diese gegen Datenverarbeitungen vorgehen wollten.

Wenige Monate nach der Entscheidung wurde das politisch und wirtschaftlich
gewünschte, rechtlich aber umstrittene EU-U.S.-Privacy Shield als Nachfolger
für Safe Harbour verkündet. Umstritten war das Privacy Shield insbesondere deshalb, weil es das Problem des mangelnden Rechtsschutzes nicht löste. In seiner viel beachteten Entscheidung erklärte der Europäische Gerichtshof
(Schrems II) sodann das Privacy Shield für unwirksam. 

Das Gericht stellte zudem fest, dass die bisherigen SCCs bei Datentransfers in
Länder ohne Angemessenheitsbeschluss durchaus weiterverwendet werden können, allerdings zusätzliche Garantien verabredet werden müssen, um hinreichenden Schutz zu gewährleisten. Dies stellte Unternehmen vor eine kaum lösbare Aufgabe. 

Warum ist dies für Sie relevant? 

Wissen Sie im Einzelfall, wann Sie oder die von Ihnen genutzten Softwareprodukte oder Systeme personenbezogenen Daten übermitteln? Wissen Sie auch, wohin die Daten von dort gegebenenfalls übermittelt werden? Unter Umständen finden in Ihrem Unternehmen Datenexporte statt, von denen Sie bislang nichts wussten und die, sofern möglich, neben den Ihnen bekannten Datentransfers auf eine rechtlich solide Basis gebracht werden müssen. 

Die neuen SCCs

Datenexporteure können je nach Vertragsverhältnis mit den
neuen SCCs aus vier Modulen für unterschiedliche Szenarien wählen:

  1. Übermittlung
    von Verantwortlichen an Verantwortliche (C2C)
  2. Übermittlung
    von Verantwortlichen an Auftragsverarbeiter (C2P)
  3. Übermittlung
    von Auftragsverarbeitern an Auftragsverarbeiter (P2P)
  4. Datentransfer
    von Auftragsverarbeitern an Verantwortliche (P2C)

Die Regelungen zwischen zwei Auftragsverarbeitern und von Auftragsverarbeitern an Verantwortliche stellen eine sinnvolle Ergänzung zu den bislang angebotenen SCCs dar. 

Die SCCs enthalten verschiedene Anhänge, mit denen die konkret vorliegende Situation transparent erfasst werden kann. Besonders interessant ist auch, dass die Klauseln regeln, wie mit Ersuchen von Behörden im Drittland nach einer Weitergabe der übermittelten personenbezogenen Daten umzugehen ist.

So wie in der DS-GVO werden auch die Betroffenenrechte in
den modernisierten SCCs
besonders gestärkt. Beispielsweise muss der Datenimporteur Betroffene benachrichtigen, wenn ein rechtsverbindlicher Antrag der Behörde auf Herausgabe seiner personenbezogenen Daten vorliegt. Wird dem Datenimporteur eine Benachrichtigung behördlich untersagt, soll er sich bestmöglich um eine Aufhebung der Untersagung bemühen.

Durch die Standardvertragsklauseln werden die Voraussetzungen des Art. 28 Abs. 3 und 4 DS-GVO erfüllt, sodass die Ansicht einzelner deutscher Datenschutzbehörden, dass gegebenenfalls zusätzliche Klauseln im Falle von Übermittlungen an Auftragsverarbeiter benötigt werden, keinen Bestand mehr hat.

In den neuen SCCs sind nunmehr Haftungsregelungen enthalten für den Fall, dass eine unberechtigte Herausgabe von Daten vorgenommen wird. Diese waren zuvor optional.

Chance und Risiko gleichzeitig ist die Flexibilität der SCCs. Sie basieren wie die DS-GVO auf einem risikobasierten Ansatz. Das bedeutet aber auch, dass es den Parteien obliegt, die Risiken für etwaige Betroffene abzuschätzen. Sie müssen mit Ihrem Vertragspartner prüfen und abwägen, ob die Rechtslage und der Umgang mit Herausgabeansprüchen vor Ort einen angemessenen Schutz der personenbezogenen Daten gewährleistet. Ist dies nicht der Fall, dürfen keine Daten transferiert werden oder es sind zusätzliche Schutzmaßnahmen zu ergreifen. Dies können technische und organisatorische Maßnahmen zur Gewährleistung der Sicherheit der Daten wie Pseudonymisierung oder Verschlüsselung sind.  

Drei wichtige Daten

Folgende Zeitpunkte sind für Ihre Planungen relevant:

  • 27.06.2021: Die neuen SCCs treten in Kraft.

  • 27.09.2021: Die alten SCCs werden aufgehoben.
  • 27.12.2022: Ab dem 27.09.2021 gilt eine 15-monatige Umsetzungsfrist: Mit Ablauf des 27.12.2022 müssen alle alten Verträge, die vor dem 27.09.2021 geschlossen wurden, die neuen SCCs einbeziehen, d.h. bis dahin dürfen bestehende Verträge die alten SCCs noch verwenden. Danach dürfen die alten SCCs nicht mehr verwendet werden.
  • Neuverträge: Ab dem 27.09.2021 können nur noch die neuen SCCs verwendet werden.

Was ist zu tun? 

Im Rahmen der zeitlichen Vorgaben sind Ihre Vertragsbeziehungen gegebenenfalls anzupassen. Exportieren Sie personenbezogene Daten oder arbeiten Sie mit Datenexporteuren zusammen? Sind die bisherigen Regelungen ausreichend? Sind Sie überhaupt schon auf „Schrems II“ hin aktiv geworden? Liegen bei Ihnen die bisher nicht geregelten Situationen 3 oder 4 vor? Beachten Sie, dass im Hinblick auf Bestandsverträge zu prüfen ist, ob zusätzliche Garantien vereinbart wurden und diese ausreichend sind. Rechtzeitig vor Ablauf der Übergangsfrist sind neue Verträge zu verhandeln.

Bei Neuverträgen ist wichtig, dass Sie mit der Auswahl der zur Verfügung stehenden Handlungsoptionen für ein ausreichendes Schutzniveau sorgen und aktiv werden, wenn Anlass zu Zweifeln daran besteht, dass (weiterhin) ein ausreichendes Schutzniveau gewährleistet ist.

Als spezialisierte Datenschutz- und IT-Kanzlei stehen wir Ihnen in allen diesen Fragen gerne zur Verfügung. Wir begleiten und unterstützen Sie in der Lösungsfindung für einen rechtssicheren Umgang mit personenbezogenen Daten!

https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/12741-Commission-Implementing-Decision-on-standard-contractual-clauses-for-the-transfer-of-personal-data-to-third-countrie

NOCH FRAGEN?

Wir freuen uns auf Ihre Anfrage zu diesem und weiteren Themen!